business advisory service it- governance unter …ocg.at/2008/files/schirmbrand_heschl.pdf · warum...

BUSINESS ADVISORY SERVICE

IT- Governance

Unter besonderer Berücksichtung von Compliance

IT-Adivisory

Michael Schirmbrand, Jimmy HeschlMärz 08

Michael Schirmbrand, Jimmy HeschlMärz 08

IT-Governance AusgangslageIT-Governance AusgangslageIT Governance AusgangslageIT Governance Ausgangslage

Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie.

Beobachtungen in Österreich:

Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium.

Fehlende Ausrichtung an den

Geschäftszielen

Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen

ausgerichtet.

Fehlende Nutzenbewertung von IT-

Projekten

Der Nutzen von (IT-)Projekten wird meist nicht gemessen.

Fehlende IT Prozessorganisation Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbarFehlende IT-Prozessorganisation Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar.

Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder

nachvollziehbar.

März 08© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.1

Warum (IT-) Audits noch immer nicht b t d dWarum (IT-) Audits noch immer nicht b t d dbestanden werdenbestanden werden

Unkenntnis der relevanten RegularienUnkenntnis der relevanten Regularien

Bessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der Prüfer

Event getriebener Ansatz für ComplianceEvent getriebener Ansatz für Compliance(Siehe auch Information Systems Control Journal 5/2007)(Siehe auch Information Systems Control Journal 5/2007)

Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwartenEine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten



Gartner’s Regulations and Related Standards H C lGartner’s Regulations and Related Standards H C lHype CycleHype Cycle

Solvency II



IT-GovernanceIT-GovernanceBalance zwischen Risiko und PerformanceBalance zwischen Risiko und Performance

Stabiler

Die Rechtssprechung zieht das Die Rechtssprechung zieht das

Pendel in Richtung RisikoPendel in Richtung RisikoStabiler

Wert und Vertrauen

Integriertes

Wettbewerb und Marktdruck Wettbewerb und Marktdruck

drücken das Pendel Richtungdrücken das Pendel RichtungIntegriertesRisiko Management

ko

drücken das Pendel Richtung drücken das Pendel Richtung

PerformancePerformance

VerbesserteKontrolleR

isik ITIT--Governance managt die Governance managt die

Balance zwischen Balance zwischen

Risikomanagement und Risikomanagement und

ProzessVerbesserung

ProzessTransformation

Compliance

PerformancePerformance--erfordernis.erfordernis.

Verbesserung

Performance

Compliance



Performance

IT-Governance: DefinitionIT-Governance: DefinitionIT Governance: DefinitionIT Governance: Definition

Corporate

Governance

Business

Informations-systeme

IT

Governance

Für IT Governance sind Vorstand undFür IT-Governance sind Vorstand und Geschäftsführung verantwortlich.Sie ist integraler Bestandteil der Corporate G d b t ht Füh dGovernance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.

— IT Governance Institute



Wesentliche Standards für IT-GovernanceWesentliche Standards für IT-GovernanceWesentliche Standards für IT GovernanceWesentliche Standards für IT Governance

forderndfordernd

Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT)

SAS 70SAS 70

Sarbanes Oxley ActSarbanes Oxley Act

8. EU8. EU--AuditAudit--RichtlinieRichtlinie

Sonstige relevante GesetzeSonstige relevante Gesetze

helfendhelfendhelfendhelfend

CobiTCobiT

ValITValIT

ITILITIL

ISO 17799ISO 17799

CMMICMMI

……



FachgutachtenFachgutachten

7

Fachgutachten ÖsterreichFachgutachten ÖsterreichFachgutachten ÖsterreichFachgutachten Österreich

KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT

Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Allgemeine Anforderungen (Belegfunktion, Journalfunktion,

Kontenfunktion,...)Kontenfunktion,...)

Forderung nach FunktionstrennungForderung nach Funktionstrennung

Detaillierte Forderungen an die SystemdokumentationDetaillierte Forderungen an die SystemdokumentationDetaillierte Forderungen an die SystemdokumentationDetaillierte Forderungen an die Systemdokumentation

KFS/DV 2 KFS/DV 2

Richtlinien zur Prüfung der IT im Rahmen von Richtlinien zur Prüfung der IT im Rahmen von

JahresabschlussprüfungenJahresabschlussprüfungen



Österreich KFS/DV 1 – DokumentationÖsterreich KFS/DV 1 – DokumentationÖsterreich KFS/DV 1 DokumentationÖsterreich KFS/DV 1 Dokumentation

VerfahrensdokumentationVerfahrensdokumentationVerfahrensdokumentationVerfahrensdokumentation

Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/TabellenFür Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen--Einstellungen) muss verfügbar sein:Einstellungen) muss verfügbar sein:

•• Anforderung/AufgabenstellungAnforderung/Aufgabenstellung

•• DatensatzaufbauDatensatzaufbau

•• Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. K t ll Ab ti f h d F hl b h dlK t ll Ab ti f h d F hl b h dlKontrolle, Abstimmungsverfahren und FehlerbehandlungKontrolle, Abstimmungsverfahren und Fehlerbehandlung

•• DatenausgabeDatenausgabe•• DatensicherungDatensicherung•• Verfügbare ProgrammeVerfügbare Programme•• Art, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests

•• Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)

•• VersionsmanagementVersionsmanagement

Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,…Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,…

Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenEventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenEventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenEventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden

Dokumentation der ZugriffsverfahrenDokumentation der Zugriffsverfahren

Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)



KFS/DV 1 - IKSKFS/DV 1 - IKSKFS/DV 1 IKSKFS/DV 1 IKS

Zusätzlich notwendigZusätzlich notwendig

F k i (F h b il /E i kl /Ad i )F k i (F h b il /E i kl /Ad i )Funktionstrennung (Fachabteilung/Entwickler/Admin)Funktionstrennung (Fachabteilung/Entwickler/Admin)

Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen

DatensicherungenDatensicherungen

Schutz vor Sabotage, Missbrauch und VernichtungSchutz vor Sabotage, Missbrauch und Vernichtung

KontinuitätsmanagementKontinuitätsmanagement

Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreAufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreAufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreAufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre



SAS 70SAS 70

11

Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)

Standard für die Prüfung von OutsourcingStandard für die Prüfung von Outsourcing--Dienstleistern (und deren Kontrollumfeld)Dienstleistern (und deren Kontrollumfeld)

Veröffentlichung der AICPAVeröffentlichung der AICPAVeröffentlichung der AICPAVeröffentlichung der AICPA

Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAPGilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP

Mittlerweile weltweiter DeMittlerweile weltweiter De--Facto Standard für Prüfungen von und für Wirtschaftsprüfern Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (ITbei (IT--)Service)Service--OrganisationenOrganisationen

Praktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFAC

In Deutschland auch Standard PS 331In Deutschland auch Standard PS 331

Achtung: Sarbanes Oxley Achtung: Sarbanes Oxley –– vom PCAOB vorgeschriebenvom PCAOB vorgeschrieben

Auch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung

ÖÖIn Österreich in Richtlinie IWPIn Österreich in Richtlinie IWP--PE14 umgesetztPE14 umgesetzt



ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer

Anzuwenden bei (TeilAnzuwenden bei (Teil--) Outsourcing der IT) Outsourcing der IT

P üf RZP üf RZ K d üK d üPrüfer von RZPrüfer von RZ--Kunden müssenKunden müssen

Report nach SAS 70 / ISA 402 des RZ einholen oderReport nach SAS 70 / ISA 402 des RZ einholen oder

selbst das RZ prüfen oderselbst das RZ prüfen oder

jemanden beauftragen, das RZ nach SAS 70 zu prüfen oderjemanden beauftragen, das RZ nach SAS 70 zu prüfen oder

Bestätigungsvermerk einschränken oder versagenBestätigungsvermerk einschränken oder versagen



SAS 70 - BerichterstattungSAS 70 - BerichterstattungSAS 70 BerichterstattungSAS 70 Berichterstattung

StandardStandard--Text für Bestätigungsvermerk definiertText für Bestätigungsvermerk definiert

B i T II R i d di h d K ll d P üf d diB i T II R i d di h d K ll d P üf d diBei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die

Ergebnisse der Prüfung im Detail dazustellenErgebnisse der Prüfung im Detail dazustellen

Die Verantwortungen von Kunde und RZ sind klar abzugrenzenDie Verantwortungen von Kunde und RZ sind klar abzugrenzen

Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen,

einzuschränken oder zu versageneinzuschränken oder zu versagen



Sarbanes OxleySarbanes Oxley

15

Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404Sarbanes Oxley (SOX) Paragraph 404Sarbanes Oxley (SOX) Paragraph 404

Section 404 des SarbanesSection 404 des Sarbanes--Oxley Act fordert: Oxley Act fordert:

Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) imUnternehmensleitung beurteilt das Interne Kontrollsystem (IKS) imUnternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im

Unternehmen für Finanzreporting (ICOFR) und berichtet darüberUnternehmen für Finanzreporting (ICOFR) und berichtet darüber

Der e terne nabhängige Prüfer gibt ein Testat über den ManagementDer e terne nabhängige Prüfer gibt ein Testat über den ManagementDer externe, unabhängige Prüfer gibt ein Testat über den ManagementDer externe, unabhängige Prüfer gibt ein Testat über den Management--

TestTest

Prüfer berichtet direkt über die Wirksamkeit des IKSPrüfer berichtet direkt über die Wirksamkeit des IKS

Seit 2004 für USSeit 2004 für US--Unternehmen, die SEC gelistet sind, erforderlichUnternehmen, die SEC gelistet sind, erforderlich

Andere Unternehmen (foreign issuers) seit 2006Andere Unternehmen (foreign issuers) seit 2006



8. EU-Audit-Richtlinie8. EU-Audit-Richtlinie(RL 2006/43/EG)(RL 2006/43/EG)

“EuroSox”“EuroSox”

17

Ausprägung in ÖsterreichAusprägung in ÖsterreichAusprägung in ÖsterreichAusprägung in Österreich

Unternehmensrechtsänderungsgesetz (URÄG) 2008Unternehmensrechtsänderungsgesetz (URÄG) 2008

Derzeit ist ein Entwurf in BegutachtungDerzeit ist ein Entwurf in Begutachtung

Verabschiedung noch 2007Verabschiedung noch 2007

In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008

Unternehmen von öffentlichem Interesse (Betroffene)Unternehmen von öffentlichem Interesse (Betroffene)

Kapitalmarktorientierte UnternehmenKapitalmarktorientierte Unternehmen

•• Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECDAktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD--Staat Staat

notierennotieren

Versicherungen, BankenVersicherungen, BankenVersicherungen, BankenVersicherungen, Banken

„Sehr“ große Unternehmen„Sehr“ große Unternehmen

•• >175 Mio. EUR Umsatz oder > 87,5 Mio. EUR Bilanzsumme>175 Mio. EUR Umsatz oder > 87,5 Mio. EUR Bilanzsumme

Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) MitgliedernUnternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern



Entwurf URÄG 2008Pfli ht d P üf hEntwurf URÄG 2008Pfli ht d P üf hPflichten des PrüfungsausschussesPflichten des Prüfungsausschusses

PrüfungsausschussPrüfungsausschuss

§§ 92 AktG, 92 AktG, §§ 30g GmbHG, 30g GmbHG, §§ 24 GenG24 GenG

Pflichten u.a.Pflichten u.a.

•• Überwachung der RechnungslegungÜberwachung der Rechnungslegung

•• Überwachung der Wirksamkeit des IKSÜberwachung der Wirksamkeit des IKS

-- Schließt interne Revision und RMSchließt interne Revision und RM--System mit einSystem mit ein

•• Prüfung des Lageberichts und des Corporate Governance BerichtsPrüfung des Lageberichts und des Corporate Governance Berichts



8. EU-RL vs. SOX8. EU-RL vs. SOX8. EU RL vs. SOX8. EU RL vs. SOX

SOXSOX 8. EU8. EU--RLRL

Dokumentation der Abläufe JA JA

Dokumentation der Kontrollen

(Umfang)

JA / meist separat

(EL-C, Fraud-C, Trans.-C)

JA / integrativ

(nur: angemessen)

Dokumentation der JA JADokumentation der

Kontrolldurchführung

JA

(formalisiert, einheitlich

JA

(nur: angemessen)

Monitoring des IKS JA JAMonitoring des IKS JA JA

Durchführung eines Management

TestingsJA / formalisiert

NEIN / informell

(im Rahmen d Monitoring)Testings (im Rahmen d. Monitoring)

External Audit des IKS JA / spezifische Pflichten JA / allgemein



Auswirkungen der Gesetze auf die ITAuswirkungen der Gesetze auf die ITAuswirkungen der Gesetze auf die ITAuswirkungen der Gesetze auf die IT

Massive AuswirkungenMassive Auswirkungen

Kontrollen müssen dokumentiert und geprüft werdenKontrollen müssen dokumentiert und geprüft werden

große Teile der Kontrollen in der IT große Teile der Kontrollen in der IT (oft 50 bis 70 %)(oft 50 bis 70 %)

Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert Kontrollen

Wesentliche KontrollWesentliche Kontroll--Schwachstellen sind oft in der ITSchwachstellen sind oft in der IT

Unterscheidung in Anwendungskontrollen und General IT ControlsUnterscheidung in Anwendungskontrollen und General IT Controls

CobiT als Standard für General IT Controls anerkanntCobiT als Standard für General IT Controls anerkanntCobiT als Standard für General IT Controls anerkanntCobiT als Standard für General IT Controls anerkannt

Verwendung von COSO in der SOXVerwendung von COSO in der SOX--Welt dringend empfohlenWelt dringend empfohlen

Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance InstituteGovernance Institute



FrameworksFrameworksFrameworksfür Compliance

Frameworksfür Compliancefür Compliancefür Compliance

22

Standards und Good-PracticesStandards und Good-PracticesStandards und Good PracticesStandards und Good Practices

SarbanesAktG /

COSOOxley

Basel IISolvency II

8. EU AuditRichtlinie

GmbHG

GovernanceCOBIT®

An R

Pro

Se

Qua

COBIT®

IT Plan

nwendun

Risiko & S

ojektman

rvice Man

alitätsma

C TManagement nung

ngs-Entw

Security

nagemen

nagemen

anageme

COBITValIT

IT-Betrieb. nt nt nt

SixSigmaISO9000

CMMI

Betrieb

V-Modell

ISO17799

BS PMI ITIL



Source: PINK

Modell 1779927001

25999PMI

PRINCE2ITIL

ISO20000

COSO (Internal Control - Integrated F k)COSO (Internal Control - Integrated F k)Framework)Framework)

1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht

Gemeinsame Sprache über Kontrollen, Definitionen, Modelle

Unternehmensziele im Rahmen von COSO sind

− Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)

− Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)

− Compliance (Einhaltung von Gesetzen und Regulationen)

Zielerreichung über die Ausgestaltung der Komponenten des Frameworks

− Control Environment (Kontrollumfeld)

− Risk Assessment (Risikobewertung)

− Control Activities (Kontrollaktivitäten)

I f i & C i i (I f i & K ik i )− Information & Communication (Information & Kommunikation)

− Monitoring (Überwachung)

Benchmark für interne Kontrollen und Verweis in SOX

Weiterentwicklungen:

− September 2004: Enterprise Risk Management (COSO II)

− Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“



CobiT - EntwicklungCobiT - EntwicklungCobiT EntwicklungCobiT Entwicklung

Governance

Management

Control

Audit

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005



1996 1998 2000 2005

Was ist IT-Governance?Was ist IT-Governance?Was ist IT Governance?Was ist IT Governance?

IT-GOVERNANCESetze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment)• IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen

IT-GOVERNANCE

g g ( )

(Value Delivery)

• IT Ressourcen werden verantwortungsvoll eingesetzt• IT-bezogene Risiken werden angemessen gemanagt

Gib die Richtung

vor

Evaluiere

Performance

Ü

Setze die Strategie um• Erhöhe die Automation (mache das Kerngeschäft wirksam)• Senke Kosten (mache das Unternehmen wirtschaftlich)

Überführe die

Richtung in eine

Strategie

Messe und

Berichte über

Performance

IT-MANAGEMENT

• Manage Risiken (Security, Verlässlichkeit und Compliance)

• Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt

• Methode: Führungs- und Organisationsstrukturen sowie Prozesse

• Verantwortung: Vorstand und Geschäftsführung



Unterstützung durch CobiTUnterstützung durch CobiTUnterstützung durch CobiTUnterstützung durch CobiT

UnternehmenszieleUnternehmens Erfordernisse

Governance Erfordernisse

Informations -Services

Information Criteria

erfordern beeinflussen

setzen voraus

IT-Ziele

IT-Prozesseliefern

Information

IT Prozesse(mit Verantwortlichen) Anwendungen

Infrastruktur

betreiben



und Personalbenötigt

Ausrichtung von IT-Prozessen an U h i lAusrichtung von IT-Prozessen an U h i lUnternehmenszieleUnternehmensziele

1 Marktanteil erhöhen 25 282 Erträge erhöhen 25 25

Typische Unternehmensziele Referenz zu IT-Ziel

Finanz-perspektive

2 Erträge erhöhen 25 253 Rendite 244 Kapitalverwertung optimieren 145 Geschäftsrisiken managen 2 14 17 18 19 20 21 22

6 K d d S i i ti höh 3 23

Finanz-perspektive

6 Kunden- und Serviceorientierung erhöhen 3 237 Kostengünstige Produkte und Services anbieten 5 248 Verfügbarkeit von Services 10 16 22 239 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 2510 Kostenoptimierung bei Serviceerbringung 7 8 10 24

Kunden-perspektive

10 Kostenoptimierung bei Serviceerbringung 7 8 10 24

11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 1112 Geschäftsprozess überarbeiten und verbessern 6 7 8 1113 Prozesskosten reduzieren 7 8 13 15 2414 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 27

Interne 14 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 2715 Transparenz 2 1816 Compliance mit internen Regelungen 2 1317 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13

18 P d kt /G häft i ti 5 25 28Lern nd

Perspektive

18 Produkt-/Geschäftsinnovation 5 25 2819 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 2620 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9

Lern- und Wachstums-perspektive



Typische IT-ZieleTypische IT-ZieleTypische IT ZieleTypische IT Ziele1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher4 Optimiere die Verwendung von Information 5 Stelle IT-Agilität her

Definiere wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt 6 Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt werden.

7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen10 St ll di iti f i d t ll d Li f t b i h i h10 Stelle die gegenseitig zufriedenstellenden Lieferantenbeziehungen sicher11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher14 Übernimm die Verantwortung für und schütze alle IT-Anlagen15 O i i IT I f k R d Fähi k i15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb17 Schütze die Erreichung der IT-Ziele18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann

21 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist

22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher

28 Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung



28 zeigt

CobiT IT-ProzesseCobiT IT-ProzesseCobiT IT ProzesseCobiT IT Prozesse

INFORMATION

PO1 Define a strategic IT plan PO2 Define the information architecturePO3 Determine technological direction PO4 Define the IT processes, organisation and

Plan and Organise

INFORMATION relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects

ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance

• Efficiency• Effectiveness• Confidentiality• Integrity• Availability

C li

Monitor and Evaluate

Monitor and Evaluate Plan and

Organise

PO10 Manage projects • Compliance• Reliability

IT RESSOURCES

Deliver and SupportDS1 Define and manage service levels

• Applications• Information• Infrastructure• People

Deliver and SupportSupport Acquire and

Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources

DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users

Acquire and Implement

AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes

DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations



g p

Bestandteile von ProzessenBestandteile von ProzessenBestandteile von ProzessenBestandteile von Prozessen

Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu ITMessgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT--Zielen, zBZielen, zB

• Installation und Betrieb eines Service Desk

• Überwachung und Berichterstattung von

Aktivitäten• Stelle die Enduser-Zufriedenheit mit

Serviceangeboten und Service Levels sicher

IT• Analysiere, dokumentiere und eskaliere

Incidentszeitgerecht• Reagiere auf Anfragen exakt und

Prozesse• Kunden- und Serviceorientierung

erhöhen• Verfügbarkeit von Services

Unternehmen

Trends• Abstimmung der Lösungsprioritäten von

Ereignisse mit den Bedürfnissen der Geschäftstätigkeit

• Festlegung klarer Eskalationskriterien und -verfahren

setzeZiel

e

• Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher

• Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher

zeitgerecht• Führe regelmäßig Trendanalysen der

Incidentsund Anfragen durchsetze

• Prozesskosten reduzieren• Compliance mit internen Regelungen

setze

missmissmiss

• % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden

• Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr

• Benutzerzufriedenheit mit dem Erst-Support (Service Desk oder Knowledge Base)

• % der innerhalb einer vereinbarten/akzeptablen Zeitspanne

• % der direkten Lösungen basierend auf der Gesamtzahl der Anfragen

• % der erneut geöffneten Incidents• Anteil der abgebrochenen Calls• Durchschnittliche Dauer der öß

en

p• Anzahl der pro Service Desk

MitarbeiterIn pro Stunde bearbeiteten Anrufe

• % der Ereignisse, die einen Vor-Ort-Support benötigen (Field Support, persönlicher Besuch)

k d i h l A f

p pgelösten Incidents Incidentsnach Schweregrad

• Durchschnittliche Reaktionszeit auf Telefon- und E-Mail-/Web-Anfragen

Mes

sgrö



• Rückstand nicht gelöster Anfragen

Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)

0 1 2 3 4 5

Non-existent(nicht existent)

Initial(initial)

Repeatable(wiederholbar)

Defined(definiert)

Managed(gemanagt)

Optimised(optimiert)

0 Nicht existentDerzeitiger Status

Symbole Reifegrade

0 .. Nicht existent1 .. Initial2 .. Wiederholbar

Derzeitiger Status

Internationaler Standard

St t i h Zi l 3 .. Definiert4 .. Monitoringfunktionen5 Optimiert und Automatisiert

Strategisches Ziel

5 .. Optimiert und Automatisiert



Reifegradmodell (Rising-Star-Model)Reifegradmodell (Rising-Star-Model)Reifegradmodell (Rising Star Model)Reifegradmodell (Rising Star Model)

Bewusstsein und Kommunikation

Policies, Standards und Verfahren

Werkzeuge und Automatisierung Skills und Expertise Zuständigkeit und

VerantwortlichkeitZielsetzung und

Messung

55

4

3

2

Strategisches Ziel

1

Strategisches Ziel

Handlungsbedarf

D iti St t



Derzeitiger Status

Ergebnisse einer Reifegradbeuerteilung (B i i l)Ergebnisse einer Reifegradbeuerteilung (B i i l)(Beispiel)(Beispiel)

5PO 1 AI 1

2345

PO 2a

PO 2bPO 10

PO 11

2345

AI 2

AI 2AI 6b

AI 7

01

PO 3

PO 4PO 8

PO 9 01

AI 2

AI 3AI 6a

AI 6b

PO 4

PO 5

PO 6

PO 7

PO 8

AI 4a

AI 4b

AI 5

AI 4b

345DS 1a

DS 1bDS 2

DS 3DS 12DS 13a

DS 13b

345ME 1

012 DS 4

DS 5a

DS 5bDS 10

DS 11a

DS 11b

0123

ME 2ME 4DS 5b

DS 5cDS 5d

DS 5eDS 7DS 8

DS 9

DS 10



DS 5eDS 5fDS 6DS 7ME 3

ValITValITValITA value lense into CobiT

ValITA value lense into CobiTA value lense into CobiTA value lense into CobiT

35

The Four “Ares”- continually asking:The Four “Ares”- continually asking:The Four Ares continually asking:The Four Ares continually asking:

Are wedoing

Are wedoing

Are wegettingAre wegettingAre wegetting

Are wedoing

Are wedoing

Are wedoing

Are wedoing

Are wegettingAre wegettingAre wegettingAre wegettingAre wegettingAre wegettingg

the rightthings?

gthe rightthings?

g gthe

benefits?

g gthe

benefits?

g gthe

benefits?

gthe rightthings?

gthe rightthings?

gthe rightthings?

gthe rightthings?

g gthe

benefits?

g gthe

benefits?

g gthe

benefits?

g gthe

benefits?

g gthe

benefits?

g gthe

benefits?gggggg

Are wedoing them

Are wedoing them

Are wegettingAre wegetting

Are wedoing them

Are wedoing them

Are wedoing them

Are wedoing them

Are wegettingAre wegettingAre wegettingAre wegettingdoing them

the rightway?

doing themthe right

way?

gettingthem done

well?

gettingthem done

well?

doing themthe right

way?

doing themthe right

way?

doing themthe right

way?

doing themthe right

way?

gettingthem done

well?

gettingthem done

well?

gettingthem done

well?

gettingthem done

well?



way?way? well?well?way?way?way?way? well?well?well?well?

Source: The Information Paradox

ValIT – Principles(CIO ti i lt )ValIT – Principles(CIO ti i lt )(CIO questionnaire results)(CIO questionnaire results)ITIT bl d i t t ill b dbl d i t t ill b d tf li f i t ttf li f i t tITIT--enabled investments will be managed as enabled investments will be managed as a portfolio of investments.a portfolio of investments.

ITIT--enabled investments will include the enabled investments will include the full scope of activitiesfull scope of activities that are required to achieve that are required to achieve

business valuebusiness value..

ITIT--enabled investments will be managed through their enabled investments will be managed through their full economic life cycle.full economic life cycle.

Value delivery practices will recognize that there are Value delivery practices will recognize that there are different categories of investmentsdifferent categories of investments that that

will be evaluated and managed differentlywill be evaluated and managed differently..

Value delivery practices will define and monitorValue delivery practices will define and monitor key metricskey metrics and will respond quickly to anyand will respond quickly to anyValue delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will respond quickly to any and will respond quickly to any

changes or deviationschanges or deviations..

Value delivery practices will engage all stakeholders and assign Value delivery practices will engage all stakeholders and assign appropriate accountabilityappropriate accountability for for

the delivery of capabilities and the realization of business benefitsthe delivery of capabilities and the realization of business benefits..

Value delivery practices will be Value delivery practices will be continually monitored, evaluated and improved.continually monitored, evaluated and improved.



Val IT – ProcessesVal IT – ProcessesVal IT ProcessesVal IT Processes

Value Governance (VG)

Portfolio Management (PM)g ( )

Investment Management (IM)



Val ITR l ti hi b t P & P tiVal ITR l ti hi b t P & P tiRelationship between Processes & PracticesRelationship between Processes & Practices

Provide strategic direction Establish portfolio parameters

VG1-4, 6 -7

VG5, G

Establish governance framework

VG p p

Maintain M i t i

9-11VG8

PM1-5 PM6

VG

Maintain resource

profileMaintain

funding profile

Evaluate & prioritize

Move selected investments to

Manage overall

Monitor & report on

PM1 5 PM6

PM7-PM14

prioritize investments

investments to active portfolio

o e aportfolio

report on portfolio

performance

10

PM11 PM12-13PM

Identify business

req’tsDefine candidate

programmeAnalyse alternatives Assign accountability Document

business caseIM4 IM9

Manage programme execution

Launch programme

Monitor & report on

programme f

IM1-2 IM3, 5-7IM9

IM8, 13

Retire programme



performanceIM10 IM 11-12 IM14

IM15IM

Val IT Framework - DetailVal IT Framework - Detail

Domain: Value Governance (VG)Process CobiT RACI Chart

Description Key Management Practices Cross Ref. Exec Bus ITCCA,RPrimary:

PO1.2, PO4.4, ME3 1 ME3 2

VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-

•Establish governance

CRAPrimary: PO4 1 ME1 1

VG2 Define and implement processesDefine implement and consistently follow processes that providefor clear

ME3.1, ME3.2 ping of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.

governance, monitoring and control framework

•Establish Strategic DirectionE bli h PO4.1, ME1.1,

ME1.3, ME3.1Secondary:PO5.2-5, PO10.2

Define, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis-tent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking

•Establish portfolio characteristics

CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9

VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand

ll ff h h l d b l

ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.

,services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise

CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2

VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities

and other stakeholders inside and outside the enterprise.



y g g q pand controlling the costs should be clearly assigned and monitored.

CobiT Mapping ProjectCobiT Mapping ProjectCobiT Mapping ProjectCobiT Mapping Project

Started in 2003Started in 2003

Integration of StandardsIntegration of Standards

Further mappingsFurther mappings

In progressIn progress•• COSO ERMCOSO ERM

•• ITIL 3ITIL 3gg

Update of CobiTUpdate of CobiT•• ITIL v3ITIL v3

•• FFEIC (US banking) FFEIC (US banking)

•• GBPMGBPM

On our radarOn our radarISO20000 (S i M )ISO20000 (S i M )•• ISO20000 (Service Mgmt)ISO20000 (Service Mgmt)

•• ISO19770ISO19770--1 (SW Asset Mgmt)1 (SW Asset Mgmt)

•• ISO 12207 (SW Lifecycle)ISO 12207 (SW Lifecycle)

•• VV--Model XT (SW Development)Model XT (SW Development)

•• FISMAFISMAFISMAFISMA

•• NIAC (Insurance)NIAC (Insurance)

•• NIST SP800NIST SP800--5353

•• ISO 27005 (Risk Mgmt)ISO 27005 (Risk Mgmt)

•• ISO 27002 (ISO17799)ISO 27002 (ISO17799)ISO 27002 (ISO17799)ISO 27002 (ISO17799)

•• ……

Control Objectives for … / Mapping (?)Control Objectives for … / Mapping (?)•• 8th EU Directive8th EU Directive

•• IAIS Framework (Solvency II)IAIS Framework (Solvency II)IAIS Framework (Solvency II)IAIS Framework (Solvency II)

•• HIPAA (Health Insurance)HIPAA (Health Insurance)

•• GLBA (Privacy)GLBA (Privacy)



CobiT und ITILCobiT und ITILCobiT und ITILCobiT und ITIL

StakeholderCEO IT

Governance(CobiT, ValIT)

CEO( , )

CFO CIO CMO C OCFO CIO CMO CxO

OP AD SDOPs AD SD ITILIT xyz

Management



Management

Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …

Establish frameworks to ease Governance ImplementationEstablish frameworks to ease Governance Implementation

First CobiT for overall governanceFirst CobiT for overall governance

Then ITIL for service delivery and managementThen ITIL for service delivery and management

Then ISO 17799 for information securityThen ISO 17799 for information security

Balanced Scorecard for measurement and communicationBalanced Scorecard for measurement and communication

Quelle: ForresterHelping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance



p pby Craig Symons, Jan 2006

Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …Die Stimme der anderen …

Combine CobiT and ITIL for Powerful IT GovernanceCombine CobiT and ITIL for Powerful IT Governance

Strong framework tools are essential for ensuring IT resources are aligned with an Strong framework tools are essential for ensuring IT resources are aligned with an

enterprise‘s business objectives, and that services and information meet quality, fiduciary enterprise‘s business objectives, and that services and information meet quality, fiduciary

and security needs.and security needs.

Bottom Line: Bottom Line:

CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT

governance control and bestgovernance control and best practice framework in IT service managementpractice framework in IT service managementgovernance, control and bestgovernance, control and best--practice framework in IT service management. practice framework in IT service management.

Enterprises that want to put their ITIL program into the context of a wider control and Enterprises that want to put their ITIL program into the context of a wider control and

governance framework should use CobiT.governance framework should use CobiT.gg

Quelle: Gartner Technical Guidelines, TGQuelle: Gartner Technical Guidelines, TG--1616--1849, S.Mingay, S. Bittinger1849, S.Mingay, S. Bittinger



AusblickAusblickAusblickAusblick

Die Zeit ist reifDie Zeit ist reif

Für klare Strukturen und VerantwortlichkeitenFür klare Strukturen und Verantwortlichkeiten

Für nachvollziehbare und messbare ITFür nachvollziehbare und messbare IT--ProzesseProzesse

Nutzen durch die ITNutzen durch die IT

Einhaltung internationaler StandardsEinhaltung internationaler Standards

Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand

Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)

Professionelle Unterstützung ist empfehlenswert Professionelle Unterstützung ist empfehlenswert –– besonders auch mit Prüfungsbesonders auch mit Prüfungs-- und Kontroll und Kontroll ––

Know HowKnow How

ITIT--Governance findet primär außerhalb der IT statt!Governance findet primär außerhalb der IT statt!



Wichtige Kunden zum Thema IT G / P / IKSWichtige Kunden zum Thema IT G / P / IKSIT-Governance / Prozesse / IKSIT-Governance / Prozesse / IKS

APSS (First Data Austria)APSS (First Data Austria)

Bank Austria Gruppe (inkl Wave Solutions und Bank Austria Gruppe (inkl Wave Solutions und IT Austria)IT Austria)

Red BullRed Bull

s Versicherung Gruppes Versicherung Gruppe

Salzburger LandeskrankenanstaltenSalzburger LandeskrankenanstaltenIT Austria)IT Austria)

EggerEgger

Energie AGEnergie AG

EVNEVN

Salzburger LandeskrankenanstaltenSalzburger Landeskrankenanstalten

Siemens GruppeSiemens Gruppe

Telekom AustriaTelekom Austria

EVNEVN

Kärntner Krankenanstalten BetriebsgesellschaftKärntner Krankenanstalten Betriebsgesellschaft

Krankenanstaltenverbund WienKrankenanstaltenverbund Wien

TeleringTelering

TIWAGTIWAG

TT--Mobile AustriaMobile Austria

Magna Steyr FahrzeugtechnikMagna Steyr Fahrzeugtechnik

MediaprintMediaprint

Mobilkom AustriaMobilkom Austria

UniqaUniqa

VA TechVA Tech

voestalpinevoestalpine

ORFORF

Österreichische Post AGÖsterreichische Post AG

Porsche GroupPorsche Group

Volksbank Gruppe (inkl ARZ)Volksbank Gruppe (inkl ARZ)

Vorarlberger IllwerkeVorarlberger Illwerke

WüstenrotWüstenrotpp

Raiffeisen GruppeRaiffeisen Gruppe



KontaktKontaktKontaktKontakt

Mag. Jimmy HeschlMag. Jimmy Heschl

Senior Manager, ITSenior Manager, IT--AdvisoryAdvisory

Ing. Mag. Dr. Michael SchirmbrandIng. Mag. Dr. Michael Schirmbrand

Partner, ITPartner, IT--AdvisoryAdvisory

KPMG WienKPMG Wien

+43 (1) 31332 +43 (1) 31332 -- 618618

KPMG WienKPMG Wien

+43 (1) 31332 +43 (1) 31332 -- 656656

[email protected]@kpmg.at

www.kpmg.atwww.kpmg.at

[email protected]@kpmg.at

www.kpmg.atwww.kpmg.at



business advisory service it- governance unter …ocg.at/2008/files/schirmbrand_heschl.pdf · warum...

Documents