Dr Michael Schirmbrand Mai 2007

Dr Michael Schirmbrand Mai 2007

Dr Michael Schirmbrand Mai 2007

BUSINESS ADVISORY SERVICE

INFORMATION RISK MANAGEMENT

Standards für IT - Audit und

IT - Governance

2Michael Schirmbrand

Mai 2007Michael Schirmbrand

Mai 2007

AgendaAgenda

Aktuelle EntwicklungenAktuelle Entwicklungen

IT GovernanceIT Governance

(Neue) Internationale und Nationale Compliance-(Neue) Internationale und Nationale Compliance-Anforderungen (inkl Sarbanes-Oxley)Anforderungen (inkl Sarbanes-Oxley)

Standards für IT Prozesse und ComplianceStandards für IT Prozesse und ComplianceITILITILCobiTCobiTWeitere relevante StandardsWeitere relevante StandardsIntegration von CobiT mit ITIL, ISO 17799, CMMI, etc Integration von CobiT mit ITIL, ISO 17799, CMMI, etc

AusblickAusblick

3

IT GovernanceAktuelle Entwicklungen

IT GovernanceAktuelle Entwicklungen



Mai 2007

Beobachtungen in ÖsterreichBeobachtungen in Österreich

Mehr als 50% der Unternehmen haben keine IT Mehr als 50% der Unternehmen haben keine IT StrategieStrategie80% der Großunternehmen haben kein 80% der Großunternehmen haben kein nachvollziehbares IT Steuerungsgremiumnachvollziehbares IT SteuerungsgremiumBei einem Großteil der Unternehmen sind die IT Ziele Bei einem Großteil der Unternehmen sind die IT Ziele nicht erkennbar an den Unternehmenszielen nicht erkennbar an den Unternehmenszielen ausgerichtetausgerichtetDer Nutzen von (IT) Projekten wird meist nicht Der Nutzen von (IT) Projekten wird meist nicht gemessengemessenBei mehr als 50% der Unternehmen sind IT Prozesse Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbarnicht dokumentiert oder messbarBei mehr als 90% der Unternehmen sind Kontrollen in Bei mehr als 90% der Unternehmen sind Kontrollen in IT Prozessen nicht dokumentiert oder nachvollziehbarIT Prozessen nicht dokumentiert oder nachvollziehbar



Mai 2007

20 % der IT Budgets gehen weltweit verloren

Aktuelle Schlagzeilen



Mai 2007

• 85% der Untenehmen verlangen 85% der Untenehmen verlangen Busines-Cases für ChangesBusines-Cases für Changes

• Nur 40% der freigegebenen Nur 40% der freigegebenen Projekte basieren auf Projekte basieren auf realistischen Nutzen-Statementsrealistischen Nutzen-Statements

• Weniger als 10% der Unter-Weniger als 10% der Unter-nehmen stellen nachträglich nehmen stellen nachträglich sicher, dass Nutzen tatsächlich sicher, dass Nutzen tatsächlich generiert wurdegeneriert wurde

• Weniger als 5% definieren Weniger als 5% definieren persönliche Verantwortung für persönliche Verantwortung für die Nutzenstiftungdie Nutzenstiftung

NutzenNutzen RisikenRisikenKostenKosten

(Meta Group Juli 2004)(Meta Group Juli 2004)

IT Governance:Wesentlich ist die Generierung von Nutzen durch die IT



Mai 2007

IT Governance: Eine DefinitionIT Governance: Eine Definition

CorporateGovernance

ITGovernance

BusinessInformations-systeme Für IT Governance sind Vorstand und

Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate-Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt

— IT Governance Institute



Mai 2007

Strategic AlignmentStrategic Alignment Value DeliveryValue Delivery IT Asset ManagementIT Asset Management Risk ManagementRisk Management Performance Performance

MeasurementMeasurement

GartnerGartner CSCCSC CompassCompass GigaGiga AICPA/CICAAICPA/CICA CIO MagazineCIO Magazine Technology Technology

CouncilCouncil

Prioritäten der AnalystenPrioritäten der Analysten

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance



Mai 2007

IT Governance DomänenIT Governance Domänen

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance



Mai 2007

Stabiler Wert und Vertrauen

IT GovernanceBalance zwischen Risiko und PerformanceIT GovernanceBalance zwischen Risiko und Performance

ProzessVerbesserung

VerbesserteKontrolle

IntegriertesRisiko Management

ProzessTransformation

Performance

Ris

iko

Compliance

Die Rechtssprechung Die Rechtssprechung zieht das Pendel in zieht das Pendel in Richtung RisikoRichtung Risiko

Wettbewerb und Wettbewerb und Marktdruck drücken Marktdruck drücken das Pendel Richtung das Pendel Richtung PerformancePerformance

IT Governance managt IT Governance managt die Balance zwischen die Balance zwischen Risikomanagement Risikomanagement und Performance-und Performance-erfordernis.erfordernis.



Mai 2007

Wesentliche Standards für IT GovernanceWesentliche Standards für IT Governance

forderndfordernd

Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT)

SAS 70SAS 70

Sarbanes Oxley ActSarbanes Oxley Act

Sonstige relevante GesetzeSonstige relevante Gesetze

helfendhelfend

CobiTCobiT

ITILITIL

ISO 17799ISO 17799

CMMICMMI

12

FachgutachtenFachgutachten



Mai 2007

Herausgebende OrganisationenHerausgebende Organisationen

IFAC – International Federation of AccountantsIFAC – International Federation of AccountantsISA (ISA (ISA 402 - Audit Considerations relating to Entities using ISA 402 - Audit Considerations relating to Entities using Service Organizations)Service Organizations)

AICPA – American Institute of CPAsAICPA – American Institute of CPAsSAS (zB SAS/70 - Reports on the Processing of Transactions by SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations)Service Organizations)

PCAOB – Public Company Accounting Oversight BoardPCAOB – Public Company Accounting Oversight BoardAuditing StandardsAuditing Standards

KFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS/DV1KFS/DV1KFS/DV2KFS/DV2

IDW – Institut der WirtschaftsprüferIDW – Institut der WirtschaftsprüferPS331 (Serviceorganisationen)PS331 (Serviceorganisationen)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)



Mai 2007

ISAs (IFAC)ISAs (IFAC)

Standards der International Federation of AccountantsStandards der International Federation of AccountantsFür (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln dagegen sprechendagegen sprechen

Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordertVom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert

De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“

Auszug aus den ISAsAuszug aus den ISAsISA 200 - Objective and General Principles Governing an Audit of Financial ISA 200 - Objective and General Principles Governing an Audit of Financial

StatementsStatements

ISA 315 - Understanding the Entity and its Environment and Assessing Risks ISA 315 - Understanding the Entity and its Environment and Assessing Risks of Material Misstatementof Material Misstatement

ISA 330 - The Auditors Procedures in Response to Assessed RisksISA 330 - The Auditors Procedures in Response to Assessed Risks

ISA 402 - Audit Considerations relating to Entities using Service ISA 402 - Audit Considerations relating to Entities using Service OrganizationsOrganizations

ISA 500 - Audit EvidenceISA 500 - Audit Evidence



Mai 2007

Fachgutachten ÖsterreichFachgutachten Österreich

KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT

Allgemeine Anforderungen (Belegfunktion, Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...)Journalfunktion, Kontenfunktion,...)

Forderung nach FunktionstrennungForderung nach Funktionstrennung

Detaillierte Forderungen an die Detaillierte Forderungen an die SystemdokumentationSystemdokumentation

KFS/DV 2 KFS/DV 2

Richtlinien zur Prüfung der IT im Rahmen von Richtlinien zur Prüfung der IT im Rahmen von JahresabschlussprüfungenJahresabschlussprüfungen



Mai 2007

KFS/DV 1 - OrdnungsmäßigkeitKFS/DV 1 - Ordnungsmäßigkeit

Gliederung des FachgutachtensGliederung des FachgutachtensGrundsätzeGrundsätzeDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesBelegfunktionBelegfunktionJournalfunktionJournalfunktionKontenfunktionKontenfunktionVerfahrensdokumentationVerfahrensdokumentationDas Interne KontrollsystemDas Interne KontrollsystemSystemeinführung und WeiterentwicklungSystemeinführung und WeiterentwicklungAufbauorganisationAufbauorganisationAblauforganisationAblauforganisationDokumentationDokumentation



Mai 2007

KFS/DV 1 - GrundsätzeKFS/DV 1 - Grundsätze

Allgemeine AnforderungenAllgemeine Anforderungen

Kaufmann buchführungspflichtig und für Kaufmann buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)Fremd-SW und Online-Verfahren)

RadierverbotRadierverbot

Prüfspur progressiv und retrogradPrüfspur progressiv und retrograd

Verbot nachträglicher SchreibvorgängeVerbot nachträglicher Schreibvorgänge



Mai 2007

KFS/DV 1 - PrüfbarkeitKFS/DV 1 - Prüfbarkeit

VerfahrensdokumentationVerfahrensdokumentationFür Programmentwicklungen, Change Management, Zukäufe von SW Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:(inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:

Anforderung/AufgabenstellungAnforderung/AufgabenstellungDatensatzaufbauDatensatzaufbauVerarbeitungsregeln (inkl. Steuerungsparameter, Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlungund FehlerbehandlungDatenausgabeDatenausgabeDatensicherungDatensicherungVerfügbare ProgrammeVerfügbare ProgrammeArt, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)VersionsmanagementVersionsmanagement

Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,……Eventuell können Teile davon auch von externen Dritten zur Verfügung Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdengestellt werden



Mai 2007

KFS/DV 1 - IKSKFS/DV 1 - IKS

Zusätzlich notwendigZusätzlich notwendig

Funktionstrennung Funktionstrennung (Fachabteilung/Entwickler/Admin)(Fachabteilung/Entwickler/Admin)

Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen

DatensicherungenDatensicherungen

Schutz vor Sabotage, Missbrauch und VernichtungSchutz vor Sabotage, Missbrauch und Vernichtung

KontinuitätsmanagementKontinuitätsmanagement

Aufbewahrung sämtlicher Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreDokumentationsbestandteile für 7 Jahre



Mai 2007

IDW RS FAIT 2 - DokumentationIDW RS FAIT 2 - Dokumentation

Deutsches Fachgutachten – in einigen Bereichen zur Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1Klarstellung detaillierter als KFS/DV 1

Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:

Doku HW/SW (zB Router, Firewall, Virenscanner,..)Doku HW/SW (zB Router, Firewall, Virenscanner,..)

Netzwerkarchitektur (auch Anbindung ISP)Netzwerkarchitektur (auch Anbindung ISP)

Verwendete ProtokolleVerwendete Protokolle

VerschlüsselungsverfahrenVerschlüsselungsverfahren

SignaturverfahrenSignaturverfahren

Datenflusspläne, Schnittstellen, relevante KontrollenDatenflusspläne, Schnittstellen, relevante Kontrollen

Autorisierungsverfahren, Verfahren zur Generierung von Autorisierungsverfahren, Verfahren zur Generierung von BuchungenBuchungen



Mai 2007

IDW RS FAIT 2 - IKSIDW RS FAIT 2 - IKS

Für IKS zusätzlich notwendigFür IKS zusätzlich notwendig

Firewall Einstellungen (+Überprüfungen)Firewall Einstellungen (+Überprüfungen)

Firewall-Logs (+Überprüfungen)Firewall-Logs (+Überprüfungen)

Change Management für die gesamte Infrastruktur Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,)(Firewalls, Router, Switches,..,)

Scanner (IDS, Viren, Kontrollen,..)Scanner (IDS, Viren, Kontrollen,..)

Penetration TestsPenetration Tests

Überprüfung dieser Themen durch die RevisionÜberprüfung dieser Themen durch die Revision

Dient nur als Beispiel; in Deutschland alles für 10 Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahrenJahre aufzubewahren



Mai 2007

Überblick Fachgutachten KFS/DV 2Überblick Fachgutachten KFS/DV 2

Fachgutachten „Die Prüfung der IT im Rahmen von Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“Abschlussprüfungen“

Erarbeitet durch FS DVErarbeitet durch FS DV

Gemeinsame Überarbeitung durch FS DV und FS Gemeinsame Überarbeitung durch FS DV und FS HRHR

Verabschiedet im November 2004Verabschiedet im November 2004



Mai 2007

Struktur KFS/DV 2Struktur KFS/DV 2

A.A. VorbemerkungenVorbemerkungenA.1.A.1. Anwendungsbereich des FachgutachtensAnwendungsbereich des FachgutachtensA.2.A.2. Einbindung in die AbschlussprüfungEinbindung in die AbschlussprüfungB.B. Ziel und Umfang der Prüfung der InformationstechnikZiel und Umfang der Prüfung der InformationstechnikC.C. Tätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikTätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikC.1.C.1.Berücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungBerücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungC.2.C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensGewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensC.3.C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenFeststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenC.4.C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der

RisikenRisikenAnwendungsunabhängige Kontrollen der Informationstechnik-ProzesseAnwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der GeschäftsprozesseAnwendungsabhängige Kontrollen der Geschäftsprozesse

C.5.C.5.Prüfungshandlungen des AbschlussprüfersPrüfungshandlungen des AbschlussprüfersPrüfung der anwendungsunabhängigen KontrollenPrüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen KontrollenPrüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger BuchführungPrüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung

C.6.C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenDokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenD.D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes

Unternehmen (IT‑Outsourcing)Unternehmen (IT‑Outsourcing)



Mai 2007

KFS/DV 2 - GrundsätzeKFS/DV 2 - Grundsätze

Prüfung der IT ist der der Prüfung des Internen Prüfung der IT ist der der Prüfung des Internen KontrollsystemsKontrollsystems

Geprüft werden die Geprüft werden die IT Qualitätsmerkmale der IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Integrität, Konformität und Wartbarkeit (nicht Effizienz)Effizienz)

Risikoorientierte PrüfungRisikoorientierte Prüfung

Prüfung von StichprobenPrüfung von Stichproben

Abhängig von Größe und Komplexität des Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten SystemeUnternehmens und der eingesetzten Systeme



Mai 2007

KFS/DV 2 – Grobüberblick über IT PrüfungenKFS/DV 2 – Grobüberblick über IT Prüfungen

Gewinnung eines Überblicks über Systeme und Gewinnung eines Überblicks über Systeme und AbläufeAbläufe

Prüfung der IT Prozesse (anwendungsPrüfung der IT Prozesse (anwendungsununabhängige abhängige IT Kontrollen), orientiert zB an CobITIT Kontrollen), orientiert zB an CobIT

Prüfung der Anwendungen (anwendungsabhängige Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)IT Kontrollen)



Mai 2007

Prüffelder IT-PrüfungPrüffelder IT-Prüfung

allgemeine IT Kontrollen (General IT Controls)allgemeine IT Kontrollen (General IT Controls)

AnwendungskontrollenAnwendungskontrollen

Sonderthemen (Datenanalysen, Prozess-Erhebung, Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)Schnittstellen, Datenschutz, Archivierung, Migration)

IT-Prozess externe Anbindungen

Netzwerk

Betriebssystem(e)

Datenbank 1

Prozess 2Prozess 2Prozess 1Prozess 1 Prozess 3Prozess 3

Telebanking SAPBilling

Datenbank 1 Datenbank 1



Mai 2007

Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,...IFAC Guideline on Monitoring, SysTrust,...

Prüfung des IT Überwachungssystems (IT Umfeld, Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT InfrastrukturIT Organisation, IT Infrastruktur

IT Governance, IT Controlling, Kontrolle der IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der KontrollenNachvollziehbarkeit der Kontrollen

KFS/DV 2 – Prüfung anwendungsunabhängig (2)



Mai 2007

KFS/DV 2 – Prüfung anwendungsabhängigKFS/DV 2 – Prüfung anwendungsabhängig

Einholung von Informationen über die relevanten AnwendungenEinholung von Informationen über die relevanten Anwendungen

Prüfung und Beurteilung der Programmfunktionen: insbesondere Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der PrüfungHauptbuch Bestandteil der Prüfung

Prüfung der Anwendungskontrollen: hierzu gehören das interne Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.



Mai 2007

KFS/DV 2 - OutsourcingKFS/DV 2 - Outsourcing

Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kann kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen insbesondere aus Prüfung von Dienstleistungsunternehmen

oder Serviceunternehmen nach dem oder Serviceunternehmen nach dem Standard ISA 402Standard ISA 402 der IFAC herangezogen werden.der IFAC herangezogen werden.

30

SAS 70SAS 70



Mai 2007

Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)

Standard für die Prüfung von Outsourcing-Dienstleistern Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)(und deren Kontrollumfeld)

Veröffentlichung der AICPAVeröffentlichung der AICPAGilt grundsätzlich für USA, aber auch bei Bilanzierung Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAPnach US GAAPMittlerweile weltweiter De-Facto Standard für Prüfungen Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-von und für Wirtschaftsprüfern bei (IT ) Service-OrganisationenOrganisationenPraktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFACIn Deutschland auch Standard PS 331In Deutschland auch Standard PS 331Achtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAchtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAuch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung



Mai 2007

ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer

Anzuwenden bei (Teil-) Outsourcing der ITAnzuwenden bei (Teil-) Outsourcing der IT

Prüfer von RZ-Kunden müssenPrüfer von RZ-Kunden müssen

Report nach SAS 70 / ISA 402 des RZ einholen oderReport nach SAS 70 / ISA 402 des RZ einholen oder

selbst das RZ prüfen oderselbst das RZ prüfen oder

jemanden beauftragen, das RZ nach SAS 70 zu jemanden beauftragen, das RZ nach SAS 70 zu prüfen oderprüfen oder

Bestätigungsvermerk einschränken oder versagenBestätigungsvermerk einschränken oder versagen



Mai 2007

SAS 70 – Die Reports (1)SAS 70 – Die Reports (1)

Typ I: Typ I: ”Report on controls placed in operation””Report on controls placed in operation”Die im Service-Unternehmen vorgesehenen internen Die im Service-Unternehmen vorgesehenen internen Kontrollen, die für einen Kunden relevant sind, werden Kontrollen, die für einen Kunden relevant sind, werden auf Ihre Angemessenheit hin überprüft. Der Report auf Ihre Angemessenheit hin überprüft. Der Report beinhaltet folgende Informationen:beinhaltet folgende Informationen:

den Fluss der Transaktionen des Kunden innerhalb den Fluss der Transaktionen des Kunden innerhalb des Service-Unternehmensdes Service-UnternehmensKontrollen der relevanten Applikationen im Service-Kontrollen der relevanten Applikationen im Service-UnternehmenUnternehmenob diese Kontrollen angemessen sind und ob diese Kontrollen angemessen sind und angewendet werdenangewendet werden

Der Report Typ I umfasst nicht den Test der Der Report Typ I umfasst nicht den Test der eingesetzten Kontrollmaßnahmeneingesetzten Kontrollmaßnahmen..



Mai 2007

Typ II: „Typ II: „Reports on controls placed in operation and Reports on controls placed in operation and tests of operating effectiveness”tests of operating effectiveness”Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser die Effektivität der Kontrollen beurteilt und sich die Effektivität der Kontrollen beurteilt und sich Wirtschaftprüfer in Teilbereichen darauf verlassen können Wirtschaftprüfer in Teilbereichen darauf verlassen können und so bei funktionierenden Kontrollen im und so bei funktionierenden Kontrollen im Rechenzentrum bei Prüfungen von Kunden mit einer Rechenzentrum bei Prüfungen von Kunden mit einer reduzierten Risikoeinschätzung vorgehen können.reduzierten Risikoeinschätzung vorgehen können.

Voraussetzung: Die Kontrollen in Prozessen müssen Voraussetzung: Die Kontrollen in Prozessen müssen definiert und wirksam sein.definiert und wirksam sein.

SAS 70 – Die Reports (2)SAS 70 – Die Reports (2)



Mai 2007

SAS 70 - BerichterstattungSAS 70 - Berichterstattung

Standard-Text für Bestätigungsvermerk definiertStandard-Text für Bestätigungsvermerk definiert

Bei Typ II Report sind die vorhandenen Kontrollen, Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellenDetail dazustellen

Die Verantwortungen von Kunde und RZ sind klar Die Verantwortungen von Kunde und RZ sind klar abzugrenzenabzugrenzen

Bei wesentlichen Mängeln ist der Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagenoder zu versagen



Mai 2007

Würdigung von SAS 70 Reports Typ IIWürdigung von SAS 70 Reports Typ II

Kritisch zu würdigen und eventuell abstützenKritisch zu würdigen und eventuell abstützen

Bei Zweifeln:Bei Zweifeln:

Gespräche mit dem Prüfer des RZGespräche mit dem Prüfer des RZ

Anforderung von Zusatzprüfungen durch den Prüfer Anforderung von Zusatzprüfungen durch den Prüfer des RZdes RZ

Eventuell selbst Zusatzprüfungshandlungen (nicht Eventuell selbst Zusatzprüfungshandlungen (nicht nach ISA 402)nach ISA 402)

Verweis auf SAS 70 Report unzulässigVerweis auf SAS 70 Report unzulässig



Mai 2007

ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei RechenzentrumskundenISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei Rechenzentrumskunden

Bei Vorliegen von SAS 70/ISA 402 – Reports:Bei Vorliegen von SAS 70/ISA 402 – Reports:

Klares Aufzeigen der Serviceverantwortungen von Klares Aufzeigen der Serviceverantwortungen von Kunde und RechenzentrumKunde und Rechenzentrum

Die IT Prozesse und -Systeme, die in der Die IT Prozesse und -Systeme, die in der Verantwortung des Kunden liegen, sind auch von Verantwortung des Kunden liegen, sind auch von dessen Wirtschaftsprüfer zu prüfendessen Wirtschaftsprüfer zu prüfen

38

Sarbanes OxleySarbanes Oxley



Mai 2007

Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404

Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüberFinanzreporting (ICOFR) und berichtet darüberDer externe, unabhängige Prüfer gibt ein Testat Der externe, unabhängige Prüfer gibt ein Testat über den Management-Testüber den Management-Test

Prüfer berichtet direkt über die Wirksamkeit des Prüfer berichtet direkt über die Wirksamkeit des IKSIKSSeit 2004 für US-Unternehmen, die SEC gelistet Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlichsind, erforderlichAndere Unternehmen (foreign issuers) ab 2006Andere Unternehmen (foreign issuers) ab 2006



Mai 2007

PCAOB, Auditing Standard No. 2PCAOB, Auditing Standard No. 2

Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Oversight Board)Oversight Board)

Anforderungen für die SOX-Prüfungen und Anleitung zur Anforderungen für die SOX-Prüfungen und Anleitung zur DurchführungDurchführung

Management TestsManagement Tests

JahresabschlussprüfungJahresabschlussprüfung

Grundsätzlich am Internal Control framework COSO ausgerichtetGrundsätzlich am Internal Control framework COSO ausgerichtet

Umfeld (control environment)Umfeld (control environment)

Risikobewertung (risk assessment)Risikobewertung (risk assessment)

Kontrollen (control activities)Kontrollen (control activities)

Information und Kommunikation (information and communication)Information und Kommunikation (information and communication)

Überwachung (monitoring)Überwachung (monitoring)



Mai 2007

Verantwortung des ManagementVerantwortung des Management

Übername der Verantwortung für die Wirksamkeit des Übername der Verantwortung für die Wirksamkeit des IKSIKS

Beurteilung der Wirksamkeit an Hand entsprechender Beurteilung der Wirksamkeit an Hand entsprechender Kriterien (Management-Assessment)Kriterien (Management-Assessment)

Bereitstellung von Evidence und DokumentationBereitstellung von Evidence und Dokumentation

Erstellung einer schriftlichen Erklärung über die Erstellung einer schriftlichen Erklärung über die Wirksamkeit des IKSWirksamkeit des IKS



Mai 2007

Verantwortung des AuditorsVerantwortung des Auditors

Der Auditor muss die Vorgehensweise des Management-Der Auditor muss die Vorgehensweise des Management-Assessments verstehen und die Beurteilung des Managements Assessments verstehen und die Beurteilung des Managements evaluierenevaluieren

Der Auditor muss hierbeiDer Auditor muss hierbei

bestimmen, welche Kontrollaktivitäten wesentlich sindbestimmen, welche Kontrollaktivitäten wesentlich sind

die Kontrollaktivitäten dokumentierendie Kontrollaktivitäten dokumentieren

Design und Wirksamkeit beurteilenDesign und Wirksamkeit beurteilenKontrolle dazu geeignet, das Prozessziel zu erreichenKontrolle dazu geeignet, das Prozessziel zu erreichen

Kontrollen sind den Risiken entsprechend festgelegtKontrollen sind den Risiken entsprechend festgelegt

Kontrollschwächen bestimmen und deren Auswirkung bewerten Kontrollschwächen bestimmen und deren Auswirkung bewerten (Significant Deficiencies oder Material Weaknesses)(Significant Deficiencies oder Material Weaknesses)

Findings und Auswirkungen kommunizierenFindings und Auswirkungen kommunizieren



Mai 2007

IT Controls – gemäß PCAOBIT Controls – gemäß PCAOB

IT controls in drei EbenenIT controls in drei Ebenen

IT Überlegungen im Kontrollumfeld (Planung, IT Überlegungen im Kontrollumfeld (Planung, Organisation, Personal, …)Organisation, Personal, …)

Anwendungskontrollen (Application Controls)Anwendungskontrollen (Application Controls)

IT General ControlsIT General Controls

Management ist für Definition und Test von IT Management ist für Definition und Test von IT Kontrollen auf allen drei Ebenen verantwortlichKontrollen auf allen drei Ebenen verantwortlich

Einsatz eines Control Frameworks, das sich an COSO Einsatz eines Control Frameworks, das sich an COSO orientiert, empfohlenorientiert, empfohlen



Mai 2007

Auswirkungen von Sarbanes Oxley Act auf die ITAuswirkungen von Sarbanes Oxley Act auf die IT

Massive AuswirkungenMassive AuswirkungenKontrollen müssen dokumentiert und geprüft Kontrollen müssen dokumentiert und geprüft werdenwerdengroße Teile der Kontrollen in der IT große Teile der Kontrollen in der IT (oft 50 bis 70 %)(oft 50 bis 70 %)Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert KontrollenWesentliche Kontroll-Schwachstellen sind oft in Wesentliche Kontroll-Schwachstellen sind oft in der ITder ITUnterscheidung in Anwendungskontrollen und Unterscheidung in Anwendungskontrollen und General IT ControlsGeneral IT ControlsCobiT als Standard für General IT Controls CobiT als Standard für General IT Controls anerkanntanerkanntÜberleitung von COSO auf CobiT in einer Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance InstituteVeröffentlichung vom IT Governance Institute



Mai 2007

IT General Controls – gemäß PCAOBIT General Controls – gemäß PCAOB

IT General Controls sind Kontrollen, die zur Steuerung IT General Controls sind Kontrollen, die zur Steuerung von IT Systemen und IT Prozessen im Einsatz sind.von IT Systemen und IT Prozessen im Einsatz sind.

ITGCs sind für Risiken der folgenden Bereiche ITGCs sind für Risiken der folgenden Bereiche umzusetzenumzusetzen

Zugriff zu Programmen und DatenZugriff zu Programmen und DatenÄnderung von ProgrammenÄnderung von ProgrammenEntwicklung von ProgrammenEntwicklung von ProgrammenBetrieb von ITBetrieb von ITEnd User Computing *End User Computing *

* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken



Mai 2007

ITGC und AnwendungskontrollenITGC und Anwendungskontrollen

Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, die durch IT Systeme und Applikationen unterstützt werdendie durch IT Systeme und Applikationen unterstützt werdenDer Kernprozess ist üblicherweise für die Identifikation und Der Kernprozess ist üblicherweise für die Identifikation und Dokumentation der Kontrollen zuständigDokumentation der Kontrollen zuständigBeispiele für derartige KontrollenBeispiele für derartige Kontrollen

AutorisierungAutorisierungKonfigurationen (zB Kontenpläne)Konfigurationen (zB Kontenpläne)Ausnahmereports (zB über erfolgte Bearbeitungen)Ausnahmereports (zB über erfolgte Bearbeitungen)SchnittstellenSchnittstellenSystemzugriffSystemzugriff

Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Wirksamkeit von AnwendungskontrollenWirksamkeit von Anwendungskontrollen

Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC automatisch unwirksam!automatisch unwirksam!



Mai 2007

SOX ZusammenfassungSOX Zusammenfassung

Fokussiert auf FinanzberichteFokussiert auf Finanzberichte

Festlegung des IKS durch das ManagementFestlegung des IKS durch das Management

Identifikation von Risiken und ProzessenIdentifikation von Risiken und Prozessen

Identifikation oder Neudefinition von entsprechenden KontrollenIdentifikation oder Neudefinition von entsprechenden Kontrollen

Dokumentation der Prozesse und KontrollenDokumentation der Prozesse und Kontrollen

Regelmäßige Tests der Kontrollen durch das ManagementRegelmäßige Tests der Kontrollen durch das Management

Design: Art der Kontrolle, Anordnung im ProzessDesign: Art der Kontrolle, Anordnung im Prozess

Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Nachvollziehbarkeit der Durchführung von KontrollenNachvollziehbarkeit der Durchführung von Kontrollen

Einleitung und Umsetzung von VerbesserungsmaßnahmenEinleitung und Umsetzung von Verbesserungsmaßnahmen



Mai 2007

„Euro-SOX“„Euro-SOX“

8. EU-Audit Richtlinie wurde im Juni 2006 vom 8. EU-Audit Richtlinie wurde im Juni 2006 vom europäischen Parlament beschlosseneuropäischen Parlament beschlossen

Ist bis Juni 2008 in lokales Recht umzusetzen (dann Ist bis Juni 2008 in lokales Recht umzusetzen (dann keine Übergangsfrist)keine Übergangsfrist)

Das Funktionieren des Internen Kontrollsystems ist Das Funktionieren des Internen Kontrollsystems ist danach (jährlich) vom Prüfungsausschuss des danach (jährlich) vom Prüfungsausschuss des Aufsichtsrates zu prüfenAufsichtsrates zu prüfen

49

GesetzeGesetze



Mai 2007

GesetzestexteGesetzestexte

§ 189 UGB:§ 189 UGB:

(2) Lesbarkeit(2) Lesbarkeit

(3) Inhaltsgleiche, vollständige, geordnete (3) Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist)Wiedergabe (volle Aufbewahrungsfrist)

§ 131 BAO:§ 131 BAO:

(2) Zusammenhang zw. Buchungen und Belegen (2) Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und nachweisbar; Nachweis der Vollständigkeit und RichtigkeitRichtigkeit

(3) Datenträger können verwendet werden(3) Datenträger können verwendet werden



Mai 2007

Aktiengesetz (AktG)Aktiengesetz (AktG)

Viele Bestimmungen, die zu Corporate Governance Viele Bestimmungen, die zu Corporate Governance beitragen,beitragen,

zB § 81 Quartalsberichte und Jahresberichte an den zB § 81 Quartalsberichte und Jahresberichte an den AufsichtsratAufsichtsrat

§ 92 Ausschüsse für Jahresabschlusserstellung§ 92 Ausschüsse für Jahresabschlusserstellung

Vorstandsverantwortung für Corporate Governance Vorstandsverantwortung für Corporate Governance wird derzeit in § 82 subsummiert:wird derzeit in § 82 subsummiert:

„„Der Vorstand hat dafür zu sorgen [...] dass ein Der Vorstand hat dafür zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.



Mai 2007

GmbHGGmbHG

Bei großen GmbHs gelten die Bestimmungen des Bei großen GmbHs gelten die Bestimmungen des AktG über Aufsichtsräte sinngemäß.AktG über Aufsichtsräte sinngemäß.

Die Verantwortung der Geschäftsführer für Die Verantwortung der Geschäftsführer für Corporate Governance wird in § 22 subsummiert:Corporate Governance wird in § 22 subsummiert:

„„Die Geschäftsführer haben dafür zu sorgen...dass Die Geschäftsführer haben dafür zu sorgen...dass ein internes Kontrollsystem geführt wird, das den ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.



Mai 2007

IT Compliance nahe GesetzeIT Compliance nahe Gesetze

DatenschutzgesetzDatenschutzgesetz

FernabsatzgesetzFernabsatzgesetz

Telekommunikationsgesetz Telekommunikationsgesetz

Signaturgesetz, SignaturverordnungSignaturgesetz, Signaturverordnung

eCommerce GesetzeCommerce Gesetz

eGovernment GesetzeGovernment Gesetz

InformationssicherheitsgesetzInformationssicherheitsgesetz

Emittenten Compliance Verordnung Emittenten Compliance Verordnung

……



Mai 2007

DSG - Datensicherheit §14 (1/2)DSG - Datensicherheit §14 (1/2)

Maßnahmen zur Gewährleistung der DatensicherheitMaßnahmen zur Gewährleistung der Datensicherheit

Schutz vor zufälliger oder unrechtmäßiger Zerstörung Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlustund vor Verlust

ordnungsgemäße Verwendungordnungsgemäße Verwendung

Daten Unbefugten nicht zugänglich Daten Unbefugten nicht zugänglich



Mai 2007

DSG Datensicherheit §14 (2/2)DSG Datensicherheit §14 (2/2)

Aufgabenverteilung - Funktionstrennung im UnternehmenAufgabenverteilung - Funktionstrennung im Unternehmen

Gültige Aufträge vorhanden (Dokumentation!)Gültige Aufträge vorhanden (Dokumentation!)

Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)

Physische ZugriffssicherheitPhysische Zugriffssicherheit

Logische ZugriffssicherheitLogische Zugriffssicherheit

Absicherung der Geräte gegen unbefugte InbetriebnahmeAbsicherung der Geräte gegen unbefugte Inbetriebnahme

Protokollierung der VerwendungsvorgängeProtokollierung der Verwendungsvorgänge

Dokumentation über die bisher aufgezählten Punkte: Dokumentation über die bisher aufgezählten Punkte: Richtlinien/Auditing/MaßnahmenRichtlinien/Auditing/Maßnahmen

56

Standards für IT GovernanceStandards für IT Governance

57

ITILIT Infrastructure Library

ITILIT Infrastructure Library



Mai 2007

IncidentManagement

ProblemManagement

ChangeManagement

ReleaseManagement

ContinuityManagement

AvailabilityManagement

CapacityManagement

FinancialManagement

Service LevelManagement

Security Management

Configuration Management

ITIL - IT Infrastructure Library ITIL - IT Infrastructure Library



Mai 2007

ITIL – Komponenten (1/2)ITIL – Komponenten (1/2)

Planning to Implement Service ManagementPlanning to Implement Service ManagementWesentliche Aufgaben in der Planung und Umsetzung von IT Service Wesentliche Aufgaben in der Planung und Umsetzung von IT Service ManagementManagement

ICT Infrastructure ManagementICT Infrastructure ManagementNetzwerkmanagementNetzwerkmanagementBetriebsmanagementBetriebsmanagementInstallation von SystemenInstallation von Systemen

Application Management Application Management Softwareentwicklung mit Hilfe eines Lify-Cycle AnsatzesSoftwareentwicklung mit Hilfe eines Lify-Cycle Ansatzes

ITIL Security Management ITIL Security Management Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT SecuritSecurit

The Business PerspectiveThe Business PerspectiveBeziehungsmanagement zum BusinessBeziehungsmanagement zum BusinessOutsourcingOutsourcingKontinuierliche VerbesserungKontinuierliche Verbesserung



Mai 2007

ITIL – Komponenten (2/2)ITIL – Komponenten (2/2)

Service SupportService SupportService Desk Service Desk Configuration ManagementConfiguration Management Incident Management Incident Management Problem Management Problem Management Release Management Release Management Change ManagementChange Management

Service DeliveryService DeliveryService Level ManagementService Level ManagementFinancial ManagementFinancial ManagementCapacity ManagementCapacity ManagementAvailability ManagementAvailability ManagementIT Continuity ManagementIT Continuity Management

http://www.itil.org/itil_063.html

61

CobiTCobiT



Mai 2007

CobiTCobiT

CobiT = Control Objectives for Information and Related CobiT = Control Objectives for Information and Related TechnologyTechnologyProzessorientiertes Framework für die Steuerung von IT Prozessorientiertes Framework für die Steuerung von IT ProzessenProzessenHerausgegeben vom IT Governance Institute, früher ISACAHerausgegeben vom IT Governance Institute, früher ISACAInhalt wird vom CobiT Steering Committee gesteuert und von Inhalt wird vom CobiT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT Management, Universitäten, Experten aus den Bereichen IT Management, Governance, Consulting und Audit entwickeltGovernance, Consulting und Audit entwickeltOrientiert sich an Unternehmenszielen und Orientiert sich an Unternehmenszielen und UnternehmenserfordernissenUnternehmenserfordernissenWerkzeug für Geschäftsführung, IT Management und IT Werkzeug für Geschäftsführung, IT Management und IT ProzessmanagerProzessmanagerBasiert auf einer Vielzahl internationaler StandardsBasiert auf einer Vielzahl internationaler StandardsDokumente auf www.isaca.org zum Download und als Bücher Dokumente auf www.isaca.org zum Download und als Bücher verfügbarverfügbar



Mai 2007

Entwicklung von CobiTEntwicklung von CobiT

Governance

Management

Control

Audit

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005



Mai 2007

CobiT – BestandteileCobiT – Bestandteile

IT Prozesse

Control Objectives

Control Practices

Audit Guidelines

Activity Goals

Maturity ModelleKey Goal Indicators

Key Performance Indicators

Kerngeschäft

Anforderungen Information

gesteuert durch

realisiert

durchüber

setzt

in

geprüft

durch

effi

zien

t un

d e

ffek

tiv

dur

ch

gem

esse

n du

rch

für

Out

put für Reife

für Perfo

rmance



Mai 2007

Vom Ziel zur ArchitekturVom Ziel zur Architektur

Unternehmensziele für IT

IT Ziele

Unternehmens-architektur für IT

bestimmen

messen

messen

bestimmen

IT S

corecard

Unternehmens- und Governance- Erfordernisse



Mai 2007

Unternehmensziele für IT

IT Ziele

IT Prozesse

Unternehmens Erfordernisse

Governance Erfordernisse

Informations -Services

Information Criteria

erfordern beeinflussen

setzen voraus

Unterstützung durch CobiTUnterstützung durch CobiT

IT Prozesse(mit Verantwortlichen)

liefernInformation

Anwendungen

Infrastrukturund Personal

betreiben

benötigt



Mai 2007

Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)

0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert

0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

SymboleSymbole ReifegradeReifegrade

0 1 2 3 4 5

Non-existent(nicht existent)

Initial(initial)

Repeatable(wiederholbar)

Defined(definiert)

Managed(gemanagt)

Optimised(optimiert)



Mai 2007

Der IT Prozess nach CobiTDer IT Prozess nach CobiT

INFORMATION

Monitor and Evaluate

Deliver and Support

Acquire and Implement

Plan and Organise

• Effizienz• Effektivität• Vertraulichkeit• Integrität• Verfügbarkeit• Compliance• Verlässlichkeit

• Anwendungen• Information• Infrastruktur• Personal

IT RESSOURCEN



Mai 2007

IT-Prozesse nach CobiTIT-Prozesse nach CobiT

Information

Monitor and Evaluate

Deliver and Support Acquire and

Implement

Plan and Organise

PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation

and relationships.PO5 Manage the IT investment.PO6 Communicate management aims and

direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology

infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.

DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure regulatory compliance.ME4 Provide IT governance.



Mai 2007

Bestandteile von ProzessenBestandteile von Prozessen

Prozessbeschreibung

Domäne und InformationResources

IT Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance& IT Resources



Mai 2007


RACI-Chart zur Darstellung der Verantwortlichkeiten, zBRACI-Chart zur Darstellung der Verantwortlichkeiten, zB

Inputs und Outputs, zBInputs und Outputs, zB



Mai 2007


Messgrößen auf unterschiedlichen Ebenen und deren Verbindung Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zBzu IT Zielen, zB



Mai 2007


Prozessspezifisches Reifegradmodell, zBProzessspezifisches Reifegradmodell, zB



Mai 2007


214 Detaillierte Control Objectives, zB:214 Detaillierte Control Objectives, zB:



Mai 2007

Started in 2003Started in 2003Integration of StandardsIntegration of StandardsUpdate of CobiTUpdate of CobiT

CobiT Mapping ProjectCobiT Mapping Project

Further mappingsFurther mappingsIn progressIn progress

TOGAF (Architecture)TOGAF (Architecture)COSO ERMCOSO ERMGBPMGBPM

On our radarOn our radarITIL v3ITIL v3FFEIC (US banking)FFEIC (US banking)NIAC (Insurance)NIAC (Insurance)NIST SP800-53NIST SP800-53FISMA FISMA IAIS Framework (Solvency II)IAIS Framework (Solvency II)HIPAA (Health Insurance)HIPAA (Health Insurance)GLBA (Privacy)GLBA (Privacy)ISO19770-1 (SW Asset Mgmt)ISO19770-1 (SW Asset Mgmt)ISO 20000 (Service Mgmt)ISO 20000 (Service Mgmt)ISO 27005 (Risk Mgmt)ISO 27005 (Risk Mgmt)ISO 27002 (ISO17799)ISO 27002 (ISO17799)

76

ValITValIT



Mai 2007

The Fundamental QuestionThe Fundamental Question

Are we managing our investments Are we managing our investments in IT such that:in IT such that:

we are getting optimal value;we are getting optimal value;

at an affordable cost; andat an affordable cost; and

with an acceptable level of risk?with an acceptable level of risk?



Mai 2007

The strategic question. Is the investment:In line with our vision?Consistent with our business principles?Contributing to our strategic objectives?Providing optimal value, at affordable cost, at an acceptable level of risk?

In the value question. Do we have:A clear and shared understanding of the expected benefits?Clear accountability for realising the benefits?Relevant metrics?An effective benefits realisation process?

The architecture question. Is the investment:In line with our architecture?Consistent with our architectural principles?Contributing to the population of our architecture?In line with other initiatives?

The delivery question. Do we have:Effective and disciplined delivery and change management processes?Competent and available technical and business resources t deliver:

the required capabilities; andthe organisational changes required to leverage the capabilities.

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?Some fundamental

questionsabout thevalue deliveredby IT

The Four “Ares” - continually asking…



Mai 2007

A New PerspectiveA New Perspective

IT Investments

Investments inIT-enabled Change



Mai 2007

Projects, Programmes and Portfolios

PortfolioPortfolioManagementManagement

Programme Programme ManagementManagement

Project Project ManagementManagement

Programme – a structured grouping of projects designed to produce clearly identified business value

Project – a structured set of activities concerned with delivering a defined capability based on an agreed schedule and budget

Portfolio – a suite of business programmes managed to optimise overall enterprise value



Mai 2007

Val IT Principles

IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of investmentsa portfolio of investments. .

IT-enabled investments will include the IT-enabled investments will include the full scope of activities full scope of activities that are that are required to achieve business value. required to achieve business value.

IT-enabled investments will be managed through their IT-enabled investments will be managed through their full economic life full economic life cyclecycle. .

Value delivery practices will recognise that there areValue delivery practices will recognise that there are different categories different categories of investmentsof investments that will be evaluated and managed differently. that will be evaluated and managed differently.

Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will and will respond quickly to any changes or deviations. respond quickly to any changes or deviations.

Value delivery practices will engage all stakeholders and assign Value delivery practices will engage all stakeholders and assign appropriate accountabilityappropriate accountability for the delivery of capabilities and the for the delivery of capabilities and the realisation of business benefits. realisation of business benefits.

Value delivery practices will be Value delivery practices will be continually monitored, evaluated and continually monitored, evaluated and improvedimproved. .



Mai 2007

ValITProcesses & Key Management Practices

VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted

accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category

PM1 Maintain human resource inventory

PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements

and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme

concept business casePM8 Evaluate & assign relative score to

programme business casePM9 Create overall portfolio viewPM10 Make and communicate

investment decisionPM11 Stage-gate (and fund) selected

programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio

performance

IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme

ValueGovernance

(VG)

PortfolioManagement

(PM)Investment

Management(IM)

VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted

accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category

PM1 Maintain human resource inventory

PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements

and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme

concept business casePM8 Evaluate & assign relative score to

programme business casePM9 Create overall portfolio viewPM10 Make and communicate

investment decisionPM11 Stage-gate (and fund) selected

programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio

performance

IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme

ValueGovernance

(VG)

PortfolioManagement

(PM)Investment

Management(IM)



Mai 2007

Val IT Framework - DetailVal IT Framework - Detail

Domain: Value Governance (VG)Process CobiT RACI Chart

Description Key Management Practices Cross Ref. Exec Bus IT

CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2

VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored.

CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9

VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise.

CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1Secondary:PO5.2-5, PO10.2

VG2 Define and implement processesDefine, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consistent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.

CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2

VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.

•Establish governance, monitoring and control framework

•Establish Strategic Direction

•Establish portfolio characteristics

84

ISO/IEC 17799:2005ISO/IEC 17799:2005



Mai 2007

ISO/IEC 17799:2005ISO/IEC 17799:2005

Historie:Historie:

CoP for Security ManagementCoP for Security Management

BS7799 Part 1BS7799 Part 1

ISO 17799:2000ISO 17799:2000

Zukünftig:Zukünftig:

ISO/IEC 2700x-FamilieISO/IEC 2700x-Familie

Best Practice für Informations-SicherheitBest Practice für Informations-Sicherheit

Herausgegeben von der ISOHerausgegeben von der ISO

Zeitweise im Konflikt mit BSI - GrundschutzhandbuchZeitweise im Konflikt mit BSI - Grundschutzhandbuch

Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)

86

Integration von StandardsIntegration von Standards

87Integrating Application Mgmt. & Service Mgmt.

COBIT

IT OPERATIONS

IT Governance

Quality Systems & Frameworks

Service M

gm

t.

Ap

p. D

ev. (SD

LC

)

Pro

ject Mg

mt.

IT P

lann

ing

IT S

ecurity

Qu

ality System

IT Governance Model

COSO

ITIL

BS7799

PMI

ISO

SixSigma

TSOIS

Strategy

ASL

CMM

Sarbanes Oxley

US Securities & Exchange Commission



Mai 2007

Gartner‘s AdviseGartner‘s Advise

Combine CobiT and ITIL for Powerful IT GovernanceCombine CobiT and ITIL for Powerful IT GovernanceStrong framework tools are essential for ensuring IT resources are Strong framework tools are essential for ensuring IT resources are aligned with an enterprise‘s business objectives, and that services and aligned with an enterprise‘s business objectives, and that services and information meet quality, fiduciary and security needs.information meet quality, fiduciary and security needs.Bottom Line:Bottom Line:

CobiT and ITIL are not mutually exclusive and can be combined to provide CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT a powerful IT governance, control and best-practice framework in IT service management. service management. Enterprises that want to put their ITIL program into the context of a wider Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT.control and governance framework should use CobiT.

Source: Technical Guidelines, TG-16-1849, S.Mingay, S. BittingerSource: Technical Guidelines, TG-16-1849, S.Mingay, S. Bittinger



Mai 2007

Forrester Quotes (Jan 5 2006)Forrester Quotes (Jan 5 2006)

Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation

First CobiT for overall governanceFirst CobiT for overall governance

Then ITIL for service delivery and managementThen ITIL for service delivery and management

Then ISO 17799 for information securityThen ISO 17799 for information security

Balanced Scorecard for measurement and Balanced Scorecard for measurement and communicationcommunication

Source: Forrester Helping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance by Craig Symons



Mai 2007

Potential CobiT & ITILPotential CobiT & ITIL

Stakeholder Stakeholder

C F O

O P s A D S D

C IO C M O C xO

C E O CobiT

ITIL



Mai 2007

AusblickAusblick

Die Zeit ist reifDie Zeit ist reif

Für nachvollziehbare und messbare IT ProzesseFür nachvollziehbare und messbare IT Prozesse

Einhaltung internationaler StandardsEinhaltung internationaler Standards

Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand

Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)

Professionelle Unterstützung empfehlenswert – Professionelle Unterstützung empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know besonders auch mit Prüfungs- und Kontroll – Know HowHow



Mai 2007

IT – Governance – Services der KPMGIT – Governance – Services der KPMG

Quick AssessmentsQuick AssessmentsDetailbeurteilungenDetailbeurteilungenGesamthafte Einführung von IT GovernanceGesamthafte Einführung von IT GovernanceDefinition und Umsetzung von Verantwortlichkeiten und RollenDefinition und Umsetzung von Verantwortlichkeiten und RollenErarbeitung von IT-StrategienErarbeitung von IT-StrategienNachweisbare, nutzenorientierte Ausrichtung der IT an den Nachweisbare, nutzenorientierte Ausrichtung der IT an den UnternehmenszielenUnternehmenszielenGestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung des Internen Kontrollsystems in der ITGestaltung des Internen Kontrollsystems in der ITErhöhung des Reifegrades der IT-ProzesseErhöhung des Reifegrades der IT-ProzesseIntegration von ITIL, CMM, ISO 17799,…Integration von ITIL, CMM, ISO 17799,…BenchmarkingBenchmarkingIT Due DiligenceIT Due Diligence



Mai 2007

Kontakt – Dr. Michael SchirmbrandKontakt – Dr. Michael Schirmbrand

Partner of KPMG AustriaPartner of KPMG AustriaHead of the service line Head of the service line “Information Risk Management” “Information Risk Management” of KPMG Austriaof KPMG AustriaCPA / PhDCPA / PhDChairman of the board of ISACA AustriaChairman of the board of ISACA AustriaCISA - Certified Information Systems AuditorCISA - Certified Information Systems AuditorCISM – Certified Information Security ManagerCISM – Certified Information Security ManagerChairman of the IT committee of the Austrian Chairman of the IT committee of the Austrian Chamber of Public AccountantsChamber of Public AccountantsMember of the worldwide CobiT Steering Member of the worldwide CobiT Steering CommitteeCommitteeMember of the Steering Committee of the IT Member of the Steering Committee of the IT Governance InstituteGovernance InstituteAuthor of publications about IT Governance, IT Author of publications about IT Governance, IT Security und IT Audits as well as several Security und IT Audits as well as several professional articles. Lecturer at Austrian professional articles. Lecturer at Austrian Universities.Universities.

[email protected] +43 1 31332-656 [email protected] +43 1 31332-656

Dr Michael Schirmbrand Mai 2007

Documents

Transcript of Dr Michael Schirmbrand Mai 2007