Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT-Governance Ausgangslage

Veröffentlicht von:Freida Gemme Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "IT-Governance Ausgangslage"—  Präsentation transkript:

0 BUSINESS ADVISORY SERVICE
IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit IT Advisory Michael Schirmbrand März 17

1 IT-Governance Ausgangslage
Beobachtungen in Österreich: Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie. Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium. Fehlende Ausrichtung an den Geschäftszielen Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet. Fehlende Nutzenbewertung von IT-Projekten Der Nutzen von (IT-)Projekten wird meist nicht gemessen. Fehlende IT-Prozessorganisation Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar. Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder nachvollziehbar.

2 Warum (IT-) Audits noch immer nicht bestanden werden
Unkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der Prüfer Event getriebener Ansatz für Compliance Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten (Siehe auch Information Systems Control Journal 5/2007)

3 Gartner’s Regulations and Related Standards Hype Cycle
Strategic Planning Assumptions: By 2012, 90% of public companies will face mandatory, audited public reporting requirements for financial controls, and half will face mandatory nonfinancial reporting (0.8 probability). Comprehensive governance or compliance framework will be adopted by 75% of Global 2000 companies by 2012 (0.8 probability). Solvency II

4 IT Governance Balance zwischen Risiko und Performance
Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance-erfordernis. Stabiler Wert und Vertrauen Integriertes Risiko Management Risiko Verbesserte Kontrolle Prozess Transformation A balance needs to be sought between risk management and performance improvement. Prozess Verbesserung Compliance Performance

5 IT-Governance: Eine Definition
Corporate Governance Business IT Governance Informations-systeme Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. — IT Governance Institute

6 Prioritäten der Analysten
Strategic Alignment Value Delivery IT Asset Management Risk Management Performance Measurement Gartner CSC Compass Giga AICPA/CICA CIO Magazine Technology Council

7 IT-Governance Focus Areas
Value Delivery Strategic Alignment IT Governance Measurement Performance Management Risk Resource Management

8 IT Governance Focus Areas (1)
Strategic Alignment (Strategische Ausrichtung) Sicherstellung des Verbunds von Unternehmens- und IT Zielen Festlegung, Beibehaltung und Validierung des Wertbeitrags Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT Value Delivery (Schaffen von Werten/Nutzen) Realisierung des Wertbeitrags im Leistungszyklus Sicherstellung der Generierung des strategisch geplanten Nutzens Kostenoptimierung Erbringung des intrinsischen Nutzens der IT Resource Management (Ressourcenmanagement) Optimierung von Investitionen in IT-Ressourcen geregeltes Management von IT-Ressourcen Optimierung von Wissen und Infrastruktur

9 IT Governance Focus Areas (2)
Risk Management (Risikomanagement) Risiko-Awareness bei der Unternehmensleitung Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis für Compliance-Erfordernisse Transparenz über die für das Unternehmen wichtigsten Risiken Integration der Verantwortlichkeit für Risikomanagement in der Organisation Performance Measurement (Messen von Performance) Verfolgen und überwachen der Umsetzung der Strategie und von Projekten Verwendung von Ressourcen Prozessperformance (Balanced Scorecard) Leistungserbringung (engl: Service Delivery)

10 Wesentliche Standards für IT Governance
fordernd Fachgutachten (IFAC, AICPA, KWT) SAS 70 Sarbanes Oxley Act 8. EU-Audit-Richtlinie Sonstige relevante Gesetze helfend CobiT ValIT ITIL ISO 17799 CMMI

11 Fachgutachten

12 Fachgutachten - Verschiedene herausgebende Organisationen
IFAC – International Federation of Accountants ISA (ISA Audit Considerations relating to Entities using Service Organizations) AICPA – American Institute of CPAs SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations) PCAOB – Public Company Accounting Oversight Board Auditing Standards KFS – Kammer der WT - Fachsenat für Datenverarbeitung KFS/DV1 KFS/DV2 IDW – Institut der Wirtschaftsprüfer PS331 (Serviceorganisationen) FAIT (Fachgutachten für die Prüfung von Informationstechnologie)

13 Fachgutachten Österreich
KFS/DV1 der Kammer der WT Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) Forderung nach Funktionstrennung Detaillierte Forderungen an die Systemdokumentation KFS/DV 2 Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen

14 KFS/DV 1 - Grundsätze Allgemeine Anforderungen
Unternehmer buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) Radierverbot Prüfspur progressiv und retrograd Verbot nachträglicher Schreibvorgänge

15 Österreich KFS/DV 1 – Dokumentation
Verfahrensdokumentation Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein: Anforderung/Aufgabenstellung Datensatzaufbau Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung Datenausgabe Datensicherung Verfügbare Programme Art, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) Versionsmanagement Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden Dokumentation der Zugriffsverfahren Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)

16 KFS/DV 1 - IKS Zusätzlich notwendig
Funktionstrennung (Fachabteilung/Entwickler/Admin) Zugriffsberechtigungen auf allen Systemebenen Datensicherungen Schutz vor Sabotage, Missbrauch und Vernichtung Kontinuitätsmanagement Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre

17 IDW RS FAIT 2 - Dokumentation
Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: Doku HW/SW (zB Router, Firewall, Virenscanner,..) Netzwerkarchitektur (auch Anbindung ISP) Verwendete Protokolle Verschlüsselungsverfahren Signaturverfahren Datenflusspläne, Schnittstellen, relevante Kontrollen Autorisierungsverfahren, Verfahren zur Generierung von Buchungen

18 IDW RS FAIT 2 - IKS Für IKS zusätzlich notwendig
Firewall Einstellungen (+Überprüfungen) Firewall-Logs (+Überprüfungen) Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) Scanner (IDS, Viren, Kontrollen,..) Penetration Tests Überprüfung dieser Themen durch die Revision Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren

19 Überblick Fachgutachten KFS/DV 2
Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“ Erarbeitet durch FS DV Gemeinsame Überarbeitung durch FS DV und FS HR Verabschiedet im November 2004

20 Struktur KFS/DV 2 A. Vorbemerkungen
A.1. Anwendungsbereich des Fachgutachtens A.2. Einbindung in die Abschlussprüfung B. Ziel und Umfang der Prüfung der Informationstechnik C. Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik C.1. Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung C.2. Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens C.3. Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken C.4. Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der Geschäftsprozesse C.5. Prüfungshandlungen des Abschlussprüfers Prüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung C.6. Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)

21 KFS/DV 2 - Grundsätze Prüfung der IT ist der der Prüfung des Internen Kontrollsystems Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) Risikoorientierte Prüfung Prüfung von Stichproben Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme

22 KFS/DV 2 – Grobüberblick über IT Prüfungen
Gewinnung eines Überblicks über Systeme und Abläufe Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)

23 Prüffelder IT-Prüfung
allgemeine IT Kontrollen (General IT Controls) Anwendungskontrollen Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)

24 KFS/DV 2 – Prüfung anwendungsunabhängig (2)
Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,... Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT Infrastruktur IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der Kontrollen

25 KFS/DV 2 – Prüfung anwendungsabhängig
Einholung von Informationen über die relevanten Anwendungen Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.

26 KFS/DV 2 - Outsourcing Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen oder Serviceunternehmen nach dem Standard ISA 402 der IFAC herangezogen werden.

27 SAS 70

28 Überblick SAS 70 (siehe auch ISA 402)
Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) Veröffentlichung der AICPA Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen Praktisch inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331 Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben Auch in Österreich bei (fast) allen RZ in Umsetzung In Österreich in Richtlinie IWP-PE14 umgesetzt

29 ISA 402 / SAS 70 Anforderungen an Prüfer
Anzuwenden bei (Teil-) Outsourcing der IT Prüfer von RZ-Kunden müssen Report nach SAS 70 / ISA 402 des RZ einholen oder selbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder Bestätigungsvermerk einschränken oder versagen

30 SAS 70 - Berichterstattung
Standard-Text für Bestätigungsvermerk definiert Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen Die Verantwortungen von Kunde und RZ sind klar abzugrenzen Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen

31 Sarbanes Oxley

32 Sarbanes-Oxley (SOX) Paragraph 404
Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test Prüfer berichtet direkt über die Wirksamkeit des IKS Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich Andere Unternehmen (foreign issuers) seit 2006

33 8. EU-Audit-Richtlinie (RL 2006/43/EG) “EuroSox”

34 Ausprägung in Österreich
Unternehmensrechtsänderungsgesetz (URÄG) 2008 Verabschiedung am 10. April 2008 In Kraft: bzw. Geschäftsjahre beginnend nach Unternehmen von öffentlichem Interesse (Betroffene) Kapitalmarktorientierte Unternehmen Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren Versicherungen, Banken „Sehr“ große Unternehmen >196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern

35 8. EU-RL / URÄG 2008 – betroffene Parteien
Vorstand / GF Verantwortet IKS, interne Revision, RM-System Stellt Lagebericht und CG-Bericht auf und unterschreibt Prüfungsausschuss Überwacht IKS, RM-System, interne Revision Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System) Abschlussprüfer Prüft Einhaltung relevanter Gesetze (Lagebericht, Erstellung CG-Bericht, IKS,…) Berichtet über Beanstandungen

36 URÄG 2008 Pflichten des Prüfungsausschusses
§ 92 AktG, § 30g GmbHG, § 24 GenG Pflichten u.a. Überwachung der Rechnungslegung Überwachung der Wirksamkeit des IKS Schließt interne Revision und RM-System mit ein Prüfung des Lageberichts und des Corporate Governance Berichts

37 Auswirkungen 8. EU-RL 8. EU-RL wendet sich kaum direkt an Unternehmen, ABER Der Benchmark von SOX bezüglich IKS wird abfärben Über den Prüfungsausschuss Überwachungsaufgaben (IKS, Risikomanagement, etc.) Über den Prüfer Die Ausbildung von Prüfern greift IKS und Risikomanagement auf Der Prüfer muss über das IKS berichten Über die Verantwortlichkeiten des Vorstands Über den Markt Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS?

38 Auswirkungen von Sarbanes Oxley Act auf die IT
Massive Auswirkungen Kontrollen müssen dokumentiert und geprüft werden große Teile der Kontrollen in der IT (oft 50 bis 70 %) Im Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind oft in der IT Unterscheidung in Anwendungskontrollen und General IT Controls Cobit als Standard für General IT Controls anerkannt Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute

39 Frameworks

40 Frameworks und Standards…
Quelle: Pink Roccade/Elefant Source: PINK

41 COSO (Internal Control - Integrated Framework)
1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht Gemeinsame Sprache über Kontrollen, Definitionen, Modelle Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) Compliance (Einhaltung von Gesetzen und Regulationen) Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld) Risk Assessment (Risikobewertung) Control Activities (Kontrollaktivitäten) Information & Communication (Information & Kommunikation) Monitoring (Überwachung) Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen: September 2004: Enterprise Risk Management (COSO II) Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“

42 CobiT

43 Entwicklung von CobiT Governance Management Control Audit COBIT 1
1996 1998 2000 2005

44 Was ist IT-Governance? IT-GOVERNANCE IT-GOVERNANCE
Setze Ziele IT arbeitet im Sinne des Kerngeschäfts (Alignment) IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) IT Ressourcen werden verantwortungsvoll eingesetzt IT-bezogene Risiken werden angemessen gemanagt Evaluiere Performance Gib die Richtung vor Messe und Berichte über Performance Überführe die Richtung in eine Strategie Setze die Strategie um Erhöhe die Automation (mache das Kerngeschäft wirksam) Senke Kosten (mache das Unternehmen wirtschaftlich) Manage Risiken (Security, Verlässlichkeit und Compliance) IT-MANAGEMENT Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt Methode: Führungs- und Organisationsstrukturen sowie Prozesse Verantwortung: Vorstand und Geschäftsführung

45 Unterstützung durch CobiT
Unternehmensziele CobiT IT Ziele IT Prozesse

46 Ausrichtung von IT-Prozessen an Unternehmensziele
Typische Unternehmensziele Referenz zu IT-Ziel

47 Typische IT-Ziele

48 CobiT IT-Prozesse INFORMATION Monitor and Evaluate Plan and Organise
PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects INFORMATION Monitor and Evaluate ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability Monitor and Evaluate Plan and Organise IT RESSOURCES Applications Information Infrastructure People Deliver and Support Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Acquire and Implement Acquire and Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes

49 Bestandteile von Prozessen (1/3)
Prozessbeschreibung Domäne und Information-Criteria IT Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT Resources

50 Bestandteile von Prozessen (2/3)
RACI-Chart zur Darstellung der Verantwortlichkeiten, zB Inputs und Outputs, zB

51 Bestandteile von Prozessen (3/3)
Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zB

52 Reifegradmodell (Maturity Model)
Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert) 1 2 3 4 5 Symbole Reifegrade Derzeitiger Status Internationaler Standard Strategisches Ziel 0 .. Nicht existent 1 .. Initial 2 .. Wiederholbar 3 .. Definiert 4 .. Monitoringfunktionen 5 .. Optimiert und Automatisiert

53 Reifegradmodell – (Rising-Star-Model)
Strategisches Ziel Handlungsbedarf Derzeitiger Status

54 Ergebnisse einer Reifegradbeurteilung (zB)

55 ValIT A value lense into CobiT

56 ValIT - Principles IT-enabled investments will be managed as a portfolio of investments. IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will be managed through their full economic life cycle. Value delivery practices will recognize that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realization of business benefits. Value delivery practices will be continually monitored, evaluated and improved.

57 Portfolio Management (PM) Investment Management (IM)
Val IT – Processes Value Governance (VG) Portfolio Management (PM) Investment Management (IM)

58 ValIT Processes & Key Management Practices

59 Val IT Framework - Detail
Domain: Value Governance (VG) Process CobiT RACI Chart Description Key Management Practices Cross Ref. Exec Bus IT VG1 Ensure informed and committed leadership Primary: A,R C C Establish The reporting line of the CIO should be commensurate with the im portance PO1.2, PO4.4, governance, of IT within the enterprise. All executives should have a sound understand - ME3.1, ME3.2 monitoring and ing of strategic IT issues such as dependence on IT, technology ins ights control and capabilities, in order that there is a common and agreed und erstanding framework between the business and IT of the potential impact of IT on the business strategy. The business and IT strategy should be integrated clea rly linking Establish enterprise goals and IT goals and should be broadly communicated . Strategic Direction VG2 Define and implement processes Primary: A R C Establish Define, implement and consistently follow processes that provide for clear PO4.1, ME1.1, portfolio and active linkage between the enterprise strategy, the portfoli o of IT - ME1.3, ME3.1 characteristics enabled investment programmes that execute the strategy, the ind ividual Secondary: investment programmes, and the business and IT projects that mak e up PO5.2 - 5, the programmes. The processes should include: planning and budge ting; prioritisation of planned and current work within the overall bu dget; PO10.2 resource allocation consis - tent with the priorities; stage - gating of invest - ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that t here is an optimal return on the portfolio and on all IT assets and serv ices. VG3 Define roles & responsibilities Primary: A R C Define and communicate roles and responsibilities for all person nel in the PO4.6, PO4.15 enterprise in relation to the portfolio of IT - enabled business investment Secondary: programmes, individual investment programmes and other IT assets and PO4.8, PO4.9 services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessaril y be limited to: an investment decision body; programme sponsorship; programme management; project management; and associated support roles. Provide business with procedures, techniques, and tools e nabling them to address their responsibilities. Establish and maintain a n optimal coordination, communication and liaison structure between the IT function and other stakeholders inside and outside the enterprise. VG4 Ensure appropriate and accepted accountability Primary: A R C Establish a supporting and appropriate control framework that is consistent PO1.1, ME3.1 - with the overall enterprise control environment, and generally a ccepted 3, ME3.3 control principles. The framework should provide for unambiguous account - Secondary: abilities and practices to avoid breakdown in internal control a nd oversight. ME3.2 Accountability for achieving the benefits, delivering required c apabilities and controlling the costs should be clearly assigned and monitor ed.

60 ValIT – Principles (CIO questionnaire results)
IT-enabled investments will be managed as a portfolio of investments. IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will be managed through their full economic life cycle. Value delivery practices will recognize that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realization of business benefits. Value delivery practices will be continually monitored, evaluated and improved.

61 CobiT Mapping Projekt Künftige mappings In Umsetzung Started in 2003
TOGAF (Architektur) COSO ERM GBPM Geplant ITIL v3 FFEIC (US banking) NIAC (Insurance) NIST SP800-53 FISMA IAIS Framework (Solvency II) HIPAA (Health Insurance) GLBA (Privacy) ISO (SW Asset Mgmt) ISO (Service Mgmt) ISO (Risk Mgmt) ISO (ISO17799) Started in 2003 Integration of Standards Update of CobiT

62 CobiT & ITIL Plan and Organize 1 2 3 4 5 6 7 8 9 10 e 1 A t 4 c a q u 2 u l i a r v 3 e E 3 a d n n 4 d a I r 2 5 m o p t i l 6 e n o m 1 M e 7 n t by Jimmy Heschl 1 2 3 4 5 6 7 8 9 10 11 12 13 Deliver and Support

63 CEO CFO CIO CMO CxO OPs AD SD CobiT und ITIL Stakeholder IT Governance
(CobiT, ValIT) CEO CFO CIO CMO CxO OPs AD SD ITIL IT xyz Management

64 Die Stimme der anderen …
Establish frameworks to ease Governance Implementation First CobiT for overall governance Then ITIL for service delivery and management Then ISO for information security Balanced Scorecard for measurement and communication Quelle: Forrester Helping Business Thrive On Technology Change A Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006

65 Die Stimme der anderen …
Combine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT resources are aligned with an enterprise‘s business objectives, and that services and information meet quality, fiduciary and security needs. Bottom Line: CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT service management. Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT. Quelle: Gartner Technical Guidelines, TG , S.Mingay, S. Bittinger

66 Ausblick Die Zeit ist reif
Für nachvollziehbare und messbare IT Prozesse Nutzen durch die IT Einhaltung internationaler Standards Interne Kontrollsysteme auch in der IT Die Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung ist empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know How

67 IT – Governance – Services der KPMG
Quick Assessments Detailbeurteilungen Gesamthafte Einführung von IT Governance Definition und Umsetzung von Verantwortlichkeiten und Rollen Erarbeitung von IT-Strategien Nachweisbare, nutzenorientierte Ausrichtung der IT an den Unternehmenszielen Gestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung des Internen Kontrollsystems in der IT Erhöhung des Reifegrades der IT-Prozesse Integration von ITIL, CMM, ISO 17799,… Benchmarking IT Due Diligence

68 Kontakt – Dr. Michael Schirmbrand
Partner of KPMG Austria Head of the service line “IT Advisory” of KPMG Austria CPA / PhD Board Member of ISACA Austria CISA - Certified Information Systems Auditor CISM – Certified Information Security Manager Chairman of the IT committee of the Austrian Chamber of Public Accountants Member of the worldwide CobiT Steering Committee Member of the Steering Committee of the IT Governance Institute Author of publications about IT Governance, IT Security und IT Audits as well as several professional articles. Lecturer at Austrian Universities.

Herunterladen ppt "IT-Governance Ausgangslage"

Ähnliche Präsentationen

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )
Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.

Developing your Business to Success We are looking for business partners. Enterprise Content Management with OS|ECM Version 6.
SOX - Ganymed & GoBScape

SOX - Ganymed & GoBScape
Modell der Verfahrensdokumentation für die E-Buchführung

Modell der Verfahrensdokumentation für die E-Buchführung
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
BPM Standards – Aktueller Stand und Ausblick Prof. Dr

BPM Standards – Aktueller Stand und Ausblick Prof. Dr
Standards für IT - Audit und IT - Governance

Standards für IT - Audit und IT - Governance
Standards für IT - Audit und IT - Governance

Standards für IT - Audit und IT - Governance
24.05.2006 Franz Hörmann 1 International Standards on Auditing ISAs.

Franz Hörmann 1 International Standards on Auditing ISAs.
Bester Arbeitgeber Deutschland

Bester Arbeitgeber Deutschland
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.

Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.

Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.

1 JIM-Studie 2010 Jugend, Information, (Multi-)Media Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz

ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz
Capability Maturity Model

Capability Maturity Model
Deutsche Universitätskanzler – Fortbildung 2004

Deutsche Universitätskanzler – Fortbildung 2004
Rechneraufbau & Rechnerstrukturen, Folie 2.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 2.

Rechneraufbau & Rechnerstrukturen, Folie 2.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 2.
Internet facts 2008-II Graphiken zu dem Berichtsband AGOF e.V. September 2008.

Internet facts 2008-II Graphiken zu dem Berichtsband AGOF e.V. September 2008.
Internet facts 2006-II Graphiken zu dem Berichtsband AGOF e.V. November 2006.

Internet facts 2006-II Graphiken zu dem Berichtsband AGOF e.V. November 2006.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.

Ähnliche Präsentationen

Google-Anzeigen