IT Governance Exec Sum

franzhoermann.com

IT Governance Exec Sum

BUSINESS ADVISORY SERVICE

IT- Governance

Unter besonderer Berücksichtung von

Compliance / IT Audit

IT Advisory

Michael Schirmbrand

Juni 2009


IT-Governance Ausgangslage

Beobachtungen in Österreich:

Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie.

Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-

Steuerungsgremium.

Fehlende Ausrichtung an den

Geschäftszielen

Fehlende Nutzenbewertung

von IT-Projekten

Fehlende IT-

Prozessorganisation

Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar

an den Unternehmenszielen ausgerichtet.

Der Nutzen von (IT-)Projekten wird meist nicht gemessen.

Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht

dokumentiert oder messbar.

Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen

nicht dokumentiert oder nachvollziehbar.

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009

1


Warum (IT-) Audits noch immer nicht

bestanden werden

Unkenntnis der relevanten Regularien

Bessere Ausbildung und Kenntnis der Prüfer Pr fer

Event getriebener Ansatz für f r Compliance

(Siehe auch Information Systems Control Journal 5/2007)

Eine Vervielfachung der Regularien ist in den

folgenden Jahren zu erwarten

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009

2


Compliance als Teil der IT-Governance

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009

3


IT Governance

Balance zwischen Risiko und Performance

Risiko

Integriertes

Risiko Management

Verbesserte

Kontrolle

Compliance

Stabiler

Wert und

Vertrauen

Prozess

Transformation

Prozess

Verbesserung

Performance

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Die Rechtssprechung

zieht das Pendel in

Richtung Risiko

Wettbewerb und

Marktdruck drücken dr cken

das Pendel Richtung

Performance

IT Governance managt

die Balance zwischen

Risikomanagement

und Performance-

erfordernis.

erfordernis

Michael Schirmbrand

Juni 2009

4


IT-Governance: Eine Definition

Corporate

Governance

IT

Governance

Business

Informations

-systeme

Für IT-Governance sind Vorstand und

Geschäftsführung verantwortlich. Sie ist integraler

Bestandteil der Corporate Governance und

besteht aus Führungs- und

Organisationsstrukturen sowie Prozessen, die

sicherstellen, dass IT die Geschäftsstrategien und

-ziele unterstützt und vorantreibt.

IT Governance Institute

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009

5


Was ist IT-Governance?

IT-GOVERNANCE

Evaluiere

Performance

Messe und

Berichte

über

Performance

Setze Ziele IT-GOVERNANCE

IT arbeitet im Sinne des Kerngeschäfts (Alignment)

IT ermöglicht das Kerngeschäft (Enablement) und

maximiert den Nutzen (Value Delivery)

IT Ressourcen werden verantwortungsvoll eingesetzt

IT-bezogene Risiken werden angemessen gemanagt

Setze die Strategie um

• Erhöhe die Automation (mache das Kerngeschäft

wirksam)

• Senke Kosten (mache das Unternehmen wirtschaftlich)

• Manage Risiken (Security, Verlässlichkeit und

Compliance)

IT-MANAGEMENT

• Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und

vorantreibt

• Methode: Führungs- und Organisationsstrukturen sowie Prozesse

• Verantwortung: Vorstand und Geschäftsführung

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Gib die

Richtung vor

Überführe

die Richtung

in eine

Strategie

Michael Schirmbrand

Juni 2009

6


Wesentliche Standards für IT Governance

fordernd

Fachgutachten (IFAC, AICPA, KWT)

SAS 70

Sarbanes Oxley Act

8. EU-Audit EU Audit-Richtlinie Richtlinie

Sonstige relevante Gesetze

helfend

CobiT

ValIT

ITIL

ISO 17799

CMMI


© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009

7


Fachgutachten

8


Fachgutachten - Verschiedene

herausgebende Organisationen

IFAC – International Federation of Accountants

ISA (ISA ( ISA 402 - Audit Considerations relating to Entities using

Service Organizations)

AICPA – American Institute of CPAs

SAS (zB ( zB SAS/70 - Reports on the Processing of Transactions by

Service Organizations)

PCAOB – Public Company Accounting Oversight Board

Auditing Standards

KFS – Kammer der WT - Fachsenat für Datenverarbeitung

KFS/DV1

KFS/DV2

IDW – Institut der Wirtschaftsprüfer

Wirtschaftspr fer

PS331 (Serviceorganisationen

( Serviceorganisationen)

FAIT (Fachgutachten

( Fachgutachten für die Prüfung Pr fung von Informationstechnologie)

Informationstechnologie

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009

9


Fachgutachten Österreich

KFS/DV1 der Kammer der WT

Allgemeine Anforderungen (Belegfunktion,

Journalfunktion, Kontenfunktion,...)

Forderung nach Funktionstrennung

Detaillierte Forderungen an die

Systemdokumentation

KFS/DV 2

Richtlinien zur Prüfung Pr fung der IT im Rahmen von

Jahresabschlussprüfungen

Jahresabschlusspr fungen

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 10


KFS/DV 1 - Grundsätze

Allgemeine Anforderungen

Unternehmer buchführungspflichtig buchf hrungspflichtig und für f r

Ordnungsmäß

Ordnungsmäßigkeit

igkeit verantwortlich (auch bei

Fremd-SW

Fremd SW und Online-Verfahren)

Online Verfahren)

Radierverbot

Prüfspur Pr fspur progressiv und retrograd

Verbot nachträglicher nachtr glicher Schreibvorgänge

Schreibvorg nge

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 11


Österreich KFS/DV 1 – Dokumentation

Verfahrensdokumentation

Für r Programmentwicklungen, Change Management, Zukäufe Zuk ufe von SW

(inkl. Customizing/Tabellen

Customizing/Tabellen-Einstellungen)

Einstellungen) muss verfügbar verf gbar sein:

• Anforderung/Aufgabenstellung

• Datensatzaufbau

• Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) Tabelleneinstellungen)

einschl.

Kontrolle, Abstimmungsverfahren und Fehlerbehandlung

• Datenausgabe

• Datensicherung

• Verfügbare Verf gbare Programme

• Art, Inhalt und Umfang der durchgeführten durchgef hrten Tests

• Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)

• Versionsmanagement

Gilt auch für f r Datenbanken, Betriebssysteme, Netzwerkkomponenten,…

Netzwerkkomponenten,

Eventuell können k nnen Teile davon auch von externen Dritten zur Verfügung Verf gung

gestellt werden

Dokumentation der Zugriffsverfahren

Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 12


KFS/DV 1 - IKS

Zusätzlich Zus tzlich notwendig

Funktionstrennung

(Fachabteilung/Entwickler/Admin

(Fachabteilung/Entwickler/ Admin)

Zugriffsberechtigungen auf allen Systemebenen

Datensicherungen

Schutz vor Sabotage, Missbrauch und Vernichtung

Kontinuitätsmanagement

Kontinuit tsmanagement

Aufbewahrung sämtlicher s mtlicher

Dokumentationsbestandteile für f r 7 Jahre

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 13


IDW RS FAIT 2 - Dokumentation

Deutsches Fachgutachten – in einigen Bereichen

zur Klarstellung detaillierter als KFS/DV 1

Dokumentation grundsätzlich grunds tzlich wie bei FAIT 1, plus

zusätzlich:

zus tzlich:

Doku HW/SW (zB ( zB Router, Firewall, Firewall,

Virenscanner,..)

Netzwerkarchitektur (auch Anbindung ISP)

Verwendete Protokolle

Verschlüsselungsverfahren

Verschl sselungsverfahren

Signaturverfahren

Datenflusspläne, Datenflusspl ne, Schnittstellen, relevante Kontrollen

Autorisierungsverfahren, Verfahren zur Generierung

von Buchungen

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 14


IDW RS FAIT 2 - IKS

Für r IKS zusätzlich zus tzlich notwendig

Firewall Einstellungen (+Überpr (+ berprüfungen) fungen)

Firewall-Logs

Firewall Logs (+Überpr (+ berprüfungen) fungen)

Change Management für f r die gesamte Infrastruktur

(Firewalls, Router, Switches,..,)

Scanner (IDS, Viren, Kontrollen,..)

Penetration Tests

Überpr berprüfung fung dieser Themen durch die Revision

Dient nur als Beispiel; in Deutschland alles für f r 10

Jahre aufzubewahren

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 15


Überblick Fachgutachten KFS/DV 2

Fachgutachten „Die Die Prüfung Pr fung der IT im Rahmen von

Abschlussprüfungen

Abschlusspr fungen“

Erarbeitet durch FS DV

Gemeinsame Überarbeitung berarbeitung durch FS DV und FS

HR

Verabschiedet im November 2004

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 16


Struktur KFS/DV 2

A. Vorbemerkungen

A.1. Anwendungsbereich des Fachgutachtens

A.2. Einbindung in die Abschlussprüfung

Abschlusspr fung

B. Ziel und Umfang der Prüfung Pr fung der Informationstechnik

C. Tätigkeiten tigkeiten des Abschlussprüfers Abschlusspr fers bei der Prüfung Pr fung der Informationstechnik

C.1. Berücksichtigung Ber cksichtigung der Prüfung Pr fung der Informationstechnik bei der Prüfungsplanung

Pr fungsplanung

C.2. Gewinnung eines Überblicks berblicks über ber die Informationstechnik des geprüften gepr ften Unternehmens

C.3. Feststellung der wesentlichen aus dem Einsatz der Informationstechnik Informationstechnik

resultierenden Risiken

C.4. Feststellung der Maßnahmen Ma nahmen des geprüften gepr ften Unternehmens zur Beseitigung oder Verminderung der

Risiken

Anwendungsunabhängige

Anwendungsunabh ngige Kontrollen der Informationstechnik-Prozesse

Informationstechnik Prozesse

Anwendungsabhängige

Anwendungsabh ngige Kontrollen der Geschäftsprozesse

Gesch ftsprozesse

C.5. Prüfungshandlungen Pr fungshandlungen des Abschlussprüfers

Abschlusspr fers

Prüfung Pr fung der anwendungsunabhängigen

anwendungsunabh ngigen Kontrollen

Prüfung Pr fung der anwendungsabhängigen

anwendungsabh ngigen Kontrollen

Prüfung Pr fung der Einhaltung der Grundsätze Grunds tze ordnungsmäß

ordnungsmäßiger

iger Buchführung

Buchf hrung

C.6. Dokumentation der Prüfungshandlungen Pr fungshandlungen und Berichterstattung über ber die Prüfungsfeststellungen

Pr fungsfeststellungen

D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik Informationstechnik

an ein anderes

Unternehmen (IT ( IT-Outsourcing

Outsourcing)

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 17


KFS/DV 2 - Grundsätze

Prüfung Pr fung der IT ist der der Prüfung Pr fung des Internen

Kontrollsystems

Geprüft Gepr ft werden die IT Qualitätsmerkmale Qualit tsmerkmale der

Effektivität, Effektivit t, Vertraulichkeit, Verfügbarkeit,

Verf gbarkeit,

Integrität, Integrit t, Konformität Konformit t und Wartbarkeit (nicht

Effizienz)

Risikoorientierte Prüfung Pr fung

Prüfung Pr fung von Stichproben

Abhängig Abh ngig von Größ Größe

e und Komplexität Komplexit t des

Unternehmens und der eingesetzten Systeme

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 18


KFS/DV 2 – Grobüberblick über IT Prüfungen

Gewinnung eines Überblicks berblicks über ber Systeme und

Abläufe Abl ufe

Prüfung Pr fung der IT Prozesse (anwendungs

( anwendungsun unabh abhängige ngige

IT Kontrollen), orientiert zB an CobIT

Prüfung Pr fung der Anwendungen (anwendungsabh

( anwendungsabhängige ngige

IT Kontrollen)

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 19


Prüffelder IT-Prüfung

allgemeine IT Kontrollen (General IT Controls / ITGC)

Anwendungskontrollen

Sonderthemen (Datenanalysen, Prozess-Erhebung, Prozess Erhebung, Schnittstellen,

Datenschutz, Archivierung, Migration)

Prozess 1 Prozess 2 Prozess 3

Billing

Datenbank 1

Telebanking SAP

Betriebssystem(e)

Netzwerk

IT-Prozess

Datenbank 1 Datenbank 1

externe Anbindungen

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 20


Arten von Kontrollen

Kontrollarten (vgl vgl. . Prüfungsmethoden

Pr fungsmethoden / KAM)

authorization

system configuration and account mapping controls

exception / edit reports

interface / conversion controls

key performance indicators

management review

reconciliation

segregation of duties

system access

Die meisten dieser Kontrollen sind in der IT – in Form von

Anwendungskontrollen oder halb automatisierten Kontrollen –

realisiert

Achtung:

Zusammenarbeit / Abgrenzung von Fachbereichen und IT

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

IT

IT

Michael Schirmbrand

Juni 2009 21


Minimale Prüfungsgebiete der ITGC

Kontrollumgebung

Systemübersicht / Informationsflüsse (GoBS)

Planung und Steuerung der IT

Monitoring und Verbesserung der IT-Prozesse

IKS der IT

Zugriffsschutz

Security Policy

Logischer Zugriffsschutz

Funktionstrennung

Änderungswesen

Programmänderungen

Konfigurationsänderungen

Inbetriebnahme der Änderungen

Software-Entwicklung

Betrieb

Datensicherung

Incident-Management

Automatisierte Systemabläufe

Physischer Zugriffsschutz (Rechenzentrum)

Kontinuitätsmanagement der IT

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Dringend empfohlen:

CobiT

Michael Schirmbrand

Juni 2009 22


KFS/DV 2 – Prüfung anwendungsabhängig

Einholung von Informationen über ber die relevanten Anwendungen

Prüfung Pr fung und Beurteilung der Programmfunktionen:

insbesondere sind Verarbeitungsalgorithmen, Stammdaten- Stammdaten und

Tabellenpflege, Journalfunktion, die Vollständigkeit Vollst ndigkeit der internen

Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht

Aufbewahrungs pflicht

und auch der Abgleich von Nebenbüchern Nebenb chern mit dem Hauptbuch

Bestandteil der Prüfung Pr fung

Prüfung Pr fung der Anwendungskontrollen:

hierzu gehören geh ren das interne Steuerungssystem (Einstellungsparameter

für r Programme) und das interne Überwachungssystem berwachungssystem sowie die

Vollständigkeit Vollst ndigkeit und Nachvollziehbarkeit desselben, Eingabe-, Eingabe ,

Verarbeitungs- Verarbeitungs und Ausgabekontrollen, sowie alle prozessintegrierten

Kontrollen und Sicherungsmaßnahmen Sicherungsma nahmen wie zB Zugriffskontrollen und

Protokolle.

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 23


KFS/DV 2 - Outsourcing

Sofern Aktivitäten Aktivit ten als Dienstleistungsunternehmen wesentliche

Auswirkungen auf die Jahresabschlussprüfung Jahresabschlusspr fung haben, hat der

Abschlussprüfer Abschlusspr fer ausreichende Informationen einzuholen, um

das Interne Kontrollsystem und die Kontrollrisiken des

Unternehmens beurteilen zu können. k nnen. Gegebenenfalls sind

entsprechende Informationen vom Prüfer Pr fer des Dienstleistungs-

unternehmens einzuholen oder Prüfungshandlungen Pr fungshandlungen vor dem

Dienstleistungsunternehmen durchzuführen. durchzuf hren. Unter Umständen

Umst nden

können nnen auch Prüfungsergebnisse Pr fungsergebnisse des Prüfer, Pr fer, des

Dienstleistungs-unternehmen

Dienstleistungs unternehmen oder des Sachverständigen

Sachverst ndigen

herangezogen werden, wenn diese entsprechenden Qualitäts Qualit ts-

kriterien genügen. gen gen. Aus derartigen Prüfungsergebnissen Pr fungsergebnissen kann

insbesondere aus Prüfung Pr fung von Dienstleistungsunternehmen

oder Serviceunternehmen nach dem

der IFAC herangezogen werden.

oder Serviceunternehmen nach dem Standard ISA 402

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 24


SAS 70

25


Überblick SAS 70 (siehe auch ISA 402)

Standard für f r die Prüfung Pr fung von Outsourcing-Dienstleistern

Outsourcing Dienstleistern

(und deren Kontrollumfeld)

Veröffentlichung Ver ffentlichung der AICPA

Gilt grundsätzlich grunds tzlich für f r USA, aber auch bei Bilanzierung nach

US GAAP

Mittlerweile weltweiter De-Facto De Facto Standard für f r Prüfungen Pr fungen von

und für f r Wirtschaftsprüfern Wirtschaftspr fern bei (IT ) Service-Organisationen

Service Organisationen

Praktisch inhaltsgleich zu ISA 402 der IFAC

In Deutschland auch Standard PS 331

Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben

Auch in Österreich sterreich bei (fast) allen RZ in Umsetzung

In Österreich sterreich in Richtlinie IWP-PE14 IWP PE14 umgesetzt

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 26


ISA 402 / SAS 70 Anforderungen an Prüfer

Anzuwenden bei (Teil-) (Teil ) Outsourcing der IT

Prüfer Pr fer von RZ-Kunden RZ Kunden müssen m ssen

Report nach SAS 70 / ISA 402 des RZ einholen oder

selbst das RZ prüfen pr fen oder

jemanden beauftragen, das RZ nach SAS 70 zu

prüfen pr fen oder

Bestätigungsvermerk Best tigungsvermerk einschränken einschr nken oder versagen

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 27


SAS 70 - Berichterstattung

Standard-Text Standard Text für f r Bestätigungsvermerk Best tigungsvermerk definiert

Bei Typ II Report sind die vorhandenen Kontrollen,

deren Prüfung Pr fung und die Ergebnisse der Prüfung Pr fung im

Detail dazustellen

Die Verantwortungen von Kunde und RZ sind klar

abzugrenzen

Bei wesentlichen Mängeln M ngeln ist der

Bestätigungsvermerk Best tigungsvermerk zu ergänzen, erg nzen, einzuschränken

einzuschr nken

oder zu versagen

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 28


Sarbanes Oxley

29


Sarbanes-Oxley (SOX) Paragraph

404

Section Section 404 des Sarbanes-Oxley

Sarbanes Oxley Act fordert:

Unternehmensleitung beurteilt das Interne

Kontrollsystem (IKS) im Unternehmen für f r

Finanzreporting (ICOFR) und berichtet darüber dar ber

Der externe, unabhängige unabh ngige Prüfer Pr fer gibt ein Testat

über ber den Management-Test

Management Test

Pr Prüfer fer berichtet direkt über ber die Wirksamkeit des

IKS

Seit Seit 2004 für f r US-Unternehmen, US Unternehmen, die SEC gelistet

sind, erforderlich

Andere Andere Unternehmen (foreign ( foreign issuers) issuers)

seit 2006

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 30


8. EU-Audit-Richtlinie

(RL 2006/43/EG)

“EuroSox”

31


Ausprägung in Österreich

Unternehmensrechtsänderungsgesetz Unternehmensrechts nderungsgesetz (URÄG) (UR G) 2008

Verabschiedung am 10. April 2008

In Kraft: 30.6.2008 bzw. Geschäftsjahre Gesch ftsjahre beginnend nach

31.12.2008

Unternehmen von öffentlichem ffentlichem Interesse (Betroffene)

Kapitalmarktorientierte Unternehmen

• Aktien oder Wertpapiere an geregeltem Markt oder anerkannten,

offenen Markt in OECD-Staat OECD Staat notieren

Versicherungen, Banken

„Sehr Sehr“ große gro e Unternehmen

• >192 Mio. EUR Umsatz oder > 96 Mio. EUR Bilanzsumme

Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten)

(gew hlten)

Mitgliedern

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 32


URÄG 2008

Gesetzliche Rahmenbedingungen

§ 82 AktG

§22 GmbHG

Vorstand

§ 243 a UGB

§ 92 (4a) AktG

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Aufsichtsrat

Implementierung Publizität Überwachung

Implementierung eines

Internen Kontrollsystems,

das den Anforderungen

des Unternehmens

entspricht

Auseinandersetzung mit

der Effektivität des

bestehenden

Kontrollsystems im Zuge

der Offenlegung

Internes Kontrollsystem

URÄG 2008

Beschreibung der

wesentlichen Merkmale des

internen Kontroll- und

Risikomanagementsystems

im Hinblick auf die

Rechnungslegung

.

Risikomanagement

Überwachung der

Wirksamkeit des IKS und des

Risikomanagementsystems

im Hinblick auf das

Gesamtunternehmen

Überwachung der

Wirksamkeit

URÄG 2008

Michael Schirmbrand

Juni 2009 33


Auswirkungen des URÄG 2008 auf die IT

Massive Auswirkungen

Kontrollen müssen m ssen dokumentiert und geprüft gepr ft

werden

große gro e Teile der Kontrollen in der IT

(oft 50 bis 70 %)

Im Regelfall mehrere hundert Kontrollen

Wesentliche Kontroll-Schwachstellen Kontroll Schwachstellen sind oft in

der IT

Unterscheidung in Anwendungskontrollen und

General IT Controls

Cobit als Standard für f r General IT Controls

anerkannt

Überleitung berleitung von COSO auf CobiT in einer

Veröffentlichung Ver ffentlichung vom IT Governance Institute

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 34


Frameworks

35


Frameworks und Standards…

Governance

Management

Betrieb

Quelle: Pink Roccade/Elefant

COBIT

ValIT

CMMI

V-

Modell

Basel II

Solvency II

IT Planung

ISO

17799

27001

AktG /

GmbHG

Anwendungs-Entw.

COSO

Risiko & Security

Sarbanes

Oxley

COBIT ®

Projektmanagement

IT-Betrieb

BS

25999

PM I

PRINCE2

8. EU Audit

Richtlinie

Service Management

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Qualitätsmanagement

ITIL

ISO20000

SixSigma

ISO9000

Source: PINK

Michael Schirmbrand

Juni 2009 36


COSO (Internal Control - Integrated

Framework)

1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission”

veröffentlicht

Gemeinsame Sprache über Kontrollen, Definitionen, Modelle

Unternehmensziele im Rahmen von COSO sind

− Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)

− Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)

− Compliance (Einhaltung von Gesetzen und Regulationen)

Zielerreichung über die Ausgestaltung der Komponenten des

Frameworks

− Control Environment (Kontrollumfeld)

− Risk Assessment (Risikobewertung)

− Control Activities (Kontrollaktivitäten)

− Information & Communication (Information & Kommunikation)

− Monitoring (Überwachung)

Benchmark für interne Kontrollen und Verweis in SOX

Weiterentwicklungen:

− September 2004: Enterprise Risk Management (COSO II)

− Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over

Financial Reporting“

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 37


CobiT

38


Entwicklung von CobiT

Audit

Control

Management

Governance

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 39


Unterstützung durch CobiT

Unternehmensziele

Unternehmens

Erfordernisse

Governance

Erfordernisse

erfordern

Informations -

Services

beeinflussen

setzen

voraus

Information Criteria

IT Ziele

CobiT

IT Prozesse

(mit Verantwortlichen)

IT Prozesse

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

liefern

betreiben

benötigt

Information

Anwendungen

Infrastruktur

und Personal

Michael Schirmbrand

Juni 2009 40


Ausrichtung von IT-Prozessen an

Unternehmensziele

Finanzperspektive

Kundenperspektive

Interne

Perspektive

Lern- und

Wachstumsperspektive

Typische Unternehmensziele Referenz zu IT-Ziel

1 Marktanteil erhöhen 25 28

2 Erträge erhöhen 25 25

3 Rendite 24

4 Kapitalverwertung optimieren 14

5 Geschäftsrisiken managen 2 14 17 18 19 20 21 22

6 Kunden- und Serviceorientierung erhöhen 3 23

7 Kostengünstige Produkte und Services anbieten 5 24

8 Verfügbarkeit von Services 10 16 22 23

9 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 25

10 Kostenoptimierung bei Serviceerbringung 7 8 10 24

11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 11

12 Geschäftsprozess überarbeiten und verbessern 6 7 8 11

13 Prozesskosten reduzieren 7 8 13 15 24

14 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 27

15 Transparenz 2 18

16 Compliance mit internen Regelungen 2 13

17 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13

18 Produkt-/Geschäftsinnovation 5 25 28

19 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 26

20 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 41


Typische IT-Ziele

1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie

2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben

3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher

4 Optimiere die Verwendung von Information

5 Stelle IT-Agilität her

Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt

6

werden.

7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme

8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur

9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen

10 Stelle die gegenseitig zufriedenstellenden Lieferantenbeziehungen sicher

11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse

12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher

13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher

14 Übernimm die Verantwortung für und schütze alle IT-Anlagen

15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten

16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb

17 Schütze die Erreichung der IT-Ziele

18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen

19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher

20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann

Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können

21

und ihre Wiederherstellung gewährleistet ist

22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist

23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher

24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg

25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um

26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur

27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher

28

Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung

zeigt

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 42


CobiT IT-Prozesse

Monitor and Evaluate

ME1 Monitor and evaluate IT performance

ME2 Monitor and evaluate internal control

ME3 Ensure regulatory compliance

ME4 Provide IT governance

Deliver and Support

DS1 Define and manage service levels

DS2 Manage third-party services

DS3 Manage performance and capacity

DS4 Ensure continuous service

DS5 Ensure systems security

DS6 Identify and allocate costs

DS7 Educate and train users

DS8 Manage service desk and incidents

DS9 Manage the configuration

DS10 Manage problems

DS11 Manage data

DS12 Manage the physical environment

DS13 Manage operations

Monitor and

Evaluate

Deliver and

Support

INFORMATION

• Efficiency

• Effectiveness

• Confidentiality

• Integrity

• Availability

• Compliance

• Reliability

IT RESSOURCES

• Applications

• Information

• Infrastructure

• People

Acquire and

Implement

Plan and

Organise

Plan and Organise

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

PO1 Define a strategic IT plan

PO2 Define the information architecture

PO3 Determine technological direction

PO4 Define the IT processes, organisation and

relationships

PO5 Manage the IT investment

PO6 Communicate management aims and direction

PO7 Manage IT human resources

PO8 Manage quality

PO9 Assess and manage IT risks

PO10 Manage projects

Acquire and Implement

AI1 Identify automated solutions

AI2 Acquire and maintain application software

AI3 Acquire and maintain technology infrastructure

AI4 Enable operation and use

AI5 Procure IT resources

AI6 Manage changes

AI7 Install and accredit solutions and changes

Michael Schirmbrand

Juni 2009 43


Bestandteile von Prozessen (1/3)

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Prozessbeschreibung

Domäne und

Information-Criteria

IT Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance

& IT Resources

Michael Schirmbrand

Juni 2009 44


Bestandteile von Prozessen (2/3)

RACI-Chart

RACI Chart zur Darstellung der Verantwortlichkeiten, zB

Inputs und Outputs, zB

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 45


Bestandteile von Prozessen (3/3)

Messgröß Messgrößen

en auf unterschiedlichen Ebenen und deren Verbindung

zu IT Zielen, zB

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 46


Reifegradmodell (Maturity Model)

Non-existent

(nicht existent)

Initial

(initial)

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

Repeatable

(wiederholbar)

Defined

(definiert)

0 1 2 3 4 5

Symbole Reifegrade

0 .. Nicht existent

1 .. Initial

2 .. Wiederholbar

3 .. Definiert

4 .. Monitoringfunktionen

5 .. Optimiert und Automatisiert

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Managed

(gemanagt)

Optimised

(optimiert)

Michael Schirmbrand

Juni 2009 47


5

4

3

2

1

Reifegradmodell – (Rising-Star-

Model)

Bewusstsein und

Kommunikation

Policies, Standards

und Verfahren

Werkzeuge und

Automatisierung

Skills und Expertise

Zuständigkeit und

Verantwortlichkeit

Strategisches Ziel

Handlungsbedarf

Derzeitiger Status

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Zielsetzung und

Messung

Michael Schirmbrand

Juni 2009 48


Ergebnisse einer Reifegradbeurteilung (zB)

PO 10

PO 9

PO 8

DS 11b

DS 11a

DS 10

DS 9

PO 11

PO 7

DS 13b

DS 13a

DS 12

DS 8

DS 7

DS 6

PO 1

5

4

3

2

1

0

PO 6

DS 1a

5

4

3

2

1

0

PO 2a

PO 5

DS 1b DS 2

PO 2b

PO 3

PO 4

DS 3

DS 5d

DS 5e

DS 5f

DS 4

DS 5a

DS 5b

DS 5c

AI 6b

AI 6a

ME 4

AI 7

AI 5

AI 1

5

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

4

3

2

1

0

AI 4b

ME 1

5

4

3

2

1

0

ME 3

AI 2

AI 4a

AI 2

AI 3

ME 2

Michael Schirmbrand

Juni 2009 49


ValIT

A value lense into CobiT

50


ValIT - Principles

IT-enabled IT enabled investments will be managed as a portfolio of

investments.

IT-enabled IT enabled investments will include the full scope of activities that

are required to achieve business value. value

IT-enabled IT enabled investments will be managed through their full economic

life cycle.

Value delivery practices will recognize that there are different

categories of investments that will be evaluated and managed

differently. differently

Value delivery practices will define and monitor key metrics and will

respond quickly to any changes or deviations. deviations

Value delivery practices will engage all stakeholders and assign

appropriate accountability for the delivery of capabilities and the

realization of business benefits. benefits

Value delivery practices will be continually monitored, evaluated

and improved.

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 51


Val IT – Processes

Value Governance (VG)

Portfolio Management (PM)

Investment Management (IM)

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 52


ValIT

Processes & Key Management Practices

VG1 Ensure informed and committed leadership

VG2 Define and implement processes

VG3 Define roles & responsibilities

VG4 Ensure appropriate and accepted

accountability

VG5 Define information requirements

VG6 Establish reporting requirements

VG7 Establish organisational structures

VG8 Establish Strategic Direction

VG9 Define investment categories

VG10 Determine target portfolio mix

VG11 Define evaluation criteria by category

Investment

Management

(IM)

Value

Governance

(VG)

IM1 Develop a high-level definition of investment opportunity

IM2 Develop initial programme concept business case

IM3 Develop clear understanding of candidate programmes

IM4 Perform Alternatives Analysis

IM5 Develop Programme plan

IM6 Develop Benefits Realisation plan

IM7 Identify Full life cycle costs & benefits

IM8 Develop detailed programme business case

IM9 Assign clear accountability & ownership

IM10 Initiate, plan and launch the programme

IM11 Manage programme

IM12 Manage/track benefits

IM13 Update business case

IM14 Monitor and report on programme performance

IM15 Retire programme

Portfolio

Management

(PM)

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

PM1 Maintain human resource

inventory

PM2 Identify resource requirements

PM3 Perform gap analysis

PM4 Develop resourcing plan

PM5 Monitor resource requirements

and utilisation

PM6 Establish investment threshold

PM7 Evaluate initial programme

concept business case

PM8 Evaluate & assign relative score to

programme business case

PM9 Create overall portfolio view

PM10 Make and communicate

investment decision

PM11 Stage-gate (and fund) selected

programmes

PM12 Optimize portfolio performance

PM13 Re-prioritise portfolio

PM14 Monitor and report on portfolio

performance

Michael Schirmbrand

Juni 2009 53


Val IT Framework - Detail

Domain: Value Governance (VG)

Process CobiT RACI Chart

Description Key Management Practices Cross Ref. Exec Bus IT

•Establish

governance,

monitoring and

control

framework

•Establish

Strategic

Direction

•Establish

portfolio

characteristics

VG1 Ensure informed and committed leadership

The reporting line of the CIO should be commensurate with the importance

of IT within the enterprise. All executives should have a sound understanding

of strategic IT issues such as dependence on IT, technology insights

and capabilities, in order that there is a common and agreed understanding

between the business and IT of the potential impact of IT on thebusiness

strategy. The business and IT strategy should be integrated clearly linking

enterprise goals and IT goals and should be broadly communicated.

VG2 Define and implement processes

Define, implement and consistently follow processes that providefor clear

and active linkage between the enterprise strategy, the portfolio of ITenabled

investment programmes that execute the strategy, the individual

investment programmes, and the business and IT projects that make up

the programmes. The processes should include: planning and budgeting;

prioritisation of planned and current work within the overall budget;

resource allocation consis-tent with the priorities; stage-gating of investment

programmes; monitoring and communicating performance; taking

appropriate remedial action; and benefits management such that there is

an optimal return on the portfolio and on all IT assets and services.

VG3 Define roles & responsibilities

Define and communicate roles and responsibilities for all personnel in the

enterprise in relation to the portfolio of IT-enabled business investment

programmes, individual investment programmes and other IT assetsand

services to allow sufficient authority to exercise the role and responsibility

assigned to them. These roles should include, but not necessarily be

limited to: an investment decision body; programme sponsorship;

programme management; project management; and associated support

roles. Provide business with procedures, techniques, and tools enabling

them to address their responsibilities. Establish and maintain an optimal

coordination, communication and liaison structure between the ITfunction

and other stakeholders inside and outside the enterprise.

VG4 Ensure appropriate and accepted accountability

Establish a supporting and appropriate control framework that isconsistent

with the overall enterprise control environment, and generally accepted

control principles. The framework should provide for unambiguousaccountabilities

and practices to avoid breakdown in internal control and oversight.

Accountability for achieving the benefits, delivering required capabilities

and controlling the costs should be clearly assigned and monitored.

Primary:

PO1.2, PO4.4,

ME3.1, ME3.2

Primary:

PO4.1, ME1.1,

ME1.3, ME3.1

Secondary:

PO5.2-5,

PO10.2

Primary:

PO4.6, PO4.15

Secondary:

PO4.8, PO4.9

Primary:

PO1.1, ME3.1-

3, ME3.3

Secondary:

ME3.2

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

A,R

A

A

A

C

R

R

R

C

C

C

C

Michael Schirmbrand

Juni 2009 54


ValIT – Principles

(CIO questionnaire results)

IT-enabled IT enabled investments will be managed as a portfolio of

investments.

IT-enabled IT enabled investments will include the full scope of activities that

are required to achieve business value. value

IT-enabled IT enabled investments will be managed through their full economic

life cycle.

Value delivery practices will recognize that there are different

categories of investments that will be evaluated and managed

differently. differently

Value delivery practices will define and monitor key metrics and will

respond quickly to any changes or deviations. deviations

Value delivery practices will engage all stakeholders and assign

appropriate accountability for the delivery of capabilities and the

realization of business benefits. benefits

Value delivery practices will be continually monitored, evaluated

and improved.

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 55


CobiT Mapping Projekt

Started in 2003

Integration of Standards

Update of CobiT

Künftige nftige mappings

In Umsetzung

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.




TOGAF (Architektur

( Architektur)

COSO ERM

GBPM

Geplant

ITIL v3

• FFEIC (US banking)

• NIAC (Insurance)

• NIST SP800-53 SP800 53

• FISMA

• IAIS Framework (Solvency II)

• HIPAA (Health Insurance)

• GLBA (Privacy)

• ISO19770-1 ISO19770 1 (SW Asset Mgmt)

• ISO 20000 (Service Mgmt)

• ISO 27005 (Risk Mgmt)

• ISO 27002 (ISO17799)

Michael Schirmbrand

Juni 2009 56


CobiT & ITIL

Monitor and Evaluate

1 2 3 4

Plan and Organize

1 2 3 4 5 6 7 8 9 10

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

by Jimmy Heschl

1 2 3 4 5 6 7 8 9 10 11 12 13

Deliver and Support

1 2 3 4 5 6 7

Acquire and Implement

Michael Schirmbrand

Juni 2009 57


CobiT und ITIL

Stakeholder

CFO

CEO

CIO CMO CxO

OPs AD SD

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

IT

Governance

(CobiT, ValIT)

ITIL

IT xyz

Management

Michael Schirmbrand

Juni 2009 58


Die Stimme der anderen …

Establish frameworks to ease Governance Implementation

First CobiT for overall governance

Then ITIL for service delivery and management

Then ISO 17799 for information security

Balanced Scorecard for measurement and communication

Quelle: Forrester

Helping Business Thrive On Technology Change

A Road Map To Comprehensive IT Governance

by Craig Symons, Jan 2006

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 59


Die Stimme der anderen …

Combine CobiT and ITIL for Powerful IT Governance

Strong framework tools are essential for ensuring IT resources are

aligned with an enterprise‘s enterprise business objectives, and that services

and information meet quality, fiduciary and security needs. needs

Bottom Line:

CobiT and ITIL are not mutually exclusive and can be combined to

provide a powerful IT governance, control and best-practice

best practice

framework in IT service management.

Enterprises that want to put their ITIL program into the context of a

wider control and governance framework should use CobiT.

Quelle: Gartner Technical Guidelines, Guidelines,

TG-16 TG 16-1849, 1849, S.Mingay, S.Mingay,

S. Bittinger

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 60


Ausblick

Die Zeit ist reif

Für r nachvollziehbare und messbare IT Prozesse

Nutzen durch die IT

Einhaltung internationaler Standards

Interne Kontrollsysteme auch in der IT

Die Umsetzung erfordert (hohen) Aufwand

Nutzen ist auch kurzfristig zu erzielen (ROI hoch)

Professionelle Unterstützung Unterst tzung ist empfehlenswert – besonders

auch mit Prüfungs Pr fungs- und Kontroll – Know How

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 61


ITGovernance – Services der KPMG

Quick Assessments

Detailbeurteilungen

Gesamthafte Einführung Einf hrung von IT Governance

Definition und Umsetzung von Verantwortlichkeiten und Rollen

Erarbeitung von IT-Strategien

IT Strategien

Nachweisbare, nutzenorientierte Ausrichtung der IT an den

Unternehmenszielen

Gestaltung der IT- IT Prozesse unter Umsetzung von CobiT und

Gestaltung des Internen Kontrollsystems in der IT

Erhöhung Erh hung des Reifegrades der IT-Prozesse

IT Prozesse

Integration von ITIL, CMM, ISO 17799,… 17799,

Benchmarking

IT Due Diligence

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 62


Kontakt – Dr. Michael Schirmbrand

MSchirmbrand@kpmg.at

+43 1 31332-656

Partner of KPMG Austria

Head of the service line

IT IT Advisory” Advisory

of KPMG Austria

CPA / PhD

Board Member of ISACA Austria

CISA - Certified Information Systems Auditor

CISM – Certified Information Security Manager

Chairman of the IT committee of the Austrian Chamber

of Public Accountants

Earlier:

Member of the worldwide CobiT Steering Committee

Member of the Steering Committee of the IT

Governance Institute

Member of the IFAC IT Committee

Author of publications about IT Governance, IT

Security und IT Audits as well as several professional

articles. Lecturer at Austrian Universities.

© 2009 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft

schweizerischen Rechts. Alle Rechte vorbehalten.

KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Michael Schirmbrand

Juni 2009 63

Weitere Magazine dieses Users
Ähnliche Magazine