Information Risk Management

Transkript

1 Information Risk Management Jour Fix November 2003

2 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Mit den IRM Services der KPMG ist Ihre IT effizient und sicher.

3 Problemstellung IT Governance Mangelnde Ausrichtung der IT an Unternehmenszielen Nutzen der IT schwierig zu bewerten Keine IT Governance Vorstandsverantwortung und haftung unbekannt Gesetze und Vorschriften nicht eingehalten Best Practices nicht berücksichtigt IT stellt (für Vorstände) eine Black-Box dar Abläufe Kosten Risiken Nutzen Kontrollsysteme kaum existent und nicht nachvollziehbar IT Prozesse sind nicht überschaubar, nicht dokumentiert, nicht kontrollierbar, nicht messbar und nicht vergleichbar.

4 IRM Lösung IT Governance Die IT auf Ihre Unternehmensziele ausrichten. Einheitliche Dokumentation der vorhandenen IT-Prozesse im Unternehmen Definition bisher nicht berücksichtigter Prozesse (Notfallsmanagement, Projektmanagement,...) Integration internationaler Standards (CobiT, ITIL, BSI, ISO 17799,...) Dokumentation des Internen Kontrollsystem Effizienzsteigerung der Prozessabläufe Transparente, nachvollziehbare und kommunizierte Prozesse Sicherung von Know-How für die Organisation Strategische Steuerung und Priorisierung Absicherung der Vorstände Vorbereitung auf Zertifizierungen (z.b. nach BS 7799, ISO 9000,...)

5 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Sind Ihre internen Firmendaten gegen externe Angriffe geschützt?

6 Problemstellung Global Information Security Survey 2002 Befragte, die versicherten, dass ihre Systeme angemessen geschützt seien, stimmten der Untersuchung in folgenden Punkten zu: 10 % testen ihre Security-Maßnahmen nicht und wissen daher nicht, ob diese effektiv sind 52 % haben keinerlei Intrusion Detection System 87 % haben im vergangenen Jahr Verletzungen ihrer Security Maßnahmen/Policies erfahren: 61 % Virus-Befall 28 % -attacken 15 % Denial of Service Attacken 13 % Software-Schäden/-Verlust 12 % Web Site Intrusion/Hacking Security Management... und wie sicher sind Ihre Informationen? Der durchschnittliche durch IT Security-Defizite verursachte direkte finanzielle Verlust beträgt je Organisation US $

7 IRM Lösung Security Management Wirksame Maßnahmen für die Sicherheit Ihrer Daten. Unternehmensweites auf die Bedürfnisse der Fachabteilungen abgestimmtes IT Sicherheitskonzept IT Abteilung Fachliche Mitarbeiter Externe Analyse der eingesetzten Systeme auf Sicherheit und Angemessenheit in Bezug auf die Verfügbarkeit der Daten (Gap-Analyse) Firewall Prüfung Web-Applications Analyse Penetration Testing (Hacking) Third Party Connections Effizienz der IT Sicherheitsmaßnahmen

8 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Sie kennen Ihre IT, sämtliche Bedrohungen und Schwachstellen Ihrer Informationssysteme?

9 Problemstellung IT Risikoprofil IT Risiken sind im Unternehmen meist nicht angemessen beurteilt und wenn, dann nur der IT Abteilung bewusst Daten sind nicht nach Vertraulichkeit und Verfügbarkeit klassifiziert und daher nicht effektiv zu schützen Die durchgeführten Kontrollen sind nicht aufeinander abgestimmt und lassen daher möglicherweise Lücke offen Die Kontrollen sind nur qualitativ messbar und nicht quantifizierbar Kontrollen werden möglicherweise durchgeführt, sind jedoch weder dokumentiert noch beschrieben Die Berichterstattung unterstützt nicht die Steuerung des Unternehmens

10 IRM Lösung IT Risikoprofil Damit Sie die Bedrohungen kennen und Maßnahmen ergreifen können. Die Einschätzung des IT Risikos im Unternehmen nach den Kategorien Abhängigkeit von der IT Fähigkeiten und Ressourcen IT Stabilität Unternehmensausrichtung (Business Focus) Verfügbarkeit der Daten Gegenüberstellung der im Unternehmen durchgeführten Kontrollen in Bezug auf den IT Einsatz, zb mit CobiT Gap-Analyse und Einschätzung des Restrisikos

11 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Wie lange kann Ihre Organisation ohne IT-Systeme überleben?

12 Problemstellung Gravierend neue Anforderungen durch: 11. September, Hochwasser, Basel II,... Anforderungen an Vorstände und Aufsichtsräte (auch Österr. Kodex für CG) IT Governance Risikomanagement Kontinuitätsmanagement (inkludiert auch IT Disaster Recovery) Fortführung des Geschäftes wird nicht ausreichend beachtet Oft nur Disaster Recovery Ersatzmaßnahmen für das Kerngeschäft ist nicht Aufgabe der IT Massive Einbußen für das Unternehmen durch längeren Ausfall der IT Abhängigkeit ist nicht bekannt / erfasst Kosten im Zeitablauf sind horrend Falls Continuity-Pläne erstellt wurden, sind sie oft nicht angemessen getestet. Business Continuity Management

13 IRM Lösung Vorsorge für den Fall des Falles. Business Continuity Management Klare Konzentration auf das Kerngeschäft, nicht auf die IT Bewertung der Abhängigkeit von der IT Welche Geschäftsprozesse werden durch welche IT Systeme unterstützt und wie hängen diese zusammen? Die Auswirkungen eines Ausfalls wird durch eine Business Impact Analyse erhoben Verständliche Darstellung des Schadensverlaufes durch Fieberkurven Lösungsoptionen werden erarbeitet Klare Kosten Klares Risiko Begleitung der Implementierung Entwicklung von Master- und Detailplänen Durchführung von Tests und laufenden Verbesserungsmaßnahmen

14 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Entsprechen Ihre Kernanwendungen den Anforderungen eines internen Kontrollsystems?

15 Problemstellung Kontrolle über Ihr ERP System Zunehmender Wettbewerbsdruck fordert flexible Anpassung der betrieblichen Geschäftsprozesse Hoher Durchdringungsgrad von Standardsoftwareanwendungen im Rechnungswesen, wie SAP R/3 Hohe Einführungskosten für SAP Systeme Anforderung an die Ordnungsmäßigkeit und Sicherheit ist oft nur mangelhaft berücksichtigt Zunehmend komplexere Anforderungen Erfordernisse der internationalen Rechnungslegung Konsolidierung mehrerer Unternehmen etc. Hohe Anforderungen an die Dokumentation und Test von Kontrollen im SAP System

16 IRM Lösung Verlässlichkeit und Sicherheit durch geprüfte Anwendungen. Kontrolle über Ihr ERP System Business Process Analysen mit Identifizierung kritischer Prozess- und Erfolgsgrößen Projektbegleitende Revision bei der Einführung von SAP R/3 Modulspezifische Prüfungen (Finanzbuchhaltung, Materialwirtschaft u.w) für SAP R/3 Verfahren Prüfung der Einhaltung der Grundsätze ordnungsgemäßer Buchführung (GoB) zur Sicherstellung der Einhaltung gesetzlicher Anforderungen Migrationsprüfungen zur Wahrung der gesetzlichen Anforderungen und Sicherung der Vermögenswerte Erstellung von Test- und Kontrolldokumentation (SOX404, IKS) Spezifische Prüfkonzepte für Spezialthemen (parallele Bilanzierung, Konsolidierung,...)

17 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Liegt Ihre Kernkompetenz in der Durchführung von IT-Projekten?

18 Problemstellung Projektmanagement IT Projekte werden oft nicht wie geplant abgeschlossen Kostenüberschreitungen Projektverzögerungen aufgrund fehlendem oder unzureichendem Projektmanagement Unwirtschaftlichkeit wird erst zu spät oder gar nicht erkannt Die Integration von IT Systemen nimmt ständig zu Erhöhtes Risiko bei Nicht-Verfügbarkeit Komplexere Anforderungen an die Ordnungsmäßigkeit Auswirkungen auf das Rechnungswesen und den Unternehmenserfolg IT Systeme haben meist direkte Auswirkung auf den Ausweis des Unternehmensergebnisses Unternehmensentscheidungen sind von Auswertungen der IT abhängig Ordnungsmäßigkeit Gesetzliche Anforderungen an rechnungslegungsrelevante IT Systeme Übersteigen manche Projekte den Zeit- und Kostenplan?

19 IRM Lösung Projektmanagement Projekterfolge mit effektivem Management. Unterstützung bei Erstellung eines Fachkonzeptes Festlegung der Kontroll- und Sicherheitsmaßnahmen bereits vor Projektstart Projektbegleitende Revision Prüfung zu mehreren Zeitpunkten auf Ordnungsmäßigkeit und Sicherheit Unterstützung in allen Phasen des Projektablaufs Fachkonzeption Auswahl der Software Umfang des Projektes Entwicklungsphase Einführung der Software Testphase Aufzeigen von Testerfordernissen, Sicherstellen der Dokumentation Implementierungsphase Systeminstallation Konstruktive Empfehlungen bereits während des Projektablaufs Zeitnahe Empfehlungen ermöglichen rasche Reaktion und helfen Kosten niedrig zu halten Objektive Beurteilung des Gesamtprojektes Können die Projektziele erreicht werden? Ist eine Fortführung sinnvoll?

20 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Ihre IT Prozesse werden laufend überwacht und durch unabhängige Experten verbessert?

21 Problemstellung IT Revision Wesentliche Geschäftsprozesse hängen von IT-Systemen ab Technologische Risiken stellen unmittelbar Geschäftsrisiken dar Interne Kontrollen sind in IT-Systeme integriert Beurteilung der Angemessenheit und Wirksamkeit von Kontrollen ist nur nach Prüfung von IT-Systemen möglich Innenrevision hat sich zu einer beratenden Funktion hin erweitert und muss IT spezifisches und IT Revisionsspezifisches Know-How aufbauen Standards und Fachgutachten Technisches Wissen Methoden und Werkzeuge Laufende Ausbildung etc. Erwartungen an die Innenrevision haben sich drastisch in Richtung der Prüfung von IT-Prozessen gewandelt

22 IRM Lösung IT Revision Revision zur Verbesserung Ihrer IT-Prozesse. Revision liefert Empfehlung zur IT-Prozessoptimierung Out- oder Co-Sourcing der IT-Revision Ressourcen bleiben frei für Kernaufgaben Eigene Ressourcen müssen nicht aufgebaut werden Unabhängigkeit Kosteneinsparungen Qualitätssteigerung durch Einsatz von Spezialisten IT-Revisions Know-How Methodenkenntnis Einsatz von speziellen Tools Einhaltung rechtlicher Anforderungen Absicherung des Managements Verbesserung des Risikomanagements

23 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Sie analysieren Ihre Daten noch mit Office Programmen?

24 Problemstellung Datenanalysen Angemessene Beurteilung von spezifischen Risikobereichen kann nur durch umfangreiche analytische Prüfungshandlungen beurteilt werden Aussagefähige Ergebnisse müssen kurzfristig verfügbar sein Herkömmliche Anwendungen bieten nur begrenzte Analysemethoden Änderbarkeit der analysierten Datenbestände zieht Ergebnisse in Zweifel Limitierte Datenmengen Keine automatische Protokollierung der Arbeitsergebnisse Unzureichende Performance Verknüpfung von Daten verschiedener Daten nur schwer oder gar nicht möglich Professionelle Analysewerkzeuge sind teuer und werden deshalb nicht angeschafft Know-How muss entwickelt werden und dafür müssen Ressourcen zur Verfügung stehen Interne Datenauswertungen erfordern Programmiertätigkeiten zur Bereitstellung von Basisdatenmaterial

25 IRM Lösung Datenanalysen Effiziente Analyse umfangreicher Daten. Einsatz hochqualifizierter Mitarbeiter mit technischem und kaufmännischem Verständnis Keine Programmiertätigkeit beim Unternehmen erforderlich Einsatz professioneller Prüfungstools Verarbeitung nahezu unbeschränkter Datenmengen möglich Nachvollziehbarkeit der Ergebnisse Unveränderbarkeit des Basisdatenmaterials Standardprüfungshandlungen als auch eigenentwickelte Lösungsansätze innerhalb kurzer Zeit möglich Automatische Protokollierung aller Arbeitsschritte Lückenlose Prüfung umfangreicher Datenmengen Einfache Verknüpfungsmöglichkeit von Datenbeständen die sich über mehrere Dateien verteilen Kurzfristige Verfügbarkeit aussagefähiger Ergebnisse

26 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Ihre Prozesse laufen optimal und frei von Fehlern?

27 Problemstellung lternative ngebote rechnen erstellen Geschäftsprozessmanagement Außendienstmitarbeiter A Medienbruch: von PC auf Papier Systembruch: verschiede EDV Systeme Angebot Antrag erstellen + versenden Neuantrag Außendienstmitarbeiter B Antrag erfassen Bestandsverwaltungssystem Hilfskraft zentral Organisatorischer Bruch Hohes Fehlerrisiko Hohe Durchlaufzeiten Hohe Kosten Neuantrag Antrag prüfen Sachbearbeiter A Textverarbeitungssystem Neuantrag Antrag genehmigen Gruppenleiter Vertrag erstellen + versenden Sachbearbeiter B Vertrag (Quelle: : angelehnt an IDS)

28 IRM Lösung Geschäftsprozessmanagement ernative gebote rechnen rucken Angebot Angebotsdaten um Antragsdaten ergänzen Datenübertragung per DFÜ/ Internet Antrag prüfen + ggf. selbst freigeben Sachbearbeiter A Außendienstmitarbeiter Außendienstmitarbeiter Workflowsystem Bestandsverwaltungssystem Bestandsverwaltungssystem Verbesserung Ihrer Geschäftsprozesse. Geringes Fehlerrisiko Reduzierung der Durchlaufzeit/Kosten Reduzierung des Personalaufwands Funktionsintegration Beseitigung der Papierdokumente Integration der Anwendungssysteme gemeinsame Datenbasis Vermeidung von Doppelerfassungen Kurze Entscheidungswege Klare Verantwortlichkeiten Ggf. Antrag freigeben Sachbearbeiter B Automatische Erstellung des Vertrages nach Freigabe Poststelle Vertrag versenden Vertrag (Quelle: : angelehnt an IDS)

29 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Können Sie Ihren Kunden beweisen, dass Ihre Informationen sicher und richtig sind?

30 Problemstellung Zertifizierungen Können Sie Ihren Kunden beweisen, dass ihre Informationen sicher und richtig sind? Rechenzentrum Kunden müssen (blind?!) auf die Zuverlässigkeit und Verfügbarkeit der Rechenzentrumsleistungen vertrauen Störung des Rechenzentrumsbetriebes durch viele einzelne Prüfungen Hard- und Software Entspricht die eingesetzte Software den handels- und steuerrechtlichen sowie gegebenenfalls anderen rechtlichen Bestimmungen? E-Commerce Wie kann die Sicherheit, Verlässlichkeit und Qualität der eingesetzten IT-Systeme dem Kunden/Lieferanten glaubhaft dargestellt werden? ISO/IEC / BS 7799 Erfüllt das Unternehmen die Zertifizierungsanforderungen? Wo besteht Handlungsbedarf?

31 IRM Lösung Zertifizierungen Vertrauen durch Zertifikate aufbauen. Rechenzentrumszertifizierung nach SAS 70 Prüfung der anwendungsunabhängigen (allgemeinen) Kontrollen (Typ I) Prüfung der anwendungsabhängigen (programmierten) Kontrollen (Typ II) Nur ein Wirtschaftsprüfer prüft, andere WPs stützen sich auf die Bestätigung Wettbewerbsvorteil gegenüber anderen Rechenzentren SysTrust Prüfung der Leistungsfähigkeit des Rechenzentrumsbetriebs HW und SW-Zertifizierungen Gutachtliche Stellungnahme Erlangung von Rechtssicherheit Web Trust Siegel Formale Bestätigung der Sicherheit und Zuverlässigkeit der IT-Systeme ISO Wir unterstützen Unternehmen zur Vorbereitung auf die ISO Zertifizierung

32 Die IRM Services IT Governance Kontrolle über Ihr ERP-System Geschäftsprozessmanagement Security Management Projektmanagement Zertifizierungen IT Risikoprofil IT Revision IT Benchmarking Business Continuity Management Datenanalysen Sind Kosten- und Leistungskennzahlen Ihrer IT mit denen Ihres Mitbewerbs vergleichbar?

33 Problemstellung IT Benchmarking Die IT Budgets werden zunehmend über das Messer gekürzt Es fehlt CIOs an Argumentationshilfen Entscheidungen werden oft mit Erfahrung argumentiert, es existiert kein Vergleich mit Anderen Professionelle Manager benötigen aussagekräftige Kennzahlen, um Ihre Organisation zu steuern Die Vergleichbarkeit ist meist nicht gegeben Frei verfügbare Vergleichszahlen sind sehr oberflächlich und gehen nicht auf spezielle Anforderungen ein Es herrscht Angst, sich mit anderen zu vergleichen (vgl. IQ-Tests) Es werden sehr oft nur die Kosten, nicht jedoch der Nutzen der IT bewertet

34 IRM Lösung IT Benchmarking Transparenz und Vergleichbarkeit für IT Kennzahlen. Vergleich mit dem Mitbewerb und vergleichbaren, nationalen und internationalen Organisationen Untersuchung und unabhängiger Vergleich von Nutzen der IT IT Kosten Risiken der IT Reifegrad der IT-Prozesse Kundenzufriedenheit Analyse und Verständnis eigener Prozesse und der Prozesse anderer Verbesserungs- und Kosteneinsparungspotentiale werden transparent Durch Empfehlung gezielter Maßnahmen die Wettbewerbsfähigkeit steigern. Durch unsere vollständige Unabhängigkeit können wir die Empfehlungen neutral weitergeben

35 Egal, woher der Wind weht, wir helfen Ihnen, auf Kurs zu bleiben! Mit den IRM Services der KPMG ist Ihre IT effizient und sicher. IRM füllt die Lücke zwischen Geschäftsleitung und IT. Wir helfen Ihnen, die Risiken der IT zu managen, damit Sie Ihre Geschäftsziele sicher erreichen. So wird die IT zum steuerbaren Instrument für Ihren Erfolg.