COBIT 5 Anwendung in der Revision - bpug-deutschland.de · COBIT 5 Domänen als Basis für...

Bad Homburg, 06.10.2015

COBIT 5Anwendung in der Revision

Seite 2Bad Homburg, 06.10.2015

Agenda

Risikoorientierte Prüfungsplanung

Prüfungsdurchführung

Praktische Erfahrungen

Diskussion zwischen den Teilnehmern und Erfahrungsaustausch

Überblick Deutsche Leasing

Seite 3

Mehr als Leasing.

Setzen Sie auf unsere volle Leistung und starten Sie von Beginn an durch.

Unternehmenspräsentation


Vielfältige Finanzierungslösungen:Leasing, Miete, Mietkauf oder Investitionskredit

Optimale Einbindung öffentlicher Fördermittel

Flexibles Factoring

Individuelle Absatzfinanzierung sowie ergänzende Händlereinkaufsfinanzierung

Ergänzende Services von der Anschaffung bis zur Vermarktung am Laufzeitende

Umfängliche Inkassolösungen

Seite 4

Mehr Wissen.

Bauen Sie auf unsere Assetkompetenz und unser Servicespektrum.



FahrzeugePKW

NutzfahrzeugeFuhrpark-Management

MaschinenProduktionsanlagenWerkzeugmaschinenAgrar- und BaumaschinenMedizintechnik

ImmobilienNeubauten

Bestandsimmobilien Baumanagement

IT und Kommuni-kationstechnikHardwareSoftwareLifecycle-Management

EnergieWind- und Bioenergie

Kohle- und Gaskraftwerke Gas-, Strom-, Wärmenetze

Transport und LogistikSchienen- und Luftfahrzeuge Schiffe, ContainerLogistik- und Technikzentren

Seite 5

Mehr im Blick. Und überall für Sie da.

Nutzen Sie den direkten Weg, um Ihr Vorhaben zu realisieren.



Berlin

Leipzig

Nürnberg

München

Hamburg

Münster

Monheim

Stuttgart

Mainz/Wiesbaden (Zentrale DAL)Bad Homburg v. d. Höhe (Zentrale Deutsche Leasing)

Seite 6

Mehr als Deutschland.

Nutzen Sie unsere Unterstützung für Ihre internationalen Vorhaben.



EuropaBelgienBulgarienFrankreichDeutschlandGroßbritannienIrlandItalien

LuxemburgNiederlandeÖsterreichPolenPortugalRumänienRussland

AmerikaBrasilienKanadaUSA

AsienChina

SchwedenSlowakeiSpanienTschechische RepublikUngarn

Seite 7

Mehr Erfahrung und Stärke.

Setzen Sie auf einen soliden Asset-Finance-Partner für Ihr Unternehmen.



Kennzahlen zum 30.09.2014

2012 / 2013 2013 / 2014

Neugeschäft 7.755 Mio. € 7.852 Mio. €

Assets under Management

33,5 Mrd. € 33,3 Mrd. €

Bilanzsumme 15,9 Mrd. € 16,2 Mrd. €

Substanzwert 1.666 Mio. € 1.742 Mio. €

Eigenkapital 596 Mio. € 629 Mio. €

Seite 8



Deutsche Sparkassen Leasing AG & Co. KGSitz in Bad Homburg v. d. Höhe Mutterunternehmen der Deutsche Leasing Gruppe

2.199 Mitarbeiter in 23 Ländern Europas, Asiens und Amerikas

Die DL unterliegt als Finanzdienstleistungsinstitut der Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank

Seite 9

COBIT in der IR


In der IR der Deutschen Leasing:

Beginn und Einstieg in COBIT 5

Ohne eine der Vorgängerversionen in Ex-post Prüfungen genutzt zu haben


Agenda






Seite 11

Prüfungsuniversum

Führendes Prinzip bei der Erstellung des Prüfungsuniversums ist die Orientierung an den Kernprozessen der Deutschen Leasing.

Durch die Zuordnung der Prozesse und Funktionen wird sichergestellt, dass das Prüfungsuniversum:

die Deutsche Leasing vollständig und inhaltlich korrekt abbildet.

bei Änderungen zeitnah überarbeitet werden kann. Die Aufbauorganisation wird laufend fortgeschrieben und aktualisiert.


Seite 12

Prüfungsobjekte, grundsätzliche Betrachtung

Prüfungsobjekte für das Prüfungsuniversum der Deutschen Leasing werden nach folgenden Kriterien festgelegt:

1. Prozesse:

Prüfungen über Organisationsgrenzen hinweg

Beispiel: Leasing-Prozess Sparkasse und Mittelstand

-> Prüfung vom Vertrieb bis zur Objektverwertung

2. Funktionen:

Beispiel: Compliance

-> prozessorientiert innerhalb der Funktion

(der aufbauorganisatorischen Einheit)

Dabei werden Prüfungsobjekte vorrangig aus Prozessen abgeleitet. Sofern dies nicht sinnvoll umsetzbar ist, werden Prüfungsobjekte aus Funktionen abgeleitet.

Anzahl der Prüfungsobjekte wurde deutlich reduziert (aktuell: 52),

davon 5 IT-Prozesse, die an COBIT 5 orientiert geprüft werden.

Außerdem: Prüfung des Projektmanagements


Seite 13

Beispiel für aus Prozessen abgeleiteten PrüfungsobjektenLeasingprozess Sparkasse und Mittelstand

Neugeschäft

Scoring

Laufende Offenlegung

Bestands-geschäfte

Service-bearbeitung

Zahlungs-verkehr

Vertragsende

Objektver-wertung

Prozessorientierte, organisationsübergreifende Ableitung von Prüfungsobjekten

Vertrieb


Seite 14

Beispiel für aus Funktionen abgeleitete Prüfungsobjekte Compliance

Funktionsorientierte Ableitung von Prüfungsobjekten


Stand: GJ 2013/2014

Seite 15

COBIT 5 Domänen als Basis für Prüfungsobjekte im Organisations- und Informatikumfeld

Die Anzahl der Prüfungsobjekte im Organisations- und Informatikumfeld wurde von 29 auf 5 aggregiert.

Dadurch soll eine bessere Vergleichbarkeit und Bewertbarkeit der Prüfungsobjekte erreicht werden.

Weiterhin soll sichergestellt werden, dass die 5 Prüfungsobjekte die Gesamtheit der Organisations- und Informatikprozesse abdecken.

Im detaillierten Prüfungsdesign (Prüfungskonzept) wird innerhalb einer Domäne (eines Prozessbereichs) auf einzelne Management-Praktiken abgestellt.


Seite 16

Risikobewertung

Die Bewertung der einzelnen Prüfungsobjekte erfolgt jährlich im Rahmen der Prüfungsplanung.

Die Bewertung erfolgt anhand von quantitativen und qualitativen Faktoren.

Quantitative Faktoren: die Priorität eines Prüfungsobjekts wird dabei anhand der folgenden Formel berechnet:

��ü��ℎ��(��ℎ��)

��. ��(36��. 60��)∗ �� ü�� ∗ ��ℎ�

Qualitative Faktoren:

„Prüfungshinweise des Vorstands“ - die qualitative Einschätzung des Vorstands, ob einPrüfungsobjekt im Rahmen der Prüfungsplanung für das nächste Jahr bevorzugtberücksichtigt werden soll. Der Indikator kann die Ausprägungen „ja“ oder „nein“ annehmen.

„Prüfung aufgrund außerordentlicher Ereignisse“ - eine qualitative Einschätzung derKonzernrevision, ob ein Prüfungsobjekt im Rahmen der Prüfungsplanung für das nächsteJahr bevorzugt berücksichtigt werden soll. Der Indikator wird dabei als sogenanntes „OpenAssessment“ umgesetzt.


Seite 17

Risikokennzahl

Risikoarten (gem. aktueller Version des Risikohandbuches) werden aus den MaRisk Anforderungen abgeleitet und an die Risikosituation in der Deutschen Leasing jährlich angepasst,

Risikokennzahl ist quantitative Einschätzung: wie viele der o.g. Risikoarten wirken auf ein Prüfungsobjekt ein,

Eine Risikoart kann die Ausprägungen „0“ oder „1“ annehmen,

Ausprägungen „0“ oder „1“ beziehen sich nur auf als „wesentlich“ eingestufte Risikokategorien (z.B.: Adressrisiko von Kunden),

Risikokennzahl kann die Ausprägungen von „1“ bis „5“ annehmen.

Risikoarten

Ris

iko

ka

teg

ori

en



Agenda






Seite 19

Anwendung im Unternehmen

Im Geschäftsjahr 2013/2014 wurden ergänzend zur Projektbegleitung ex ante folgende Prüfungen orientiert an COBIT durchgeführt:

Management von Anforderungen

Beschaffungsmanagement in Projekten

Projektmanagement


Seite 20


Im Geschäftsjahr 2013/2014 wurden ergänzend zur Projektbegleitung ex ante folgende Prüfungen orientiert an COBIT durchgeführt:

Management von Anforderungen

Beschaffungsmanagement in Projekten

Projektmanagement

Die Prüfungen wurden Risiko-orientiert bewertet und die höchst-bewerteten werden angelehnt an COBIT 5 geprüft.


Seite 21


Die Prüfungsgebiete waren

z.B. beim Prüfungsobjekt: Projektmanagement

Starten und Initiieren von Projekten

Planen von Projekten

Managen der Projektqualität

Managen des Projektrisikos

Überwachen und Steuern von Projekten

Abschließen eines Projekts


Seite 22


Die Prüfungsgebiete waren an COBIT angelehnt,

z.B. beim Prüfungsobjekt: Projektmanagement

Die Prüfungsgebiete lassen sich z.T. direkt Managementpraktiken zuordnen:

Starten und Initiieren von Projekten – BAI01.07

Planen von Projekten – BAI01.08

Managen der Projektqualität – BAI01.09 (ohne Programmqualität)

Managen des Projektrisikos – BAI01.10 (ohne Programmrisiko)

Überwachen und Steuern von Projekten – BAI01.11

Abschließen eines Projekts – BAI01.13


Seite 23

Prüfungsdurchführungam Beispiel Projektmanagement

Bad Homburg, 06.10.2015Quelle: ISACA

Seite 24



Lfd. Nr. Schritt COBIT 5 Referenz Auditierung Umsetzung Deutsche Leasing Bemerkung

A-1 Interessengruppen der Auditierung bestimmen.

Die primäre Interessengruppe ergibt sich aus der Einordnung der Konzernrevision der Deutsche Leasing als Instrument der Geschäftsleitung (MaRisk AT 4.4.3, Ziffer 2)

Weitere Interessengruppen sind:

Programm- bzw. Projektleiter

Auftraggeber außerhalb der Geschäftsleitung

A-2 Prüfungsziele Projekt- und Programmbegleitung

MaRisk AT 4.4.3 [Interne Revision], Ziffer 3

Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht.

MaRisk BT 2.1, Ziffer 2 [Aufgaben der Internen Revision]

Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein.

A-3 Die Produktionsfaktoren („Befähiger“) bestimmen.

COBIT unterscheidet grundsätzlich sieben Produktionsfaktoren, sog. Enabler, dt. „Befähiger“. Kurzfristig sollten Prüfungsgegenstand sein:

Schriftlich fixierte Ordnung (Policies, Principles and Frameworks)

Aufbauorganisation (Organisational structures).

Prozesse (Processes)

Mittelfristig sollten alle Produktionsfaktoren, soweit relevant, Gegenstand der Auditierung sein (Erweiterung Nr. 1)

Seite 25



B-1 Metriken Kurzfristig sind Metriken nicht Gegenstand der Projektbegleitung, es handelt sich um eine zu entwickelnde Erweiterung der Auditierungsmethodik (Erweiterung Nr. 2). Hinweis: Einzelne „klassische“ Projektmanagement-Metriken sind durchaus im GJ 2014/2015 prüfbar (Termin, Meilensteine)

Mittelfristig sollten aus quantitativen Unternehmenszielen abgeleitete quantifizierte IT-Ziele Grundlage für die Auswahl der zu prüfenden Enabler sein, insbesondere der zu prüfenden Prozesse.

Weiterhin sollte die Erreichung quantitativer Unternehmensziele und aus diesen abgeleiteter IT-Ziele auch Prüfungsgegenstand sein.

B-2.1, B-2.2

Die für die Programm-/Projektbegleitung relevante schriftlich fixierte Ordnung bestimmen

Die für die Programm-/Projektbegleitung relevante schriftlich fixierte Ordnung ergibt sich aus dem inhaltlichen Programm- bzw. Projektgegenstand (z.B. Modifikation Risikoprozesse) sowie aus der für die Abwicklung von Programmen und Projekten spezifischen schriftlich fixierten Ordnung.

B-2.3 Für Programm-/Projektbegleitung relevante schriftlich fixierte Ordnung bewerten

Unter B-2.1 und B-2.2 identifizierte schriftlich fixierte Ordnung bewerten. Prüfungsrelevante Kriterien für die schriftlich fixierte Ordnung sind:

Seite 26



Seite 27Bad Homburg, 06.10.2015Quelle: ISACA

Seite 28Bad Homburg, 06.10.2015Quelle: ISACA


Agenda






Seite 30



Herausforderungen

Zeitbudget für Fortbildung

Einstiegshürde

Anspruchsvoll und hoher Initial-Aufwand

Schnell viele Prüfungen durchführen ist initial nicht möglich

COBIT-Material (noch) unvollständig/lückenhaft (PAM MEA fehlt)

Teils nur englisch-sprachiges COBIT-Material vorhanden

(Quelle: Eigene Erhebung im September/Oktober 2015, Aggregiertes Feedback von Prüfern, nicht repräsentative Grundgesamtheit)

Seite 31



Vorteile / Benefits

Verwendung von Standards

IT Praktiker in den geprüften Einheiten wussten sofort wovon wir reden plus

Auf Management-Ebene ausgerichtet

Weniger Diskussionen, warum wir so vorgehen

Keine Probleme mit Granularität des Prüfungsplans (ROPP)

Sicherheit nichts zu vergessen (Rahmenwerk)

Kommunikation mit den Stakeholdern gewann an Bedeutung in der Prüfung

Verbindliche bzw. dokumentierte Ziele waren mehr Gegenstand der Prüfung


Seite 32



Lessons learned

Für jeden beteiligten Mitarbeiter der IR eine COBIT-Schulung vorher anbieten.


Seite 33



Verbreitung von COBIT 5

3 von ca. 40 Prüfern setzen das in Ihren Instituten bereits aktiv ein. Hinzu kommt ein Fall, in dem es zum Anlernen eines neuen Kollegen genutzt wurde sowie einige Institute, die es als eine Quelle von vielen bei der Prüfungsvorbereitung einsetzen.

In einem der letztgenanntem KI wurde bei Aktualisierung die IT-Policy komplett auf COBIT umgestellt. Hier wird die Meinung vertreten, Kontrollziele gehören in die IT, nicht in die Revision. Die IT-Policy ist aktiv, aber neu, d.h. sie muss sich erst einschleifen. Vorteile: Allgemeine Sprachregelung und Begriffsdefinitionen, die man in die Institution trägt.

„Es ersetzt nicht Interesse an Prüfungsgegenstand.“

-> Herrn Gaulke fragen, ob es denn schon einen Umsetzungsleitfaden gibt?

(Quelle: Feedback von rund 40 IT-Prüfern aus Deutschland, ca. 25 davon aus Kreditinstituten (je 1 bis 2 Prüfer pro Institut) im September 2015, Aggregiertes Feedback von Prüfern, nicht repräsentative Grundgesamtheit)


Agenda






Seite 35

Disclaimer

Die Folien wurden als Arbeitsstand einer Diskussion zusammengestellt und geben nicht unbedingt die Meinung des Veranstalters, ISACA, der Teilnehmer und der erwähnten Unternehmen wider. Alle genannten Marken sind Eigentum der jeweiligen Inhaber. ISACA, die Teilnehmer bzw. die erwähnten Unternehmen übernehmen keinerlei Gewähr dafür, das die Verwendung zu den gewünschten Ergebnissen führt. Bei der Überlegung, wie angemessen bestimmte Informationen, Verfahren oder Prüfungsansätze sind, sollte sich der Anwender auf seine fachliche Kompetenz stützen und die spezifischen Umstände (Unternehmen, Prüfung, Risiko und Sicherheit), die sich aus dem jeweiligen System oder der IT-Umgebung ergeben, berücksichtigen.


Seite 36


Herzlichen Dank für Ihr Interesse.


Seite 37

Und welche Investition planen Sie?

Ihr Ansprechpartner:

Joachim RindlerCertified Information Systems Auditor (CISA)Deutsche Leasing AGFrölingstrasse 15-31 61352 Bad Homburg v. d. Höhe

Telefon +49 6172 [email protected]

http://www.deutsche-leasing.com

Sprechen Sie mit uns über Ihre Erfahrungen im Praxiseinsatz mit COBIT 5 in der IR.


COBIT 5 Anwendung in der Revision - bpug-deutschland.de · COBIT 5 Domänen als Basis für...

Documents

Transcript of COBIT 5 Anwendung in der Revision - bpug-deutschland.de · COBIT 5 Domänen als Basis für...