Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Basel II, SOX & Co. IT Governance im Überblick

Veröffentlicht von:Hiltraud Schleich Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Basel II, SOX & Co. IT Governance im Überblick"—  Präsentation transkript:

1 Basel II, SOX & Co. IT Governance im Überblick
Informationsmanagement SS 2008 Prof. Dr. Schönecker Referent: Konstantin Kirsch Datum:

2 IT Governance im Überblick – Konstantin Kirsch
Gliederung Motivation durch SOX, Basel II & Co. Einführung IT Governance ~ IM IT Governance Praktiken, Frameworks, Standards Ausblick - Diskussion IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

3 Motivation - Überblick
Gesetzliche Regularien wie Sarbanes-Oxley Act, Corporate Governance Kodex und Basel II verlangen von der IT nicht nur aus rechtlicher und betriebswirtschaftlicher, sondern auch aus technischer Sicht Rechenschaftsberichte über die effiziente und effektive Steuerung und Kontrolle. Dabei gilt es, Transparenz für IT-Service-Management zu schaffen und dadurch operationelle Risiken signifikant zu reduzieren. Durch die Etablierung von IT Governance kann dieses Ziel erreicht werden. International anerkannte Frameworks wie ITIL und COBIT bilden hierzu eine optimale Grundlage. Ziel muss es jedoch sein, Elemente dieser Standards in ein unternehmensweites Managementsystem zu integrieren, welches in das operative Geschäft eingebunden werden muss. Durch die Zertifizierung nach BS bzw. ISO kann dieses Ziel erreicht und offiziell beglaubigt werden. Quelle: 1) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

4 Wozu SOX, Basel II & Co.? Kostentransparenz, Prozessqualität!
Ergebnisse einer empirischen Studie von McKinsey in der europ. Energiebranche (2007) Untersucht wurde der Einfluss struktureller Faktoren auf IT cost & business cost. Signifikante Faktoren für die Kosten sind nicht: Größe des Unternehmens Grad des Outsourcing Organisationsstruktur der IT, Position des CIO Grad der (De-)zentralisierung Design der technischen Infrastruktur Signifikant sind dagegen: Ausmaß an Kostentransparenz und Wirtschaftlichkeitsanalysen Qualität der Unternehmensprozesse im Bereich der IT-Infrastruktur Vereinfachung der Applikationslandschaft Eng geführtes Sourcing und Lieferantenmanagement Quelle: 6) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

5 Beachtung von Regeln, Normen und Vorschriften (Compliance)
Sarbanes-Oxley Act (SOX) Basel II / Solvency II KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) Deutscher Corporate Governance Kodex IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

6 Entwicklungspfad: DCG Kodex
Quelle: 7) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

7 IT Governance im Überblick – Konstantin Kirsch
Sarbanes-Oxley Act Finanzskandale, falsche Bilanzen (Enron) => SOX 2 Bestimmungen betreffen die IT eines Unternehmens und deren korrekte Implementierung => Haftung des Managements falls nicht! Erstellte Bilanzen müssen inhaltlich korrekt sein gemäß Section 302 => nur autorisierte Personen dürfen jene Daten warten, die in die Bilanz einfließen. (Stichwort: IT Security) Sarbanes-Oxley Section 404: Kontrollbericht vorlegen (funktionsfähiges internes Kontrollsystem IKS und dessen Dokumentation), in dem die extern durchgeführte Kontrolle des Systems zur Sicherstellung der korrekten Bilanzierung dokumentiert wird. Quelle: 17) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

8 IT Governance im Überblick – Konstantin Kirsch
SOX – Original Fassung Quelle: 5) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

9 MS Project: Konformität mit SOX und Technologieoptionen
Quelle: 8) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

10 IT Governance im Überblick – Konstantin Kirsch
Basel II Regulierung Basel II will die Solvenz von Banken und Sparkassen sicherstellen, insbesondere durch eine Risikobewertung der Kreditnehmer (z.B. Kreditwürdigkeit, Fraud Detection, usw.), dem so genannten Rating. => Auch dafür muss die IT entsprechende „Rating Data Bases“ bereitstellen und dies mit höchster Zuverlässigkeit. Quelle: 17) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

11 IT Governance im Überblick – Konstantin Kirsch
Basel II - Überblick Basel II besteht aus insgesamt 3 Säulen Quelle: 7) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

12 1. Säule: Mindestkapitalanforderungen
Die erste Säule beinhaltet Vorschriften zur Eigenmittelunterlegung von Kreditausfall-, Marktpreis- und operationellen Risiken. Diese Säule ist sicherlich der am meisten diskutierte Bereich von Basel II. Quelle: 10) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

13 2. Säule: Ausführliche Überprüfungsverfahren
Die zweite Säule gibt eine laufende und regelmäßige Überprüfung der Banken durch die Bankenaufsicht vor. Hier kann man vier Bereiche unterscheiden: Interne Aufsicht: laufende Verbesserung der internen Verfahren der Risikoanalyse. Ausbau des Risikomanagements und der internen Kontrollmechanismen. Externe Aufsicht: Berücksichtigung externer Faktoren, wie Trends etc. Maßnahmen: Die Bankenaufsicht hat die Möglichkeit Maßnahmen zu ergreifen, wenn sie dies für notwendig hält. Dialog zwischen Banken und Aufsichtsbehörden: Ein Ausbau ist notwendig, da die Banken mehr Verantwortung bei der Bewertung und Überwachung von Risiken übernehmen. Quelle: 10) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

14 3. Säule: Marktdisziplin und Offenlegung
Verpflichtung der Finanzinstitute zur Offenlegung der Eigenkapitalstruktur und der eigenen Risikosituation. Die Offenlegungs-pflichten umfassen vier Bereiche: Anwendung der Eigenkapitalvorschriften Eigenkapitalstruktur Eingegangene Risiken Angemessenheit der Eigenkapitalausstattung Quelle: 10) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

15 Informationsmanagement nach Krcmar
IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch Quelle: 16)

16 IT Governance im Überblick – Konstantin Kirsch
Die Frage, wer welche IT-Entscheidungen im Unternehmen treffen darf, hat in den letzten Jahren in vielen Unternehmen erheblich an Bedeutung gewonnen; damit auch der Begriff IT Governance. IT Governance: Specifying the decision rights and accountability framework to encourage desirable behaviour in the use ot IT. (Weill/Woodham) Hintergrund: Wachsende Komplexität der Systeme in den Unternehmen, Kostendruck Viele Unternehmen haben daher eine CIO-Funktion oder IT-Governance-Funktion ausgeprägt, die klar von der IT-Dienstleistungsfunktion getrennt ist und sich auf strategische Fragen sowie eine Richtlinien- und Ordnungsfunktion konzentriert. Quelle: 6) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

17 IT Governance im Überblick – Konstantin Kirsch
IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Wesentlicher Bestandteil der IT-Governance ist ein erfolgreiches Business IT-Alignment. Die Umsetzung von IT-Governance wird durch leistungsfähige und international akzeptierte Verfahren (CobiT, MOF, ISO 20000, ITIL) unterstützt. Diese Werkzeuge können hierarchisch wie folgt betrachtet werden: Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. COSO wurde 1985 als Plattform für die “National Commission on Fraudulent Financial Reporting“ (Treadway Commission) gegründet und wird durch die fünf bedeutendsten US-Organisationen für Kontrolle im Finanz- und Rechnungswesen unterstützt: IIA, AICPA, FEI, IMA und AAA. Standard der Corporate Governance: COSO Übergeordnete Verbindung zur Corporate Governance: CobiT Umsetzung von IT Service Management: ISO 20000, ITIL Informationssicherheit: ISO17799 und IT-Grundschutz-Kataloge Projektmanagement: PMBOK und PRINCE2 Architektur: TOGAF System-/Produktentwicklung: TickIT ISO 9001 Zertifikat und CMMI (Capability Maturity Model Integration) Reifegradmodell Quellen: 2), 3) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

18 Standards und Best Practices
Kein „Off-the-Shelf-Framework“ für die Umsetzung von IT Governance vorhanden! Die zwei anerkanntesten Frameworks sind ITIL und COBIT. ITIL (Information Technology Infrastructure Library) stellt ein Set an Best Practices und Referenzprozessen in Textform zur Verfügung, um IT-Prozesse zu definieren und deren Betrieb zu sichern. Das Service-Management als zentraler Teil des ITIL-Rahmenwerks ist von der nationalen britischen Standardisierungsorganisation British Standards Institution (BSI) als BS standardisiert. Quellen: 15), 6), 4) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

19 IT Infrastructure Library - ITIL
Seit einigen Jahren verbreitet sich in IT-Abteilungen der ITIL Standard (Herkunft: UK Regierung, 80er Jahre) ITIL ist ein Satz von Büchern, der ein prozess-orientiertes IT Service- Management basierend auf Best Practices beschreibt. Kernprozesse einer IT-Abteilung bei ITIL: Service Desk / Incident Management Problem Management Change Management Configuration Management Release Management Account Management incl. Service Level Management etc. ITIL wurde in den achtziger Jahren von der britischen Regierung entwickelt und beschreibt ein systematisches, professionelles Vorgehen für das Management von IT-Dienstleistungen. Der Standard stellt nachdrücklich die Bedeutung der wirtschaftlichen Erfüllung der Unternehmens-Anforderungen in den Mittelpunkt. Vor allem die Bereiche Service Delivery und Service Support gewinnen immer mehr an Bedeutung. Quelle: 6) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

20 ITIL V3 – Alle Prozesse im Überblick
Fokus auf Lebenszyklus des Services: Strategie (Strategy), Entwurf (Design), Betriebsüberleitung (Transition), Betrieb (Operation) und Verbesserung (Continual Improvement) Quelle: 18) Der itSMF Deutschland e.V. ist das deutsche Organ des IT Service Management Forums (itSMF), welches aus deutscher Sicht die Prozesse weiter- entwickelt und verbessert. IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

21 COBIT: Controled OBjectives for Information and related Technology
International anerkannter Standard für IT, Sicherheit, Qualitätssicherung und Ordnungsmäßigkeit Besitzer: ISACA ( Zertifizierung / Audit: Reifegradmessungen der Prozesse durch zertifizierte Auditoren Quelle: 11) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

22 IT Governance im Überblick – Konstantin Kirsch
COBIT COBIT wurde von Revisoren aus der Industrie und der ISACA (Information Systems and Control Association) auf Basis bestehender Revisionsrichtlinien, Kontrollmodellen sowie branchenspezifischen Regularien und Richtlinien entwickelt. Dabei stützt sich das Framework auf die Anforderungen an Informationen aus den definierten Geschäfts- zielen und den damit notwendigen IT-Ressourcen und –Prozessen. COBIT liefert 34 kritische IT-Prozesse, strukturiert in die Bereiche Planung und Organisation, Beschaffung und Implementierung, Betrieb und Unterstützung und Überwachung. COBIT stellt dabei die Kontrollaspekte der IT-Prozesse in den Vordergrund, während ITIL auf den Servicegedanken fokussiert und idealtypische Abläufe thematisiert. Quelle: 1) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

23 Die drei Sichtweisen vom COBIT Framework
Erklärung des Würfels: IT Ressourcen werden von IT Prozessen gemanaged um IT Zielsetzungen zu erreichen die den Geschäftsanforderungen entsprechen. To summarise, IT resources are managed by IT processes to achieve IT goals that respond to the business requirements. This is the basic principle of the COBIT framework, as illustrated by the COBIT cube (figure 22). Quelle: 12) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

24 IT Governance im Überblick – Konstantin Kirsch
Quelle: 12) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

25 IT Governance im Überblick – Konstantin Kirsch
COBIT - Life Cycle Quelle: 12) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

26 COBIT Methodologie: Control Objectives für SOX
In all, 12 IT control objectives, which align to the PCAOB Auditing Standard No. 2 and Control Objectives for Information and related Technology (COBIT®), were defined for Sarbanes-Oxley. Figure 1 provides a high-level mapping of the IT control objectives for Sarbanes-Oxley described in this document, IT general controls identified by the PCAOB and the COBIT 4.0 processes. Quelle: 13) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

27 COBIT Methodologie: IT Controls identifizieren
Quelle: 13) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

28 IT Compliance Road Map Sarbanes-Oxley Compliance
Quelle: 13) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

29 IT Governance im Überblick – Konstantin Kirsch
MOF Microsoft Operations Framework (MOF) Strukturierte Vorgehensweise zum erfolgreichen Betrieb einer IT-Infrastruktur mit Microsoft Produkten (basierend auf ITIL) Besitzer: Microsoft Corporation Zertifizierung: keine Quelle: 11) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

30 MS Operations Framework 4.0
Microsoft® Operations Framework (MOF) 4.0 delivers practical guidance for everyday IT practices and activities, helping users establish and implement reliable, cost-effective IT services. It encompasses the entire IT lifecycle by integrating: Community-generated processes for planning, delivering, operating, and managing IT Governance, risk, and compliance activities Management reviews Microsoft Solutions Framework (MSF) best practices Quelle: 14) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

31 Weitere Standards und Regelungen
Was gibt es noch außer ITIL, COBIT, MOF? Verbreitete Standards: BS => ISO (international anerkannte Standards zum IT-Service-Mgmt ) SCP (Support Center Practises): Ein Verfahren, das den Schwerpunkt auf die Qualitätsbeurteilung von Supportleistungen legt ISPL (Information Services Procurement Library): „best practice“ für das Management von Akquise- Prozessen Weitere Standards: SPICE (Internationaler Standard für Software Process Assessment) SIX SIGMA (Prozess mit Schwerpunkt auf der Entwicklung und Auslieferung von „perfekten“ Produkten und Services) MSF (Framework zur schnelleren Implementierung von Microsoft IT-Lösungen) PRINCE2 (Projekt-Management Methode zur erfolgreichen Durchführung von Projekten aller Art) Quelle: 11) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

32 IT-Experten schwer genervt von SOX
Die Umsetzung des Sarbanes Oxley Acts (SOX) halten IT-Fachleute aus den USA für die Mutter aller Zeitverschwendungen. Das hat eine Befragung der IBM-Anwendervereinigung Share ergeben. Demnach halten es die Share-Mitglieder sogar für sinnvoller, sich mit unerprobter Technik auseinander zu setzen als mit der Compliance-Richtlinie. Die Anwendervereinigung hatte ihre Mitglieder gefragt, was sie in zehn Jahren wohl als die größte Zeitverschwendung in den heutigen IT-Abteilungen bezeichnen würden. Mit 28 % die häufigste Antwort: die Umsetzung der Compliance-Richtlinie Sarbanes Oxley Act. "Das kostet eine Menge Zeit, ohne dass der materielle Nutzen abzusehen ist", sagt der Share-Vorsitzende Robert Rosen. Mehrere Firmen, so Rosen, erwögen bereits ein De-Listing, also den Rückzug von der Börse, weil sie die SOX-Anforderungen nicht umsetzen können. Quelle: 9) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

33 IT Governance im Überblick – Konstantin Kirsch
Vielen Dank! IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

34 IT Governance im Überblick – Konstantin Kirsch
Quellen - Literatur 1) 2) 3) IT-Governance für Geschäftsführer und Vorstände, zweite Ausgabe, S.11, IT-Governance Institut 4) ITIL und Informationssicherheit: 5) SOX Original: 6) IT Strategie/ -Organisation SWM: 7) Was haben Meilen Schienen mit IT-Sicherheit zu tun? (Basel II): 8) Konformität mit SOX: 9) Ranking der größten Zeitfresser – IT Experten schwer genervt von SOX: 10) Basel II: 11) ITIL, ISPL, COBIT, ISO, MOF, SCP – Standards und ihre Beziehungen: 12) Cobit: ( 13) (COBIT) IT Control Objectives for Sarbanes-Oxley, 2nd Edition: 14) MOF 4.0: 15) IT Governance - Definition, Standards & Zertifizierung: 16) Informationsmanagement nach Wikipedia: 17) 18) IM SS08 – Prof. Dr. Schönecker IT Governance im Überblick – Konstantin Kirsch

Herunterladen ppt "Basel II, SOX & Co. IT Governance im Überblick"

Ähnliche Präsentationen

Eine Frage der Sichtweise

Eine Frage der Sichtweise
Hilfe, meine IT arbeitet !

Hilfe, meine IT arbeitet !
Risiko-Management im Projekt

Risiko-Management im Projekt
SOX - Ganymed & GoBScape

SOX - Ganymed & GoBScape
IT-Projektmanagement

IT-Projektmanagement
V-Modell XT - Ein Überblick

V-Modell XT - Ein Überblick
EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.

EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.
Vorlesung Gesamtbanksteuerung Operationelle Risiken

Vorlesung Gesamtbanksteuerung Operationelle Risiken
Projektumfeld Gesellschaftliche Strömungen Strukturen/ Gliederung

Projektumfeld Gesellschaftliche Strömungen Strukturen/ Gliederung
Bewertung des Prozessoptimierungsansatzes 'ITIL' am Beispiel des Projektes PolyWorkPlace bei Bayer Business Services GmbH.

Bewertung des Prozessoptimierungsansatzes 'ITIL' am Beispiel des Projektes PolyWorkPlace bei Bayer Business Services GmbH.
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Entwurf und prototypische Realisierung eines homogenen Konfigurationsdatenspeichers Autor:Simeon Ludwig Referent:Prof. Dr. Urs Andelfinger Koreferent:Prof.

Entwurf und prototypische Realisierung eines homogenen Konfigurationsdatenspeichers Autor:Simeon Ludwig Referent:Prof. Dr. Urs Andelfinger Koreferent:Prof.
Erschließen von semantischen Referenzen mit Ontology-Reasoning-Werkzeugen Das Ziel dieser Masterarbeit war die Erweiterung des ORBI Systems um ein Inferenz-System.

Erschließen von semantischen Referenzen mit Ontology-Reasoning-Werkzeugen Das Ziel dieser Masterarbeit war die Erweiterung des ORBI Systems um ein Inferenz-System.
Nutzung und Bedeutung von Business Intelligence und Business Intelligence Methoden und -Werkzeugen Durch die Analyse des BI mit dem Fokus der Managementunterstützung.

Nutzung und Bedeutung von Business Intelligence und Business Intelligence Methoden und -Werkzeugen Durch die Analyse des BI mit dem Fokus der Managementunterstützung.
Universität Stuttgart Institut für Kernenergetik und Energiesysteme I nstitut für K ernenergetik und E nergiesysteme Rational Unified Process (RUP) - Definitionen.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme I nstitut für K ernenergetik und E nergiesysteme Rational Unified Process (RUP) - Definitionen.
Prozessqualität: Ansätze und Ziele

Prozessqualität: Ansätze und Ziele
Prozessqualität: Ansätze und Ziele

Prozessqualität: Ansätze und Ziele
ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz

ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz
Zertifizierung von Software: CMM oder ISO 9000

Zertifizierung von Software: CMM oder ISO 9000
Deutsche Universitätskanzler – Fortbildung 2004

Deutsche Universitätskanzler – Fortbildung 2004

Ähnliche Präsentationen

Google-Anzeigen