© 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table...

2

© 2004 KPMGInformation Risk Management

Vielen Dank für Ihr Interesse!

Alea Europe AG

Axpo Informatik

Basler Kantonalbank

cosba private banking ag

Die Mobiliar

Direktion für Entwicklung und Zusammenarbeit

Eidgenössische Finanzkontrolle

Immobit AG

Kühne & Nagel Management

Migros Genossenschaftsbund

Migrosbank

Raiffeisen Informatik AG

Robert Bosch AG

SBB AG

Swiss Life

Telekurs

UBS AG

Unisys (Schweiz) AG

Zühlke Engineering AG

Zürich Financial Services

Zürcher Kantonalbank

3


Der Verantwortungsbereich Ihrer Gesprächskollegen

Geschäftsführung

Informatikleitung

IT Risk Management

IT Security

Interne Revision

Project Office

Projektleitung

Qualitätssicherung

4


Vorstellung des Gastreferenten

Dr. Ernest WallmüllerGeschäftsführer von Qualität & Informatik

Tel.: 01 / 748 52 56Handy: 079 402 44 11E-Mail: [email protected]

Coaching im Projekt- und Prozess-Management Univ. Dozent für Wirtschaftsinformatik Audit und Assessment von verschiedenen Standards:

-- ISO 9001, EFQM, TPI, CMMI, SPICE/ISO15504 Autor zahlreicher Publikationen:

-- Risikomanagement für IT- und Software-Projekte(2004, Hanser Verlag)

-- Software-Qualitätsmanagement in der Praxis (2001, Hanser Verlag)

Qualität & InformatikHaslernstrasse 14

8954 Geroldswil

5


Ihre Ansprechpartner bei KPMG

S. LustenbergerAssistant

Tel.: 01 249 25 [email protected]

KPMG Fides PeatBadenerstrasse 172

CH-8026 Zürich 4

Marco GrüterSenior Consultant


Thomas SutterSenior Manager


Ralf PlonerSenior Manager


Gerhard WasnickSenior Consultant

Tel.: 01 249 23 17

[email protected]

Gregor FreyPartner


6


Inhaltsverzeichnis

1. No Risk- no business (fun)

2. Grundlagen

3. Risiken in Unternehmen

4. Gefahren bei Software-Projekten und -Produkten

5. Prozesse, Techniken und Hilfsmittel

6. Methodische Grundaufgaben

7. Fallstudie

8. Einführung von Risikomanagement und Risikomanagementprozessen

9. Zusammenfassung und Ausblick

8


Agenda

Eingangsreferat 16.00 -16.50

– IT-Risikomanagement: Status Quo & Trends

– IT-Risikomanagement-Organisation

– Risiken in IT- und Software-Projekten

– IT-Risikomanagement-Tools & -Frameworks

– Zusammenfassung & Fragen für die Diskussion

Moderierte Diskussion 16.50 -18.00

– Gruppe A

– Gruppe B

Apéro 18.00

9


Risikomanagement für IT- und Software-Projekteim Kontext zum KPMG Information Risk Management

Info

rmati

on R

isks Tech

nolo

gy

Pro

cess

es

Pro

ject

s

Project Risk Management

Risk & Quality Management,Project Management,

Board Coaching,External Project Management

Project Risk Management

Risk & Quality Management,Project Management,

Board Coaching,External Project Management

Review, Hacking,

Penetration Tests,User Mgmt.,

Single Sign On, Information Systems Audit,

Web Trust Certification

Review, Hacking,

Penetration Tests,User Mgmt.,

Single Sign On, Information Systems Audit,

Web Trust Certification

Costs & PerformanceManagement

Service Level Mgmt.,Cost Reduction,

Outsourcing Management

Costs & PerformanceManagement

Service Level Mgmt.,Cost Reduction,

Outsourcing Management

Software Evaluation & Migration ControllingSAP, CRM, Windows 2000, ...

Software Evaluation & Migration ControllingSAP, CRM, Windows 2000, ...

Process Risk Management (ITIL, COBIT)

Engineering, Customer - Supplier, Management Processes

Process Risk Management (ITIL, COBIT)

Engineering, Customer - Supplier, Management Processes

IT & Information Security Architecture Definition

IS A

ud

it &

Cer

tifi

cati

on

BS

7799

, S

PIC

E,

Sys

tem

s (S

AP

, A

bac

us)

, P

KI

IS A

ud

it &

Cer

tifi

cati

on

BS

7799

, S

PIC

E,

Sys

tem

s (S

AP

, A

bac

us)

, P

KI

Bu

sin

ess

Co

nti

nu

ity

P

lan

nin

g

Bu

sin

ess

Co

nti

nu

ity

P

lan

nin

g

Pro

jec

t P

ort

foli

o E

val

uat

ion

Pro

jec

t R

isk

Ass

essm

en

tP

roje

ct

Po

rtfo

lio

Ev

alu

atio

nP

roje

ct

Ris

k A

sses

sme

nt

IT R

isk

Ass

essm

ent

&

Ben

chm

arks

IT R

isk

Ass

essm

ent

&

Ben

chm

arks

Assess Reduce

Monitor

10


Der „Reifegrad“ in Schweizer Unternehmen Quelle: KPMG Studie „Risikomanagement 2004“

30% der Unternehment verfügen über ein umfassendes & integrier-tes Risikomanagement-system

Viele Komponenten des RM-Systems sind zwar vorhanden aber nur teilweise dokumentiert und noch weniger häufig kommuniziert

IT-Risikomanagement:Status-Quo & Trends

Ralf Ploner

12


Status Quo: Die Top-IT-Risiken des Jahres 2003Quelle: KPMG-Studie “IT Management 2003”

Grösste Risiko-Konzentration im Bereich “IT-Management“: IT-Planung & -Controlling, Projekt- & Projektportfoliomanagement, IT-Risikomanagement

Wenige Risiken im Bereich der Technik identifiziert; der technische Zustand der IT wird als solide eingeschätzt

13


Welche Risiken entstanden durch die “Kostenbremse”?Quelle: KPMG-Studie “IT Management 2003” Die IT-Sicherheit bleibt unangetastet

14


Das Risiko der Markterholung: ProjektstauQuelle: KPMG-Studie “IT Management 2003”

Zunahme der Projektbudgets 2003 im Durchschnitt um 3%

Zunahme des Projektstaus im Durchschnitt um 27%; bei Unternehmen mit IT-Budget-Reduktionen um 40%

2003: Zunahme der Anzahl Projekte in Arbeit um 23% bei Unternehmen mit IT-Budget-Erhöhungen

16


Status-Quo im HandelssektorBeispiel einer Bedrohungsanalyse

0

1

2

3

4

5

Business focus

Dependence on IT

Dependence on IT Internal staff

Dependence on 3rd parties

Reliability of IT Systems

Changesto IT

Regulatoryenvironment

Information Assets

1st Quartile2nd Quartile3rd Quartile4th Quartile

Firma

Bus. led IT Strategy Board IT awareness Current needs vs IS

Functionality

18


Status-Quo im HandelssektorBeispiel einer IT-Kontrollanalyse

0

1

2

3

4

5

Management of IT

Project and ChangeManagement

IT OperationsContinuity of

Systems

ControlAssurance

1st Quartile2nd Quartile3rd Quartile4th Quartile

Firma

Security of Information and Systems

Senior Mgmt involvement

IT Planning Cost management Management reporting Service Level Mgmt Legal Compliance Organisation of IT End User Computing Outsourcing

19


Konzentration auf die Nettorisiken

20


Trends und die Konsequenzen für den IT-Leiter

Es bestehen Nachholbedürfnisse im Projektgeschäft

Die hochstehenden Erwartungshaltungen der Geschäftsleitungen bezüglich der IT-Leistungserbringung sowie deren Kosten werden zukünftig noch höher geschraubt

Dies fordert den IT-Leiter bezüglich:

– seiner unternehmerischen Rolle mit guter Chancen/Risiko-Balance

– exakter strategischer IT-Planung

– Moderation des Projektportfoliomanagement-Prozesses

– effektivem Nutzen der relevanten IT-Führungsinformationen

– aktiver Beteiligung an der Unternehmensentwicklung (Geschäfts-prozess-Kenner mit dem notwendigen Technologie-Know-how)

– Vorantreiben von sinnvollen Standardisierungen

IT-Risikomanagement-Organisation

Ralf Ploner

22


Die Positionierung von IT Risk Management

Info

rmati

on

Info

rmati

k

Security

Risk-Management

IT SecurityManagement

InformationSecurity

IT RiskManagement

InformationRisk

Management

QualitätOrdnungs-mässigkeit

Gesc

häft

23


Reporting

Koordination

Group CEOGroup CEO

Linie /IT-LeiterLinie /

IT-Leiter

Internal Audit

Operational

IT

Group CFOGroup CFO

„Kandidaten“ für das IT Risk Management

ExternalAudit

ExternalAudit

Risk /AssuranceManager

Risk /AssuranceManager

Board of DirectorsNomination und Compensation

Committee

Audit Committee

IT-Security-manager

IT-Security-manager

24


Der Risikomanagementprozess

Einsatz von Benchmarking:

– Awareness aufzubauen

– Investitionsgrundlagen zu schaffen

– Risiken zu erkennen

– RM-Organisation und Prozesse anzustossen

Einsatz von Benchmarking:

– Awareness aufzubauen

– Investitionsgrundlagen zu schaffen

– Risiken zu erkennen

– RM-Organisation und Prozesse anzustossen

Risikomanagement-prozess

Risikomanagement-prozess

Risiko-Monitoring

Risiko-Monitoring

Verbesserung des Risiko-

managements

Verbesserung des Risiko-

managements

Risikomanage-ment-StrategieRisikomanage-ment-Strategie

Risiken erkennenund bewerten

Risiken erkennenund bewerten

UntenehmenszieleUntenehmensziele

InformationenErgebnisse

InformationenErgebnisse

25


Zusammenspiel Chancen- und Risikomanagement

1. Welche Unternehmerischen Chancen lassen wir ungenutzt?

2. Welche IT-Risiken bedingen Rückstellungen?

3. Welche Projekte reduzieren die Risiken und sind somit eine Chance?

4. Welche Chancen behandeln wir im Projektportfolio?

5. Welche Risiken beeinflussen die Priorisierung der Projekte?

6. Lösen die Projekte neue Sicherheitsrisiken aus?

7. Wie machen wir die Erfolgskontrolle?

Risiken in IT- und Software-Projekten

Dr. Ernest Wallmüller

27


Warum Risikomanagement?

“NASA took consequences from the Columbia Disaster : Manager fired!”

“Washington: NASA boss Sean O'Keefe will renew the (risk) culture of the agency“

„The final report says:

– Missing risk awareness and

– lacking moral courage of employees”

Don´t forget: Swissair, Enron, KirchGruppe, Toll-Collect, SV-Chipkarte and others

7 crew members died on February, 1st 2003

28


Risk Spider Chart in NASA Programs: Essential Program Elements

Consequence of Resource Limits

Risk ManagementApproach

Communication

Requirement Definition Information

Transfer

Controlled Process

Planning

Level of TechnologyReadiness

Experience Level of Team

Design to Cost

Visibility of Project Activities

Extensive, Peer &Independent Reviews

Limited Reviews, Project Internal

Proven Team

OJT

TRL 5-6

TRL 1-3

Existing

Extensive, Up-FrontReactive

Clear, Fixed,Parent-Child

Developed as Needed, Free Float

Dynamic, Interactive

Team Operation

Cohesive, Authority

Widely Dispersed, Controlled

Performance is a Tradable Resource

Result of Technical / Schedule ActivityLowest

Risk

29


RiskCommunication

Requirements

Planning

TRLExperience

Cost

Visibility

Team

RiskCommunication

Requirements

Planning

TRLExperience

Cost

Visibility

Team

RiskCommunication

Requirements

Planning

TRLExperience

Cost

Visibility

Team

RiskCommunication

Requirements

Planning

TRLExperience

Cost

Visibility

Team

Low Risk Profile High Risk Profile

Low Risk / Single Weakness High Risk / Multiple Strengths & Weaknesses

30


Gängige Risiko-Bereiche Barry Boehm, Software Risk Management

Personelles-Versagen

Unrealistische Zeitpläne und Budgets

Fortlaufende Anforderungsänderungen und unsichere Anforderungen

Sich ändernde und unsichere Technologien

Entwicklung der falschen Funktionen

Entwicklung falscher Benutzer-Schnittstellen

Vergolden

Versagen von extern bezogenen Komponenten und Leistungen

Überschätzen der IT-Fähigkeiten

Nicht das Problem lösen

31


Gängige Risiko-Bereiche “Where to look for risks?”

Objects to Inspect:

– Project scope

– Project schedule

– Project management plan

– Request for proposal / Proposal / Contract

– Work Breakdown Structure (WBS)

– Statements of work

– Technical specifications

– Budgets

– Organizational Breakdown Structure / Resource Plans

– Deviations from standards

32


Risk Management Process

Risk Assessment

– Identification - Listing the risks

– Analysis - Determining the probabilities and impacts

– Prioritization - Ranking the risks for action

Risk Control

– Planning - Determining how& when to take action

– Resolution - Taking risk mitigation action

– Monitoring - Measuring the outcome

Risk Reporting

Risk Control• Planning

• Resolution• Monitoring

Risk Assessment• Identification

• Analysis• Prioritization

Risk Reporting

Risk Management

33


Risiko-Identifikation Risiko-BewertungRisi-ko-ID

Risiko-Bezeichnung Wahr-schein-

lichkeit (p)

Finan-zielle

Auswir-kung (c)

Risiko-Aus-mass (p*c)

Auswir-kung auf Termine

Auswir-kung auf Leistung

Projekt-Stop-per

Priorität

in % in KCHF in KCHF in Wochen J/N

1 Mögliches Versagen des Lieferanten 30% 330,00 99 12 ?

2 Systemdurchsatz kann nicht erreicht werden 15% ? - ?

3 Schlecht definierte Anforderungen: Kundenerwartungen werden nicht erfüllt ? ? -

Risk Assessment (Identification & Analysis)Risiko-Bewertungstabelle

34


Risk Assessment (Prioritization)Priorisieren durch Risikoziffer

35


Risk ControlRisk reduction stair – ON-49000

Remainingproject risks(after risktransfer)

avoid

mitigate

limit

transfer

accept

Risk reduction using project steering measures

Remainingproject risks(after risklimitation)

RemainingProject risks(after riskmitigation)

RemainingProject risks(after risk avoidance)

Identified project risks(without risk response)

Risiko-akzeptanz

36


Beispiel Risk portfolio - DaimlerChrysler

IT-Risikomanagement-Tools und -Frameworks

Dr. Ernest Wallmüller

38


Kontrollumfeld

RisikoanalyseRisikobewältigung mit

System

RisikopolitikRisikostrategie

Org

anis

atio

nun

d P

roze

sse

Info

rma

tion

und

Kom

mun

ikat

ion

Externe Einflüsse • Kunden • Aktionäre • Gesetze • Behörden

Interne Stakeholder • Verwaltungsrat • Geschäftsleitung • Management • Mitarbeiter

Governance

im Sinne von angemessenerUnternehmensorganisation und -steuerung um

Wertschöpfung langfristig zu sichern

Governance

39


ON-Regel 49000Risikomanagement für Organisationen, Produkte, Dienstleistungen und Projekte

Begriffe und Grundlagen

ON-Regel 49002-1Leitfaden für das

Risikomanagement

ON-Regel 49002-2Leitfaden für die Einbettung des

Risikomanagements in ein integriertes Management-System

ON-Regel 49001 Elemente des Risikomanagement-Systems

ON-Regel 49003Qualifikation des Risikomanagers

Qualification of the risk manager

Guideline: Integration of risk management in an integrated management system

Elements of the risk management system

Terms and basics

Guideline for the risk management

Standard ON 49000 for Austria and Switzerland

40


L

A

B

C

EF

G

H

IO

M K

N

D

Unb

edeu

tend

gerin

g

Spü

rbar

kriti

sch

kata

stro

phal

häufig

möglich

selten

sehr selten

unwahrscheinlich

Risikobeurteilung / RisikolandschaftONR 49002-1

41


Australian StandardRisk Management Process - AS/NZS 4360:1999

42


Überwachung BetriebImplemen-

tationPlanung undOrganisation

Phasen-orientiert

Man

agem

ento

rient

iert

IT Grundschutz (BSI)BS 7799/ISO 17799

CMMI ITIL

DSGStGB

COSO COBIT

Legende:COSO = Committee of Sponsoring Organisations of the Tradeway CommissionCOBIT = Control Objectives for Information and related TechnologyDSG = DatenschutzgesetzStGB = StrafgesetzbuchCMM = Capability Maturity ModelITIL = IT Infrastructure Library

Positionierung gängiger Rahmenwerke

43


CMMIStaged Representation

Requirements ManagementProject PlanningProject Monitoring and ControlSupplier Agreement Management Measurement and Analysis Product & Process Quality AssuranceConfiguration Management

Requirements DevelopmentTechnical Solution Product IntegrationVerification Validation Organizational Process FocusOrganizational Process DefinitionOrganizational TrainingIntegrated Project ManagementRisk Management Decision Analysis and Resolution

Organizational Process Performance Quantitative Project Management

Organization Innovation & Deployment Causal Analysis and Resolution

Level 2Managed

Level 3Defined

Level 4Quantitatively Managed

Level 5Optimizing

Level 1Performed

44


For Both Software and Systems Engineering

Risk Management must be institutionalized at Level 3

Organizational policy Define process Plan Adequate resources Assigned responsibility Training Configuration management Identify and involve relevant

stakeholders Monitor and control Collect improvement information Objectively evaluate adherence Review status with higher-level

management

Risk Management must be implemented at Level 3

Determine risk sources and categories

Define risk parameters Establish a risk management

strategy Identify risks Evaluate, classify and prioritize

risks Develop risk mitigation plans Implement risk mitigation plans

45


Funktion Beschreibung

Identifizieren Suche und orte Risiken, bevor sie zu Problemen werden.

Verfolgen Überwache Risikoindikatoren und Vorsorge-/Vermeidungsmassnahmen.

Analysieren Übersetze Risikodaten in Entscheidungsinformationen. Bewerte Auswirkungen, Wahrscheinlichkeit und Zeitrahmen, klassifiziere und priorisiere Risiken.

Planen Transformiere Risikoinformation in Entscheidungen und Vermeidungs- und Vorsorgemassnahmen und führe diese Aktionen durch.

Kontrollieren Korrigiere Abweichungen vom Risiko-Massnahmenplan.

Kommunizieren Informiere Projektinterne und -externe über Risikoaktivitäten, über akute sowie neu sich anbahnende Risiken.Hinweis: Kommunikation zieht sich quer durch alle RM-Funktionen.

Kontrolliere

Ver

folg

e

Plane

KommuniziereIdentifiziere

Analy

sier

e

Kontinuierliches Risikomanagement(nach SEI, www.sei.cmu.edu/programs/sepm/risk/)

46


Tools

Risk Radar -- Software Program Managers Networkhttp://www.spmn.com/rsktrkr.html

– Risk management database to help project managers identify, prioritize, and communicate project risks

RiskTrak - Risk Services & Technologyhttp://www.risktrak.com/

– Allows an entire project team or organization to view, track, analyze and report on risks in real time

CORA: Cost Of Risk Analysis Systemhttp://www.ist-usa.com/aboutcora.htm

– Software-based risk management system

47


Umsetzungsempfehlungen

– Früh mit RM beginnen – RM als iterativer Prozess während des ganzen Projektlebenszyklusses– Risiken als potentielle Chancen betrachten– Verantwortlichkeiten zuordnen (Prozess, jedes Risiko)– Projektstrukturplan (WBS) zur Risikoidentifikation beiziehen– Vorsorge-Fonds für Risiken einrichten– RM-Plan überwachen und nachführen– Das gesamte Projektteam in den Prozess involvieren

Zusammenfassung & Fragen für die Diskussion

Gregor Frey

49


Fragen für die Diskussion

Zur Provokation:

– Ist Risikomanagement nur ein Modewort der Berater?

– Leistet das Risikomanagement überhaupt einen Beitrag, um die Qualität in den Informatikprojekten nachhaltig zu verbessern?

– Ist der Wert des Risikomanagements vorhanden und messbar?

Timing:

– Wann ist der richtige Moment, um das Risikomanagement in IT-Projekte zu involvieren?

– Wie regelmässig ist die Situation neu zu hinterfragen?

50


Fragen für die Diskussion

Verantwortlichkeit:

– Wer ist verantwortlich für das IT-Risikomanagement?

– Entstehen Reibungsverluste zwischen Audit-, IT-Security und Linienfunktion?

Tools, Rahmenwerke und Good Practice:

– Welche Tools sind für das IT-Risikomanagement die Richtigen?

Grundlagen:

– Welche Informationsquellen sind wichtiger: Menschen (Interviews) oder Dokumente (Projektergebnisse)

– Welche Informationsquellen sind verlässlich, welche nicht?

© 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table...

Documents

Transcript of © 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table...