Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter...

Michael Schirmbrand 11. Apr 2023

Michael Schirmbrand 11. Apr 2023

BUSINESS ADVISORY SERVICE

IT Advisory

IT- Governance

Unter besonderer Berücksichtung von Compliance / IT Audit

Michael Schirmbrand 11. Apr 2023 2

© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

IT-Governance AusgangslageIT-Governance Ausgangslage

Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie.

Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium.

Fehlende Ausrichtung an den Geschäftszielen

Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet.

Fehlende Nutzenbewertung von IT-Projekten

Der Nutzen von (IT-)Projekten wird meist nicht gemessen.

Fehlende IT-Prozessorganisation

Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar.

Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder nachvollziehbar.

Beobachtungen in Österreich:




Unkenntnis der relevanten RegularienUnkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der Prüfer Event getriebener Ansatz für ComplianceEvent getriebener Ansatz für Compliance

Eine Vervielfachung der Regularien ist in den Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwartenfolgenden Jahren zu erwarten

Warum (IT-) Audits noch immer nicht bestanden werdenWarum (IT-) Audits noch immer nicht bestanden werden

(Siehe auch Information Systems Control Journal 5/2007)




Gartner’s Regulations and Related Standards Hype CycleGartner’s Regulations and Related Standards Hype Cycle

Solvency II




Stabiler Wert und Vertrauen

IT GovernanceBalance zwischen Risiko und PerformanceIT GovernanceBalance zwischen Risiko und Performance

ProzessVerbesserung

VerbesserteKontrolle

IntegriertesRisiko Management

ProzessTransformation

Performance

Ris

iko

Compliance

Die Die Rechtssprechung Rechtssprechung zieht das Pendel in zieht das Pendel in Richtung RisikoRichtung Risiko

Wettbewerb und Wettbewerb und Marktdruck Marktdruck drücken das drücken das Pendel Richtung Pendel Richtung PerformancePerformance

IT Governance IT Governance managt die managt die Balance zwischen Balance zwischen Risikomanagement Risikomanagement und Performance-und Performance-erfordernis.erfordernis.




IT-Governance: Eine DefinitionIT-Governance: Eine Definition

CorporateGovernance

ITGovernance

BusinessInformations-systeme Für IT-Governance sind Vorstand und

Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.

— IT Governance Institute




Strategic AlignmentStrategic Alignment Value DeliveryValue Delivery IT Asset ManagementIT Asset Management Risk ManagementRisk Management Performance MeasurementPerformance Measurement

GartnerGartner CSCCSC CompassCompass GigaGiga AICPA/CICAAICPA/CICA CIO MagazineCIO Magazine Technology Technology

CouncilCouncil

Prioritäten der AnalystenPrioritäten der Analysten

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance




IT-Governance Focus AreasIT-Governance Focus Areas

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT GovernanceIT Governance




IT Governance Focus Areas (1)IT Governance Focus Areas (1)

Strategic Alignment (Strategische Ausrichtung) Strategic Alignment (Strategische Ausrichtung) Sicherstellung des Verbunds von Unternehmens- und IT Sicherstellung des Verbunds von Unternehmens- und IT

ZielenZielen Festlegung, Beibehaltung und Validierung des WertbeitragsFestlegung, Beibehaltung und Validierung des Wertbeitrags Abgleich zwischen operativem Betrieb des Unternehmens Abgleich zwischen operativem Betrieb des Unternehmens

und jenem der ITund jenem der IT Value Delivery (Schaffen von Werten/Nutzen) Value Delivery (Schaffen von Werten/Nutzen)

Realisierung des Wertbeitrags im LeistungszyklusRealisierung des Wertbeitrags im Leistungszyklus Sicherstellung der Generierung des strategisch geplanten Sicherstellung der Generierung des strategisch geplanten

Nutzens Nutzens Kostenoptimierung Kostenoptimierung Erbringung des intrinsischen Nutzens der ITErbringung des intrinsischen Nutzens der IT

Resource Management (Ressourcenmanagement) Resource Management (Ressourcenmanagement) Optimierung von Investitionen in IT-Ressourcen Optimierung von Investitionen in IT-Ressourcen geregeltes Management von IT-Ressourcengeregeltes Management von IT-Ressourcen Optimierung von Wissen und InfrastrukturOptimierung von Wissen und Infrastruktur

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance




IT Governance Focus Areas (2)IT Governance Focus Areas (2)

Risk Management (Risikomanagement) Risk Management (Risikomanagement) Risiko-Awareness bei der UnternehmensleitungRisiko-Awareness bei der Unternehmensleitung Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis für Compliance-ErfordernisseVerständnis für Compliance-Erfordernisse Transparenz über die für das Unternehmen wichtigsten Transparenz über die für das Unternehmen wichtigsten

Risiken Risiken Integration der Verantwortlichkeit für Risikomanagement in Integration der Verantwortlichkeit für Risikomanagement in

der Organisationder Organisation Performance Measurement (Messen von Performance) Performance Measurement (Messen von Performance)

Verfolgen und überwachen der Umsetzung Verfolgen und überwachen der Umsetzung der Strategie und von Projektender Strategie und von Projekten

Verwendung von RessourcenVerwendung von Ressourcen Prozessperformance (Balanced Scorecard)Prozessperformance (Balanced Scorecard) Leistungserbringung (engl: Service Delivery)Leistungserbringung (engl: Service Delivery)

Strategic

Alignment

ValueDelivery

Ris

kM

anag

emen

t

ResourceManagement

Perfo

rman

ce

Measu

remen

t

IT Governance




Wesentliche Standards für IT GovernanceWesentliche Standards für IT Governance

forderndfordernd Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT) SAS 70SAS 70 Sarbanes Oxley ActSarbanes Oxley Act 8. EU-Audit-Richtlinie8. EU-Audit-Richtlinie Sonstige relevante GesetzeSonstige relevante Gesetze

helfendhelfend CobiTCobiT ValITValIT ITILITIL ISO 17799ISO 17799 CMMICMMI ……

12

FachgutachtenFachgutachten




Fachgutachten - Verschiedene herausgebende OrganisationenFachgutachten - Verschiedene herausgebende Organisationen

IFAC – International Federation of AccountantsIFAC – International Federation of Accountants ISA (ISA (ISA 402 - Audit Considerations relating to Entities ISA 402 - Audit Considerations relating to Entities

using Service Organizations)using Service Organizations) AICPA – American Institute of CPAsAICPA – American Institute of CPAs

SAS (zB SAS/70 - Reports on the Processing of Transactions SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations)by Service Organizations)

PCAOB – Public Company Accounting Oversight BoardPCAOB – Public Company Accounting Oversight Board Auditing StandardsAuditing Standards

KFS – Kammer der WT - Fachsenat für KFS – Kammer der WT - Fachsenat für DatenverarbeitungDatenverarbeitung KFS/DV1KFS/DV1 KFS/DV2KFS/DV2

IDW – Institut der WirtschaftsprüferIDW – Institut der Wirtschaftsprüfer PS331 (Serviceorganisationen)PS331 (Serviceorganisationen) FAIT (Fachgutachten für die Prüfung von FAIT (Fachgutachten für die Prüfung von

Informationstechnologie)Informationstechnologie)




Fachgutachten ÖsterreichFachgutachten Österreich

KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT Allgemeine Anforderungen (Belegfunktion, Allgemeine Anforderungen (Belegfunktion,

Journalfunktion, Kontenfunktion,...)Journalfunktion, Kontenfunktion,...) Forderung nach FunktionstrennungForderung nach Funktionstrennung Detaillierte Forderungen an die Detaillierte Forderungen an die

SystemdokumentationSystemdokumentation KFS/DV 2 KFS/DV 2

Richtlinien zur Prüfung der IT im Rahmen Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungenvon Jahresabschlussprüfungen




KFS/DV 1 - GrundsätzeKFS/DV 1 - Grundsätze

Allgemeine AnforderungenAllgemeine Anforderungen Unternehmer buchführungspflichtig und Unternehmer buchführungspflichtig und

für Ordnungsmäßigkeit verantwortlich für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)(auch bei Fremd-SW und Online-Verfahren)

RadierverbotRadierverbot Prüfspur progressiv und retrogradPrüfspur progressiv und retrograd Verbot nachträglicher SchreibvorgängeVerbot nachträglicher Schreibvorgänge




Österreich KFS/DV 1 – DokumentationÖsterreich KFS/DV 1 – Dokumentation

VerfahrensdokumentationVerfahrensdokumentation Für Programmentwicklungen, Change Management, Zukäufe von SW Für Programmentwicklungen, Change Management, Zukäufe von SW

(inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein:(inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein:• Anforderung/AufgabenstellungAnforderung/Aufgabenstellung• DatensatzaufbauDatensatzaufbau• Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen)

einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlungeinschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung• DatenausgabeDatenausgabe• DatensicherungDatensicherung• Verfügbare ProgrammeVerfügbare Programme• Art, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests • Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)• VersionsmanagementVersionsmanagement

Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,……

Eventuell können Teile davon auch von externen Dritten zur Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenVerfügung gestellt werden

Dokumentation der ZugriffsverfahrenDokumentation der Zugriffsverfahren Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)




KFS/DV 1 - IKSKFS/DV 1 - IKS

Zusätzlich notwendigZusätzlich notwendig Funktionstrennung Funktionstrennung

(Fachabteilung/Entwickler/Admin)(Fachabteilung/Entwickler/Admin) Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen DatensicherungenDatensicherungen Schutz vor Sabotage, Missbrauch und Schutz vor Sabotage, Missbrauch und

VernichtungVernichtung KontinuitätsmanagementKontinuitätsmanagement Aufbewahrung sämtlicher Aufbewahrung sämtlicher

Dokumentationsbestandteile für 7 JahreDokumentationsbestandteile für 7 Jahre




IDW RS FAIT 2 - DokumentationIDW RS FAIT 2 - Dokumentation

Deutsches Fachgutachten – in einigen Bereichen zur Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1Klarstellung detaillierter als KFS/DV 1

Dokumentation grundsätzlich wie bei FAIT 1, plus Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:zusätzlich: Doku HW/SW (zB Router, Firewall, Virenscanner,..)Doku HW/SW (zB Router, Firewall, Virenscanner,..) Netzwerkarchitektur (auch Anbindung ISP)Netzwerkarchitektur (auch Anbindung ISP) Verwendete ProtokolleVerwendete Protokolle VerschlüsselungsverfahrenVerschlüsselungsverfahren SignaturverfahrenSignaturverfahren Datenflusspläne, Schnittstellen, relevante KontrollenDatenflusspläne, Schnittstellen, relevante Kontrollen Autorisierungsverfahren, Verfahren zur Generierung von Autorisierungsverfahren, Verfahren zur Generierung von

BuchungenBuchungen




IDW RS FAIT 2 - IKSIDW RS FAIT 2 - IKS

Für IKS zusätzlich notwendigFür IKS zusätzlich notwendig Firewall Einstellungen (+Überprüfungen)Firewall Einstellungen (+Überprüfungen) Firewall-Logs (+Überprüfungen)Firewall-Logs (+Überprüfungen) Change Management für die gesamte Change Management für die gesamte

Infrastruktur (Firewalls, Router, Switches,..,)Infrastruktur (Firewalls, Router, Switches,..,) Scanner (IDS, Viren, Kontrollen,..)Scanner (IDS, Viren, Kontrollen,..) Penetration TestsPenetration Tests Überprüfung dieser Themen durch die RevisionÜberprüfung dieser Themen durch die Revision

Dient nur als Beispiel; in Deutschland alles Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahrenfür 10 Jahre aufzubewahren




Überblick Fachgutachten KFS/DV 2Überblick Fachgutachten KFS/DV 2

Fachgutachten „Die Prüfung der IT im Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“Rahmen von Abschlussprüfungen“

Erarbeitet durch FS DVErarbeitet durch FS DV Gemeinsame Überarbeitung durch FS DV Gemeinsame Überarbeitung durch FS DV

und FS HRund FS HR Verabschiedet im November 2004Verabschiedet im November 2004




Struktur KFS/DV 2Struktur KFS/DV 2

A.A. VorbemerkungenVorbemerkungenA.1.A.1. Anwendungsbereich des FachgutachtensAnwendungsbereich des FachgutachtensA.2.A.2. Einbindung in die AbschlussprüfungEinbindung in die AbschlussprüfungB.B. Ziel und Umfang der Prüfung der InformationstechnikZiel und Umfang der Prüfung der InformationstechnikC.C. Tätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikTätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikC.1.C.1. Berücksichtigung der Prüfung der Informationstechnik bei der Berücksichtigung der Prüfung der Informationstechnik bei der

PrüfungsplanungPrüfungsplanungC.2.C.2. Gewinnung eines Überblicks über die Informationstechnik des geprüften Gewinnung eines Überblicks über die Informationstechnik des geprüften

UnternehmensUnternehmensC.3.C.3. Feststellung der wesentlichen aus dem Einsatz der Informationstechnik Feststellung der wesentlichen aus dem Einsatz der Informationstechnik

resultierenden Risikenresultierenden RisikenC.4.C.4. Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung

oder Verminderung der Risikenoder Verminderung der RisikenAnwendungsunabhängige Kontrollen der Informationstechnik-ProzesseAnwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der GeschäftsprozesseAnwendungsabhängige Kontrollen der Geschäftsprozesse

C.5.C.5. Prüfungshandlungen des AbschlussprüfersPrüfungshandlungen des AbschlussprüfersPrüfung der anwendungsunabhängigen KontrollenPrüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen KontrollenPrüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger BuchführungPrüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung

C.6.C.6. Dokumentation der Prüfungshandlungen und Berichterstattung über die Dokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenPrüfungsfeststellungen

D.D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)anderes Unternehmen (IT‑Outsourcing)




KFS/DV 2 - GrundsätzeKFS/DV 2 - Grundsätze

Prüfung der IT ist der der Prüfung des Prüfung der IT ist der der Prüfung des Internen KontrollsystemsInternen Kontrollsystems

Geprüft werden die Geprüft werden die IT Qualitätsmerkmale IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz)Wartbarkeit (nicht Effizienz)

Risikoorientierte PrüfungRisikoorientierte Prüfung Prüfung von StichprobenPrüfung von Stichproben Abhängig von Größe und Komplexität des Abhängig von Größe und Komplexität des

Unternehmens und der eingesetzten Unternehmens und der eingesetzten SystemeSysteme




KFS/DV 2 – Grobüberblick über IT PrüfungenKFS/DV 2 – Grobüberblick über IT Prüfungen

Gewinnung eines Überblicks über Systeme Gewinnung eines Überblicks über Systeme und Abläufeund Abläufe

Prüfung der IT Prozesse Prüfung der IT Prozesse (anwendungs(anwendungsununabhängige IT Kontrollen), abhängige IT Kontrollen), orientiert zB an CobITorientiert zB an CobIT

Prüfung der Anwendungen Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)(anwendungsabhängige IT Kontrollen)




Prüffelder IT-PrüfungPrüffelder IT-Prüfung

allgemeine IT Kontrollen (General IT Controls)allgemeine IT Kontrollen (General IT Controls) AnwendungskontrollenAnwendungskontrollen Sonderthemen (Datenanalysen, Prozess-Erhebung, Sonderthemen (Datenanalysen, Prozess-Erhebung,

Schnittstellen, Datenschutz, Archivierung, Migration)Schnittstellen, Datenschutz, Archivierung, Migration)

IT-Prozess externe Anbindungen

Netzwerk

Betriebssystem(e)

Datenbank 1

Prozess 2Prozess 2Prozess 1Prozess 1 Prozess 3Prozess 3

Telebanking SAPBilling

Datenbank 1 Datenbank 1




Zusätzlich eventuell teilweise ISO 17799, Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,...SysTrust,...

Prüfung des IT Überwachungssystems (IT Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT InfrastrukturUmfeld, IT Organisation, IT Infrastruktur IT Governance, IT Controlling, Kontrolle der IT Governance, IT Controlling, Kontrolle der

Verfahren, Spezielle Auswirkungen von Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der KontrollenRevision, Nachvollziehbarkeit der Kontrollen

KFS/DV 2 – Prüfung anwendungsunabhängig (2)




KFS/DV 2 – Prüfung anwendungsabhängigKFS/DV 2 – Prüfung anwendungsabhängig

Einholung von Informationen über die relevanten Einholung von Informationen über die relevanten AnwendungenAnwendungen

Prüfung und Beurteilung der Programmfunktionen: Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der PrüfungBestandteil der Prüfung

Prüfung der Anwendungskontrollen: Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.




KFS/DV 2 - OutsourcingKFS/DV 2 - Outsourcing

Sofern Aktivitäten als Dienstleistungsunternehmen Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kanngenügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmeninsbesondere aus Prüfung von Dienstleistungsunternehmen oder Serviceunternehmen nach demoder Serviceunternehmen nach dem Standard ISA Standard ISA 402402 der IFAC herangezogen werden.der IFAC herangezogen werden.

28

SAS 70SAS 70




Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)

Standard für die Prüfung von Outsourcing-Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)Dienstleistern (und deren Kontrollumfeld)

Veröffentlichung der AICPAVeröffentlichung der AICPA Gilt grundsätzlich für USA, aber auch bei Gilt grundsätzlich für USA, aber auch bei

Bilanzierung nach US GAAPBilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für Mittlerweile weltweiter De-Facto Standard für

Prüfungen von und für Wirtschaftsprüfern bei (IT ) Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-OrganisationenService-Organisationen

Praktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331In Deutschland auch Standard PS 331 Achtung: Sarbanes Oxley – vom PCAOB Achtung: Sarbanes Oxley – vom PCAOB

vorgeschriebenvorgeschrieben Auch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung In Österreich in Richtlinie IWP-PE14 umgesetztIn Österreich in Richtlinie IWP-PE14 umgesetzt




ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer

Anzuwenden bei (Teil-) Outsourcing der ITAnzuwenden bei (Teil-) Outsourcing der IT Prüfer von RZ-Kunden müssenPrüfer von RZ-Kunden müssen

Report nach SAS 70 / ISA 402 des RZ einholen Report nach SAS 70 / ISA 402 des RZ einholen oderoder

selbst das RZ prüfen oderselbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 jemanden beauftragen, das RZ nach SAS 70

zu prüfen oderzu prüfen oder Bestätigungsvermerk einschränken oder Bestätigungsvermerk einschränken oder

versagenversagen




SAS 70 - BerichterstattungSAS 70 - Berichterstattung

Standard-Text für Bestätigungsvermerk Standard-Text für Bestätigungsvermerk definiertdefiniert

Bei Typ II Report sind die vorhandenen Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail Ergebnisse der Prüfung im Detail dazustellendazustellen

Die Verantwortungen von Kunde und RZ Die Verantwortungen von Kunde und RZ sind klar abzugrenzensind klar abzugrenzen

Bei wesentlichen Mängeln ist der Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versageneinzuschränken oder zu versagen

32

Sarbanes OxleySarbanes Oxley




Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert:

Unternehmensleitung beurteilt das Interne Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüberFinanzreporting (ICOFR) und berichtet darüber

Der externe, unabhängige Prüfer gibt ein Testat Der externe, unabhängige Prüfer gibt ein Testat über den Management-Testüber den Management-Test

Prüfer berichtet direkt über die Wirksamkeit Prüfer berichtet direkt über die Wirksamkeit des IKSdes IKS

Seit 2004 für US-Unternehmen, die SEC Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlichgelistet sind, erforderlich

Andere Unternehmen (foreign issuers) seit Andere Unternehmen (foreign issuers) seit 20062006

34

8. EU-Audit-Richtlinie(RL 2006/43/EG)

“EuroSox”

8. EU-Audit-Richtlinie(RL 2006/43/EG)

“EuroSox”




Ausprägung in ÖsterreichAusprägung in Österreich

Unternehmensrechtsänderungsgesetz (URÄG) 2008Unternehmensrechtsänderungsgesetz (URÄG) 2008 Verabschiedung am 10. April 2008Verabschiedung am 10. April 2008 In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach

31.12.200831.12.2008Unternehmen von öffentlichem Interesse (Betroffene)Unternehmen von öffentlichem Interesse (Betroffene)

Kapitalmarktorientierte UnternehmenKapitalmarktorientierte Unternehmen• Aktien oder Wertpapiere an geregeltem Markt oder Aktien oder Wertpapiere an geregeltem Markt oder

anerkannten, offenen Markt in OECD-Staat notierenanerkannten, offenen Markt in OECD-Staat notieren Versicherungen, BankenVersicherungen, Banken „„Sehr“ große UnternehmenSehr“ große Unternehmen

• >196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme>196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten)

MitgliedernMitgliedern




8. EU-RL / URÄG 2008 – betroffene Parteien8. EU-RL / URÄG 2008 – betroffene Parteien

Vorstand / GFVorstand / GF Verantwortet IKS, interne Revision, RM-SystemVerantwortet IKS, interne Revision, RM-System Stellt Lagebericht und CG-Bericht auf und Stellt Lagebericht und CG-Bericht auf und

unterschreibtunterschreibtPrüfungsausschussPrüfungsausschuss

Überwacht IKS, RM-System, interne RevisionÜberwacht IKS, RM-System, interne Revision Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System)Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System)

AbschlussprüferAbschlussprüfer Prüft Einhaltung relevanter Gesetze (Lagebericht, Prüft Einhaltung relevanter Gesetze (Lagebericht,

Erstellung CG-Bericht, IKS,…)Erstellung CG-Bericht, IKS,…) Berichtet über BeanstandungenBerichtet über Beanstandungen




URÄG 2008Pflichten des PrüfungsausschussesURÄG 2008Pflichten des Prüfungsausschusses

PrüfungsausschussPrüfungsausschuss § 92 AktG, § 30g GmbHG, § 24 GenG§ 92 AktG, § 30g GmbHG, § 24 GenG Pflichten u.a.Pflichten u.a.

•Überwachung der RechnungslegungÜberwachung der Rechnungslegung

•Überwachung der Wirksamkeit des IKSÜberwachung der Wirksamkeit des IKS Schließt interne Revision und RM-System mit einSchließt interne Revision und RM-System mit ein

•Prüfung des Lageberichts und des Corporate Prüfung des Lageberichts und des Corporate Governance BerichtsGovernance Berichts




Auswirkungen 8. EU-RLAuswirkungen 8. EU-RL

8. EU-RL wendet sich kaum direkt an Unternehmen, 8. EU-RL wendet sich kaum direkt an Unternehmen, ABERABER

Der Benchmark von SOX bezüglich IKS wird abfärbenDer Benchmark von SOX bezüglich IKS wird abfärben Über den PrüfungsausschussÜber den Prüfungsausschuss

•Überwachungsaufgaben (IKS, Risikomanagement, etc.)Überwachungsaufgaben (IKS, Risikomanagement, etc.) Über den PrüferÜber den Prüfer

•Die Ausbildung von Prüfern greift IKS und Die Ausbildung von Prüfern greift IKS und Risikomanagement aufRisikomanagement auf

•Der Prüfer muss über das IKS berichtenDer Prüfer muss über das IKS berichten Über die Verantwortlichkeiten des VorstandsÜber die Verantwortlichkeiten des Vorstands Über den MarktÜber den Markt

Wie und woher bekommt der Vorstand / Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS?Prüfungsausschuss seine Informationen über das IKS?




Auswirkungen von Sarbanes Oxley Act auf die ITAuswirkungen von Sarbanes Oxley Act auf die IT Massive AuswirkungenMassive Auswirkungen Kontrollen müssen dokumentiert und Kontrollen müssen dokumentiert und

geprüft werdengeprüft werden große Teile der Kontrollen in der IT große Teile der Kontrollen in der IT

(oft 50 bis 70 %)(oft 50 bis 70 %) Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind Wesentliche Kontroll-Schwachstellen sind

oft in der IToft in der IT Unterscheidung in Anwendungskontrollen Unterscheidung in Anwendungskontrollen

und General IT Controlsund General IT Controls Cobit als Standard für General IT Controls Cobit als Standard für General IT Controls

anerkanntanerkannt Überleitung von COSO auf CobiT in einer Überleitung von COSO auf CobiT in einer

Veröffentlichung vom IT Governance Veröffentlichung vom IT Governance InstituteInstitute

40

FrameworksFrameworks




Frameworks und Standards…Frameworks und Standards…

Source: PINK

IT-BetriebIT

Plan

ung

Anw

endungs-E

ntw

.

Risiko

& S

ecurity

Pro

jektman

agem

ent

Service M

anag

emen

t

Qualitätsm

anag

emen

t

COSO

SarbanesOxley

Basel IISolvency II

8. EU AuditRichtlinie

AktG / GmbHG

COBITValIT

V-Modell

ISO1779927001

BS25999

PMIPRINCE2

ITILISO20000

SixSigmaISO9000

CMMI

Governance

Management

Betrieb

COBIT®

Quelle: Pink Roccade/Elefant




1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht

Gemeinsame Sprache über Kontrollen, Definitionen, Modelle

Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)

Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)

Compliance (Einhaltung von Gesetzen und Regulationen)

Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld)

Risk Assessment (Risikobewertung)

Control Activities (Kontrollaktivitäten)

Information & Communication (Information & Kommunikation)

Monitoring (Überwachung)

Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen:

September 2004: Enterprise Risk Management (COSO II)

Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“

COSO (Internal Control - Integrated Framework)COSO (Internal Control - Integrated Framework)

43

CobiTCobiT




Entwicklung von CobiTEntwicklung von CobiT

Governance

Management

Control

Audit

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005




Was ist IT-Governance?Was ist IT-Governance?

IT-GOVERNANCE

IT-MANAGEMENT

• Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt

• Methode: Führungs- und Organisationsstrukturen sowie Prozesse• Verantwortung: Vorstand und Geschäftsführung

Setze die Strategie um•Erhöhe die Automation (mache das Kerngeschäft

wirksam)•Senke Kosten (mache das Unternehmen

wirtschaftlich)•Manage Risiken (Security, Verlässlichkeit und

Compliance)

Setze Ziele •IT arbeitet im Sinne des Kerngeschäfts

(Alignment)•IT ermöglicht das Kerngeschäft (Enablement)

und maximiert den Nutzen (Value Delivery)•IT Ressourcen werden verantwortungsvoll

eingesetzt•IT-bezogene Risiken werden angemessen

gemanagt

Überführe die

Richtung in eine

Strategie

Messe und Berichte

über Performan

ce

Gib die Richtung

vor

Evaluiere Performan

ce

IT-GOVERNANCE




Unternehmensziele

IT Ziele

IT Prozesse

Unternehmens Erfordernisse

Governance Erfordernisse

Informations -Services

Information Criteria

erfordern beeinflussen

setzen voraus

Unterstützung durch CobiTUnterstützung durch CobiT

IT Prozesse(mit Verantwortlichen)

liefernInformation

Anwendungen

Infrastrukturund Personal

betreiben

benötigt

CobiT




Ausrichtung von IT-Prozessen an UnternehmenszieleAusrichtung von IT-Prozessen an Unternehmensziele

Unternehmensziel IT Ziele

Finanz-perspektive

1 Marktanteil erhöhen 25 282 Erträge erhöhen 25 253 Rendite 244 Kapitalverwertung optimieren 145 Geschäftsrisiken managen 2 14 17 18 19 20 21 22

6 Kunden- und Serviceorientierung erhöhen 3 237 Kostengünstige Produkte und Services anbieten 5 248 Verfügbarkeit von Services 10 16 22 239 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 25

10 Kostenoptimierung bei Serviceerbringung 7 8 10 24

11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 1112 Geschäftsprozess überarbeiten und verbessern 6 7 8 1113 Prozesskosten reduzieren 7 8 13 15 2414 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 2715 Transparenz 2 1816 Compliance mit internen Regelungen 2 1317 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13

18 Produkt-/Geschäftsinnovation 5 25 2819 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 2620 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9

Lern- und Wachstums-perspektive

Finanz-perspektive

Kunden-perspektive

Interne Perspektive

Typische Unternehmensziele Referenz zu IT-Ziel




Typische IT-ZieleTypische IT-Ziele1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher4 Optimiere die Verwendung von Information 5 Stelle IT-Agilität her

6Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt werden.

7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen

10 Stelle die gegenseitig zufriedenstellenden Lieferantenbeziehungen sicher11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher14 Übernimm die Verantwortung für und schütze alle IT-Anlagen15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb17 Schütze die Erreichung der IT-Ziele18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann

21Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist

22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher

28Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung zeigt




CobiT IT-ProzesseCobiT IT-Prozesse

INFORMATION

Monitor and Evaluate

Deliver and Support Acquire and

Implement

Plan and Organise

PO1 Define a strategic IT plan PO2 Define the information architecturePO3 Determine technological direction PO4 Define the IT processes, organisation and

relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects

AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes

DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations

ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance

• Efficiency• Effectiveness• Confidentiality• Integrity• Availability• Compliance• Reliability

• Applications• Information• Infrastructure• People

IT RESSOURCES


Plan and Organise

Acquire and Implement

Deliver and Support




Bestandteile von Prozessen (1/3)Bestandteile von Prozessen (1/3)

Prozessbeschreibung

Domäne und Information-Criteria

IT Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance& IT Resources





RACI-Chart zur Darstellung der Verantwortlichkeiten, RACI-Chart zur Darstellung der Verantwortlichkeiten, zBzB

Inputs und Outputs, zBInputs und Outputs, zB





Messgrößen auf unterschiedlichen Ebenen und deren Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zBVerbindung zu IT Zielen, zB




Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)

0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

Symbole Reifegrade

0 1 2 3 4 5

Non-existent(nicht existent)

Initial(initial)

Repeatable(wiederholbar)

Defined(definiert)

Managed(gemanagt)

Optimised(optimiert)




Reifegradmodell – (Rising-Star-Model)Reifegradmodell – (Rising-Star-Model)

Strategisches Ziel

Handlungsbedarf

Derzeitiger Status

Bewusstsein und Kommunikation

Policies, Standards und Verfahren

Werkzeuge und Automatisierung

Skills und ExpertiseZuständigkeit und Verantwortlichkeit

Zielsetzung und Messung

5

4

3

2

1




Ergebnisse einer Reifegradbeurteilung (zB)Ergebnisse einer Reifegradbeurteilung (zB)

Plan and Organize

0

1

2

3

4

5PO 1

PO 2a

PO 2b

PO 3

PO 4

PO 5

PO 6

PO 7

PO 8

PO 9

PO 10

PO 11

Acquire and Implement

012

34

5AI 1

AI 2

AI 2

AI 3

AI 4a

AI 4b

AI 5

AI 6a

AI 6b

AI 7

Deliver and Support

012

34

5DS 1a

DS 1bDS 2

DS 3

DS 4

DS 5a

DS 5b

DS 5c

DS 5dDS 5e

DS 5fDS 6DS 7

DS 8

DS 9

DS 10

DS 11a

DS 11b

DS 12

DS 13aDS 13b


012

34

5ME 1

ME 2

ME 3

ME 4

56

ValITA value lense into CobiT

ValITA value lense into CobiT




ValIT - PrinciplesValIT - Principles

IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of a portfolio of investments.investments.

IT-enabled investments will include the IT-enabled investments will include the full scope of full scope of activitiesactivities that are required to achieve business value that are required to achieve business value..

IT-enabled investments will be managed through their IT-enabled investments will be managed through their full full economic life cycle.economic life cycle.

Value delivery practices will recognize that there are Value delivery practices will recognize that there are different categories of investmentsdifferent categories of investments that will be that will be evaluated and managed differentlyevaluated and managed differently..

Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will respond quickly to any changes or deviationsand will respond quickly to any changes or deviations..

Value delivery practices will engage all stakeholders and Value delivery practices will engage all stakeholders and assign assign appropriate accountabilityappropriate accountability for the delivery of for the delivery of capabilities and the realization of business benefitscapabilities and the realization of business benefits..

Value delivery practices will be Value delivery practices will be continually monitored, continually monitored, evaluated and improved.evaluated and improved.




Val IT – ProcessesVal IT – Processes

Investment Management (IM)

Portfolio Management (PM)

Value Governance (VG)




ValITProcesses & Key Management Practices

VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted

accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category

PM1 Maintain human resource inventory

PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements

and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme

concept business casePM8 Evaluate & assign relative score to

programme business casePM9 Create overall portfolio viewPM10 Make and communicate

investment decisionPM11 Stage-gate (and fund) selected

programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio

performance

IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme

ValueGovernance

(VG)

PortfolioManagement

(PM)Investment

Management(IM)

VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted

accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category

PM1 Maintain human resource inventory

PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements

and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme

concept business casePM8 Evaluate & assign relative score to

programme business casePM9 Create overall portfolio viewPM10 Make and communicate

investment decisionPM11 Stage-gate (and fund) selected

programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio

performance

IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme

ValueGovernance

(VG)

PortfolioManagement

(PM)Investment

Management(IM)




Val IT Framework - DetailVal IT Framework - Detail

Domain: Value Governance (VG)Process CobiT RACI Chart

Description Key Management Practices Cross Ref. Exec Bus IT

CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2

VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored.

CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9

VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise.

CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1Secondary:PO5.2-5, PO10.2

VG2 Define and implement processesDefine, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis- tent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.

CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2

VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.

•Establish governance, monitoring and control framework

•Establish Strategic Direction

•Establish portfolio characteristics




ValIT – Principles(CIO questionnaire results)ValIT – Principles(CIO questionnaire results)

IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of a portfolio of investments.investments.

IT-enabled investments will include the IT-enabled investments will include the full scope of full scope of activitiesactivities that are required to achieve business value that are required to achieve business value..

IT-enabled investments will be managed through their IT-enabled investments will be managed through their full full economic life cycle.economic life cycle.

Value delivery practices will recognize that there are Value delivery practices will recognize that there are different categories of investmentsdifferent categories of investments that will be that will be evaluated and managed differentlyevaluated and managed differently..

Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will respond quickly to any changes or deviationsand will respond quickly to any changes or deviations..

Value delivery practices will engage all stakeholders and Value delivery practices will engage all stakeholders and assign assign appropriate accountabilityappropriate accountability for the delivery of for the delivery of capabilities and the realization of business benefitscapabilities and the realization of business benefits..

Value delivery practices will be Value delivery practices will be continually monitored, continually monitored, evaluated and improved.evaluated and improved.




Started in 2003Started in 2003 Integration of StandardsIntegration of Standards Update of CobiTUpdate of CobiT

CobiT Mapping ProjektCobiT Mapping Projekt

Künftige mappingsKünftige mappings In UmsetzungIn Umsetzung

• TOGAF (Architektur)TOGAF (Architektur)• COSO ERMCOSO ERM• GBPMGBPM

GeplantGeplant• ITIL v3ITIL v3• FFEIC (US banking)FFEIC (US banking)• NIAC (Insurance)NIAC (Insurance)• NIST SP800-53NIST SP800-53• FISMA FISMA • IAIS Framework (Solvency II)IAIS Framework (Solvency II)• HIPAA (Health Insurance)HIPAA (Health Insurance)• GLBA (Privacy)GLBA (Privacy)• ISO19770-1 (SW Asset Mgmt)ISO19770-1 (SW Asset Mgmt)• ISO 20000 (Service Mgmt)ISO 20000 (Service Mgmt)• ISO 27005 (Risk Mgmt)ISO 27005 (Risk Mgmt)• ISO 27002 (ISO17799)ISO 27002 (ISO17799)




CobiT & ITILCobiT & ITIL

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and I m

p lement

Deliver and Support

Mon

itor

and

Ev a

luat

e

Acq

uire an

d M

aintain

M

on

ito

r an

d E

valu

ate

Deliver and Support

Plan and Organize

1 2 3 4 5 6 7 8 9 10 11 12 13

12

34

12

34

56

1 2 3 4 5 6 7 8 9 10 11

CobiT and ITIL by Jimmy Heschl

1 11 Good coverage Partly addressed No or weak coverage on Process-Level

Coverage of CobiT Processes by ITIL Processes

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Su

pp

ort

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Del

iver

y

Ser

vice

Des

k

Inci

dent

M

anag

emen

t

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

M

anag

emen

t

Con

figur

atio

n M

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

M

anag

emen

t

Fin

anci

al

Man

agem

ent

Con

tinui

ty

Man

agem

ent




CobiT und ITILCobiT und ITIL

Stakeholder StakeholderIT

Governance(CobiT, ValIT)

CFO

OPs AD SD

CIO CMO CxO

CEO

ITILIT xyz

Management




Die Stimme der anderen …Die Stimme der anderen …

Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation First CobiT for overall governanceFirst CobiT for overall governance Then ITIL for service delivery and managementThen ITIL for service delivery and management Then ISO 17799 for information securityThen ISO 17799 for information security Balanced Scorecard for measurement and communicationBalanced Scorecard for measurement and communication

Quelle: Forrester Helping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006




Die Stimme der anderen …Die Stimme der anderen …

Combine CobiT and ITIL for Powerful IT GovernanceCombine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT Strong framework tools are essential for ensuring IT

resources are aligned with an enterprise‘s business resources are aligned with an enterprise‘s business objectives, and that services and information meet quality, objectives, and that services and information meet quality, fiduciary and security needs.fiduciary and security needs.

Bottom Line: Bottom Line: CobiT and ITIL are not mutually exclusive and can be CobiT and ITIL are not mutually exclusive and can be

combined to provide a powerful IT governance, control and combined to provide a powerful IT governance, control and best-practice framework in IT service management. best-practice framework in IT service management.

Enterprises that want to put their ITIL program into the Enterprises that want to put their ITIL program into the context of a wider control and governance framework context of a wider control and governance framework should use CobiT.should use CobiT.

Quelle: Gartner Technical Guidelines, TG-16-1849, S.Mingay, S. BittingerQuelle: Gartner Technical Guidelines, TG-16-1849, S.Mingay, S. Bittinger




AusblickAusblick

Die Zeit ist reifDie Zeit ist reif Für nachvollziehbare und messbare IT ProzesseFür nachvollziehbare und messbare IT Prozesse Nutzen durch die ITNutzen durch die IT Einhaltung internationaler StandardsEinhaltung internationaler Standards Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung ist empfehlenswert – Professionelle Unterstützung ist empfehlenswert –

besonders auch mit Prüfungs- und Kontroll – Know besonders auch mit Prüfungs- und Kontroll – Know HowHow




IT – Governance – Services der KPMGIT – Governance – Services der KPMG

Quick AssessmentsQuick Assessments DetailbeurteilungenDetailbeurteilungen Gesamthafte Einführung von IT GovernanceGesamthafte Einführung von IT Governance Definition und Umsetzung von Verantwortlichkeiten und Definition und Umsetzung von Verantwortlichkeiten und

RollenRollen Erarbeitung von IT-StrategienErarbeitung von IT-Strategien Nachweisbare, nutzenorientierte Ausrichtung der IT an Nachweisbare, nutzenorientierte Ausrichtung der IT an

den Unternehmenszielenden Unternehmenszielen Gestaltung der IT- Prozesse unter Umsetzung von CobiT Gestaltung der IT- Prozesse unter Umsetzung von CobiT

und Gestaltung des Internen Kontrollsystems in der ITund Gestaltung des Internen Kontrollsystems in der IT Erhöhung des Reifegrades der IT-ProzesseErhöhung des Reifegrades der IT-Prozesse Integration von ITIL, CMM, ISO 17799,…Integration von ITIL, CMM, ISO 17799,… BenchmarkingBenchmarking IT Due DiligenceIT Due Diligence




Kontakt – Dr. Michael SchirmbrandKontakt – Dr. Michael Schirmbrand

Partner of KPMG AustriaPartner of KPMG Austria Head of the service line Head of the service line

“IT Advisory” “IT Advisory” of KPMG Austriaof KPMG Austria

CPA / PhDCPA / PhD Board Member of ISACA AustriaBoard Member of ISACA Austria CISA - Certified Information Systems CISA - Certified Information Systems

AuditorAuditor CISM – Certified Information Security CISM – Certified Information Security

ManagerManager Chairman of the IT committee of the Chairman of the IT committee of the

Austrian Chamber of Public AccountantsAustrian Chamber of Public Accountants Member of the worldwide CobiT Steering Member of the worldwide CobiT Steering

CommitteeCommittee Member of the Steering Committee of the Member of the Steering Committee of the

IT Governance InstituteIT Governance Institute Author of publications about IT Author of publications about IT

Governance, IT Security und IT Audits as Governance, IT Security und IT Audits as well as several professional articles. well as several professional articles. Lecturer at Austrian Universities.Lecturer at Austrian Universities.

[email protected] +43 1 31332-656

Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter...

Documents

Transcript of Michael Schirmbrand Dezember 13 BUSINESS ADVISORY SERVICE IT Advisory IT- Governance Unter...