Mapping ITIL to CobiT. Diplomarbeit

Transkript

1 FH JOANNEUM Gesellshaft mbh Mapping ITIL to CobiT Gegenüberstellung der beiden IT-Modelle CobiT 4.0 und ITIL Diplomarbeit zur Erlangung des akademishen Grades einer Diplomingenieurin für tehnish-wissenshaftlihe Berufe (FH) eingereiht am Fahhohshul-Studiengang Informationsmanagement Betreuer: DI Werner Fritz Firmenbetreuer: Mag. Jimmy Heshl, KPMG Wien eingereiht von: Simone Eder Personenkennzahl: Juni 2006

2 Eidesstattlihe Erklärung Ih erkläre hiermit an Eides statt, dass ih die vorliegende Arbeit selbstständig und ohne Benutzung anderer als der angegebenen Hilfsmittel angefertigt habe; die aus fremden Quellen direkt oder indirekt übernommenen Gedanken sind als solhe kenntlih gemaht. Die Arbeit wurde bisher in gleiher oder ähnliher Form keiner anderen Prüfungskommission vorgelegt und auh niht veröffentliht. Graz, 9.Juni 2006 Simone Eder 2

3 Inhaltsverzeihnis Inhaltsverzeihnis Eidesstattlihe Erklärung... 2 Inhaltsverzeihnis... 3 Abbildungsverzeihnis... 6 Tabellenverzeihnis... 7 Abkürzungsverzeihnis... 9 Danksagung Abstrat Kurzfassung Einleitung Problemstellung Motivation und Relevanz Vorstellung des Unternehmens Aufbau der Arbeit Zentrale Fragestellungen Ziele Abgrenzung der Arbeit Management von IT unterstützten Prozessen Einleitung Das interne Kontrollsystem (IKS) CobiT Allgemeines Das CobiT Framework Untershiede CobiT 3.0 / CobiT IT Infrastruture Library Allgemeines Nutzen von ITIL Komponenten von ITIL

4 Inhaltsverzeihnis IT Servie Management Weiterentwiklung von ITIL Weitere IT Modelle ISO IT BPM COSO PRINCE CMMI TikIT NIST IT Grundshutzhandbuh /IT Siherheitshandbuh Zusammenfassung Mapping von ITIL mit CobiT Einleitung Grund für Mapping von ITIL mit CobiT Mapping Regeln Information Stufen des High Level Mappings Arten des detaillierten Mappings Coverage High Level Mapping High Level Mapping Plan and Organise High Level Mapping Aquire and Implement High Level Mapping Deliver and Support High Level Mapping Monitor and Evaluate Detailliertes Mapping Detailliertes Mapping Plan and Organise Detailliertes Mapping Aquire and Implement Detailliertes Mapping Delivery and Support Detailliertes Mapping Monitor and Evaluate Zusammenfassung

5 Inhaltsverzeihnis 4. Implementierung von IT Modellen Einleitung Einführung der IT Modelle Identify Needs (Bedarf identifizieren) Envision Solution (visionäre Lösung entwikeln) Plan Solution (Lösung implementieren) Implement Solution (Lösung implementieren) Build Sustainability (Nahhaltigkeit gewährleisten) Vorteile/Risiken einer Einführung Zusammenfassung Shlussbetrahtung und Ausblik Shlussbetrahtung Ausblik Fazit Literaturverzeihnis

6 Abbildungsverzeihnis Abbildungsverzeihnis Abbildung 1: Grundlegendes Prinzip von CobiT Abbildung 2: Vier Domänen von CobiT Abbildung 3: CobiT Würfel Abbildung 4: Zentrale Elemente von Servie Management nah ITIL Abbildung 5: Prozesse des Servie Desk Abbildung 6: Klassifizierung vershiedener Modelle Abbildung 7: Zwei Ebenen des Mappings Abbildung 8: Abdekung CobiT 4.0 durh ITIL Abbildung 9: Road Map für IT Governane

7 Tabellenverzeihnis Tabellenverzeihnis Tabelle 1: Teilprozesse der Domäne Plane und Organisiere Tabelle 2: Teilprozesse der Domäne Beshaffe und Implementiere Tabelle 3: Teilprozesse der Domäne Erbringe und Unterstütze Tabelle 4: Teilprozesse der Domäne Überwahe und Evaluiere Tabelle 5: Informationskriterien Tabelle 6: IT Ressouren Tabelle 7: Reifegradmodell (Maturity Model) Tabelle 8: Fünf Kernelemente von ITIL Tabelle 9: Kapitelübersiht Servie Support Tabelle 10: Kapitelübersiht Servie Delivery Tabelle 11: Stufen des High Level Mappings Tabelle 12: Arten der Zuweisung von Information zu CobiT. 56 Tabelle 13: Abdekungsgrad durh ITIL mit CobiT Tabelle 14: High Level Mapping PO Tabelle 15: High Level Mapping AI Tabelle 16: High Level Mapping DS Tabelle 17: High Level Mapping ME Tabelle 18: PO1 detailliertes Mapping Tabelle 19: PO2 detailliertes Mapping Tabelle 20: PO3 detailliertes Mapping Tabelle 21: PO4 detailliertes Mapping Tabelle 22: PO5 detailliertes Mapping Tabelle 23: PO6 detailliertes Mapping Tabelle 24: PO7 detailliertes Mapping Tabelle 25: PO8 detailliertes Mapping Tabelle 26: PO9 detailliertes Mapping Tabelle 27: PO10 detailliertes Mapping Tabelle 28: AI1 detailliertes Mapping Tabelle 29: AI2 detailliertes Mapping Tabelle 30: AI3 detailliertes Mapping

8 Tabellenverzeihnis Tabelle 31: AI4 detailliertes Mapping Tabelle 32: AI5 detailliertes Mapping Tabelle 33: AI6 detailliertes Mapping Tabelle 34: AI7 detailliertes Mapping Tabelle 35: DS1 detailliertes Mapping Tabelle 36: DS2 detailliertes Mapping Tabelle 37: DS3 detailliertes Mapping Tabelle 38: DS4 detailliertes Mapping Tabelle 39: DS5 detailliertes Mapping Tabelle 40: DS6 detailliertes Mapping Tabelle 41: DS7 detailliertes Mapping Tabelle 42: DS8 detailliertes Mapping Tabelle 43: DS9 detailliertes Mapping Tabelle 44: DS10 detailliertes Mapping Tabelle 45: DS11 detailliertes Mapping Tabelle 46: DS12 detailliertes Mapping Tabelle 47: DS13 detailliertes Mapping Tabelle 48: ME1 detailliertes Mapping Tabelle 49: ME2 detailliertes Mapping Tabelle 50: ME3 detailliertes Mapping Tabelle 51: ME4 detailliertes Mapping

9 Abkürzungsverzeihnis Abkürzungsverzeihnis Abkürzung AI BSI CI CMMI CobiT COSO CSF DEMI DS IDW IKS IRM ISACA IT BPM ITBSC ITGI ITIL KGI KPI ME Beshreibung Aquire and Implement (Beshaffe und Implementiere) Bundesamt für Siherheit in der Informationstehnologie Configuration Item Capability Maturity Model Integration Control Objetives for Information and related Tehnology Committee of Sponsoring Organisations of the Treadway Commission Critial Suess Fator Kritisher Erfolgsfaktor Durhführung, Entsheidung, Mitwirkung, Information Deliver and Support (Erbringe und Unterstütze) Institut der Wirtshaftsprüferinnen und Wirtshaftsprüfer Internes Kontrollsystem Information Risk Management Information Systems Audit and Control Assoiation IT Baseline Protetion Manual IT Balaned Sore Card Information Tehnology Governane Institute Information Tehnology Infrastruture Library Key Goal Indiator Key Performane Indiator Monitor and Evaluate (Überwahe und Evaluiere) 9

10 Abkürzungsverzeihnis Abkürzung MOF OGC OLA PO Beshreibung Mirosoft Operations Framework Offie of Governane Commere Operation Level Agreement Plan and Organise (Plane und Organisiere) PRINCE2 Projets in Controlled Environments 2 RACI RfC SD SLA SS Responsible, Aountable, Consulting, Informed Request for Change Servie Delivery Servie Level Agreement Servie Support 10

11 Danksagung Danksagung Ih möhte mih an dieser Stelle sehr herzlih bei meinem firmenseitigen Betreuer Herrn Mag. Jimmy Heshl, Mitarbeiter der IRM Abteilung der KPMG Austria GmbH, für seine inhaltlihe Betreuung der Diplomarbeit bedanken. Ebenso möhte ih meinem Betreuer an der FH JOANNEUM in Graz, Herrn FH-Prof. DI Werner Fritz, für die entgegenkommende Zusammenarbeit danken. Außerdem möhte ih besonders meiner Familie und meinen Freunden herzlih danken, die mih während des Studiums und besonders beim Verfassen der Diplomarbeit immer wieder unterstützt und motiviert haben. 11

12 Abstrat Abstrat The market s expetations in enterprises rise steadily. Consequently the requirements for the IT inrease in the same extent. Organisation should reat flexibly and ustomer-oriented on the market and permanent presene is required. Using information tehnology an help to optimise organisation s ompetenes, business targets and to improve ontinuously proesses. IT models an help to meet these requirements and to support the management of IT proesses. Two Best Pratie Models prevail on the market, whih are introdued in this diploma thesis: CobiT and ITIL. They help the organisation in supporting some areas like seurity, development, projet management, monitoring and strategi development. Furthermore these two models help to introdue, implement, manage and ontrol those proesses. However, a number of different models are established on the market. This fat makes it diffiult for the management to find the adequate Best Pratie Model for the organisation. Therefore this diploma thesis is supposed to help to inrease the transpareny and omparability, by reating a mapping paper, whih maps ITIL to CobiT. In this omparison it beomes apparent, whih areas from CobiT are overed by ITIL and whih topis are not. Nevertheless the organisation has to deide on its own, whih standard supports and manages optimally the most vital proesses of the organisation. As soon as a suitable model was hosen, the next step is to establish it in the organisation. Adequate and overall planning is ruial at this stage. Aims, targets, periods, proesses, risks, roles and responsibilities have to be defined and awareness for the new IT model needs to be reated. The next step is to implement the Best Pratie Model in order to ensure the suess of the model and to guarantee the eonomi survival of the enterprise. 12

13 Kurzfassung Kurzfassung Mit der steigenden Erwartungshaltung des Marktes an Unternehmen wahsen auh die Anforderungen an die IT. Unternehmen sollen flexibel am Markt reagieren können, kundenorientiert handeln und permanent verfügbar sein. Der Einsatz von Informationstehnologie kann Unternehmen helfen, ihre Kernkompetenzen und in weiterer Folge auh ihre Geshäftsziele zu optimieren. Um diesen Anforderungen gereht zu werden, können IT Modelle helfen, das Management von Prozessen umfassend zu unterstützen. Zwei der bekanntesten Best Pratie Modelle sind CobiT und ITIL. Diese helfen gewisse Bereihe einer Organisation wie zum Beispiel Siherheit, Entwiklung, Projektmanagement, Überwahung oder strategishe Planung allumfassend zu handhaben. Aufgrund der Anzahl von vershiedenen Modellen am Markt ist es aber besonders für das Management shwierig zu wissen, welhe Bereihe von welhem Standard abgedekt werden und so soll diese Diplomarbeit helfen, die Transparenz und Vergleihbarkeit der Beiden Standards ITIL und CobiT zu erhöhen. Durh den Vergleih wird deutlih, welhe Bereihe von CobiT durh ITIL abgedekt und welhe Themen von ITIL niht behandelt werden. Jedes Unternehmen muss aber für sih abstimmen, welher Standard sih am besten eignet und die wihtigen Prozesse der Organisation optimal unterstützt. Wurde das passende Modell für ein Unternehmen ausgewählt, gilt es dieses im Unternehmen zu etablieren. Hierfür ist eine ausreihende und umfassende Planung notwendig. Ziele, Zeiträume, Prozesse, Risiken und Verantwortlihkeiten müssen definiert und das Bewusstsein der Mitarbeiter und Mitarbeiterinnen für den neuen Standard muss gebildet werden. Danah erfolgt die Implementierung und in weiterer Folge müssen Kontrollen etabliert werden, um langfristig den Erfolg des IT Modells und somit auh des Unternehmens zu gewährleisten. 13

14 Einleitung 1. Einleitung 1.1 Problemstellung Der steigende Einsatz von Informationstehnologie in der heutigen Wirtshaft stellt besondere Anforderungen an Unternehmen. Für die Organisationen ist es wihtig, dass die IT Ziele mit den Unternehmenszielen abgestimmt sind und im Einklang zueinander stehen. Nur so können Unternehmen die verwendete Tehnologie optimal einsetzen und flexibel am Markt reagieren. Die Umsetzung einer funktionierenden internen IT kann mit Hilfe von Standards gut unterstützt werden. Diese Helfen notwendige Bereihe im Unternehmen abzudeken und stellen Leitfäden für die Einführung bereit. Für die Organisation ist es wihtig, jene Bereihe individuell umzusetzen, die zur optimalen Unterstützung der Unternehmensziele dienen. Dies kann aber von Unternehmen zu Unternehmen variieren. So legt ein Versiherungsunternehmen auf andere Bereihe wie ein Softwareunternehmen wert. Diese Gebiete gilt es zu identifizieren und danah sollte ein Modell ausgewählt werden, das die Bereihe in optimalem Umfang und Detaillierungsgrad unterstützt. Aufgrund der vielen vershiedenen Best Pratie Ansätze, die am Markt etabliert sind, ist es für das Management oft niht leiht zu erkennen, welhe Anforderungen durh welhe Standards abgedekt werden und in wieweit sih Modelle übershneiden oder ineinander eingebettet sind. Diese Diplomarbeit soll die Transparenz und Vergleihbarkeit vershiedener Standards, insbesondere der beiden bekanntesten Best Pratie Ansätze ITIL und CobiT, erhöhen. Diese behandeln vershiedene Bereihe und Ebenen, von der strategishen Planung bis zur operativen Umsetzung, überlappen sih aber auh teilweise. Oft ist niht klar, welher Standard sih besonders gut für die Umsetzung gewisser Bereihe eignet, oder welher Standard über welhen Detaillierungsgrad verfügt. Deshalb soll diese Diplomarbeit eine Entsheidungshilfe bieten, welhe Bereihe mit welhem Standard am besten umgesetzt werden können. 14

15 Einleitung 1.2 Motivation und Relevanz Mit Hilfe dieser Arbeit soll Entsheidungsträgern im Unternehmen, aber auh Wirtshaftsprüfern, Wirtshaftsprüferinnen und Beratungsunternehmen geholfen werden, sih einen Überblik zu vershaffen, welhe Bereihe eines Standards durh einen anderen abgedekt werden und welhen Detaillierungsgrad diese besitzen. Eine optimale Ausnutzung der Standards hinsihtlih des jeweiligen Detaillierungsgrades ermögliht Managern, den Interessenten eines Unternehmens die Relevanz von IT und IT Prozessen näher zu bringen. Weiters kann die Effektivität der IT besser gemessen werden. Ein Vorgehensmodell für die Einführung der beiden Standards, ermögliht Unternehmen zu entsheiden, welhes Best Pratie Modell eingesetzt werden soll. 1.3 Vorstellung des Unternehmens Diese Diplomarbeit wird in Zusammenarbeit mit der KPMG Austria, die zu der KPMG International Gruppe gehört, für den Bereih Information Risk Management (IRM) verfasst. KPMG International ist ein weltweiter Zusammenshluss von rehtlih und wirtshaftlih selbständigen Wirtshaftsprüfungs- und Beratungsgesellshaften und eine der führenden internationalen Beratungsfirmen. Der Wortlaut KPMG setzt sih aus den Namen der 4 Gründer zusammen: Klynveld, Peat, Marwik und Goerdeler. Mehr als Mitarbeiter in rund 150 Ländern betreuen weltweit Klienten nah einheitlihen Qualitätsstandards, deren Einhaltung im Rahmen nationaler und internationaler Qualitätsreviews laufend überprüft und kontrolliert wird. [vgl. KPM-06-1, Fakten und Zahlen ] Die KPMG Alpen-Treuhand Austria Gruppe ist das größte Wirtshaftsprüfungs- und Steuerberatungsunternehmen in Österreih. Sie hat 13 Standorte in denen rund Mitarbeiter beshäftigt sind. [vgl. KPM-06-1, Overview ] 15

16 Einleitung Die KPMG steht Ihren Klienten in der Lösung von Problemen und allen wirtshaftlihen Fragen zur Seite und hilft bei der Ausführung von Aufträgen in den Bereihen Wirtshaftsprüfung, Steuerberatung, Unternehmensberatung, General Business, Information Risk Management, Finanial Advisory Servies und einigen weiteren spezialisierten Fahbereihen. Kunden der KPMG sind Großunternehmen aus dem Banken- und Finanzsektor, dem Versiherungsbereih, der Bauwirtshaft, der Industrie, dem Handel, der Energieversorgungswirtshaft, Institutionen des öffentlihen Sektors sowie zahlreihe österreihishe Tohterunternehmen ausländisher Konzerne. [vgl. KPM-06-1, Overview ] 1.4 Aufbau der Arbeit Ziel dieser Diplomarbeit ist es eine qualitative Beurteilung der Abdekung von CobiT 4.0 durh ITIL zu treffen und in weiterer Folge daraus ein Vorgehensmodell für die Umsetzung der beiden Standards zu entwerfen. Nah der Einleitung werden im zweiten Kapitel deshalb Begriffe wie internes Kontrollsystem und Servie Management geklärt. Weiters wird auf die beiden Standards ITIL und CobiT eingegangen. Im dritten Kapitel werden im ersten Shritt die Anforderungen aus ITIL in einzelne zuordenbare Teile gegliedert. Diese identifizierten Information werden den Control Objetives von CobiT zugeordnet. Im zweiten Shritt wird der Abdekungsgrad von CobiT durh ITIL beurteilt. Dies wird in einer Mapping Tabelle dargestellt. Danah werden die Ergebnisse diskutiert. Im vierten Kapitel wird ein Vorgehensmodell für die beiden Standards erstellt, der es Unternehmen oder Beratern ermögliht eine Entsheidung welhes Best Pratie Modell eingesetzt werden soll zu treffen. Hier ist außerdem zu klären welhe Vorteile und Risiken eine Einführung der Modelle mit sih bringt, mit welhen Fragestellungen sih ein Unternehmen auseinandersetzen muss und unter welhen Vorraussetzungen welhes Modell eingesetzt 16

17 Einleitung werden soll um für das Unternehmen langfristig die rihtige Entsheidung zu treffen. Im letzten Kapitel werden die wihtigsten Ergebnisse zusammengefasst und ein Ausblik für die Zukunft gegeben Zentrale Fragestellungen Diese Diplomarbeit soll insbesondere folgenden Fragestellungen auf den Grund gehen. Es gilt herauszufinden, welhe Bereihe des IT Managements durh den Standard ITIL und welhe durh CobiT abgedekt werden. Das heißt, welher Standard eignet sih gut um vershiedene Gebiete wie z.b. strategishe Planung, Entwiklung, Problemmanagement oder Changemanagement umzusetzen. Des Weiteren soll herausgefunden werden, welhen Detaillierungsgrad die einzelnen Bereihe aus den beiden Best Pratie Ansätzen haben. Das heißt, wie genau sind die einzelnen Prozesse, Anforderungen, Ziele, Rollen und Verantwortlihkeiten beshrieben, damit ein Bereih erfolgreih nah einem Standard im Unternehmen implementiert werden kann. Ein weiterer Punkt ist die Frage, in wie weit ITIL die Anforderungen von CobiT abdekt. Zuletzt stellt sih die zentrale Frage, welhe Vorteile und Risiken die Anwendung dieser Modelle mit sih bringt und welhe Gesihtspunkte bei einer Einführung der beiden Best Pratie Modelle berüksihtigt werden müssen Ziele Ziel ist es die beiden Modelle ITIL und CobiT gegenüberzustellen. So soll eine qualitative Beurteilung der Abdekung von CobiT 4.0 durh ITIL getroffen werden. Ein weiteres Ziel dieser Diplomarbeit ist die Erstellung eines Vorgehensmodells zur Entsheidungsunterstützung welhes Best Pratie Modell von Unternehmen eingesetzt bzw. von Beratern und Beraterinnen empfohlen werden soll. 17

18 Einleitung Abgrenzung der Arbeit Ziel dieser Diplomarbeit ist es niht, sämtlihe veröffentlihte Best Pratie Modelle einzuordnen und miteinander zu vergleihen. Es werden lediglih die beiden IT Standards ITIL und CobiT berüksihtigt. Des Weiteren wird bei Qualitätsmanagement Ansätzen eine Abgrenzung getroffen. Die Einbindung der vershiedenen angebotenen Modelle in den Bereih Qualitätsmanagement und das Zusammenspiel dieser wird ebenfalls in dieser Diplomarbeit niht berüksihtigt. 18

19 Management von IT unterstützten Prozessen 2. Management von IT unterstützten Prozessen 2.1 Einleitung Dieses Kapitel beshäftigt sih mit der von Unternehmen eingesetzten IT. Früher meist nur zur Unterstützung von Bakoffieprozessen verwendet, bedeutet ihr effizienter Einsatz heutzutage einen Wettbewerbsvorteil. Die Geshäftswelt wird immer abhängiger von IT. Deshalb ist es wihtig, diese niht getrennt, sondern als wihtigen Teil der Geshäftsprozesse zu betrahten. [vgl. ITS-02-1, S. 51f] In diesem Zusammenhang werden auh die Begriffe internes Kontrollsystem und IT Servie Management geklärt. Ein internes Kontrollsystem soll helfen, IT unterstützte Prozesse zu dokumentieren und kontrollieren, um die Transparenz und Nahvollziehbarkeit zu erhöhen und um Risiken zu vermeiden. IT Servie Management legt besonderen Wert auf Prozess- und Servieorientierung und soll die Qualität der IT Servies erhöhen. Um rehtlihe Anforderungen, also IT Governane einbeziehen zu können sind Standardisierungen und Zertifizierungen von Vorteil. Derzeit gibt es vershiedene de-fato Standards und Best Pratie Ansätze, die die Umsetzung von IT Governane erleihtern sollen. Solhe Leitfäden sind zum Beispiel ITIL oder CobiT, auf die in diesem Bezug detaillierter eingegangen wird. Diese sollen helfen, IT unterstützte Prozesse zu verwalten und transparenter zu mahen. [vgl. ITS-02-1, S. xiii] 2.2 Das interne Kontrollsystem (IKS) Da der Wettbewerbsdruk für Unternehmen immer stärker wird, ist es für diese sehr wihtig flexibel am Markt reagieren zu können. Mit der Größe des Unternehmens, der Internationalisierung, den steigenden Marktansprühen sowie durh den Anstieg der Automatisierung in Unternehmen erhöhen sih auh die Anforderungen an die IT. [vgl. KPM-05-1, S. 1] Unternehmen sind 19

20 Management von IT unterstützten Prozessen so oft in einem starken Maße von der Verfügbarkeit ihrer IT Servies abhängig. Es wird erwartet, dass die IT niht nur das Kerngeshäft des Unternehmens unterstützt, sondern auh einen Beitrag zum Wettbewerbsvorteil leistet. Die IT ermögliht es, die Zielsetzungen der gesamten Unternehmung zu verwirklihen. [vgl. ITS-04-1, S. 15] Um die rehtmäßige Unterstützung durh die IT und das einwandfreie Funktionieren gewährleisten zu können, ist es wihtig die IT niht als Blakbox zu sehen, sondern ihre Abläufe zu kennen und diese auh steuern zu können. Kontrollorientiertes Denken ist hier notwendig um etwaige Risiken aufzudeken, diesen entgegenwirken zu können und Fehler zu vermeiden. Für die Gewährleistung dieser Punkte sollten Unternehmen, je nah Größe, Komplexität und Geshäftstätigkeit ein mehr oder weniger ausgestaltetes internes Kontrollsystem aufbauen. [vgl. KPM-04-1, S. 17] Als internes Kontrollsystem (IKS) werden laut Definition des Instituts der Wirtshaftsprüfer und Wirtshaftsprüferinnen (IDW) im Prüfungsstandard 260 vom Juli 2001 die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerihtet sind auf die organisatorishe Umsetzung der Entsheidungen der Unternehmensleitung zur Siherung der Wirksamkeit und Wirtshaftlihkeit der Geshäftstätigkeit (hierzu gehört auh der Shutz des Vermögens, einshließlih der Verhinderung und Aufdekung von Vermögensshädigungen), zur Ordnungsmäßigkeit und Verlässlihkeit der internen und externen Rehnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblihen rehtlihen Vorshriften. [Zitat nah KPM-04-1, S. 16] Dadurh soll die einwandfreie Qualität der intern generierten Finanzdaten sihergestellt werden und ist vom Unternehmen selbst, aber auh von den Abshlussprüfern und Abshlussprüferinnen auf die Funktionsfähigkeit von Kontrollen zur Abdekung der bei der Finanzberihterstattung auftretenden Risiken zu überprüfen. Nur durh konsequente Überwahung lassen sih 20

21 Management von IT unterstützten Prozessen gefährlihe Entwiklungen rehtzeitig erkennen und abwenden. Deshalb ist seit 1998 jede GmbH und AG gesetzlih verpflihtet, ein internes Kontrollsystem zu betreiben, das den Anforderungen des Unternehmens entspriht. [vgl. DEL-02-1] Ein funktionierendes internes Kontrollsystem hat folgende Punkte abzudeken: [vgl. KPM-05-1, S. 1] Eine Dokumentation der einzelnen Kontrollen sollte vorhanden sein, um die Nahvollziehbarkeit und Evidenz der durhgeführten Kontrollen zu gewährleisten. Die Effizienz des internen Kontrollsystems sollte regelmäßig überprüft werden um Doppelgleisigkeiten zu vermeiden. Es sollte zeitnahe und automatisiert sein, damit auf eventuelle Ereignisse reagiert werden kann. In regelmäßigen Abständen sollten Test, Überwahung und Anpassung des IKS durhgeführt werden. Es sollte vollständig sein um alle relevanten Risiken abdeken zu können. Um ein funktionierendes internes Kontrollsystem aufbauen zu können, gibt es vershiedene Best Pratie Ansätze die eine Hilfestellung bieten. In der Praxis haben sih besonders zwei Modelle etabliert: CobiT (Control Objetives for Information and related Tehnology) und ITIL (Information Tehnology Infrastruture Library). Diese können helfen ein IKS aufzubauen und IT unterstützte Prozesse zu verwalten, damit den oben genannten Risiken entgegengewirkt und im Bedarfsfall shnell eingelenkt werden kann. 2.3 CobiT Allgemeines Das CobiT Framework ist ein von der ISACA (Information Systems Audit and ontrol Assoiation), dem internationalen Berufsverband der IT Prüfer und 21

22 Management von IT unterstützten Prozessen Prüferinnen, entwikeltes Modell zur Prüfung und Steuerung der IT. Es wird als Best Pratie für IT Audits eingesetzt, da es ein guter Leidfaden für die Implementierung von IT Governane ist und das Verständnis für die Risiken und Vorteile, die mit Information und der damit verbundenen IT zusammenhängt, erhöht. [vgl. ITS-02-1, S. 51] CobiT stellt ein generishes IT Prozessmodell dar, das kontinuierlih erweitert und angepasst wird. Das Modell ermögliht die weltweite Umsetzung von IT Kontrollen nah klaren Rihtlinien in Unternehmen aber kann trotzdem an die spezifishen Rahmenbedingungen der einzelnen Organisationen angepasst werden. [vgl. ITG05-2, S. 9ff] Das CobiT Framework Abbildung 1: Grundlegendes Prinzip von CobiT Quelle: [ITG05-1, S. 12] Das CobiT Framework basiert, wie in Abbildung 1 dargestellt, auf folgendem Prinzip: Damit die Informationen, die in einer Organisation zur Erreihung der Geshäftsanforderungen und ziele benötigt werden, zur Verfügung gestellt werden können, muss das Unternehmen IT Ressouren einsetzen. Diese können durh ein strukturiertes Set an Prozessen identifiziert, geplant, verwaltet und kontrolliert werden. So können die für die Geshäftsanforderungen benötigten Informationsdienste angeboten werden und eine optimale Verbindung von Geshäftszielen mit den IT Zielen wird erreiht. [vgl. ITG05-1, S. 12] 22

23 Management von IT unterstützten Prozessen Die Prozessorientierung wird in CobiT durh ein generishes IT Prozessmodell ausgedrükt, dass die IT Aktivitäten in 34 typishe Teilprozesse unterteilt, die für ein angemessenes Management der IT entsheidend sind. Diese Prozesse werden wie in der in Abbildung 2 ersihtlihen Grafik in vier übergeordneten Bereihe (Domänen) Planung und Organisation, Beshaffung und Implementierung, Betrieb und Unterstützung und Überwahung zusammengefasst. Diese deken die traditionellen Sektoren der IT ab. [ITG05-1, S. 14ff] Überwahe und Evaluiere Information - Vertraulihkeit - Verfügbarkeit - Integrität - Verlässlihkeit - Übereinstimmung - Effektivität und Effizienz Plane und Organisiere Erbringe und Unterstütze IT Ressouren - Tehnologien - Anwendungen - Daten - Geshäftsausstattungen - Personal Beshaffe und Implementiere Abbildung 2: Vier Domänen von CobiT Quelle: [ISA-06-1] Im Einzelnen können diese vier Domänen folgendermaßen beshrieben werden: Plane und Organisiere ( Plan and Organise, PO) Diese Domäne dekt die Strategie und die Vision des Unternehmens ab. Hier werden Überlegungen angestellt, wie die IT am besten zur Erreihung der Unternehmensziele beitragen kann. Die Realisation der Vision muss geplant, im Unternehmen kommuniziert und für vershiedene Sihten aufbereitet 23

24 Management von IT unterstützten Prozessen werden, damit eine gut funktionierende tehnologishe Infrastruktur bereitgestellt werden kann. Das Management sollte sih weiters mit folgenden Punkten auseinandersetzen: [vgl. ITG05-1, S. 14] Übereinstimmung der Unternehmens- mit der IT -Strategie Optimale Nutzung der IT Ressouren im Unternehmen Verständnis in der Organisation für die IT Ziele Bereitstellung der rihtigen Ressouren und des Umfelds für IT Verstehen der Risiken die mit IT verbunden sind Dieser Domäne wurden laut CobiT 4.0 zehn Teilprozesse zugeordnet: Kürzel PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Prozessname Definiere einen strategishen IT Plan Definiere die Informationsarhitektur Bestimme die tehnologishe Rihtung Definiere die IT Prozesse, Organisation und Beziehungen Manage die IT Investitionen Kommuniziere die Ziele und Rihtung des Management Manage das Personal Manage die Qualität Beurteile und Manage die IT Risiken Manage die Projekte Tabelle 1: Teilprozesse der Domäne Plane und Organisiere Quelle: [ITG05-1, S. 29ff] Beshaffe und Implementiere ( Aquire an Implement, AI) Dieser Bereih befasst sih mit der Umsetzung der IT Strategie und stellt Überlegungen an, welhe IT Lösungen eingesetzt werden sollen und wie diese entwikelt, implementiert und in die Geshäftsprozesse integriert wer- 24

25 Management von IT unterstützten Prozessen den sollen. Außerdem muss die Wartung und Erhaltung dieser Systeme geplant werden um die Unternehmensziele bestmöglih zu unterstützen. Für das Management sind folgende Punkte relevant: [vgl. ITG05-1, S. 14] Einhaltung von Zeit- und Budgetplan bei neuen Projekten Unterstützung der Unternehmensziele Funktionierendes Changemanagement Risiken die bei Umstellung auf neue Systeme bestehen Dieser Domäne wurden laut CobiT 4.0 sieben Teilprozesse zugeordnet: Kürzel AI1 AI2 AI3 AI4 AI5 AI6 AI7 Prozessname Identifiziere automatisierte Lösungen Beshaffe und warte Anwendungssoftware Beshaffe und warte tehnologishe Infrastruktur Ermöglihe Betrieb und Verwendung Beshaffe IT Ressouren Manage Changes Installiere und akkreditiere Lösungen und Changes Tabelle 2: Teilprozesse der Domäne Beshaffe und Implementiere Quelle: [ITG05-1, S. 72ff] Erbringe und Unterstütze ( Deliver and Support, DS) Diese Domäne beshäftigt sih mit dem aktuellen Betrieb der benötigten Servies. Dies beinhaltet Dienstleistungserbringung, Verwaltung von Siherheit und Kontinuität, Servieunterstützung für Benutzer und das Management von Daten und des laufenden Betriebs. Für das Management sind folgende Punkte zu bedenken: [vgl. ITG05-1, S. 15] Dienstleistungserbringung in Prioritätenreihenfolge Optimierung der IT Kosten 25