Bringen Sie die Risiken aus Ihrer IT ohne die Performance kaputt zu machen

Transkript

1 17. Internationales Frühjahressymposium Bringen Sie die Risiken aus Ihrer IT ohne die Performance kaputt zu machen Wien, 24.Februar 2011 Holger Schellhaas Managing Director evoltas solutions München und Wien Seite 01-1

2 Ihr Partner - we are moving innovations Die evoltas GmbH wurde mit dem Ziel gegründet, Innovationen im Unternehmensalltag zu etablieren. Quelle: Seite 01-2

3 17. Internationales Frühjahressymposium Bringen Sie die Risiken aus Ihrer IT ohne die Performance kaputt zu machen - jeder Service-Manager wird sich künftig daran messen lassen müssen, wie er die Risiken beherrscht Müssen IT-Investition nicht mindestens IT-Risiken minimieren - wenn sie schon keinen Wertbeitrag für das Geschäft leisten? Low Risk - High Performance: Wenn es gelingt, ein Kontrollsystem in der IT effizient zu gestalten, dann wird damit nachweisbar die IT- Performance erhöht. Projektbeispiel: Aufbau eines internen Kontrollsystems in der IT Ausweg COBIT: Wie sich ein audit-fähiges Kontrollsystem mit vertretbarem Aufwand entwickeln lässt. Seite 01-3

4 Bringen Sie die Risiken aus Ihrer IT Low Risk - High Performance - Wie es gelingt, ein Kontrollsystem im IT Service Management effizient zu gestalten Beispiel aus der laufenden Projektarbeit BEISPIEL Auftraggeber: CRO Corporate Risk Officer Auftrag: Alle Gesellschaften/Standorte haben Full Scope zu erfüllen ( mitgefangen, mitgehangen ) Prüfung: Sicherstellen der Eindeutigkeit, Ordnungsmäßigkeit, Nachvollziehbarkeit, Konformität von Daten, Verfahren, Prozessen (speziell mit Finanzrelevanz) Prüfung: Gelebte Prozesse bei Vertragsmanagement und Berechtigungsvergabe für eingesetzte (SAP)-Verfahren - Prüfung bei Admin., Betreuern und Anwendern anhand der Richtlinien Prüfung: Unterschiedliche Levels: Kontrollen auf Unternehmensebene stehen in Wechselwirkung mit Kontrollen auf Prozess-, Transaktions- und Anwendungsebene (Appl.Controls&ITGC) Dokumente: Relevante Beschreibungen (z.b. Prozessregelungen, Arbeitsanweisungen, Protokolle) sind zu dokumentieren (mit Titel, Referenznummer und Ausgabedatum) - bei einem festgestellten Handlungsbedarf zusätzlich die abgeleiteten Maßnahmen inkl. Termine. Seite 01-7

5 Bringen Sie die Risiken aus Ihrer IT Ausweg COBIT Ein audit-fähiges Kontrollsystem lässt sich mit vertretbarem Aufwand entwickeln Seite 01-9

6 Bringen Sie die Risiken aus Ihrer IT Ausweg COBIT - ein Audit-fähiges Kontrollsystem mit vertretbarem Aufwand Der Trick ist, die IT-Risiken / Kontrollziele auf COBIT-Prozesse abzubilden BEISPIEL Zusammen mit der KPMG wurden 39 IT General Controls (ITGC) bestimmt. Diese lassen sich direkt auf COBIT 4.0 abbilden. Die Kontrollen umfassen die vorab festgelegten Kontrollziele (ITGC# A1-K4), 14 davon wurden von der internen IT durchgeführt, die übrigen von HW/SW-Providern bearbeitet. COBIT COBIT Process ITGC-# Kontrollziele AI 2 AI 3 Beschaffung und Wartung von Anwendungssoftware Beschaffung und Wartung der technischen Infrastruktur A1-A5 B1 Erwerb oder Entwicklung einer Anwendungs- oder System-Software Erwerb von Technologieinfrastruktur AI 5 Beschaffung von IT Ressourcen C1-C3 Installation und Test der Anwendungs-Software und Technologieinfrastruktur AI 6 Change Management D1-D4 Management der Change Requests DS 1 Definition&Management von Service Levels E1 Service Level Definition und Management DS 2 Lieferantenmanagement (Sourcing) F1-F3 Management externer Dienstleister DS 5 Sicherstellen der Systemsicherheit G1-G11 Gewährleistung der IT-Sicherheit DS 9 Management der Konfiguration H1-H3 Konfigurationsmanagement DS 10 Management von Incidents und Problemen I1 Problem- und Incident Management DS 11 Management von Daten J1-J3 Datenmanagement DS 13 Management des IT-Betriebs K1-K4 Betriebsmanagement Seite 01-12

7 Ergänzungs- und Spannungsbereiche Ausweg COBIT Durch Risikominimierung lässt sich die Performance der IT-Prozesse erhöhen z.b. Überarbeitung/Ergänzung/Detaillierung des Vertragskonzepts im Rahmen des Service Level und Third Party Managements Memorandum of Understand Verantwortlichkeiten Referenzierung Standard Template Einzel- Vereinbarung für Applikation x mit Div./Sec. X Vertragsgegenstand Vertrags Change Referenzierung Anlagen Vertragslaufzeit Ansprechpartner Preis/Verrechnung Anlagen Unterschriften Anlage 1 Standard Template Anlage 2 Anlage x (nach Bedarf) Rahmenbedingungen 1. Beschreibung Standard-Regelungen 2. Organisation und Zusammenarbeit 3. Leistungsumfang 4. Standards für Service Level/KPI 5. Glossar 6. Unterschriften Spezifischer Leistungsumfang 1. Supportobjekte 2. Beschreibung der Leistung 3. Service-/Betriebszeit 4. Geltende Service Level/KPI 5. Preiskonzept Optional Service Level Reviews Change Management Projekt Management mitgeltende OLA BEISPIEL Seite 01-14

8 Bringen Sie die Risiken aus Ihrer IT Risiken aus der IT zu bringen ist eine Frage des Managements, nicht der IT SO GEHT S LEIDER NICHT Seite 01-15

9 Ihr Partner - we are moving innovations Vielen Dank für Ihre Aufmerksamkeit Fragen? Dann fragen Sie uns - jetzt oder gerne auch später! Holger Schellhaas Managing Director evoltas solutions München Schmaedelstr. 20 D München Büro Wien - c/o sec4you In der Fischzeile 13/10 A-2100 Korneuburg mobile +49 (0) hs@evoltas.de Seite 01-16