© 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table...
-
Upload
karsten-wurz -
Category
Documents
-
view
177 -
download
2
Transcript of © 2004 KPMG Information Risk Management Risikomanagement für IT- und Software-Projekte Round Table...
2
© 2004 KPMGInformation Risk Management
Vielen Dank für Ihr Interesse!
Alea Europe AG
Axpo Informatik
Basler Kantonalbank
cosba private banking ag
Die Mobiliar
Direktion für Entwicklung und Zusammenarbeit
Eidgenössische Finanzkontrolle
Immobit AG
Kühne & Nagel Management
Migros Genossenschaftsbund
Migrosbank
Raiffeisen Informatik AG
Robert Bosch AG
SBB AG
Swiss Life
Telekurs
UBS AG
Unisys (Schweiz) AG
Zühlke Engineering AG
Zürich Financial Services
Zürcher Kantonalbank
3
© 2004 KPMGInformation Risk Management
Der Verantwortungsbereich Ihrer Gesprächskollegen
Geschäftsführung
Informatikleitung
IT Risk Management
IT Security
Interne Revision
Project Office
Projektleitung
Qualitätssicherung
4
© 2004 KPMGInformation Risk Management
Vorstellung des Gastreferenten
Dr. Ernest WallmüllerGeschäftsführer von Qualität & Informatik
Tel.: 01 / 748 52 56Handy: 079 402 44 11E-Mail: [email protected]
Coaching im Projekt- und Prozess-Management Univ. Dozent für Wirtschaftsinformatik Audit und Assessment von verschiedenen Standards:
-- ISO 9001, EFQM, TPI, CMMI, SPICE/ISO15504 Autor zahlreicher Publikationen:
-- Risikomanagement für IT- und Software-Projekte(2004, Hanser Verlag)
-- Software-Qualitätsmanagement in der Praxis (2001, Hanser Verlag)
Qualität & InformatikHaslernstrasse 14
8954 Geroldswil
5
© 2004 KPMGInformation Risk Management
Ihre Ansprechpartner bei KPMG
S. LustenbergerAssistant
Tel.: 01 249 25 [email protected]
KPMG Fides PeatBadenerstrasse 172
CH-8026 Zürich 4
Marco GrüterSenior Consultant
Tel.: 01 249 21 [email protected]
Thomas SutterSenior Manager
Tel.: 01 249 22 [email protected]
Ralf PlonerSenior Manager
Tel.: 01 249 21 [email protected]
Gerhard WasnickSenior Consultant
Tel.: 01 249 23 17
Gregor FreyPartner
Tel.: 01 249 22 [email protected]
6
© 2004 KPMGInformation Risk Management
Inhaltsverzeichnis
1. No Risk- no business (fun)
2. Grundlagen
3. Risiken in Unternehmen
4. Gefahren bei Software-Projekten und -Produkten
5. Prozesse, Techniken und Hilfsmittel
6. Methodische Grundaufgaben
7. Fallstudie
8. Einführung von Risikomanagement und Risikomanagementprozessen
9. Zusammenfassung und Ausblick
8
© 2004 KPMGInformation Risk Management
Agenda
Eingangsreferat 16.00 -16.50
– IT-Risikomanagement: Status Quo & Trends
– IT-Risikomanagement-Organisation
– Risiken in IT- und Software-Projekten
– IT-Risikomanagement-Tools & -Frameworks
– Zusammenfassung & Fragen für die Diskussion
Moderierte Diskussion 16.50 -18.00
– Gruppe A
– Gruppe B
Apéro 18.00
9
© 2004 KPMGInformation Risk Management
Risikomanagement für IT- und Software-Projekteim Kontext zum KPMG Information Risk Management
Info
rmati
on R
isks Tech
nolo
gy
Pro
cess
es
Pro
ject
s
Project Risk Management
Risk & Quality Management,Project Management,
Board Coaching,External Project Management
Project Risk Management
Risk & Quality Management,Project Management,
Board Coaching,External Project Management
Review, Hacking,
Penetration Tests,User Mgmt.,
Single Sign On, Information Systems Audit,
Web Trust Certification
Review, Hacking,
Penetration Tests,User Mgmt.,
Single Sign On, Information Systems Audit,
Web Trust Certification
Costs & PerformanceManagement
Service Level Mgmt.,Cost Reduction,
Outsourcing Management
Costs & PerformanceManagement
Service Level Mgmt.,Cost Reduction,
Outsourcing Management
Software Evaluation & Migration ControllingSAP, CRM, Windows 2000, ...
Software Evaluation & Migration ControllingSAP, CRM, Windows 2000, ...
Process Risk Management (ITIL, COBIT)
Engineering, Customer - Supplier, Management Processes
Process Risk Management (ITIL, COBIT)
Engineering, Customer - Supplier, Management Processes
IT & Information Security Architecture Definition
IS A
ud
it &
Cer
tifi
cati
on
BS
7799
, S
PIC
E,
Sys
tem
s (S
AP
, A
bac
us)
, P
KI
IS A
ud
it &
Cer
tifi
cati
on
BS
7799
, S
PIC
E,
Sys
tem
s (S
AP
, A
bac
us)
, P
KI
Bu
sin
ess
Co
nti
nu
ity
P
lan
nin
g
Bu
sin
ess
Co
nti
nu
ity
P
lan
nin
g
Pro
jec
t P
ort
foli
o E
val
uat
ion
Pro
jec
t R
isk
Ass
essm
en
tP
roje
ct
Po
rtfo
lio
Ev
alu
atio
nP
roje
ct
Ris
k A
sses
sme
nt
IT R
isk
Ass
essm
ent
&
Ben
chm
arks
IT R
isk
Ass
essm
ent
&
Ben
chm
arks
Assess Reduce
Monitor
10
© 2004 KPMGInformation Risk Management
Der „Reifegrad“ in Schweizer Unternehmen Quelle: KPMG Studie „Risikomanagement 2004“
30% der Unternehment verfügen über ein umfassendes & integrier-tes Risikomanagement-system
Viele Komponenten des RM-Systems sind zwar vorhanden aber nur teilweise dokumentiert und noch weniger häufig kommuniziert
IT-Risikomanagement:Status-Quo & Trends
Ralf Ploner
12
© 2004 KPMGInformation Risk Management
Status Quo: Die Top-IT-Risiken des Jahres 2003Quelle: KPMG-Studie “IT Management 2003”
Grösste Risiko-Konzentration im Bereich “IT-Management“: IT-Planung & -Controlling, Projekt- & Projektportfoliomanagement, IT-Risikomanagement
Wenige Risiken im Bereich der Technik identifiziert; der technische Zustand der IT wird als solide eingeschätzt
13
© 2004 KPMGInformation Risk Management
Welche Risiken entstanden durch die “Kostenbremse”?Quelle: KPMG-Studie “IT Management 2003” Die IT-Sicherheit bleibt unangetastet
14
© 2004 KPMGInformation Risk Management
Das Risiko der Markterholung: ProjektstauQuelle: KPMG-Studie “IT Management 2003”
Zunahme der Projektbudgets 2003 im Durchschnitt um 3%
Zunahme des Projektstaus im Durchschnitt um 27%; bei Unternehmen mit IT-Budget-Reduktionen um 40%
2003: Zunahme der Anzahl Projekte in Arbeit um 23% bei Unternehmen mit IT-Budget-Erhöhungen
16
© 2004 KPMGInformation Risk Management
Status-Quo im HandelssektorBeispiel einer Bedrohungsanalyse
0
1
2
3
4
5
Business focus
Dependence on IT
Dependence on IT Internal staff
Dependence on 3rd parties
Reliability of IT Systems
Changesto IT
Regulatoryenvironment
Information Assets
1st Quartile2nd Quartile3rd Quartile4th Quartile
Firma
Bus. led IT Strategy Board IT awareness Current needs vs IS
Functionality
18
© 2004 KPMGInformation Risk Management
Status-Quo im HandelssektorBeispiel einer IT-Kontrollanalyse
0
1
2
3
4
5
Management of IT
Project and ChangeManagement
IT OperationsContinuity of
Systems
ControlAssurance
1st Quartile2nd Quartile3rd Quartile4th Quartile
Firma
Security of Information and Systems
Senior Mgmt involvement
IT Planning Cost management Management reporting Service Level Mgmt Legal Compliance Organisation of IT End User Computing Outsourcing
19
© 2004 KPMGInformation Risk Management
Konzentration auf die Nettorisiken
20
© 2004 KPMGInformation Risk Management
Trends und die Konsequenzen für den IT-Leiter
Es bestehen Nachholbedürfnisse im Projektgeschäft
Die hochstehenden Erwartungshaltungen der Geschäftsleitungen bezüglich der IT-Leistungserbringung sowie deren Kosten werden zukünftig noch höher geschraubt
Dies fordert den IT-Leiter bezüglich:
– seiner unternehmerischen Rolle mit guter Chancen/Risiko-Balance
– exakter strategischer IT-Planung
– Moderation des Projektportfoliomanagement-Prozesses
– effektivem Nutzen der relevanten IT-Führungsinformationen
– aktiver Beteiligung an der Unternehmensentwicklung (Geschäfts-prozess-Kenner mit dem notwendigen Technologie-Know-how)
– Vorantreiben von sinnvollen Standardisierungen
IT-Risikomanagement-Organisation
Ralf Ploner
22
© 2004 KPMGInformation Risk Management
Die Positionierung von IT Risk Management
Info
rmati
on
Info
rmati
k
Security
Risk-Management
IT SecurityManagement
InformationSecurity
IT RiskManagement
InformationRisk
Management
QualitätOrdnungs-mässigkeit
Gesc
häft
23
© 2004 KPMGInformation Risk Management
Reporting
Koordination
Group CEOGroup CEO
Linie /IT-LeiterLinie /
IT-Leiter
Internal Audit
Operational
IT
Group CFOGroup CFO
„Kandidaten“ für das IT Risk Management
ExternalAudit
ExternalAudit
Risk /AssuranceManager
Risk /AssuranceManager
Board of DirectorsNomination und Compensation
Committee
Audit Committee
IT-Security-manager
IT-Security-manager
24
© 2004 KPMGInformation Risk Management
Der Risikomanagementprozess
Einsatz von Benchmarking:
– Awareness aufzubauen
– Investitionsgrundlagen zu schaffen
– Risiken zu erkennen
– RM-Organisation und Prozesse anzustossen
Einsatz von Benchmarking:
– Awareness aufzubauen
– Investitionsgrundlagen zu schaffen
– Risiken zu erkennen
– RM-Organisation und Prozesse anzustossen
Risikomanagement-prozess
Risikomanagement-prozess
Risiko-Monitoring
Risiko-Monitoring
Verbesserung des Risiko-
managements
Verbesserung des Risiko-
managements
Risikomanage-ment-StrategieRisikomanage-ment-Strategie
Risiken erkennenund bewerten
Risiken erkennenund bewerten
UntenehmenszieleUntenehmensziele
InformationenErgebnisse
InformationenErgebnisse
25
© 2004 KPMGInformation Risk Management
Zusammenspiel Chancen- und Risikomanagement
1. Welche Unternehmerischen Chancen lassen wir ungenutzt?
2. Welche IT-Risiken bedingen Rückstellungen?
3. Welche Projekte reduzieren die Risiken und sind somit eine Chance?
4. Welche Chancen behandeln wir im Projektportfolio?
5. Welche Risiken beeinflussen die Priorisierung der Projekte?
6. Lösen die Projekte neue Sicherheitsrisiken aus?
7. Wie machen wir die Erfolgskontrolle?
Risiken in IT- und Software-Projekten
Dr. Ernest Wallmüller
27
© 2004 KPMGInformation Risk Management
Warum Risikomanagement?
“NASA took consequences from the Columbia Disaster : Manager fired!”
“Washington: NASA boss Sean O'Keefe will renew the (risk) culture of the agency“
„The final report says:
– Missing risk awareness and
– lacking moral courage of employees”
Don´t forget: Swissair, Enron, KirchGruppe, Toll-Collect, SV-Chipkarte and others
7 crew members died on February, 1st 2003
28
© 2004 KPMGInformation Risk Management
Risk Spider Chart in NASA Programs: Essential Program Elements
Consequence of Resource Limits
Risk ManagementApproach
Communication
Requirement Definition Information
Transfer
Controlled Process
Planning
Level of TechnologyReadiness
Experience Level of Team
Design to Cost
Visibility of Project Activities
Extensive, Peer &Independent Reviews
Limited Reviews, Project Internal
Proven Team
OJT
TRL 5-6
TRL 1-3
Existing
Extensive, Up-FrontReactive
Clear, Fixed,Parent-Child
Developed as Needed, Free Float
Dynamic, Interactive
Team Operation
Cohesive, Authority
Widely Dispersed, Controlled
Performance is a Tradable Resource
Result of Technical / Schedule ActivityLowest
Risk
29
© 2004 KPMGInformation Risk Management
RiskCommunication
Requirements
Planning
TRLExperience
Cost
Visibility
Team
RiskCommunication
Requirements
Planning
TRLExperience
Cost
Visibility
Team
RiskCommunication
Requirements
Planning
TRLExperience
Cost
Visibility
Team
RiskCommunication
Requirements
Planning
TRLExperience
Cost
Visibility
Team
Low Risk Profile High Risk Profile
Low Risk / Single Weakness High Risk / Multiple Strengths & Weaknesses
30
© 2004 KPMGInformation Risk Management
Gängige Risiko-Bereiche Barry Boehm, Software Risk Management
Personelles-Versagen
Unrealistische Zeitpläne und Budgets
Fortlaufende Anforderungsänderungen und unsichere Anforderungen
Sich ändernde und unsichere Technologien
Entwicklung der falschen Funktionen
Entwicklung falscher Benutzer-Schnittstellen
Vergolden
Versagen von extern bezogenen Komponenten und Leistungen
Überschätzen der IT-Fähigkeiten
Nicht das Problem lösen
31
© 2004 KPMGInformation Risk Management
Gängige Risiko-Bereiche “Where to look for risks?”
Objects to Inspect:
– Project scope
– Project schedule
– Project management plan
– Request for proposal / Proposal / Contract
– Work Breakdown Structure (WBS)
– Statements of work
– Technical specifications
– Budgets
– Organizational Breakdown Structure / Resource Plans
– Deviations from standards
32
© 2004 KPMGInformation Risk Management
Risk Management Process
Risk Assessment
– Identification - Listing the risks
– Analysis - Determining the probabilities and impacts
– Prioritization - Ranking the risks for action
Risk Control
– Planning - Determining how& when to take action
– Resolution - Taking risk mitigation action
– Monitoring - Measuring the outcome
Risk Reporting
Risk Control• Planning
• Resolution• Monitoring
Risk Assessment• Identification
• Analysis• Prioritization
Risk Reporting
Risk Management
33
© 2004 KPMGInformation Risk Management
Risiko-Identifikation Risiko-BewertungRisi-ko-ID
Risiko-Bezeichnung Wahr-schein-
lichkeit (p)
Finan-zielle
Auswir-kung (c)
Risiko-Aus-mass (p*c)
Auswir-kung auf Termine
Auswir-kung auf Leistung
Projekt-Stop-per
Priorität
in % in KCHF in KCHF in Wochen J/N
1 Mögliches Versagen des Lieferanten 30% 330,00 99 12 ?
2 Systemdurchsatz kann nicht erreicht werden 15% ? - ?
3 Schlecht definierte Anforderungen: Kundenerwartungen werden nicht erfüllt ? ? -
Risk Assessment (Identification & Analysis)Risiko-Bewertungstabelle
34
© 2004 KPMGInformation Risk Management
Risk Assessment (Prioritization)Priorisieren durch Risikoziffer
35
© 2004 KPMGInformation Risk Management
Risk ControlRisk reduction stair – ON-49000
Remainingproject risks(after risktransfer)
avoid
mitigate
limit
transfer
accept
Risk reduction using project steering measures
Remainingproject risks(after risklimitation)
RemainingProject risks(after riskmitigation)
RemainingProject risks(after risk avoidance)
Identified project risks(without risk response)
Risiko-akzeptanz
36
© 2004 KPMGInformation Risk Management
Beispiel Risk portfolio - DaimlerChrysler
IT-Risikomanagement-Tools und -Frameworks
Dr. Ernest Wallmüller
38
© 2004 KPMGInformation Risk Management
Kontrollumfeld
RisikoanalyseRisikobewältigung mit
System
RisikopolitikRisikostrategie
Org
anis
atio
nun
d P
roze
sse
Info
rma
tion
und
Kom
mun
ikat
ion
Externe Einflüsse • Kunden • Aktionäre • Gesetze • Behörden
Interne Stakeholder • Verwaltungsrat • Geschäftsleitung • Management • Mitarbeiter
Governance
im Sinne von angemessenerUnternehmensorganisation und -steuerung um
Wertschöpfung langfristig zu sichern
Governance
39
© 2004 KPMGInformation Risk Management
ON-Regel 49000Risikomanagement für Organisationen, Produkte, Dienstleistungen und Projekte
Begriffe und Grundlagen
ON-Regel 49002-1Leitfaden für das
Risikomanagement
ON-Regel 49002-2Leitfaden für die Einbettung des
Risikomanagements in ein integriertes Management-System
ON-Regel 49001 Elemente des Risikomanagement-Systems
ON-Regel 49003Qualifikation des Risikomanagers
Qualification of the risk manager
Guideline: Integration of risk management in an integrated management system
Elements of the risk management system
Terms and basics
Guideline for the risk management
Standard ON 49000 for Austria and Switzerland
40
© 2004 KPMGInformation Risk Management
L
A
B
C
EF
G
H
IO
M K
N
D
Unb
edeu
tend
gerin
g
Spü
rbar
kriti
sch
kata
stro
phal
häufig
möglich
selten
sehr selten
unwahrscheinlich
Risikobeurteilung / RisikolandschaftONR 49002-1
41
© 2004 KPMGInformation Risk Management
Australian StandardRisk Management Process - AS/NZS 4360:1999
42
© 2004 KPMGInformation Risk Management
Überwachung BetriebImplemen-
tationPlanung undOrganisation
Phasen-orientiert
Man
agem
ento
rient
iert
IT Grundschutz (BSI)BS 7799/ISO 17799
CMMI ITIL
DSGStGB
COSO COBIT
Legende:COSO = Committee of Sponsoring Organisations of the Tradeway CommissionCOBIT = Control Objectives for Information and related TechnologyDSG = DatenschutzgesetzStGB = StrafgesetzbuchCMM = Capability Maturity ModelITIL = IT Infrastructure Library
Positionierung gängiger Rahmenwerke
43
© 2004 KPMGInformation Risk Management
CMMIStaged Representation
Requirements ManagementProject PlanningProject Monitoring and ControlSupplier Agreement Management Measurement and Analysis Product & Process Quality AssuranceConfiguration Management
Requirements DevelopmentTechnical Solution Product IntegrationVerification Validation Organizational Process FocusOrganizational Process DefinitionOrganizational TrainingIntegrated Project ManagementRisk Management Decision Analysis and Resolution
Organizational Process Performance Quantitative Project Management
Organization Innovation & Deployment Causal Analysis and Resolution
Level 2Managed
Level 3Defined
Level 4Quantitatively Managed
Level 5Optimizing
Level 1Performed
44
© 2004 KPMGInformation Risk Management
For Both Software and Systems Engineering
Risk Management must be institutionalized at Level 3
Organizational policy Define process Plan Adequate resources Assigned responsibility Training Configuration management Identify and involve relevant
stakeholders Monitor and control Collect improvement information Objectively evaluate adherence Review status with higher-level
management
Risk Management must be implemented at Level 3
Determine risk sources and categories
Define risk parameters Establish a risk management
strategy Identify risks Evaluate, classify and prioritize
risks Develop risk mitigation plans Implement risk mitigation plans
45
© 2004 KPMGInformation Risk Management
Funktion Beschreibung
Identifizieren Suche und orte Risiken, bevor sie zu Problemen werden.
Verfolgen Überwache Risikoindikatoren und Vorsorge-/Vermeidungsmassnahmen.
Analysieren Übersetze Risikodaten in Entscheidungsinformationen. Bewerte Auswirkungen, Wahrscheinlichkeit und Zeitrahmen, klassifiziere und priorisiere Risiken.
Planen Transformiere Risikoinformation in Entscheidungen und Vermeidungs- und Vorsorgemassnahmen und führe diese Aktionen durch.
Kontrollieren Korrigiere Abweichungen vom Risiko-Massnahmenplan.
Kommunizieren Informiere Projektinterne und -externe über Risikoaktivitäten, über akute sowie neu sich anbahnende Risiken.Hinweis: Kommunikation zieht sich quer durch alle RM-Funktionen.
Kontrolliere
Ver
folg
e
Plane
KommuniziereIdentifiziere
Analy
sier
e
Kontinuierliches Risikomanagement(nach SEI, www.sei.cmu.edu/programs/sepm/risk/)
46
© 2004 KPMGInformation Risk Management
Tools
Risk Radar -- Software Program Managers Networkhttp://www.spmn.com/rsktrkr.html
– Risk management database to help project managers identify, prioritize, and communicate project risks
RiskTrak - Risk Services & Technologyhttp://www.risktrak.com/
– Allows an entire project team or organization to view, track, analyze and report on risks in real time
CORA: Cost Of Risk Analysis Systemhttp://www.ist-usa.com/aboutcora.htm
– Software-based risk management system
47
© 2004 KPMGInformation Risk Management
Umsetzungsempfehlungen
– Früh mit RM beginnen – RM als iterativer Prozess während des ganzen Projektlebenszyklusses– Risiken als potentielle Chancen betrachten– Verantwortlichkeiten zuordnen (Prozess, jedes Risiko)– Projektstrukturplan (WBS) zur Risikoidentifikation beiziehen– Vorsorge-Fonds für Risiken einrichten– RM-Plan überwachen und nachführen– Das gesamte Projektteam in den Prozess involvieren
Zusammenfassung & Fragen für die Diskussion
Gregor Frey
49
© 2004 KPMGInformation Risk Management
Fragen für die Diskussion
Zur Provokation:
– Ist Risikomanagement nur ein Modewort der Berater?
– Leistet das Risikomanagement überhaupt einen Beitrag, um die Qualität in den Informatikprojekten nachhaltig zu verbessern?
– Ist der Wert des Risikomanagements vorhanden und messbar?
Timing:
– Wann ist der richtige Moment, um das Risikomanagement in IT-Projekte zu involvieren?
– Wie regelmässig ist die Situation neu zu hinterfragen?
50
© 2004 KPMGInformation Risk Management
Fragen für die Diskussion
Verantwortlichkeit:
– Wer ist verantwortlich für das IT-Risikomanagement?
– Entstehen Reibungsverluste zwischen Audit-, IT-Security und Linienfunktion?
Tools, Rahmenwerke und Good Practice:
– Welche Tools sind für das IT-Risikomanagement die Richtigen?
Grundlagen:
– Welche Informationsquellen sind wichtiger: Menschen (Interviews) oder Dokumente (Projektergebnisse)
– Welche Informationsquellen sind verlässlich, welche nicht?