BUSINESS ADVISORY SERVICE. IT- Governance. Compliance. Unter besonderer Berücksichtung von. IT-Adivisory. Michael Schirmbrand, Jimmy Heschl März 08

Transkript

1 BUSINESS ADVISORY SERVICE IT- Governance Unter besonderer Berücksichtung von Compliance IT-Adivisory Michael Schirmbrand, Jimmy Heschl

2 IT-Governance Ausgangslage Beobachtungen in Österreich: Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie. Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium. Fehlende Ausrichtung an den Geschäftszielen Fehlende Nutzenbewertung von IT- Projekten Fehlende IT-Prozessorganisation Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet. Der Nutzen von (IT-)Projekten wird meist nicht gemessen. Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar. Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder nachvollziehbar. 1

3 Warum (IT-) Audits noch immer nicht bestanden werden Unkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der Prüfer Event getriebener Ansatz für Compliance (Siehe auch Information Systems Control Journal 5/2007) Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten 2

4 Gartner s Regulations and Related Standards Hype Cycle Solvency II 3

5 IT-Governance Balance zwischen Risiko und Performance Integriertes Risiko Management Stabiler Wert und Vertrauen Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance Risik ko Verbesserte Kontrolle Compliance Prozess Transformation Prozess Verbesserung IT-Governance managt die Balance zwischen Risikomanagement und Performance-erfordernis. erfordernis. Performance 4

6 IT-Governance: Definition Corporate Governance Business Informations-systeme IT Governance Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und dbesteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. IT Governance Institute 5

7 Wesentliche Standards für IT-Governance fordernd Fachgutachten (IFAC, AICPA, KWT) SAS 70 Sarbanes Oxley Act 8. EU-Audit Audit-Richtlinie Sonstige relevante Gesetze helfend CobiT ValIT ITIL ISO CMMI 6

8 Fachgutachten 7

9 Fachgutachten Österreich KFS/DV1 der Kammer der WT Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) Forderung nach Funktionstrennung Detaillierte Forderungen an die Systemdokumentation KFS/DV 2 Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen 8

10 Österreich KFS/DV 1 Dokumentation Verfahrensdokumentation Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen- Einstellungen) muss verfügbar sein: Anforderung/Aufgabenstellung Datensatzaufbau Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung h Datenausgabe Datensicherung Verfügbare Programme Art, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) Versionsmanagement Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten, Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden Dokumentation der Zugriffsverfahren Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz) 9

11 KFS/DV 1 - IKS Zusätzlich notwendig Funktionstrennung (Fachabteilung/Entwickler/Admin) i /Ad i Zugriffsberechtigungen auf allen Systemebenen Datensicherungen Schutz vor Sabotage, Missbrauch und Vernichtung Kontinuitätsmanagement Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre 10

12 SAS 70 11

13 Überblick SAS 70 (siehe auch ISA 402) Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) Veröffentlichung der AICPA Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT-)Service-Organisationen Praktisch inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331 Achtung: Sarbanes Oxley vom PCAOB vorgeschrieben Auch in Österreich bei (fast) allen RZ in Umsetzung In Österreich in Richtlinie IWP-PE14 PE14 umgesetzt 12

14 ISA 402 / SAS 70 Anforderungen an Prüfer Anzuwenden bei (Teil-) Outsourcing der IT Püf Prüfer von RZ-Kunden müssen Report nach SAS 70 / ISA 402 des RZ einholen oder selbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder Bestätigungsvermerk einschränken oder versagen 13

15 SAS 70 - Berichterstattung Standard-Text für Bestätigungsvermerk definiert Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen Die Verantwortungen von Kunde und RZ sind klar abzugrenzen Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen 14

16 Sarbanes Oxley 15

17 Sarbanes-Oxley (SOX) Paragraph 404 Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber Der externe, unabhängige Prüfer gibt ein Testat über den Management- Test Prüfer berichtet direkt über die Wirksamkeit des IKS Seit 2004 für US-Unternehmen, Unternehmen, die SEC gelistet sind, erforderlich Andere Unternehmen (foreign issuers) seit

18 8. EU-Audit-Richtlinie (RL 2006/43/EG) EuroSox 17

19 Ausprägung in Österreich Unternehmensrechtsänderungsgesetz (URÄG) 2008 Derzeit ist ein Entwurf in Begutachtung Verabschiedung noch 2007 In Kraft: bzw. Geschäftsjahre beginnend nach Unternehmen von öffentlichem Interesse (Betroffene) Kapitalmarktorientierte Unternehmen Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren Versicherungen, Banken Sehr große Unternehmen >175 Mio. EUR Umsatz oder > 87,5 Mio. EUR Bilanzsumme Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern 18

20 Entwurf URÄG 2008 Pflichten des Prüfungsausschusses Prüfungsausschuss 92 AktG, 30g GmbHG, 24 GenG Pflichten u.a. Überwachung der Rechnungslegung Überwachung der Wirksamkeit des IKS - Schließt interne Revision und RM-System mit ein Prüfung des Lageberichts und des Corporate Governance Berichts 19

21 8. EU-RL vs. SOX SOX 8. EU-RL Dokumentation der Abläufe JA JA Dokumentation der Kontrollen (Umfang) JA / meist separat (EL-C, Fraud-C, Trans.-C) JA / integrativ (nur: angemessen) Dokumentation der JA JA Kontrolldurchführung (formalisiert, einheitlich (nur: angemessen) Monitoring des IKS JA JA Durchführung eines Management Testings JA / formalisiert NEIN / informell (im Rahmen d. Monitoring) External Audit des IKS JA / spezifische Pflichten JA / allgemein 20

22 Auswirkungen der Gesetze auf die IT Massive Auswirkungen Kontrollen müssen dokumentiert und geprüft werden große Teile der Kontrollen in der IT (oft 50 bis 70 %) Im Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind oft in der IT Unterscheidung in Anwendungskontrollen und General IT Controls CobiT als Standard für General IT Controls anerkannt Verwendung von COSO in der SOX-Welt dringend empfohlen Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute 21

23 Frameworks für Compliance 22

24 Standards und Good-Practices Governance Basel II Solvency II AktG / Sarbanes GmbHG Oxley COSO COBIT 8. EU Audit Richtlinie Management Betrieb COBITT ValIT CMMI IT Plan nung An nwendun ngs-entw. Risiko & Security Pro ojektman nagemen nt IT-Betrieb Se rvice Man nagemen nt Qua alitätsma anageme nt SixSigma ISO9000 V- ISO Modell BS PM I PRINCE2 ITIL ISO20000 Source: PINK 23

25 COSO (Internal Control - Integrated Framework) 1992 durch The Committee of Sponsoring Organizations of the Treadway Commission veröffentlicht Gemeinsame Sprache über Kontrollen, Definitionen, Modelle Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) Compliance (Einhaltung von Gesetzen und Regulationen) Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld) Risk Assessment (Risikobewertung) Control Activities (Kontrollaktivitäten) If Information &Communication i (If (Information &K Kommunikation) i Monitoring (Überwachung) Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen: September 2004: Enterprise Risk Management (COSO II) Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting 24

26 CobiT - Entwicklung Governance Management Control Audit COBIT 1 COBIT 2 COBIT 3 COBIT

27 Was ist IT-Governance? IT-GOVERNANCE Evaluiere Performance IT-GOVERNANCE Setze Ziele IT arbeitet im Sinne des Kerngeschäfts (Alignment) IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) IT Ressourcen werden verantwortungsvoll eingesetzt IT-bezogene Risiken werden angemessen gemanagt Gib die Richtung vor Messe und Berichte über Performance Setze die Strategie um Erhöhe die Automation (mache das Kerngeschäft wirksam) Senke Kosten (mache das Unternehmen wirtschaftlich) Manage Risiken (Security, Verlässlichkeit und Compliance) Überführe die Richtung in eine Strategie IT-MANAGEMENT Ziel: sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt Methode: Führungs- und Organisationsstrukturen sowie Prozesse Verantwortung: Vorstand und Geschäftsführung 26

28 Unterstützung durch CobiT Unternehmensziele Unternehmens Erfordernisse Governance Erfordernisse erfordern Informations - Services beeinflussen setzen voraus Information Criteria IT-Ziele IT-Prozesse liefern Information IT Prozesse (mit Verantwortlichen) betreiben Anwendungen benötigt Infrastruktur und Personal 27

29 Ausrichtung von IT-Prozessen an Unternehmensziele Interne Perspektive Finanzperspektive Kundenperspektive Lern- und Wachstumsperspektive Typische Unternehmensziele Referenz zu IT-Ziel 1 Marktanteil erhöhen Erträge erhöhen Rendite 24 4 Kapitalverwertung optimieren 14 5 Geschäftsrisiken managen Kunden- und Serviceorientierung i erhöhen Kostengünstige Produkte und Services anbieten Verfügbarkeit von Services Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) Kostenoptimierung bei Serviceerbringung Automatisierung und Integration der Wertschöpfungskette Geschäftsprozess überarbeiten und verbessern Prozesskosten reduzieren Compliance mit Gesetzen und Regulativen Transparenz Compliance mit internen Regelungen Betriebliche- und Mitarbeiterproduktivität steigern Produkt-/Geschäftsinnovation ti Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9 28

30 Typische IT-Ziele 1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie 2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben 3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher 4 Optimiere die Verwendung von Information 5 Stelle IT-Agilität her Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt 6 werden. 7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme 8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur 9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen 10 Stelle die gegenseitig zufriedenstellenden d Lieferantenbeziehungen i sicher 11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse 12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher 13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher 14 Übernimm die Verantwortung für und schütze alle IT-Anlagen 15 Optimiere i IT-Infrastruktur, I Ressourcen und Fähigkeiten i 16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb 17 Schütze die Erreichung der IT-Ziele 18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher 20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann 21 Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist 22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist 23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher 24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg 25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um 26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur 27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung 28 zeigt 29

31 CobiT IT-Prozesse Monitor and Evaluate ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance Monitor and Evaluate INFORMATION Efficiency Effectiveness Confidentiality Integrity Availability Compliance Reliability IT RESSOURCES Plan and Organise Plan and Organise PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects Applications Information Infrastructure People Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Deliver and Support Acquire and Implement Acquire and Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes 30

32 Bestandteile von Prozessen Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT-Zielen, zb Unternehmen IT Prozesse Aktivitäten Ziele Kunden- und Serviceorientierung erhöhen Verfügbarkeit von Services Prozesskosten reduzieren Compliance mit internen Regelungen setze Stelle die Enduser-Zufriedenheit mit Serviceangeboten und Service Levels sicher Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher setze Analysiere, dokumentiere und eskaliere Incidentszeitgerecht Reagiere auf Anfragen exakt und zeitgerecht Führe regelmäßig Trendanalysen der Incidentsund Anfragen durch Installation und Betrieb eines Service Desk Überwachung und Berichterstattung von Trends Abstimmung der Lösungsprioritäten von Ereignisse mit den Bedürfnissen der setze Geschäftstätigkeit Festlegung klarer Eskalationskriterien und -verfahren miss miss miss Messgrö ößen Benutzerzufriedenheit mit dem Erst- Support (Service Desk oder Knowledge Base) % der innerhalb einer vereinbarten/akzeptablen Zeitspanne gelösten Incidents % der direkten Lösungen basierend auf der Gesamtzahl der Anfragen % der erneut geöffneten Incidents Anteil der abgebrochenen Calls Durchschnittliche Dauer der Incidentsnach Schweregrad Durchschnittliche Reaktionszeit auf Telefon- und -/Web-Anfragen % der Ereignisse und Serviceanfragen, die reportet und mittels automatisierter Tools protokolliert wurden Anzahl der Schulungstage pro Service Desk MitarberInnen pro Jahr Anzahl der pro Service Desk MitarbeiterIn pro Stunde bearbeiteten Anrufe % der Ereignisse, die einen Vor-Ort- Support benötigen (Field Support, persönlicher Besuch) Rückstand nicht gelöster Anfragen 31

33 Reifegradmodell (Maturity Model) Non-existent (nicht existent) Initial (initial) Repeatable (wiederholbar) Defined (definiert) Managed (gemanagt) Optimised (optimiert) Symbole Reifegrade Derzeitiger Status 0.. Nicht existent Internationaler Standard 1.. Initial 2.. Wiederholbar Strategisches t Ziel 3.. Definiert 4.. Monitoringfunktionen 5.. Optimiert und Automatisiert 32

34 Reifegradmodell (Rising-Star-Model) Bewusstsein und Kommunikation Policies, Standards und Verfahren Werkzeuge und Automatisierung Skills und Expertise Zuständigkeit und Verantwortlichkeit Zielsetzung und Messung Strategisches Ziel Handlungsbedarf Derzeitiger Statust 33

35 Ergebnisse einer Reifegradbeuerteilung (Beispiel) i PO 10 PO 9 PO 11 PO 1 AI 1 5 PO 2a 5 4 AI PO 2b 3 2 AI6b PO 3 0 AI 2 AI2 PO 8 PO 4 AI 6a AI 3 PO 7 PO 5 AI 5 AI 4a DS 11a DS 13b DS 13a DS 12 DS 11b DS 10 PO 6 DS 1a DS 1b DS 2 DS 3 2 DS DS 5a DS 5b ME 4 AI4b ME ME 2 DS 9 DS 8 DS 7 DS 6 DS 5c DS 5d DS 5e DS 5f ME 3 34

36 ValIT A value lense into CobiT 35

37 The Four Ares - continually asking: Are we doing the right things? Are we getting g the benefits? Are we doing them the right way? Are we getting them done well? Source: The Information Paradox 36

38 ValIT Principles (CIO questionnaire i results) IT-enabled investments t will be managed as a portfolio of investments. t IT-enabled investments will include the full scope of activities that are required to achieve business value. IT-enabled investments will be managed through their full economic life cycle. Value delivery practices will recognize that there are different categories of investments that will be evaluated and managed differently. Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realization of business benefits. Value delivery practices will be continually monitored, evaluated and improved. 37

39 Val IT Processes Value Governance (VG) Portfolio Management (PM) Investment Management (IM) 38

40 Val IT Relationship between Processes & Practices Establish governance framework VG1-4, 6-7 VG VG8 Provide strategic direction Establish portfolio parameters VG5, 9-11 PM1-5 Maintain resource profile Maintain i funding profile PM6 PM7-10 PM Evaluate & prioritize investments Move selected investments to active portfolio PM11 Manage overall oea portfolio PM12-13 Monitor & report on portfolio performance PM14 IM Identify business req ts IM1-2 IM3, 5-7 Define candidate programme Launch programme Analyse alternatives Assign accountability Document business case IM4 Manage programme execution IM9 Monitor & report on programme performance IM10 IM IM14 Retire programme IM15 IM8, 13 39

41 Val IT Framework - Detail Domain: Value Governance (VG) Process CobiT RACI Chart Description Key Management Practices Cross Ref. Exec Bus IT Establish VG1 Ensure informed and committed leadership The reporting line of the CIO should be commensurate with the importance Primary: PO1.2, PO4.4, A,R C C governance, of IT within the enterprise. All executives should have a sound understand- ME31 ME3.1, ME3.2 ME32 monitoring and ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding control between the business and IT of the potential impact of IT on thebusiness framework strategy. The business and IT strategy should be integrated clearly linking Establish enterprise goals and IT goals and should be broadly communicated. Strategic Direction VG2 Define and implement processes Primary: Establish Define, implement and consistently follow processes that providefor clear PO41 PO4.1, ME1.1, ME11 portfolio characteristics and active linkage between the enterprise strategy, the portfolio of ITenabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis-tent with the priorities; stage-gating of invest- ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services. VG3 Define roles & responsibilities Define and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility bl assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship; programme management; project management; and associated support roles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise. VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccountabilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored. ME1.3, ME3.1 Secondary: PO5.2-5, PO10.2 Primary: PO4.6, PO4.15 Secondary: PO4.8, PO4.9 Primary: PO1.1, ME3.1-3, ME3.3 Secondary: ME3.2 A A A R R R C C C 40

42 CobiT Mapping Project Started in 2003 Integration of Standards Update of CobiT Further mappings In progress COSO ERM ITIL v3 FFEIC (US banking) GBPM On our radar ISO20000 (Service Mgmt) ISO (SW Asset Mgmt) ISO (SW Lifecycle) V-Model XT (SW Development) FISMA NIAC (Insurance) NIST SP ISO (Risk Mgmt) ISO (ISO17799) Control Objectives for / Mapping (?) 8th EU Directive IAIS Framework (Solvency II) HIPAA (Health Insurance) GLBA (Privacy) 41

43 CobiT und ITIL Stakeholder CEO IT Governance (CobiT, ValIT) CFO CIO CMO CxO OPs AD SD ITIL IT xyz Management 42

44 Die Stimme der anderen Establish frameworks to ease Governance Implementation First CobiT for overall governance Then ITIL for service delivery and management Then ISO for information security Balanced Scorecard for measurement and communication Quelle: Forrester Helping Business Thrive On Technology Change A Road Map To Comprehensive IT Governance by Craig Symons, Jan

45 Die Stimme der anderen Combine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT resources are aligned with an enterprise s business objectives, and that services and information meet quality, fiduciary and security needs. Bottom Line: CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT service management. Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT. Quelle: Gartner Technical Guidelines, TG , 1849, S.Mingay, S. Bittinger 44

46 Ausblick Die Zeit ist reif Für klare Strukturen und Verantwortlichkeiten Für nachvollziehbare und messbare IT-Prozesse Nutzen durch die IT Einhaltung internationaler Standards Interne Kontrollsysteme auch in der IT Die Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung ist empfehlenswert besonders auch mit Prüfungs- und Kontroll Know How IT-Governance findet primär außerhalb der IT statt! 45

47 Wichtige Kunden zum Thema IT-Governance / Prozesse / IKS APSS (First Data Austria) Bank Austria Gruppe (inkl Wave Solutions und IT Austria) Egger Energie AG EVN Kärntner Krankenanstalten Betriebsgesellschaft Krankenanstaltenverbund Wien Magna Steyr Fahrzeugtechnik Mediaprint Mobilkom Austria ORF Österreichische Post AG Porsche Group Raiffeisen Gruppe Red Bull s Versicherung Gruppe Salzburger Landeskrankenanstalten Siemens Gruppe Telekom Austria Telering TIWAG T-Mobile Austria Uniqa VA Tech voestalpine Volksbank Gruppe (inkl ARZ) Vorarlberger Illwerke Wüstenrot 46

48 Kontakt Ing. Mag. Dr. Michael Schirmbrand Partner, IT-Advisory KPMG Wien +43 (1) Mag. Jimmy Heschl Senior Manager, IT-Advisory KPMG Wien +43 (1)