business advisory service it- governance unter …ocg.at/2008/files/schirmbrand_heschl.pdf · warum...
TRANSCRIPT
BUSINESS ADVISORY SERVICE
IT- Governance
Unter besonderer Berücksichtung von Compliance
IT-Adivisory
Michael Schirmbrand, Jimmy HeschlMärz 08
Michael Schirmbrand, Jimmy HeschlMärz 08
IT-Governance AusgangslageIT-Governance AusgangslageIT Governance AusgangslageIT Governance Ausgangslage
Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie.
Beobachtungen in Österreich:
Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium.
Fehlende Ausrichtung an den
Geschäftszielen
Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen
ausgerichtet.
Fehlende Nutzenbewertung von IT-
Projekten
Der Nutzen von (IT-)Projekten wird meist nicht gemessen.
Fehlende IT Prozessorganisation Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbarFehlende IT-Prozessorganisation Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar.
Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder
nachvollziehbar.
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.1
Warum (IT-) Audits noch immer nicht b t d dWarum (IT-) Audits noch immer nicht b t d dbestanden werdenbestanden werden
Unkenntnis der relevanten RegularienUnkenntnis der relevanten Regularien
Bessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der Prüfer
Event getriebener Ansatz für ComplianceEvent getriebener Ansatz für Compliance(Siehe auch Information Systems Control Journal 5/2007)(Siehe auch Information Systems Control Journal 5/2007)
Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwartenEine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.2
Gartner’s Regulations and Related Standards H C lGartner’s Regulations and Related Standards H C lHype CycleHype Cycle
Solvency II
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.3
IT-GovernanceIT-GovernanceBalance zwischen Risiko und PerformanceBalance zwischen Risiko und Performance
Stabiler
Die Rechtssprechung zieht das Die Rechtssprechung zieht das
Pendel in Richtung RisikoPendel in Richtung RisikoStabiler
Wert und Vertrauen
Integriertes
Wettbewerb und Marktdruck Wettbewerb und Marktdruck
drücken das Pendel Richtungdrücken das Pendel RichtungIntegriertesRisiko Management
ko
drücken das Pendel Richtung drücken das Pendel Richtung
PerformancePerformance
VerbesserteKontrolleR
isik ITIT--Governance managt die Governance managt die
Balance zwischen Balance zwischen
Risikomanagement und Risikomanagement und
ProzessVerbesserung
ProzessTransformation
Compliance
PerformancePerformance--erfordernis.erfordernis.
Verbesserung
Performance
Compliance
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.4
Performance
IT-Governance: DefinitionIT-Governance: DefinitionIT Governance: DefinitionIT Governance: Definition
Corporate
Governance
Business
Informations-systeme
IT
Governance
Für IT Governance sind Vorstand undFür IT-Governance sind Vorstand und Geschäftsführung verantwortlich.Sie ist integraler Bestandteil der Corporate G d b t ht Füh dGovernance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.
— IT Governance Institute
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.5
Wesentliche Standards für IT-GovernanceWesentliche Standards für IT-GovernanceWesentliche Standards für IT GovernanceWesentliche Standards für IT Governance
forderndfordernd
Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT)
SAS 70SAS 70
Sarbanes Oxley ActSarbanes Oxley Act
8. EU8. EU--AuditAudit--RichtlinieRichtlinie
Sonstige relevante GesetzeSonstige relevante Gesetze
helfendhelfendhelfendhelfend
CobiTCobiT
ValITValIT
ITILITIL
ISO 17799ISO 17799
CMMICMMI
……
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.6
FachgutachtenFachgutachten
7
Fachgutachten ÖsterreichFachgutachten ÖsterreichFachgutachten ÖsterreichFachgutachten Österreich
KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT
Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Allgemeine Anforderungen (Belegfunktion, Journalfunktion,
Kontenfunktion,...)Kontenfunktion,...)
Forderung nach FunktionstrennungForderung nach Funktionstrennung
Detaillierte Forderungen an die SystemdokumentationDetaillierte Forderungen an die SystemdokumentationDetaillierte Forderungen an die SystemdokumentationDetaillierte Forderungen an die Systemdokumentation
KFS/DV 2 KFS/DV 2
Richtlinien zur Prüfung der IT im Rahmen von Richtlinien zur Prüfung der IT im Rahmen von
JahresabschlussprüfungenJahresabschlussprüfungen
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.8
Österreich KFS/DV 1 – DokumentationÖsterreich KFS/DV 1 – DokumentationÖsterreich KFS/DV 1 DokumentationÖsterreich KFS/DV 1 Dokumentation
VerfahrensdokumentationVerfahrensdokumentationVerfahrensdokumentationVerfahrensdokumentation
Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/TabellenFür Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen--Einstellungen) muss verfügbar sein:Einstellungen) muss verfügbar sein:
•• Anforderung/AufgabenstellungAnforderung/Aufgabenstellung
•• DatensatzaufbauDatensatzaufbau
•• Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. K t ll Ab ti f h d F hl b h dlK t ll Ab ti f h d F hl b h dlKontrolle, Abstimmungsverfahren und FehlerbehandlungKontrolle, Abstimmungsverfahren und Fehlerbehandlung
•• DatenausgabeDatenausgabe•• DatensicherungDatensicherung•• Verfügbare ProgrammeVerfügbare Programme•• Art, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests
•• Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)
•• VersionsmanagementVersionsmanagement
Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,…Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,…
Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenEventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenEventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenEventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden
Dokumentation der ZugriffsverfahrenDokumentation der Zugriffsverfahren
Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.9
KFS/DV 1 - IKSKFS/DV 1 - IKSKFS/DV 1 IKSKFS/DV 1 IKS
Zusätzlich notwendigZusätzlich notwendig
F k i (F h b il /E i kl /Ad i )F k i (F h b il /E i kl /Ad i )Funktionstrennung (Fachabteilung/Entwickler/Admin)Funktionstrennung (Fachabteilung/Entwickler/Admin)
Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen
DatensicherungenDatensicherungen
Schutz vor Sabotage, Missbrauch und VernichtungSchutz vor Sabotage, Missbrauch und Vernichtung
KontinuitätsmanagementKontinuitätsmanagement
Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreAufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreAufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreAufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.10
SAS 70SAS 70
11
Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)
Standard für die Prüfung von OutsourcingStandard für die Prüfung von Outsourcing--Dienstleistern (und deren Kontrollumfeld)Dienstleistern (und deren Kontrollumfeld)
Veröffentlichung der AICPAVeröffentlichung der AICPAVeröffentlichung der AICPAVeröffentlichung der AICPA
Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAPGilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP
Mittlerweile weltweiter DeMittlerweile weltweiter De--Facto Standard für Prüfungen von und für Wirtschaftsprüfern Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (ITbei (IT--)Service)Service--OrganisationenOrganisationen
Praktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFAC
In Deutschland auch Standard PS 331In Deutschland auch Standard PS 331
Achtung: Sarbanes Oxley Achtung: Sarbanes Oxley –– vom PCAOB vorgeschriebenvom PCAOB vorgeschrieben
Auch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung
ÖÖIn Österreich in Richtlinie IWPIn Österreich in Richtlinie IWP--PE14 umgesetztPE14 umgesetzt
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.12
ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer
Anzuwenden bei (TeilAnzuwenden bei (Teil--) Outsourcing der IT) Outsourcing der IT
P üf RZP üf RZ K d üK d üPrüfer von RZPrüfer von RZ--Kunden müssenKunden müssen
Report nach SAS 70 / ISA 402 des RZ einholen oderReport nach SAS 70 / ISA 402 des RZ einholen oder
selbst das RZ prüfen oderselbst das RZ prüfen oder
jemanden beauftragen, das RZ nach SAS 70 zu prüfen oderjemanden beauftragen, das RZ nach SAS 70 zu prüfen oder
Bestätigungsvermerk einschränken oder versagenBestätigungsvermerk einschränken oder versagen
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.13
SAS 70 - BerichterstattungSAS 70 - BerichterstattungSAS 70 BerichterstattungSAS 70 Berichterstattung
StandardStandard--Text für Bestätigungsvermerk definiertText für Bestätigungsvermerk definiert
B i T II R i d di h d K ll d P üf d diB i T II R i d di h d K ll d P üf d diBei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die
Ergebnisse der Prüfung im Detail dazustellenErgebnisse der Prüfung im Detail dazustellen
Die Verantwortungen von Kunde und RZ sind klar abzugrenzenDie Verantwortungen von Kunde und RZ sind klar abzugrenzen
Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen,
einzuschränken oder zu versageneinzuschränken oder zu versagen
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.14
Sarbanes OxleySarbanes Oxley
15
Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404Sarbanes Oxley (SOX) Paragraph 404Sarbanes Oxley (SOX) Paragraph 404
Section 404 des SarbanesSection 404 des Sarbanes--Oxley Act fordert: Oxley Act fordert:
Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) imUnternehmensleitung beurteilt das Interne Kontrollsystem (IKS) imUnternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im
Unternehmen für Finanzreporting (ICOFR) und berichtet darüberUnternehmen für Finanzreporting (ICOFR) und berichtet darüber
Der e terne nabhängige Prüfer gibt ein Testat über den ManagementDer e terne nabhängige Prüfer gibt ein Testat über den ManagementDer externe, unabhängige Prüfer gibt ein Testat über den ManagementDer externe, unabhängige Prüfer gibt ein Testat über den Management--
TestTest
Prüfer berichtet direkt über die Wirksamkeit des IKSPrüfer berichtet direkt über die Wirksamkeit des IKS
Seit 2004 für USSeit 2004 für US--Unternehmen, die SEC gelistet sind, erforderlichUnternehmen, die SEC gelistet sind, erforderlich
Andere Unternehmen (foreign issuers) seit 2006Andere Unternehmen (foreign issuers) seit 2006
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.16
8. EU-Audit-Richtlinie8. EU-Audit-Richtlinie(RL 2006/43/EG)(RL 2006/43/EG)
“EuroSox”“EuroSox”
17
Ausprägung in ÖsterreichAusprägung in ÖsterreichAusprägung in ÖsterreichAusprägung in Österreich
Unternehmensrechtsänderungsgesetz (URÄG) 2008Unternehmensrechtsänderungsgesetz (URÄG) 2008
Derzeit ist ein Entwurf in BegutachtungDerzeit ist ein Entwurf in Begutachtung
Verabschiedung noch 2007Verabschiedung noch 2007
In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008
Unternehmen von öffentlichem Interesse (Betroffene)Unternehmen von öffentlichem Interesse (Betroffene)
Kapitalmarktorientierte UnternehmenKapitalmarktorientierte Unternehmen
•• Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECDAktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD--Staat Staat
notierennotieren
Versicherungen, BankenVersicherungen, BankenVersicherungen, BankenVersicherungen, Banken
„Sehr“ große Unternehmen„Sehr“ große Unternehmen
•• >175 Mio. EUR Umsatz oder > 87,5 Mio. EUR Bilanzsumme>175 Mio. EUR Umsatz oder > 87,5 Mio. EUR Bilanzsumme
Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) MitgliedernUnternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.18
Entwurf URÄG 2008Pfli ht d P üf hEntwurf URÄG 2008Pfli ht d P üf hPflichten des PrüfungsausschussesPflichten des Prüfungsausschusses
PrüfungsausschussPrüfungsausschuss
§§ 92 AktG, 92 AktG, §§ 30g GmbHG, 30g GmbHG, §§ 24 GenG24 GenG
Pflichten u.a.Pflichten u.a.
•• Überwachung der RechnungslegungÜberwachung der Rechnungslegung
•• Überwachung der Wirksamkeit des IKSÜberwachung der Wirksamkeit des IKS
-- Schließt interne Revision und RMSchließt interne Revision und RM--System mit einSystem mit ein
•• Prüfung des Lageberichts und des Corporate Governance BerichtsPrüfung des Lageberichts und des Corporate Governance Berichts
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.19
8. EU-RL vs. SOX8. EU-RL vs. SOX8. EU RL vs. SOX8. EU RL vs. SOX
SOXSOX 8. EU8. EU--RLRL
Dokumentation der Abläufe JA JA
Dokumentation der Kontrollen
(Umfang)
JA / meist separat
(EL-C, Fraud-C, Trans.-C)
JA / integrativ
(nur: angemessen)
Dokumentation der JA JADokumentation der
Kontrolldurchführung
JA
(formalisiert, einheitlich
JA
(nur: angemessen)
Monitoring des IKS JA JAMonitoring des IKS JA JA
Durchführung eines Management
TestingsJA / formalisiert
NEIN / informell
(im Rahmen d Monitoring)Testings (im Rahmen d. Monitoring)
External Audit des IKS JA / spezifische Pflichten JA / allgemein
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.20
Auswirkungen der Gesetze auf die ITAuswirkungen der Gesetze auf die ITAuswirkungen der Gesetze auf die ITAuswirkungen der Gesetze auf die IT
Massive AuswirkungenMassive Auswirkungen
Kontrollen müssen dokumentiert und geprüft werdenKontrollen müssen dokumentiert und geprüft werden
große Teile der Kontrollen in der IT große Teile der Kontrollen in der IT (oft 50 bis 70 %)(oft 50 bis 70 %)
Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert Kontrollen
Wesentliche KontrollWesentliche Kontroll--Schwachstellen sind oft in der ITSchwachstellen sind oft in der IT
Unterscheidung in Anwendungskontrollen und General IT ControlsUnterscheidung in Anwendungskontrollen und General IT Controls
CobiT als Standard für General IT Controls anerkanntCobiT als Standard für General IT Controls anerkanntCobiT als Standard für General IT Controls anerkanntCobiT als Standard für General IT Controls anerkannt
Verwendung von COSO in der SOXVerwendung von COSO in der SOX--Welt dringend empfohlenWelt dringend empfohlen
Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance InstituteGovernance Institute
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.21
FrameworksFrameworksFrameworksfür Compliance
Frameworksfür Compliancefür Compliancefür Compliance
22
Standards und Good-PracticesStandards und Good-PracticesStandards und Good PracticesStandards und Good Practices
SarbanesAktG /
COSOOxley
Basel IISolvency II
8. EU AuditRichtlinie
GmbHG
GovernanceCOBIT®
An R
Pro
Se
Qua
COBIT®
IT Plan
nwendun
Risiko & S
ojektman
rvice Man
alitätsma
C TManagement nung
ngs-Entw
Security
nagemen
nagemen
anageme
COBITValIT
IT-Betrieb. nt nt nt
SixSigmaISO9000
CMMI
Betrieb
V-Modell
ISO17799
BS PMI ITIL
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.23
Source: PINK
Modell 1779927001
25999PMI
PRINCE2ITIL
ISO20000
COSO (Internal Control - Integrated F k)COSO (Internal Control - Integrated F k)Framework)Framework)
1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht
Gemeinsame Sprache über Kontrollen, Definitionen, Modelle
Unternehmensziele im Rahmen von COSO sind
− Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)
− Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)
− Compliance (Einhaltung von Gesetzen und Regulationen)
Zielerreichung über die Ausgestaltung der Komponenten des Frameworks
− Control Environment (Kontrollumfeld)
− Risk Assessment (Risikobewertung)
− Control Activities (Kontrollaktivitäten)
I f i & C i i (I f i & K ik i )− Information & Communication (Information & Kommunikation)
− Monitoring (Überwachung)
Benchmark für interne Kontrollen und Verweis in SOX
Weiterentwicklungen:
− September 2004: Enterprise Risk Management (COSO II)
− Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.24
CobiT - EntwicklungCobiT - EntwicklungCobiT EntwicklungCobiT Entwicklung
Governance
Management
Control
Audit
COBIT 1 COBIT 2 COBIT 3 COBIT 4
1996 1998 2000 2005
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.25
1996 1998 2000 2005
Was ist IT-Governance?Was ist IT-Governance?Was ist IT Governance?Was ist IT Governance?
IT-GOVERNANCESetze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment)• IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen
IT-GOVERNANCE
g g ( )
(Value Delivery)
• IT Ressourcen werden verantwortungsvoll eingesetzt• IT-bezogene Risiken werden angemessen gemanagt
Gib die Richtung
vor
Evaluiere
Performance
Ü
Setze die Strategie um• Erhöhe die Automation (mache das Kerngeschäft wirksam)• Senke Kosten (mache das Unternehmen wirtschaftlich)
Überführe die
Richtung in eine
Strategie
Messe und
Berichte über
Performance
IT-MANAGEMENT
• Manage Risiken (Security, Verlässlichkeit und Compliance)
• Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt
• Methode: Führungs- und Organisationsstrukturen sowie Prozesse
• Verantwortung: Vorstand und Geschäftsführung
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.26
Unterstützung durch CobiTUnterstützung durch CobiTUnterstützung durch CobiTUnterstützung durch CobiT
UnternehmenszieleUnternehmens Erfordernisse
Governance Erfordernisse
Informations -Services
Information Criteria
erfordern beeinflussen
setzen voraus
IT-Ziele
IT-Prozesseliefern
Information
IT Prozesse(mit Verantwortlichen) Anwendungen
Infrastruktur
betreiben
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.27
und Personalbenötigt
Ausrichtung von IT-Prozessen an U h i lAusrichtung von IT-Prozessen an U h i lUnternehmenszieleUnternehmensziele
1 Marktanteil erhöhen 25 282 Erträge erhöhen 25 25
Typische Unternehmensziele Referenz zu IT-Ziel
Finanz-perspektive
2 Erträge erhöhen 25 253 Rendite 244 Kapitalverwertung optimieren 145 Geschäftsrisiken managen 2 14 17 18 19 20 21 22
6 K d d S i i ti höh 3 23
Finanz-perspektive
6 Kunden- und Serviceorientierung erhöhen 3 237 Kostengünstige Produkte und Services anbieten 5 248 Verfügbarkeit von Services 10 16 22 239 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 2510 Kostenoptimierung bei Serviceerbringung 7 8 10 24
Kunden-perspektive
10 Kostenoptimierung bei Serviceerbringung 7 8 10 24
11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 1112 Geschäftsprozess überarbeiten und verbessern 6 7 8 1113 Prozesskosten reduzieren 7 8 13 15 2414 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 27
Interne 14 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 2715 Transparenz 2 1816 Compliance mit internen Regelungen 2 1317 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13
18 P d kt /G häft i ti 5 25 28Lern nd
Perspektive
18 Produkt-/Geschäftsinnovation 5 25 2819 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 2620 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9
Lern- und Wachstums-perspektive
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.28
Typische IT-ZieleTypische IT-ZieleTypische IT ZieleTypische IT Ziele1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher4 Optimiere die Verwendung von Information 5 Stelle IT-Agilität her
Definiere wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt 6 Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt werden.
7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen10 St ll di iti f i d t ll d Li f t b i h i h10 Stelle die gegenseitig zufriedenstellenden Lieferantenbeziehungen sicher11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher14 Übernimm die Verantwortung für und schütze alle IT-Anlagen15 O i i IT I f k R d Fähi k i15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb17 Schütze die Erreichung der IT-Ziele18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann
21 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist
22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher
28 Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.29
28 zeigt
CobiT IT-ProzesseCobiT IT-ProzesseCobiT IT ProzesseCobiT IT Prozesse
INFORMATION
PO1 Define a strategic IT plan PO2 Define the information architecturePO3 Determine technological direction PO4 Define the IT processes, organisation and
Plan and Organise
INFORMATION relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects
ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance
• Efficiency• Effectiveness• Confidentiality• Integrity• Availability
C li
Monitor and Evaluate
Monitor and Evaluate Plan and
Organise
PO10 Manage projects • Compliance• Reliability
IT RESSOURCES
Deliver and SupportDS1 Define and manage service levels
• Applications• Information• Infrastructure• People
Deliver and SupportSupport Acquire and
Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources
DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users
Acquire and Implement
AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes
DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.30
g p
Bestandteile von ProzessenBestandteile von ProzessenBestandteile von ProzessenBestandteile von Prozessen
Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu ITMessgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT--Zielen, zBZielen, zB
• Installation und Betrieb eines Service Desk
• Überwachung und Berichterstattung von
Aktivitäten• Stelle die Enduser-Zufriedenheit mit
Serviceangeboten und Service Levels sicher
IT• Analysiere, dokumentiere und eskaliere
Incidentszeitgerecht• Reagiere auf Anfragen exakt und
Prozesse• Kunden- und Serviceorientierung
erhöhen• Verfügbarkeit von Services
Unternehmen
Trends• Abstimmung der Lösungsprioritäten von
Ereignisse mit den Bedürfnissen der Geschäftstätigkeit
• Festlegung klarer Eskalationskriterien und -verfahren
setzeZiel
e
• Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher
• Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher
zeitgerecht• Führe regelmäßig Trendanalysen der
Incidentsund Anfragen durchsetze
• Prozesskosten reduzieren• Compliance mit internen Regelungen
setze
missmissmiss
• % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden
• Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr
• Benutzerzufriedenheit mit dem Erst-Support (Service Desk oder Knowledge Base)
• % der innerhalb einer vereinbarten/akzeptablen Zeitspanne
• % der direkten Lösungen basierend auf der Gesamtzahl der Anfragen
• % der erneut geöffneten Incidents• Anteil der abgebrochenen Calls• Durchschnittliche Dauer der öß
en
p• Anzahl der pro Service Desk
MitarbeiterIn pro Stunde bearbeiteten Anrufe
• % der Ereignisse, die einen Vor-Ort-Support benötigen (Field Support, persönlicher Besuch)
k d i h l A f
p pgelösten Incidents Incidentsnach Schweregrad
• Durchschnittliche Reaktionszeit auf Telefon- und E-Mail-/Web-Anfragen
Mes
sgrö
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.31
• Rückstand nicht gelöster Anfragen
Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)
0 1 2 3 4 5
Non-existent(nicht existent)
Initial(initial)
Repeatable(wiederholbar)
Defined(definiert)
Managed(gemanagt)
Optimised(optimiert)
0 Nicht existentDerzeitiger Status
Symbole Reifegrade
0 .. Nicht existent1 .. Initial2 .. Wiederholbar
Derzeitiger Status
Internationaler Standard
St t i h Zi l 3 .. Definiert4 .. Monitoringfunktionen5 Optimiert und Automatisiert
Strategisches Ziel
5 .. Optimiert und Automatisiert
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.32
Reifegradmodell (Rising-Star-Model)Reifegradmodell (Rising-Star-Model)Reifegradmodell (Rising Star Model)Reifegradmodell (Rising Star Model)
Bewusstsein und Kommunikation
Policies, Standards und Verfahren
Werkzeuge und Automatisierung Skills und Expertise Zuständigkeit und
VerantwortlichkeitZielsetzung und
Messung
55
4
3
2
Strategisches Ziel
1
Strategisches Ziel
Handlungsbedarf
D iti St t
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.33
Derzeitiger Status
Ergebnisse einer Reifegradbeuerteilung (B i i l)Ergebnisse einer Reifegradbeuerteilung (B i i l)(Beispiel)(Beispiel)
5PO 1 AI 1
2345
PO 2a
PO 2bPO 10
PO 11
2345
AI 2
AI 2AI 6b
AI 7
01
PO 3
PO 4PO 8
PO 9 01
AI 2
AI 3AI 6a
AI 6b
PO 4
PO 5
PO 6
PO 7
PO 8
AI 4a
AI 4b
AI 5
AI 4b
345DS 1a
DS 1bDS 2
DS 3DS 12DS 13a
DS 13b
345ME 1
012 DS 4
DS 5a
DS 5bDS 10
DS 11a
DS 11b
0123
ME 2ME 4DS 5b
DS 5cDS 5d
DS 5eDS 7DS 8
DS 9
DS 10
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.34
DS 5eDS 5fDS 6DS 7ME 3
ValITValITValITA value lense into CobiT
ValITA value lense into CobiTA value lense into CobiTA value lense into CobiT
35
The Four “Ares”- continually asking:The Four “Ares”- continually asking:The Four Ares continually asking:The Four Ares continually asking:
Are wedoing
Are wedoing
Are wegettingAre wegettingAre wegetting
Are wedoing
Are wedoing
Are wedoing
Are wedoing
Are wegettingAre wegettingAre wegettingAre wegettingAre wegettingAre wegettingg
the rightthings?
gthe rightthings?
g gthe
benefits?
g gthe
benefits?
g gthe
benefits?
gthe rightthings?
gthe rightthings?
gthe rightthings?
gthe rightthings?
g gthe
benefits?
g gthe
benefits?
g gthe
benefits?
g gthe
benefits?
g gthe
benefits?
g gthe
benefits?gggggg
Are wedoing them
Are wedoing them
Are wegettingAre wegetting
Are wedoing them
Are wedoing them
Are wedoing them
Are wedoing them
Are wegettingAre wegettingAre wegettingAre wegettingdoing them
the rightway?
doing themthe right
way?
gettingthem done
well?
gettingthem done
well?
doing themthe right
way?
doing themthe right
way?
doing themthe right
way?
doing themthe right
way?
gettingthem done
well?
gettingthem done
well?
gettingthem done
well?
gettingthem done
well?
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.36
way?way? well?well?way?way?way?way? well?well?well?well?
Source: The Information Paradox
ValIT – Principles(CIO ti i lt )ValIT – Principles(CIO ti i lt )(CIO questionnaire results)(CIO questionnaire results)ITIT bl d i t t ill b dbl d i t t ill b d tf li f i t ttf li f i t tITIT--enabled investments will be managed as enabled investments will be managed as a portfolio of investments.a portfolio of investments.
ITIT--enabled investments will include the enabled investments will include the full scope of activitiesfull scope of activities that are required to achieve that are required to achieve
business valuebusiness value..
ITIT--enabled investments will be managed through their enabled investments will be managed through their full economic life cycle.full economic life cycle.
Value delivery practices will recognize that there are Value delivery practices will recognize that there are different categories of investmentsdifferent categories of investments that that
will be evaluated and managed differentlywill be evaluated and managed differently..
Value delivery practices will define and monitorValue delivery practices will define and monitor key metricskey metrics and will respond quickly to anyand will respond quickly to anyValue delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will respond quickly to any and will respond quickly to any
changes or deviationschanges or deviations..
Value delivery practices will engage all stakeholders and assign Value delivery practices will engage all stakeholders and assign appropriate accountabilityappropriate accountability for for
the delivery of capabilities and the realization of business benefitsthe delivery of capabilities and the realization of business benefits..
Value delivery practices will be Value delivery practices will be continually monitored, evaluated and improved.continually monitored, evaluated and improved.
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.37
Val IT – ProcessesVal IT – ProcessesVal IT ProcessesVal IT Processes
Value Governance (VG)
Portfolio Management (PM)g ( )
Investment Management (IM)
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.38
Val ITR l ti hi b t P & P tiVal ITR l ti hi b t P & P tiRelationship between Processes & PracticesRelationship between Processes & Practices
Provide strategic direction Establish portfolio parameters
VG1-4, 6 -7
VG5, G
Establish governance framework
VG p p
Maintain M i t i
9-11VG8
PM1-5 PM6
VG
Maintain resource
profileMaintain
funding profile
Evaluate & prioritize
Move selected investments to
Manage overall
Monitor & report on
PM1 5 PM6
PM7-PM14
prioritize investments
investments to active portfolio
o e aportfolio
report on portfolio
performance
10
PM11 PM12-13PM
Identify business
req’tsDefine candidate
programmeAnalyse alternatives Assign accountability Document
business caseIM4 IM9
Manage programme execution
Launch programme
Monitor & report on
programme f
IM1-2 IM3, 5-7IM9
IM8, 13
Retire programme
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.39
performanceIM10 IM 11-12 IM14
IM15IM
Val IT Framework - DetailVal IT Framework - Detail
Domain: Value Governance (VG)Process CobiT RACI Chart
Description Key Management Practices Cross Ref. Exec Bus ITCCA,RPrimary:
PO1.2, PO4.4, ME3 1 ME3 2
VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-
•Establish governance
CRAPrimary: PO4 1 ME1 1
VG2 Define and implement processesDefine implement and consistently follow processes that providefor clear
ME3.1, ME3.2 ping of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.
governance, monitoring and control framework
•Establish Strategic DirectionE bli h PO4.1, ME1.1,
ME1.3, ME3.1Secondary:PO5.2-5, PO10.2
Define, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis-tent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking
•Establish portfolio characteristics
CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9
VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand
ll ff h h l d b l
ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.
,services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise
CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2
VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities
and other stakeholders inside and outside the enterprise.
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.40
y g g q pand controlling the costs should be clearly assigned and monitored.
CobiT Mapping ProjectCobiT Mapping ProjectCobiT Mapping ProjectCobiT Mapping Project
Started in 2003Started in 2003
Integration of StandardsIntegration of Standards
Further mappingsFurther mappings
In progressIn progress•• COSO ERMCOSO ERM
•• ITIL 3ITIL 3gg
Update of CobiTUpdate of CobiT•• ITIL v3ITIL v3
•• FFEIC (US banking) FFEIC (US banking)
•• GBPMGBPM
On our radarOn our radarISO20000 (S i M )ISO20000 (S i M )•• ISO20000 (Service Mgmt)ISO20000 (Service Mgmt)
•• ISO19770ISO19770--1 (SW Asset Mgmt)1 (SW Asset Mgmt)
•• ISO 12207 (SW Lifecycle)ISO 12207 (SW Lifecycle)
•• VV--Model XT (SW Development)Model XT (SW Development)
•• FISMAFISMAFISMAFISMA
•• NIAC (Insurance)NIAC (Insurance)
•• NIST SP800NIST SP800--5353
•• ISO 27005 (Risk Mgmt)ISO 27005 (Risk Mgmt)
•• ISO 27002 (ISO17799)ISO 27002 (ISO17799)ISO 27002 (ISO17799)ISO 27002 (ISO17799)
•• ……
Control Objectives for … / Mapping (?)Control Objectives for … / Mapping (?)•• 8th EU Directive8th EU Directive
•• IAIS Framework (Solvency II)IAIS Framework (Solvency II)IAIS Framework (Solvency II)IAIS Framework (Solvency II)
•• HIPAA (Health Insurance)HIPAA (Health Insurance)
•• GLBA (Privacy)GLBA (Privacy)
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.41
CobiT und ITILCobiT und ITILCobiT und ITILCobiT und ITIL
StakeholderCEO IT
Governance(CobiT, ValIT)
CEO( , )
CFO CIO CMO C OCFO CIO CMO CxO
OP AD SDOPs AD SD ITILIT xyz
Management
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.42
Management
Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …
Establish frameworks to ease Governance ImplementationEstablish frameworks to ease Governance Implementation
First CobiT for overall governanceFirst CobiT for overall governance
Then ITIL for service delivery and managementThen ITIL for service delivery and management
Then ISO 17799 for information securityThen ISO 17799 for information security
Balanced Scorecard for measurement and communicationBalanced Scorecard for measurement and communication
Quelle: ForresterHelping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.43
p pby Craig Symons, Jan 2006
Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …
Combine CobiT and ITIL for Powerful IT GovernanceCombine CobiT and ITIL for Powerful IT Governance
Strong framework tools are essential for ensuring IT resources are aligned with an Strong framework tools are essential for ensuring IT resources are aligned with an
enterprise‘s business objectives, and that services and information meet quality, fiduciary enterprise‘s business objectives, and that services and information meet quality, fiduciary
and security needs.and security needs.
Bottom Line: Bottom Line:
CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT
governance control and bestgovernance control and best practice framework in IT service managementpractice framework in IT service managementgovernance, control and bestgovernance, control and best--practice framework in IT service management. practice framework in IT service management.
Enterprises that want to put their ITIL program into the context of a wider control and Enterprises that want to put their ITIL program into the context of a wider control and
governance framework should use CobiT.governance framework should use CobiT.gg
Quelle: Gartner Technical Guidelines, TGQuelle: Gartner Technical Guidelines, TG--1616--1849, S.Mingay, S. Bittinger1849, S.Mingay, S. Bittinger
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.44
AusblickAusblickAusblickAusblick
Die Zeit ist reifDie Zeit ist reif
Für klare Strukturen und VerantwortlichkeitenFür klare Strukturen und Verantwortlichkeiten
Für nachvollziehbare und messbare ITFür nachvollziehbare und messbare IT--ProzesseProzesse
Nutzen durch die ITNutzen durch die IT
Einhaltung internationaler StandardsEinhaltung internationaler Standards
Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand
Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)
Professionelle Unterstützung ist empfehlenswert Professionelle Unterstützung ist empfehlenswert –– besonders auch mit Prüfungsbesonders auch mit Prüfungs-- und Kontroll und Kontroll ––
Know HowKnow How
ITIT--Governance findet primär außerhalb der IT statt!Governance findet primär außerhalb der IT statt!
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.45
Wichtige Kunden zum Thema IT G / P / IKSWichtige Kunden zum Thema IT G / P / IKSIT-Governance / Prozesse / IKSIT-Governance / Prozesse / IKS
APSS (First Data Austria)APSS (First Data Austria)
Bank Austria Gruppe (inkl Wave Solutions und Bank Austria Gruppe (inkl Wave Solutions und IT Austria)IT Austria)
Red BullRed Bull
s Versicherung Gruppes Versicherung Gruppe
Salzburger LandeskrankenanstaltenSalzburger LandeskrankenanstaltenIT Austria)IT Austria)
EggerEgger
Energie AGEnergie AG
EVNEVN
Salzburger LandeskrankenanstaltenSalzburger Landeskrankenanstalten
Siemens GruppeSiemens Gruppe
Telekom AustriaTelekom Austria
EVNEVN
Kärntner Krankenanstalten BetriebsgesellschaftKärntner Krankenanstalten Betriebsgesellschaft
Krankenanstaltenverbund WienKrankenanstaltenverbund Wien
TeleringTelering
TIWAGTIWAG
TT--Mobile AustriaMobile Austria
Magna Steyr FahrzeugtechnikMagna Steyr Fahrzeugtechnik
MediaprintMediaprint
Mobilkom AustriaMobilkom Austria
UniqaUniqa
VA TechVA Tech
voestalpinevoestalpine
ORFORF
Österreichische Post AGÖsterreichische Post AG
Porsche GroupPorsche Group
Volksbank Gruppe (inkl ARZ)Volksbank Gruppe (inkl ARZ)
Vorarlberger IllwerkeVorarlberger Illwerke
WüstenrotWüstenrotpp
Raiffeisen GruppeRaiffeisen Gruppe
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.46
KontaktKontaktKontaktKontakt
Mag. Jimmy HeschlMag. Jimmy Heschl
Senior Manager, ITSenior Manager, IT--AdvisoryAdvisory
Ing. Mag. Dr. Michael SchirmbrandIng. Mag. Dr. Michael Schirmbrand
Partner, ITPartner, IT--AdvisoryAdvisory
KPMG WienKPMG Wien
+43 (1) 31332 +43 (1) 31332 -- 618618
KPMG WienKPMG Wien
+43 (1) 31332 +43 (1) 31332 -- 656656
[email protected]@kpmg.at
www.kpmg.atwww.kpmg.at
[email protected]@kpmg.at
www.kpmg.atwww.kpmg.at
März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.47