Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III

Transkript

1 Revision SGB III Bericht gemäß 386 SGB III Change-Management

2 Inhaltsverzeichnis 1 Revisionsauftrag Zusammenfassung Revisionsergebnisse Prozessgestaltung Prozessmodell Protokollierung Prozessumsetzung Prozessdokumentationen Gremieneinbindung Ordnungsmäßigkeit vordefinierter RfC Kontinuierlicher Verbesserungsprozess... 3 Anlage 1 Anlage 2 Revisionsumfang und -methode Abkürzungsverzeichnis Change-Management November 2013

3 1 Revisionsauftrag Der Vorstand der Bundesagentur für Arbeit (BA) hat die Interne Revision beauftragt, eine Revision zum Thema Change-Management durchzuführen. Das Change-Management der BA orientiert sich an dem international anerkannten Best-Practice-Standard Information Technology Infrastructure Library (ITIL). Auf Basis von genehmigungspflichtigen Änderungsanforderungen (RfC) sollen Anpassungen an IT-Fachverfahren bzw. an der IT-Infrastruktur wirtschaftlich und ohne Beeinträchtigung des laufenden Betriebs umgesetzt werden. Die Arbeitsabläufe im Change-Management werden durch die Software Action Request System (ARS-Tool) unterstützt. Im ARS ist der formelle Antrag für Änderungsanforderungen hinterlegt. Dieser umfasst in seiner Funktion als RfC grundsätzlich alle Aktivitäten zur Umsetzung der Änderungsanforderung wie beispielsweise Beschreibungen, Analysen, Dokumentationen und Entscheidungen. Die Software wird des Weiteren zur Verteilung und Steuerung von Aufgaben zwischen dem Bedarfsträger und den mit der Umsetzung des RfC verantwortlichen Organisationseinheiten eingesetzt. Ein unzureichendes Change-Management bzw. unkontrollierte und nicht autorisierte Änderungen an IT-Fachverfahren oder an der IT-Infrastruktur führen ggf. zu Mehrkosten und aufwänden, unnötigem Ressourcenverbrauch, Störungen des IT Betriebs oder Störungen der erfolgskritischen Geschäftsprozesse der BA (z. B. Auszahlung von Geldleistungen). Die Revision sollte aufzeigen, inwieweit standardisierte Prozesse im Zusammenhang mit dem Change-Management durch technische und organisatorische Maßnahmen gewährleistet sind. Darüber hinaus sollten Erkenntnisse gewonnen werden, ob Verbesserungspotenziale in Bezug auf die Prozessund Servicequalität systematisch identifiziert und ggf. erforderliche Maßnahmen im Sinne eines kontinuierlichen Verbesserungsprozesses umgesetzt werden. ITIL ARS-Tool Risiken Ziel 2 Zusammenfassung Der Change-Management-Prozess ist weitgehend standardisiert. Aufgrund nicht nachvollziehbar dokumentierter Kontrolltätigkeiten ist das implementierte Interne Kontrollsystem nicht ausreichend, um einen durchgängig effektiven und ordnungsgemäßen Prozess für RfC sicherzustellen. Aus den Revisionsfeststellungen leiten sich folgende Risikoeinschätzungen 1 ab: Prozessmodell Protokollierung Prozessdokumentationen Einbindung erforderlicher Gremien Ordnungsmäßigkeit vordefinierter RfC Kontinuierlicher Verbesserungsprozess 1 = hohes Risiko/starker Handlungsbedarf, = Risiko/Handlungsbedarf, = kein Risiko/kein Handlungsbedarf Change-Management November

4 3 Revisionsergebnisse Bei der Bewertung der Risiken wurden die Anforderungen aus dem international anerkannten IT-Management- und Kontrollrahmenwerk CobiT 2, Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informations- und Kommunikationstechnik (IuK- Mindestanforderungen) sowie Empfehlungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Grunde gelegt. Vorbemerkung 3.1 Prozessgestaltung Prozessmodell Die Grundsätze des Change-Managements, das Prozessmodell sowie erforderliche Prozessaktivitäten sind u. a. in einer Richtlinie sowie in Prozess- bzw. Rollenbeschreibungen und Benutzerhandbüchern ausreichend beschrieben. Auffälligkeiten hinsichtlich Vollständigkeit, Redundanzen und Aktualität wurden den Verantwortlichen im Rahmen von Revisionshinweisen kommuniziert. Das beschriebene Prozessmodell ist aus Sicht der Internen Revision dem Grunde nach geeignet, um Anpassungen an IT-Systemen bzw. an der IT-Infrastruktur nachvollziehbar und ohne wesentliche Beeinträchtigungen des laufenden Betriebs kontrolliert und gesteuert vorzunehmen Protokollierung Der Verlauf des RfC wird im Logbuch der Software ARS protokolliert. Die am Prozess beteiligten Personen (z. B. der Bedarfsträger und der Bearbeiter/die Bearbeiterin des RfC) werden hierbei im Logbuch erfasst. Diese Daten werden 15 Tage nach Abschluss des RfC anonymisiert, um Leistungskontrollen entgegenzuwirken. Eine Wiederherstellung der personenbezogenen Daten ist nach der Anonymisierung nicht möglich. Es besteht das Risiko, dass erforderliche Beweismittel im Zusammenhang mit dolosen Handlungen fehlen, da ggf. unautorisierte Änderungen nicht auf die verantwortlichen Personen zurückgeführt werden können. Im Rahmen der Anonymisierung muss sichergestellt werden, dass die am Prozess beteiligten Personen auch nach Abschluss des RfC ermittelt werden können. Empfehlung Prozessumsetzung Prozessdokumentationen Erforderliche Kontrolltätigkeiten wurden im ARS lediglich durch die Weiterleitung des RfC zum nächsten Prozessschritt dokumentiert. Eine Ergebnisdokumentation, um durchgeführte Prüfschritte, Absprachen und Informationsgrundlagen zur Entscheidungsfindung nachzuvollziehen, wurde im ARS nicht hinter- 2 Control Objectives for Information and Related Technology Change-Management November

5 legt. Die für die Durchführung der Kontrolltätigkeiten erforderlichen Informationen (z. B. Auftragsgrundlage oder Rückbauszenario) wurden bei den untersuchten RfC nicht durchgängig im ARS dokumentiert. Es sollte sichergestellt werden, dass alle für die Kontrollen notwendigen Informationen im ARS zur Verfügung stehen. Die Dokumentation der durchgeführten Kontrollen und deren Ergebnisse sind im ARS zu hinterlegen. Empfehlung Gremieneinbindung Der Change-Management-Prozess sieht unter bestimmten Voraussetzungen (z. B. bei mehreren gleichzeitig vom RfC betroffenen IT-Fachverfahren) die Einberufung von Entscheidungsgremien vor. Ob und mit welchem Ergebnis diese Abstimmungen stattgefunden haben, war aufgrund der vorliegenden Dokumentationen teilweise nicht nachvollziehbar. Das Einbeziehen von Entscheidungsgremien bei der Prüfung von RfC sowie die getroffene Entscheidung sind nachvollziehbar zu dokumentieren. Empfehlung Ordnungsmäßigkeit vordefinierter RfC Vordefinierte RfC bieten dem Bedarfsträger die Möglichkeit, dass sich wiederholende oder gleichgelagerte RfC in einem verkürzten Prozess innerhalb des ARS freigegeben werden. In diesem Rahmen entfallen einzelne fachliche sowie technische Überprüfungen, Bewertungen und Freigaben, da diese auf einen RfC basieren, der bereits einmal alle Prozessphasen des Change- Managements erfolgreich durchlaufen hat. Die Verwendung des RfC als vordefinierten RfC setzt einen vom Change Manager 3 genehmigten Antrag voraus. Für keine der in die Revision einbezogenen vordefinierten RfC wurde ein genehmigter Antrag nachgewiesen. Die Genehmigung des Antrags für die Nutzung von vordefinierten RfC durch den Change Manager muss dokumentiert werden. Empfehlung Kontinuierlicher Verbesserungsprozess In Bezug auf bestimmte RfC (z. B. bei denen nach der Umsetzung eine Nachbesserung erforderlich war) sollen die Arbeitsergebnisse in einem Post Implementation Review 4 analysiert, bewertet und ggf. prozessuale Verbesserungspotenziale identifiziert werden. Die Durchführung erforderlicher Post Implementation Reviews war teilweise nicht nachvollziehbar bzw. vorhandene Dokumentationen nicht durchgängig aussagekräftig. 3 Der Change Manager ist verfahrensübergreifend für das Change-Management verantwortlich. 4 Ein Review, der nach der Implementierung einer Änderung oder eines Projekts erfolgt. Change-Management November

6 Die Erkenntnisse und der Handlungsbedarf aus den Post Implementation Reviews sind nachvollziehbar zu dokumentieren. Empfehlung 5 Diese Prüfung wurde in Übereinstimmung mit den Internationalen Standards für die berufliche Praxis der Internen Revision durchgeführt. Change-Management November

7 Revisionsumfang und -methode Anlage 1 Gegenstand der Revision waren die in der BA entsprechend ITIL implementierten Prozesse im Zusammenhang mit dem Change-Management (inkl. der Schnittstellen zum IT-AFM). In die Prüfungsdurchführung wurden die im Rahmen der Geschäftsprozessanalyse identifizierten risikobehafteten Schlüsselprozesse einbezogen. Die Ausgestaltung der im Zusammenhang mit den Schlüsselprozessen implementierten Kontrollen wurde hinsichtlich ihrer grundsätzlichen Eignung zur Risikominimierung untersucht. Erkenntnisse zur Funktionalität des implementierten Kontrollsystems wurden im Rahmen einer einzelfallbezogenen Überprüfung der Ordnungsmäßigkeit von abgeschlossenen RfC erhoben. Die Fallauswahl zur Funktionsprüfung berücksichtigte die im Zeitraum vom bis abgeschlossenen RfC. Die Stichprobengröße umfasste ursprünglich 20 RfC und wurde während der Prüfungsdurchführung auf acht RfC reduziert, da aufgrund der nicht nachvollziehbar dokumentierten Kontrolltätigkeiten (vgl. Ziffer 3.2.1) ein unangemessen hoher Prüfaufwand eingetreten wäre. Bei der Auswahl der RfC wurden die unterschiedlichen RfC-Typen zu gleichen Teilen berücksichtigt. Die Auswahl innerhalb der einzelnen RfC-Typen erfolgte risikoorientiert. Es wurden geltende und kommunizierte Regelungen, Prozessdokumentationen, aktuelle Handbücher, Hilfs- und Arbeitsmittel sowie das interne und externe Berichtswesen zur Informationsgewinnung ausgewertet. Ergänzende Interviews sowie Informationsaustausche im Rahmen des Eröffnungs- und Abschlussgesprächs wurden mit den fachlich zuständigen Organisationseinheiten der Zentrale und des IT-Systemhauses durchgeführt: Zentrale IT 1 IT 3 Bereich IT-Strategie Bereich IT-Sicherheit IT-Systemhaus APS1 Servicebereich Applikationsverantwortung SEA Geschäftsbereich Architektur SEM1 Servicebereich Service und Prozesse SEM2 Servicebereich Angebots- und Auftragsmanagement SETF Geschäftsbereich Testfactory SEPZ Service Zentrale Aufgaben GB Produkte Die Berechtigungen für das IT-Fachverfahren ARS waren nicht Gegenstand der Prüfung, da die dem Berechtigungsmanagement zugrunde liegenden Prozesse bereits geprüft wurden. Zeitraum der Revision: bis Change-Management November

8 APS1 ARS BA BSI CobiT IT IT-AFM ITIL IuK RfC SGB III SEA SEM1 SEM2 SETF SEPZ Abkürzungsverzeichnis Servicebereich Applikationsverantwortung Action Request System Bundesagentur für Arbeit Bundesamt für Sicherheit in der Informationstechnik Control Objectives for Information and Related Technology Informationstechnik IT-Anforderungsmanagement Information Technology Infrastructure Library Informations- und Kommunikationstechnik Request for Change Sozialgesetzbuch - Drittes Buch - Arbeitsförderung Geschäftsbereich Architektur Servicebereich Service und Prozesse Servicebereich Angebots- und Auftragsmanagement Geschäftsbereich Testfactory Service Zentrale Aufgaben GB Produkte Anlage 2 Change-Management November