COBIT Einführung

Geschäftsprozesse

IT-Ressourcen

Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltung r.E.

Überwachun g

Betrieb &Unterstützun g

Beschaffung &Implementation

Planung &Organisation

• Daten• Anwendungen• Technologien• Anlagen• Personal

COBIT-FrameworkEine Einführung in das IT-Governance Modell

�Corporate Governance & IT Governance

�COBIT-Framework� Komponenten� Inhalte� Beispiele

�Schlussfolgerungen

© Peter R. Bitterli

Diese Powerpoint-Folien sind frei verwendbar. Sie dürfen sie in eigene Folien undDarstellungen integrieren oder an andere Personen weitergeben; auch ohne einenentsprechenden Urheberrechts-Hinweis aufzuführen.

www.bitterli-consulting.chprb@bitterli-consulting.ch

COBIT Einführung

Committee for Sponsoring Organisations (COSO)In order to discharge management’s responsibilities as wellas to achieve its objectives, they must establish an adequatesystem of internal control. This control system or frameworkmust be in place to support business requirements foreffectiveness and efficiency of operations, reliability ofinformation and compliance with laws and regulations.

Committee for Sponsoring Organisations (COSO)In order to discharge management’s responsibilities as wellas to achieve its objectives, they must establish an adequatesystem of internal control. This control system or frameworkmust be in place to support business requirements foreffectiveness and efficiency of operations, reliability ofinformation and compliance with laws and regulations.

Verantwortlichkeit für IKSgemäss COSO

COBIT Einführung

Que

lle: C

ontr

ol O

bjec

tives

for

Ent

erpr

ise

Gov

erna

nce;

IT G

over

nanc

e In

stitu

te: 1

999

ww

w.it

gove

rnan

ce.o

rg

Aktivitäten für IT-Ressourcen

Aktivitäten fürnetzgestützteTechnologien

Unternehmens-Aktivitäten

Kern -Geschäftsaktivitäten

Aktivitäten fürWissensmanagement

Planungs-Aktivitäten

Organisation

Monitoring-Aktivitäten

Transaktion

Geschäftstätigkeit Organisation/Kommunikation IT/netzgestützte Technologien

Kontrollziele für Geschäftstätigkeiten• Kern-Geschäftsaktivitäten (Produkte,

Dienstleistungen, usw.)• Unternehmensressourcen-Aktivitäten

(Personal, Einrichtungen, usw.)

IT-Kontrollziele• Verbindung zu COBIT (IT-Ressourcen)

Kontrollziele für netzgestützte Technologien• Intranet/Extranet/Internet-Aktivitäten• Data Warehouse-Aktivitäten• Transaktionsverarbeitungs-Aktivitäten

Kontrollziele für Organisationund Kommunikation• Planungsaktivitäten (Ziele teilen)• Überwachungsaktivitäten (Status teilen)• Wissensmanagement-Aktivitäten (Wissen

teilen)

Enterprise Governance ModelWert des Corporate Governance für das Unternehmen

COBIT Einführung

IT-Governance“Definition”

IT-Governance bedeutet:� Die IT ist ausgerichtet auf die

Geschäftstätigkeit, ermöglicht dieseund maximiert dabei den Nutzen

� IT-Ressourcen werden vernünftig(wirtschaftlich) verwendet

� IT-bezogene Risiken werden angemessen“gemanaged”

IT-Governance bedeutet:� Die IT ist ausgerichtet auf die

Geschäftstätigkeit, ermöglicht dieseund maximiert dabei den Nutzen

� IT-Ressourcen werden vernünftig(wirtschaftlich) verwendet

� IT-bezogene Risiken werden angemessen“gemanaged”

IT-Governance ist ein umfassenderBegriff, enthaltend:

� Technologien und Kommunikationfür Informationssysteme

� geschäftliche, rechtliche und andereThemen

� alle betroffenen Stakeholder wieDirektoren, das obere Management,die Eigner von Prozessen,Anwender, IT-Lieferanten,Revisoren, …

IT-Governance ist ein umfassenderBegriff, enthaltend:

� Technologien und Kommunikationfür Informationssysteme

� geschäftliche, rechtliche und andereThemen

� alle betroffenen Stakeholder wieDirektoren, das obere Management,die Eigner von Prozessen,Anwender, IT-Lieferanten,Revisoren, …

COBIT Einführung

Elemente von COBIT (3rd ed)6 Module plus CD-ROM

Implementation Tool Set

Executive Summary

Framework

Control Objectives

Audit Guidelines

Management Guidelines

Critical Success FactorKey Goal Indicator Key

Performance Indicator Maturity Model

Senior Executives (CEO, CIO)

“There is a Method...”

Senior Operational Management

“The Method Is...”

Middle M anagement “Minimum Controls Are...”

Line Management, Controls Practitioner “Here’s How You Audit...”

Director, Middle Management

“Here’s How You Measure...”

Director, Middle Management

“Here’s How You Implement...”

COBIT Einführung

In COBIT integrierte Quelleninsgesamt 41 nationale und internationale Standards

� Technische Standards vonISO, EDIFACT , usw.

� Codes of conductherausgegeben durch EU,OECD, ISACA, usw.

� Qualifikationskriterien für IT-Systeme und -Prozesse:ITSEC, TCSEC, ISO 9000,SPICE, TickIT , ITIL ,Common Criteria, usw.

� Berufsstandards in internerKontrolle und Revision:COSO Report, IFAC , AICPA ,IIA , ISACA, PCIE, GAOStandards, usw.

� Industrie-Praktiken undAnforderungen von Industrie-gremien (ESF, I4) undstaatlich-gesponsortenPlattformen (IBAG , NIST,DTI ), usw.

� Neue industrie-spezifischeAnforderungen aus denUmfeld Banken, ElectronicCommerce und IT-Herstellern

COBIT Einführung

Themen* Strategie und Taktik für die IT-

Unterstützung* Erfüllung der Geschäftsanforderungen* Ausreichend geplant, kommuniziert und

“gemanaged”* Korrekte organisatorische und technische

Infrastruktur

Themen* Realisierung der IT-Strategie* Lösungen identifiziert, entwickelt oder beschafft

und implementiert* Lösungen in den Geschäftsprozess integriert* Änderung und Unterhalt von Systemen

Themen

* Effektive Ablieferung benötigter

Dienstleistungen

* Wirklich sicherer Betrieb inkl. Training

* Aufstellung von Unterstützungsprozessen

* Effektive Datenverarbeitung durch

Anwendungen

Themen* Regelmässige Beurteilung aller IT-Prozesse* Einhaltung und Qualität der Kontrollen

Geschäfts prozesse

IT-Ressourcen

Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltun g r.E.

Überwachun g

Betrieb &Unterstützun g

Beschaffung &Implementation

Planung &Organisation

• Daten• Anwendungen• Technologien• Anlagen• Personal

COBIT-Framework Geschäftsprozesse <> IT-Ressourcen

COBIT Einführung

Unterschiedliche

Prozessebenen

Geschäftsprozesse

EingabeVerarbeitung

Rein applikat ionsabhängige Betrachtung

Ausgabe

Einbezug applikat ionsunabhängiger Themen

IT-Prozesse

IT-Ressourcen

Geschäfts prozesse

IT-Ressourcen

Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltung r.E.

Überwachun g

Betrieb &Unterstützun g

Beschaffung &Implementation

Planung &Organisation

• Daten• Anwendungen• Technologien• Anlagen• Personal

COBIT Einführung

Themen* Strategie und Taktik für die IT-Unterstützung* Erfüllung der Geschäftsanforderungen* Ausreichend geplant, kommuniziert und “gemanaged”* Korrekte organisatorische und technische Infrastruktur

IT-Domain

Planung & Organisation

PO1 Definition eines strategischen Plans für ITPO2 Definition der InformationsarchitekturPO3 Bestimmung der technologischen RichtungPO4 Definition der IT-Organisation und ihrer BeziehungenPO5 Verwaltung der IT-InvestitionenPO6 Kommunikation von Unternehmenszielen und -richtungPO7 PersonalwesenPO8 Sicherstellung der Einhaltung von externen AnforderungenPO9 RisikobeurteilungPO10 ProjektmanagementPO11 Qualitätsmanagement

COBIT Einführung

Themen* Realisierung der IT-Strategie* Lösungen identifiziert, entwickelt oder beschafft undimplementiert

* Lösungen in den Geschäftsprozess integriert* Änderung und Unterhalt von Systemen

IT-Domain

Beschaffung & Implementation

BE1 Identifikation von automatisierten LösungenBE2 Beschaffung und Unterhalt von AnwendungssoftwareBE3 Beschaffung und Unterhalt der technischen ArchitekturBE4 Entwicklung und Unterhalt von IT-VerfahrenBE5 Installation und Akkreditierung von SystemenBE6 Änderungswesen

COBIT Einführung

Themen* Effektive Ablieferung benötigter Dienstleistungen* Wirklich sicherer Betrieb inkl. Training* Aufstellung von Unterstützungsprozessen* Effektive Datenverarbeitung durchAnwendungen

IT-Domain

Auslieferung & Unterstützung

AU1 Definition und Management von DienstleistungsgradenAU2 Handhabung der Dienste von DrittparteienAU3 Leistungs- und KapazitätsmanagementAU4 Sicherstellen der kontinuierlichen DienstleistungAU5 Sicherstellen der SystemsicherheitAU6 Identifizierung und Zuordnung von KostenAU7 Aus- und Weiterbildung von BenutzernAU8 Unterstützung und Beratung von IT-KundenAU9 KonfigurationsmanagementAU10 Umgang mit Problemen und VorfällenAU11 Verwaltung von DatenAU12 Verwaltung von EinrichtungenAU13 Management der Produktion

COBIT Einführung

Themen* Regelmässige Beurteilung aller IT-Prozesse* Einhaltung und Qualität der Kontrollen

IT-Domain

Überwachung

Ü1 Überwachung der ProzesseÜ2 Beurteilung der Angemessenheit der internen KontrollenÜ3 Erlangen einer unabhängigen BestätigungÜ4 Für eine unabhängige Revision sorgen

COBIT Einführung

Informationskriterien IT-Ressourcenx Effektivität

x Effizienz

x Vertraulichkeit

x Integrität

x Verfügbarkeit

x Einhaltung rechtlicher Erfordernisse

x Zuverlässigkeit

x Personal

x Anwendungen

x Technologie

x Anlagen

IT-Prozesse x Daten

PO1 Definition eines strategischen Plans für IT P S ���� ���� ���� ���� ����

PO2 Definition der Informationsarchitektur P S S S ���� ����

PO3 Bestimmung der technologischen Richtung P S ���� ����

PO4 Definition der IT-Organisation und ihrer Beziehungen P S ����

PO5 Verwaltung der IT-Investitionen P P S ���� ���� ���� ����

PO6 Kommunikation von Unternehmenszielen und -richtung P S ����

PO7 Personalwesen P P ����

PO8Sicherstellung der Einhaltung von externenAnforderungen

P P S ���� ���� ����

PO9 Risikobeurteilung S S P P P S S ���� ���� ���� ���� ����

PO10 Projektmanagement P P ���� ���� ���� ����

PO11 Qualitätsmanagement P P P S ���� ���� ���� ����

BE1 Identifikation von automatisierten Lösungen P S ���� ���� ����

BE2 Beschaffung und Unterhalt von Anwendungssoftware P P S S S ����

BE3 Beschaffung und Unterhalt der technischen Architektur P P S ����

BE4 Entwicklung und Unterhalt von IT-Verfahren P P S S S ���� ���� ���� ����

BE5 Installation und Akkreditierung von Systemen P S S ���� ���� ���� ���� ����

BE6 Änderungswesen P P P P S ���� ���� ���� ���� ����

AU1 Definition und Management von Dienstleistungsgraden P P S S S S S ���� ���� ���� ���� ����

AU2 Handhabung der Dienste von Drittparteien P P S S S S S ���� ���� ���� ���� ����

AU3 Leistungs- und Kapazitätsmanagement P P S ���� ���� ����

AU4 Sicherstellen der kontinuierlichen Dienstleistung P S P ���� ���� ���� ���� ����

AU5 Sicherstellen der Systemsicherheit P P S S S ���� ���� ���� ���� ����

AU6 Identifizierung und Zuordnung von Kosten P P ���� ���� ���� ���� ����

AU7 Aus- und Weiterbildung von Benutzern P S ����

AU8 Unterstützung und Beratung von IT-Kunden P P ���� ����

AU9 Konfigurationsmanagement P S S ���� ���� ����

AU10 Umgang mit Problemen und Vorfällen P P S ���� ���� ���� ���� ����

AU11 Verwaltung von Daten P P ����

AU12 Verwaltung von Einrichtungen P P ����

AU13 Management der Produktion P P S S ���� ���� ���� ����

Ü1 Überwachung der Prozesse P P S S S S S ���� ���� ���� ���� ����

Ü2 Beurteilung der Angemessenheit der internen Kontrollen P P S S S P S ���� ���� ���� ���� ����

Ü3 Erlangen einer unabhängigen Bestätigung P P S S S P S ���� ���� ���� ���� ����

Ü4 Für eine unabhängige Revision sorgen P P S S S P S ���� ���� ���� ���� ����

P = primäre KriterienS = sekundäre Kriterien

� = anwendbar

IT-R

esso

urce

n

Quali tät

Rechn ungsle gung

Sicherheit

Informationskriterien

IT-P

roze

sse

Per

sona

lA

nwen

dung

en

Dat

en

Tec

hnol

ogie

nA

nlag

en

Domain

Prozesse

Aktivitäten

IT-ProzesseEinbettung im COBIT-Würfel

34 IT-Prozesse� 4 Domains� 34 Prozesse� 318 Aktivitäten

7 Informationskriterien� Effektivität� Effizienz� Verlässlichkeit� Einhaltung r.E.� Vertraulichkeit� Verfügbarkeit� Integrität

5 IT-Ressourcen� Personal� Anwendungen� Technologie� Anlagen� Daten

COBIT Einführung

Kontrollen & KontrollzieleDefinition

Kontrollen“Kontrollen sind die Konzepte, Verfahren,Praktiken und Organisationsstrukturen,welche eine angemessene Gewissheitverschaffen, dass die Geschäftsziele erreichtwerden und dass unerwünschte Ereignisseverhindert oder erkannt und korrigiertwerden.”

Kontrollen“Kontrollen sind die Konzepte, Verfahren,Praktiken und Organisationsstrukturen,welche eine angemessene Gewissheitverschaffen, dass die Geschäftsziele erreichtwerden und dass unerwünschte Ereignisseverhindert oder erkannt und korrigiertwerden.”

Kontrollziel“Aussage zum gewünschten Resultat (Zweck),das mit der Implementierung von Kontrollen ineiner bestimmten Aktivität erreicht werden soll.”

Kontrollziel“Aussage zum gewünschten Resultat (Zweck),das mit der Implementierung von Kontrollen ineiner bestimmten Aktivität erreicht werden soll.”

COBIT Einführung

Kontrolle über den IT-ProzessSicherstellen der Systemsicherheit (AU-5 )

zur Erfüllung der GeschäftsanforderungenSchutz von Informationen vor unberechtigter Verwendung,Aufdeckung oder Änderung, Beschädigung oder Verlust

wird ermöglicht durchlogische Zugriffskontrollen, die sicherstellen, dass ein Zugriffauf Systeme, Daten und Programme auf berechtigte Personenbeschränkt ist

unter Berücksichtigung von:- Vertraulichkeits- und Datenschutzanforderungen- Berechtigung, Authentisierung und Zugriffsschutz- Benutzeridentifikation und Berechtigungsprofile- Need-to-have und Need-to-do- Verwaltung kryptographischer Schlüssel- Problemmeldewesen, Berichterstattung, Folgeaktivitäten- Entdeckung von Viren- Firewalls- zentralisierte Sicherheitsadministration- Benutzerausbildung- Werkzeuge für die Überwachung der Einhaltung rechtlicher Erfordernisse, Einbruchsversuche und Berichterstattung

COBIT-KontrollzieleBeispiel: Übergeordnetes Kontrollziel des IT-Prozesses AU5

effectiveness

efficiency

confidentiality

integrity

availability

compliance

reliability

SS PP

people

applications

technology

facilities

data

� �

COBIT Einführung

PO10 Projektmanagement10.1 Projektmanagement-Rahmen10.2 Beteiligung der Fachbereiche bei

der Projektinitiïerung10.3 Projektteam-Mitgliedschaft und

Verantwortlichkeiten10.4 Projektdefinition10.5 Projektfreigabe10.6 Freigabe der Projektphasen10.7 Projektmasterplan10.8 System-Qualitätssicherungsplan10.9 Planung von QS-Methoden10.10 Formelles Projektrisikomanagement10.11 Testplan10.12 Schulungsplan10.13 Prüfung nach der Einführung

Zwei typische KontrollzielePO 10.9 Planung von QS-MethodenQualitätssicherungsaufgaben müssen während derPlanungsphase der Projektmanagementmethodeidentifiziert werden. QS-Aufgaben sollten dieZulassung von neuen oder geänderten Systemenunterstützen und gewährleisten, dass interneKontrollen und Sicherheitseinrichtungen den damitverbundenen Anforderungen entsprechen.PO 10.10 Formelles ProjektrisikomanagementDas Management sollte ein formelles Projektrisiko-managementprogramm einführen, um die mit deneinzelnen Projekten verbundenen Risiken zueliminieren oder zu minimieren (d.h. Identifikationund Kontrolle derjenigen Bereiche oder Ereignisse,die über das Potential verfügen, unerwünschteÄnderungen zu verursachen).

COBIT KontrollzieleBeispiel: detaillierte Kontrollziele der IT-Prozesse PO 10.9 und 10.10

COBIT Einführung

AU5 Sicherstellen der Systemsicherheit5.1 Handhabung von Sicherheitsmassnahmen5.2 Identifikation, Authentisierung und Zugriff5.3 Sicherheit des Direktzugriffs auf Daten5.4 Verwaltung der Benutzerkonten5.5 Überprüfung Benutzerkonten durch Management5.6 Überprüfung Benutzerkonten durch Benutzer5.7 Sicherheitsüberwachung5.8 Datenklassifikation5.9 Zentr. Verwaltung von Identifikation/Rechten5.10 Rapportierung von Verstössen/Sich.aktivitäten5.11 Umgang mit Zwischenfällen5.12 Re-Akkreditierung5.13 Vertrauenswürdigkeit der Gegenpartei5.14 Genehmigung von Transaktionen5.15 Nicht-Abstreitbarkeit5.16 Vertrauenswürdiger Pfad5.17 Schutz von Sicherheitsfunktionen5.18 Verwaltung kryptographischer Schlüssel5.19 Prävention, Aufdeckung und Korrektur bei

bösartiger Software5.20 Firewall-Architekturen und Verbindungen mit

öffentlichen Netzwerken5.21 Schutz von elektronischen Werten

AU 5.10 Rapportierung von Verstössen undSicherheitsaktivitäten� Die IT-Sicherheitsadministration sollte

gewährleisten, dass regelmässig Verstösse undSicherheitsaktivitäten protokolliert, gemeldet,überprüft und geeignet eskaliert werden, umVorfälle mit unberechtigten Aktivitäten zuidentifizieren und abzuklären.

� Der logische Zugriff auf Nachvollziehbarkeits-informationen der Rechnerressourcen(Sicherheits- und andere Protokolle) solltebasierend auf dem Prinzip des “least privilege”oder “need-to-know” gewährt werden.

Typisches Kontrollziel

COBIT KontrollzieleBeispiel: detailliertes Kontrollziel des IT-Prozesses AU 5.10

COBIT Einführung

COBIT Management GuidelinesMit klaren Zielen und einem Maturitätsmodell z.B. für Benchmarking

Für alle 34 IT-Prozesse

� Kernziele(key goal indicators)

� Leistungsindikatoren(performance indicators)

� kritischeErfolgsfaktoren(critical success factors)

Maturitätsmodell mit 6 Stufenz.B. für Control Self Assessment:

Stufen� nicht-existent (0)� initial/ad hoc (1)� wiederholbar aber intuitiv (2)� definierter Prozess (3)� “gemanaged” und messbar (4)� optimiert (5)

COBIT Einführung

Gemessen durch die Kernziele:� Die Zahl der pünktlich und innerhalb des Budgets

fertiggestellten Projekte steigt� Genaue Projektpläne und Budgetinformationen sind

verfügbar� Systematische und übliche Projektprobleme nehmen ab� Die Identifikation der Projektrisiken erfolgt zeitgerecht� Die Zufriedenheit der Auftraggeber über die

abgelieferten Ergebnisse steigt� Notwendige Projektmanagemententscheide werden

innert kurzer Frist gefällt

Bestimmt durch kritische Erfolgsfaktoren, primär:� Erfahrene und geschickte Projektleiter verfügbar� Akzeptierter und standardisierter Projektmanagementprozess vorhanden� Geschäftsleitung unterstützt die Projekte, und Auftraggeber wie Projektmitarbeiter

teilen sich in der Definition, Implementation und der Führung der Projekte� Grundverständnis über die Fähigkeiten und Grenzen im Projektmanagement vorhanden� Unternehmensweite Projektrisiko-Beurteilungsmethode definiert und durchgesetzt� Projekte verfügen über Detailplan der Projekttätigkeiten, Schätzungen, Mitarbeiter-

Anforderungsprofile, Pendenzenliste, Qualitätsplan und einen transparentenÄnderungsprozess

� Übergang von Entwicklung zu Betrieb ist geordneter Prozess� Eine Systementwicklungsmethode definiert und in Praxis angewandt

Gemessen durch die Leistungsindikatoren� Grössere Zahl von Projekten, welche in Übereinstimmung mit

einer definierten Methodologie abgeliefert werden� Prozentualer Anteil der Teilnahme von Stakeholdern in

Projekten� Anzahl von Tagen mit Projektmanagement-Ausbildung für

Mitglieder des Projektteams� Anzahl von überprüften Projektmeilensteinen und -budgets� Prozentualer Anteil von Projekten mit Projektnachkontrollen� Durchschnittliche Erfahrung (in Jahren) der Projektleiter

COBIT Management Guidelinesz.B. für den IT-Prozess PO10 Projektmanagement

COBIT Einführung

COBIT Management GuidelinesDas Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement)

� Nicht existent (0): Projektmanagement-Techniken werden nicht verwendet und die Unternehmung betrachtet Geschäftsauswirkungen nicht imZusammenhang mit schlechtem Management oder Entwicklungsfehlern.

� Ad hoc (1): Die Unternehmen ist sich generell bewusst, dass Projektrisiken bestehen und das Projekte strukturiert werden müssen. Die Entscheidung für dieVerwendung von Projektmanagement-Techniken und -vorgehen wird den einzelnen Projektleitern überlassen. Projekte werden generell schlecht definiert undenthalten keine geschäftlichen und technischen Ziele der Unternehmen oder der verantwortlichen Fachbereiche. Das Management fühlt sich kaum denProjekten verpflichtet und kritische Entscheide werden ohne Fachbereichsvertreter gefällt. Es gibt keine klare Projektorganisation und Rollen wieVerantwortlichkeiten sind nicht definiert. Projektpläne und Meilensteine sind ungenügend definiert. Der Arbeitsaufwand und andere Kosten werden nichtüberwacht und mit dem Budget verglichen.

� Wiederholbar aber intuitiv (2): Die Geschäftsleitung hat die Notwendigkeit für ein IT-Projektmanagement formuliert. Die Unternehmung ist daran, vonProjekt zu Projekt bestimmte Techniken und Methoden zu lernen. IT-Projekte beinhalten informelle geschäftlichen und technischen Ziele. Es bestehenRichtlinien für die meisten Aspekte des Projektmanagement, doch ihre Anwendung bleibt den einzelnen Projektleitern überlassen.

� Definierter Prozess (3): IT-Projektmanagementprozess und –methodologie wurden formal etabliert und kommuniziert. IT-Projekte werden mitangemessenen geschäftlichen und technischen Zielen definiert. Stakeholder sind im Projektmanagement involviert. Die IT-Projektorganisation und einzelneRollen und Verantwortlichkeiten sind definiert. IT-Projekte verfügen über definierte und aktualisierte Projektmeilensteine, Pläne, Budget undLeistungsmessung. Qualitätssicherungsverfahren wurden definiert, aber durch die Projektleiter noch nicht umfassend angewandt. Richtlinien für dieausgewogene Verwendung von internen und externen Ressourcen wurden aufgestellt.

� “Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. DasProjektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen amProjektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet.Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie.Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessenund vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um dieUnternehmensziele und nicht nur diejenigen der Informatik zu erreichen.

� Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetztund ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurdeaufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstrukturimplementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welcheOutsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach derInbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik-Ressourcen zur Beendigung derProjekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT-Ressourcen optimal verwendet werden zur Unterstützung derstrategischen Initiativen.

COBIT Einführung

Geschäftsprozesse

IT-Ressourcen

InformationenKriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltung r.E.

Überwachun g

Betrieb &Unterstützun g

Beschaffung &Implementatio n

Planung &Organisation

• Daten• Anwendungen• Technologien• Anlagen• Personal

Generic Audit Guidelinesowie 1 Audit Guideline für jeden IT-Prozess

1 Verständnis erlangen� Geschäftsanforderungen

und Risiken� Organisationstruktur� Konzepte und Verfahren� Gesetze, Richtlinien� implementierte Kontrollen

2 Beurteilung derKontrollen� Verfahren vorhanden� Ergebnisse angemessen� Verantwortlichkeiten klar� kompensierende Kontrollen

3 Beurteilung derEinhaltung der Kontrollen� Sicherstellen, dass

Verfahren wirksam waren� Überprüfung der

Ergebnisse (deliverables)der Prozesse

4 Aufzeigen der Risiken� Kontrollschwächen� resultierende Bedrohungen� Auswirkungen

COBIT Einführung

Obtaining an understanding by:Interviewing:• Chief Executive Officer• Chief Operations Officer• Chief Financial Officer• Chief Information Officer• IT planning/steering committee members• IT senior management and human services

staffObtaining:• Policies and procedures relating to the

planning process• Senior management steering roles and

responsibilities• Organisation objectives and long- and short-

range plans• IT objectives and long- and short-range plans• Status reports and minutes of

planning/steering committee meetings

COBIT Audit GuidelineBeispiel: Prüfleitfaden für IT-Prozess PO1 “Define A Strategic Plan”

Evaluating the controls by considering whether:

• IT function or business enterprise policies and procedures address astructured planning approach.

• A methodology is in place to formulate and modify the plans and ata minimum, they cover: [...]

• Organisational changes, technology evolution, regulatoryrequirements, business process re-engineering, staffing, in- and out-sourcing, etc. are taken into account and adequately addressed in theplanning process

• Long- and short-range IT plans exist, are current, adequately addressoverall enterprise, its mission, and key business functions

• IT projects are supported by the appropriate documentation asidentified in the information technology planning methodology

• Checkpoints exist to ensure that IT objectives and long- and short-range plans continue to meet organisational objectives and long- andshort-range plans

• Review and sign-off occurs by process owners and seniormanagement of IT plans

• The IT plan assesses the existing information systems in terms ofdegree of business automation, stability, functionality, complexity,costs, strengths and weaknesses.

COBIT Einführung

Assessing the compliance by testing that:• Minutes from IT planning/steering committee meetings reflect the

planning process• Planning methodology deliverables exist and are as prescribed• Relevant IT initiatives are in the long- and short-range plans (i.e.,

hardware changes, capacity planning, informationarchitecture,new system development or procurement, disasterrecovery planning, installation of new processing platforms, etc.)

• IT initiatives support long- and short-range plans and considerrequirements for research, training, staffing, facilities, hardwareand software

• Technical implications of IT initiatives have been identified• Consideration has been given to optimising current and future IT

investments• IT long- and short-range plans are consistent with the

organisation’s long- and short-range plans and organisationrequirements

• Plans have been changed to reflect changing conditions• IT long-range plans are periodically translated into short-range

plans• Tasks exist to implement the plans

COBIT Audit GuidelineBeispiel: Prüfleitfaden für IT-Prozess PO1 “Define A Strategic Plan”

Substantiating the risk of control objectivesnot being met by performing:

• Benchmarking of strategic IT plans againstsimilar organisations or appropriateinternational standards/recognised industrybest practices

• Detailed review of IT plans to ensure that ITinitiatives reflect the organisation’s missionand goals

• Detailed review of the IT plans to determineif known areas of weakness within theorganisation are being identified forimprovement as part of the IT solutionscontained in the plans

COBIT Einführung

Geschäfts prozesse

IT-Ressourcen

Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltun g r.E.

Überwachun g

Betrieb &Unterstützun g

Beschaffung &Implementation

Planung &Organisation

• Daten• Anwendungen• Technologien• Anlagen• Personal

Schlussfolgerungen

� keine Konzentration aufEinzelthemen

� keine “sexy” Gadgets� keine handgestrickten

Massnahmen

sondern

eine umfassend geregeltePlanung, Beschaffung,Betrieb und Überwachungaller IT-Ressourcen