The Business Value of IT The IT Productivity Paradox Master Course

Größe: px
Ab Seite anzeigen:

Download "The Business Value of IT The IT Productivity Paradox Master Course"

Transkript

1 Folien Stand The Business Value of IT The IT Productivity Paradox Master Course Information Management Winter 2014/2015 1

2 Business Value of IT Business Value of IT (Konzept) : BV (IT) = Business Performance IT Investment IT Investment: Eine Investition in die Fähigkeit, ein Geschäft zu führen, nicht nur reine Kosten Geschäftserfolg (Business success, business value ): Hängt auch davon ab, den Zählerwert in der Wertegleichung zu erhöhen, d.h. die Business performance Nicht (nur) den Wert des Nenners reduzieren Übersetzung von Gartner (2007) 2

3 Criteria for Performance Excellence: Baldridge Award * 1. Leadership (120 pts.) 1.1 Organizational Leadership (70 pts.) 1.2 Social Responsibility (50 pts.) 2. Strategic Planning (85 pts.) 2.1 Strategic Development (40 pts.) 2.2 Strategic Deployment (45 pts.) 3. Customer and market focus (85 pts.) 3.1 Customer and Market Knowledge (40 pts.) 3.2 Customer Relationships and Satisfaction (45 pts.) 4. Measurement, Analysis, Knowledge Management (90 pts.) 4.1 Measurement and Analysis of Organizational Performance (45 pts.) 4.2 Information and Knowledge Management (45 pts.) * 3

4 Criteria for Performance Excellence: Baldridge Award * 5. Human Resource Focus (85 pts.) 5.1 Work Systems (35 pts.) 5.2 Employee Learning and Motivation (25 pts.) 5.3 Employee Well-being and Satisfaction (25 pts.) 6. Process Management (85 pts.) 6.1 Value Creation Processes (50 pts.) 6.2 Support Processes (35 pts.) 7. Business Results (450 pts.) 7.1 Customer-Focused Results (75 pts.) 7.2 Product and Service Results (75 pts.) 7.3 Financial and market Results (75 pts.) 7.4 Human Resource Results (75 pts.) 7.5 Organizational Effectiveness Results (75 pts.) 7.6 Governance and Social Responsibility Results (75 pts.) * 4

5 Kennzahlen (i.e.s.) und Indikatoren* quantitative Informationen, die für die spezifischen Bedürfnisse der Unternehmensanalyse und -steuerung aufbereitet wurden. Kennzahlen sind betriebswirtschaftliche Informationskonzentrate. Kennzahlen im engeren Sinne Maßgrößen, die bewusst zu absoluten oder relativen Zahlen verdichtet werden, um mit ihnen in konzentrierter Form über einen zahlenmäßig erfassbaren Sachverhalt berichten zu können Indikatoren berichten gezwungenermaßen unvollständig über eine Realität, die sich nur schwer abbilden lässt * Hoffmann, F., Kritische Erfolgsfaktoren - Erfahrungen in großen und mittelständischen Unternehmen, in: Zeitschrift für betriebswirtschaftliche Forschung 1986, S. 831ff. 5

6 Kennzahlen und Kennzahlensysteme Verdichtung von Einzelinformationen zu Kennzahlen dient der Informationsentlastung insbesondere der höheren Führungsebenen hochverdichtete Zahlen können die Realitätsnähe verlieren ( Kunst-zahlen ), z.b. Unternehmensrentabilität notwendige Einbeziehung weiterer Kennzahlen zur Erklärung bei Ausnahmen ( Management by Exception ): Erweiterung zu Kennzahlensystemen: die Gesamtheit von geordneten Kennzahlen, die die Zusammenhänge zwischen verschiedenen Größen aufzeigen und so betriebswirtschaft-lich sinnvolle Aussagen über Unternehmungen und ihre Teile vermitteln * Differenzierung in Analyse- & SteuerungsKennzahlensysteme * Gladen, Werner [Berichtssysteme, 2003]: Kennzahlen- und Berichtssysteme, 2. Aufl., Gabler (2003), S. 91 6

7 Aufgaben von Kennzahlen Christoph Lauterbach / Klaus Knopper Gladen, W., Performance Measurement. Controlling mit Kennzahlen. 5. Aufl., 7

8 The Balanced Scorecard Links Performance Measures How do we look to shareholders? Financial Goals Measures At what must we excel? How do customers see us? Internal Business Customer Goals Measures Goals Measures Innovation & Learning Goals Measures Can we continue to improve and create value? 8

9 Grundstruktur der Balanced Scorecard Allgemeine Ziele Meßgröße Finanzen Ertragssteigerung ROI Kunden Kundentreue erhöhen Zielvorgabe Maßnahmen 14% ROI Frühzeitigere Projektselektio n Wiederkaufrate 65% Technischen Service ausbauen Prozesse Verkürzung der Durchlaufzeiten Durchlauftage eines Auftrags 5 Tage Abbau von 2 Schnittstellen Lernen Repräsentative Umfrage 10 % Steigerung der Empowerment Zufriedenheitswerte Mitarbeiterzufriedenheit 1. Strategische Ziele sind zu identifizieren (objectives) 2. Zielmaßstäbe sind zu definieren (measures) 3. Zielhöhen sind zu vereinbaren (targets) 4. Maßnahmen (strategische Projekte) sind zu verabschieden (initiatives) Quelle: Steinmann, H., Schreyögg, G.: Management. Grundlagen der Unternehmensführung. Christoph2005, Lauterbach Konzepte Funktionen Fallstudien, 6. Auflage, Wiesbaden S. 272 / Klaus Knopper 9

10 Strategy and the BSC A BSC tells the story of the companys / business units strategy A BSC identifies and makes explicit the hypotheses about the cause and effect relationships between Outcome measures in the Financial and Customer perspectives Performance drivers of those outcomes in the Internal and Learning & Growth perspectives Atkinson, A. A. Kaplan, R.S., Young, S. M.: Management Accounting, Pearson/Prentice Hall, 4th edition,

11 Performance Measurement: Balanced Scorecard Gegenstand der Unternehmenssteuerung das operative "Tagesgeschäft" (interne Abstimmung), und die Wahrnehmung von strategischen Aufgaben Abstimmung mit der Unternehmensumwelt kontinuierliche Verbesserungen Unterscheidung zwischen diagnostischen Kennzahlen überwachen, ob das Unternehmen unter Kontrolle ist registrieren von Abweichungen vom Plan strategischen Kennzahlen definieren eine Strategie, die auf exzellente Wettbewerbs-fähigkeit abzielt enthalten nicht allein die finanziellen Endziele, sondern auch deren vorlaufende Indikatoren (Leistungstreiber) 11

12 Ursache-Wirkungs-Vermutungen Gladen, W., Performance Measurement. Controlling mit Kennzahlen. 5. Aufl., Gabler (2011), S

13 Balanced Scorecard: Linking Measurements to Strategy 13

14 Bestandteile einer Balanced Scorecard Prosser, A. et al: Balanced Scorecards with SAP Strategic Enterprise Management, Wien (2005), Lauterbach / Klaus zitiert nach: Barthélemy, F. et al: Balanced Scorecard, Christoph Vieweg + Teubner (2011), S. 64 Knopper 14

15 Business Performance Management the systematic generation and control of an organization s performance using financial/nonfinancial metrics indicators to assess the present state of the business and to prescribe a course of action main activities: performance planning performance control (management in the narrower sense) performance measurement performance rewarding performance requirements derived from the company s strategy or vision the company s stakeholders 15

16 Business Performance Management can only be implemented successfully, if strategic planning is tightly linked to operational execution requires integration of strategies, organizational structures and business processes by the use of specialized information systems: strategy changes trigger modifications on the business process level and the supporting information systems innovations on the IS or the process level initiate the adjustment of the company s strategy close relationship between current business requirements and newly developing IT enablers 16

17 Business Performance Management BI = Business Intelligence Melchert F., Winter, R.: The Enabling Role of Information Technology for Business Performance Management, Proc IFIP Int l. Conf. on Decision Support Systems, 2004, p

18 The Solow Paradox (IT Productivity Paradox) Growth in labor (non-farmal) labor productivity (CAGR Compound Annual Growth Rate) IT investment as percentage of total business investment (Information processing equipment and software) (Nobel laureate 1987 for his contributions to the theory of economic growth) McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Lauterbach / Klaus Knopper Information Technology relative to other factors. Christoph , Washington,

19 Country Level: A New Economy? CAGR: Compound Annual Growth Rate (the year-over-year growth rate of an investment over a specified period of time) McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Christoph Lauterbach / Klaus Knopper Information Technology relative to other factors, 2001: Synthesis 19

20 Industry Level (PEP - Persons Employed in Production) McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Information Technology relative to other factors,

21 Jumping sectors and Paradox cases McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Information Technology relative to other factors,

22 IT: only one of several factors at work in the productivity jump Causality framework for jumping sectors McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Information Technology relative to other factors,

23 Comparison of industry sectors IT was a critical enabler of productivity acceleration in the U.S. with diverse and complex impact depending on when, where, and how IT was deployed IT is an enabler of management innovation: a critical tool to innovative managers to redesign core business processes or innovate around products and services in response to changing business conditions No answer to where and how IT had impact on productivity across industries (no killer application ): understanding the role of IT in productivity growth involves understanding of each particular industries the specific environment and dynamics the business processes, and the key performance levers 23

24 IT Performance Indicators Operationalization of Efficiency und Effectivity (example) IT efficiency (Wirtschaftlichkeit der ITUnterstützung) IT cost as a percentage of revenue, plus project management performance against schedule and budget IT effectiveness (Wirksamkeit der ITUnterstützung) The availability, functionality, and utilization rates of IT applications for each core business process 24

25 Indicators of IT Performance Effizienz (Wirtschaftlichkeit) Effektivität (Wirksamkeit) R. Kampis, J. Ringbeck et al.: DO IT SMART, Seven Rules for Superior Christoph Lauterbach Klaus Knopper Information Technology Performance, The Free Press, New York/ (1999) 25

26 Indicator of Corporate Success Source: McKinsey & Company, Inc. 26

27 IT Performance: Four IT Cultures Percentage of companies surveyed 27

28 How the Four IT Cultures Perform More effective IT generally correlates positively with corporate success. 28

29 Results on Financial Indicators Big IT spenders and IT stars demonstrate much better results than IT laggards and cautious IT spenders At constant level of low effectiveness an increase in IT efficiency merely helps to lower cost: On the average, cautious spenders rated insignificantly better than IT laggards An improvement in IT efficiency has less bottomline impact than an effectiveness-oriented approach aimed at achieving competitive differentiation via smart IT processes 29

30 Wertbeitragskategorien der IT in Banken1 Kategorie/T Antei Beispiele yp l Bereitstellung der Run 50Effizienz der 70% Benutzerarbeitspl Differenzierungspotenzial/ Messmethode must do : indirekte Wirkung durch geringere Kosten; Optimierungen können direkt durch die IT-Abteilung gemessen werden (z.b. TCO) IT-Organisation ätze; Betreiben der Giro"Anwendung Change I 20% Effektivität der ITUnterstützun g Prozessautom niedrig : indirekt über höhere Durchlaufzeiten, atisierung Change II Benefit der IT-Leistung 1 10% höhere Qualität, geringere Kosten; der Wertbeitrag kann nur durch die Fach-abteilung beurteilt werden hoch : der Beitrag der IT zur Wertschöpfung kann direkt (Umsatz über den Kanal) und indirekt (z. B. Erhöhung der Kundenbindung) gemes-sen werden; Wahrnehmung und Beurteilung erfolgt direkt durch den Kunden Christoph Lauterbach / Klaus Knopper Fischer/Rothe in Moormann/Fischer: Handbuch Informationstechnologie in Banken 30

31 IT-Wertbeitrag durch Geschäftsprozess-Unterstüzung 1 IT-Einsatz und -Nutzung können Geschäftsprozesse verbessern und neue Geschäftsprozesse ermöglichen: Steigerung der Unternehmensperformance Davenport: effizientere Abwicklung von Geschäftsaktivitäten durch Betrachtung auf der Prozessebene und den komplementären Einsatz von IT1 zur effizienteren Abwicklung IT-Investitionen Rechtfertigung durch Umsatzsteigerung oder Kostenreduktion selten möglich häufiger durch qualitativen Nutzen auf Geschäftsprozessebene Direkte Zuordnung von Nutzen auf Aktivitäts- und Prozessebene, Effekte auf Unternehmensebene: unterschiedliche Stärke/Richtung Davenport, T.H.: Putting the Enterprise into The Enterprise System, Havard Business Review, July-August

32 Globalisierung, Innovationen, hoher & wachsender Wettbewerbsdruck zwingt zu Unterstützung oder Enabling fast aller Geschäftsprozesse durch IT schnelle Anpassung der Geschäftsprozesse erfordert Themen dieser Veranstaltung: Best Practices? Marktdruck Wettbewerbsdruck: Auslöser und Treiber transparente und flexible IT-Prozesse transparente und flexible IT-Aufbauorganisation Best Practices? erfordern IT Compliance regulatorische Anforderungen IT Risk Zunahme des unternehmerischen Risikos Management 32

33 Auslöser und Treiber: Konsequenzen IT wird zum kritischen Erfolgsfaktor für den Unternehmenserfolg IT muss ebenso professionell gemanagt werden wie jeder andere kritische Erfolgsfaktor das Managen von IT gehört zu den Kernaufgaben der Unternehmensführung kann nicht delegiert oder ausgegliedert werden ist vielmehr intensiv von der Unternehmensführung wahrzunehmen 33

34 Business Value of IT: Erstes Resumé das Potenzial der IT für Wertsteigerungsbeiträge ist nicht in erster Linie auf der Seite der Informationstechnik an sich zu suchen entscheidend ist das Management des Technikeinsatzes es lässt sich nachweisen, dass bei langfristiger Betrachtung der Wertbeitrag der IT noch deutlicher steigt, wenn der IT-Einsatz zusätzlich durch neue Organisationskonzepte, vor allem die Prozessorientierung, unterstützt wird. BV (IT) = Business Performance IT Investment Business Performance = f(it Management) 34

35 IT Governance Framework Unternehmen Umwelt Faktoren Unternehmensführung Unternehmen Governance IT- Governance Geschäftsmodell Allg. Grundsätze IT-Prinzipien Zurechenbar keit Verantwortlich keit Entscheidungs rechte Rollen & Verantwortlichkeiten Rollen & Verantwortlichkeiten Markt/Branche Strategie Gesamtwirt schaft Struktur Technologien Prozesse Politik und Gesetzgebung Mitarbeiter Domänen Technologie Strategic Alignm. Kultur und Gesellschaft s.z.b. -> St. Galler Managementmodell Organisation Informationsmanagement IT-Managemt. IT-Produktion Entscheid.Felder IT-Busin. Mgmt. Projekte IT-Strategie Information Benefit Tracking Serv. Level Def. Anwendung Organisation Infrastruktur& Technologie Service Mgmt. Regelbetrieb Portfolio Mgmt. Value Delivery Sourcing Sicherheit Resource Mgmt. Risk Management Prozess&Steuerungsrahmen Investition & Priorisierung Business Case Busin. Alignmt. Projektportfolio Organisation Menschen Technologien Prozesse Controls Metriken Performance Measurement Steuerung Indikatoren Metriken Benchmarks vgl. Fröhlich, M., Glasner, K. (Hrsg.): IT Governance. Leitfaden für eine praxisgerechte Implementierung Gabler, 2007, S

36 IT Governance als Teil des Unternehmens (Überblick) 1. Die Umwelt des Unternehmens determiniert seine Handlungsmög-lichkeiten: Marktpotenziale, Regularien, Wettbewerbssituationen, usw. geben den Aktionsrahmen des Unternehmens vor! 2. Aufgaben der Unternehmensführung Definition eines an den Handlungsrahmen/die Umwelt ange-passten Geschäftsmodells Definition der Strategie mit den Geschäftsprozessdefinitionen einer geeigneten Organisation Vorgaben zur Personalpolitik Vorgaben zum Technologieeinsatz vgl. Fröhlich, M., Glasner, K. (Hrsg.): ITChristoph Governance. Leitfaden für Lauterbach / Klaus Knopper eine praxisgerechte Implemen-tierung Gabler, 2007, S. 28ff 36

37 IT Governance als Teil des Unternehmens (Überblick) 2. Aufgaben der Unternehmensführung (Fortsetzung): Definition der Corporate Governance mit allgemeinen Grundsätzen zu Entscheidungskompetenzen und Verantwortung Regeln für die Sicherstellung von Transparenz Regeln für die Einhaltung moralischer Grundsätze (Fairness) Definition der IT-Governance auf den Grundlagen des Geschäfts-modells und der der Corporate Governance IT Governance umfasst prinzipielle Regelungen zu Entscheidungsrechten, Rollen und Verantwortlichkeiten sowie zur Organisation der IT, die sich jeweils auf die Domänen Strategic Alignment, Value Delivery, Ressource Management, Risk Management und Performance Measurement beziehen. vgl. Fröhlich, M., Glasner, K. (Hrsg.): ITChristoph Governance. Leitfaden für Lauterbach / Klaus Knopper eine praxisgerechte Implemen-tierung Gabler, 2007, S. 28ff 37

38 IT Governance Domains Strategic alignment focuses on ensuring the linkage of business and IT plans; defining, maintaining and validating the IT value proposition; and aligning IT operations with enterprise operations. Value delivery is about executing the value proposition throughout the delivery cycle, ensuring that IT delivers the promised benefits against the strategy, concentrating on optimising costs and proving the intrinsic value of IT. Resource management is about the optimal investment in, and the proper management of, critical IT resources: applications, information, infrastructure and people. Key issues relate to the optimisation of knowledge and infrastructure. COBIT 4.1. Framework, Control Objectives, Management Guidelines, Maturity Model, IT Governance Institute, 2007, p. 6 38

39 IT Governance Domains Risk management requires risk awareness by senior corporate officers, a clear understanding of the enterprise s appetite for risk, understanding of compliance requirements, transparency about the significant risks to the enterprise and embedding of risk management responsibilities into the organisation. Performance measurement tracks and monitors strategy implementation, project completion, resource usage, process performance and service delivery, using, for example, balanced scorecards that translate strategy into action to achieve goals measurable beyond conventional accounting. COBIT 4.1. Framework, Control Objectives, Management Guidelines, Maturity Model, IT Governance Institute, 2007, p. 6 39

40 IT Governance als Teil des Unternehmens - Überblick Aufgabe der Unternehmensleitung ist die Definition von Geschäfts-modell, Corporate Governance und IT Governance IT Governance umfasst prinzipielle Regelungen zu Entscheidungsrechten, Rollen und Verantwortlichkeiten sowie zur Organisation der IT IT-Management beschreibt konkret die Felder, innerhalb derer das Management Entscheidungen zu treffen und Vorgaben für die IT zu machen hat legt Größen und Mechanismen fest, mit deren Hilfe die Umsetzung der Entscheidungen und Vorgaben überwacht und gesteuert wird IT-Produktion steht für die Umsetzung der Entscheidungen in Form von Projekten und für den Regelbetrieb der IT erfasst alle erforderlichen Kennzahlen stellt diese für Steuerungszwecke zur Verfügung 40

41 Corporate Governance: interne und externe Perspektive die Innensicht betrifft Rollen, Kompetenzen und Funktionsweisen Zusammenwirken der Unternehmensorgane, z.b. zwischen Vorstand, Aufsichtsrat und Hauptversammlung häufig auch als Unternehmensverfassung bezeichnet die Außensicht bezieht sich auf das Verhältnis der (Träger der) Unternehmensführung zu den wesentlichen Anspruchsgruppen insbesondere der Anteilseigner 41

42 Principal-Agent-Problem in Unternehmen werden Beiträge verschiedener Akteure zur arbeits-teiligen Wertschöpfung unter Leitung des Managements gebündelt Beziehungen der Akteure bzw. Bezugsgruppen zum Unternehmen werden in expliziten oder impliziten Verträgen geregelt das Principal-Agent-Problem ergibt sich aus der prinzipiellen Unvollständigkeit dieser Verträge teilweise unterschiedlichen Interessen Stakeholder opportunistischem Verhalten der Stakeholder: Ausnutzung der Unvollständigkeiten der Verträge zu eigenem Vorteil und damit meist zulasten anderer Bezugsgruppen Regelungen zur Corporate Governance sollen durch geeignete rechtliche und faktische Arrangements die Spielräume und Motivationen der Akteure für opportunistisches Verhalten einschränken 42

43 Stakeholder alle (Gruppen von) natürlichen Personen und Institutionen, die auf der Grundlage unvollständiger Verträge Transaktionen mit dem Unternehmen durchführen generelles Interesse der Stakeholder: Erhalt einer adäquaten Gegenleistung für geleistete Beiträge zur Wertschöpfung, z.b. Anteilseigner (Eigenkapital gegen Rendite) Fremdkapitalgeber (Kredite gegen Zinsen) Arbeitnehmer (Arbeitsleistungen gegen Entlohnung) Management (Leitung gegen Vergütung) Lieferanten (Zulieferungen gegen Bezahlung) Allgemeinheit in Form des Staates (Infrastrukturen gegen Steuern) Kunden (Bezahlung gegen Produkt). 43

44 Stakeholder: Risiken & Optionen durch unvollständige Verträge Gläubiger: freiwilliger Verzicht auf einen Teil ihrer Forderungen im Insolvenzverfahren Arbeitnehmer: fehlende Honorierung ihrer (Vor-)Leistungen, wenn z.b. in Aussicht gestellte Verdienst- und Karrierechancen aufgrund späterer wirtschaftlicher Schwierigkeiten des Unter-nehmens nicht verwirklicht werden können Kunden: gravierende Nachteile einer komplexen IT-Anwendung werden erst nach dem Erwerb erkannt Systemwechsel nur zu erheblichen (oft prohibitiv hohen) Kosten Anfechtungsklagen durch räuberische Aktionäre mangelndes Engagement von Arbeitnehmern Ausnutzung von existentielle Abhängigkeiten ihrer Lieferanten durch Großkunden in Preisverhandlungen 44

45 Gestaltungsfelder der Corporate Governance Festlegung der übergeordneten Zielsetzung des Unternehmens, die Handlungsmaximen bieten, um Interessenkonflikte zwischen den Bezugsgruppen im Einzelfall zu bewältigen Strukturen, Prozesse und Personen der Unternehmensführung, mit denen diese Zielsetzung erreicht werden soll regelmäßige Evaluation der Führungsaktivitäten zur Bestandsauf-nahme und kontinuierlichen Verbesserung der Modalitäten der Unternehmensführung proaktive Unternehmenskommunikation, um durch Herstellung von Transparenz das Vertrauen und damit die letztlich existenznotwen-dige Unterstützung der relevanten Bezugsgruppen des Unterneh-mens zu gewinnen und zu festigen. 45

46 Mechanismen der Corporate Governance Organkontrollen (interne CorporateGovernance) bestimmte Informations-, Überwachungs- und Entscheidungsrechte für Stakeholder, um Risiken (besser) zu erkennen und im Rahmen ihrer Kompetenzen reduzieren zu können Beispiel: der Aufsichtsrat der AG, der es den dort vertretenen Bezugsgruppen (Aktionäre, Arbeitnehmer im Mitbestimmungs-fall, ggf. Kreditgeber etc.) erlaubt, den Vorstand zu kontrollieren Marktkontrollen (externe Corporate Governance) freiwillige Koordination unterschiedlicher Interessen durch die Marktkräfte (Eigenkapital-)Markt für Unternehmenskontrolle: unbefriedigende Leistungen des Topmanagements werden durch die Aktienverkäufen, Kursrückgänge, feindliche Übernahme und Auswechslung des Managements sanktioniert 46

47 Gestaltungsprinzipen der Corporate Governance zur Förderung der produktiven Wertschöpfung und der fairen Wertverteilung Gewaltenteilung: Verteilung der Verfügungsrechte auf mehrere Akteure zum Abbau von Machtmonopolen Transparenz: Reduzierung der Informationsasymmetrie zwischen den Akteuren Reduzierung von Interessenkonflikten, insbesondere des Topmanagements Sicherstellung der Qualifikation und der Motivation der Organ-mitglieder für die kompetente Wahrnehmung der Leitungs- und Überwachungsaufgaben, unterstützt durch Haftungsvorschriften zivil- und strafrechtlicher Natur, die vertrags- und gesetzwidrige Formen des Opportunismus sanktionieren 47

48 Regulierungsebenen der Corporate Governance gesetzliche Vorschriften Ergebnis eines parlamentarischen Gesetzgebungsverfahrens und für alle Adressaten des betreffenden Gesetzes verbindlich untergesetzliche Regelungen ( soft law ) füllen die jeweils geltenden gesetzlichen Vorschriften aus sollen durch (mehr oder weniger freiwillige) Selbstbindung der Unternehmen wirksam werden nach ihrer Geltungsreichweite Unterscheidung zwischen generellen Regelwerken für eine bestimmte, größere Gruppe von Unternehmen (z.b. Kodizes wie der Deutsche Corporate Governance Kodex) unternehmensindividuelle Leitlinien 48

49 Systeme der Corporate Governance bestehen aus Elementen rechtlicher und faktischer Natur, die unter-schiedliche Ausprägungen annehmen können Kombination dieser Elemente führt zu spezifischen Arrangements institutioneller Regelungen, die insgesamt die Möglichkeiten der verschiedenen Stakeholder zur Einflussnahme bestimmen rechtliche Systemelemente übergeordnete Zielsetzung des Unternehmens: Shareholder- oder Stakeholder-Orientierung Strukturmerkmale: monistische (Board-System) oder dualistische (Two-Tier-System) Verfassung Verankerung der Arbeitnehmer: Partizipation durch Mitbestimmung oder Ausübung externen Arbeitsmarktdrucks Ausrichtung von Publizität und Prüfung nach dem Marktwert- oder dem Vorsichtsprinzip (US-GAAP bzw. IFRS/IAS vs. HGB) 49

50 Hauptaufgaben der IT-Governance Verfolgung der Ziele & Interessen der Stakeholder (stakeholder value drivers) Ausrichtung der IT an den Unternehmenszielen (strategic alignment) Wertschöpfung (value delivery): Lieferung des versprochenen Nutzens im vereinbarten Zeitraum zu einem angemessenen Preis) Management der Ressourcen (resource management): vorhandene Ressour-cen (z.b.informationssysteme, Infrastruktur, Wissen) sollen effizient einge-setzt werden Risikomanagement (risk management): nicht beschränkt auf Sicherheit, schließt auch Risiken aus Kundenverträgen, Ahängigkeit von der Technolo-gie, den Lieferanten- und Mitarbeiter ein Leistungsmessung (performance management) prüft das Erreichen von stra-tegischen Zielen, IT-Projektzielen, die Leistungsfähigkeit von IT-Prozessen, die Wirtschaftlichkeit von Services, die Effektiviät und Effizienz von Ressourcennutzung Heinrich, L. J., Stelzer, D., Informationsmanagement: Grundlagen, Aufgaben, Methoden, 9. Aufl., Oldenbourg, 2009, S

51 IT Governance: Entscheidungsbereiche IT-Prinzipien Angaben auf höchster Ebene, wie IT im Unternehmen eingesetzt werden soll IT-Architektur die steuernde Logik für Daten, Anwendungen und Infrastruktur, erfasst in einer Reihe von Regeln, Beziehungen & technischen Entscheidungen mit dem Ziel, eine erwünschte geschäftliche oder technische Standardisierung oder Integra-tion zu erreichen IT-Applikationen Festlegung der betriebswirtschaftlichen Erfordernisse für gekaufte oder intern ent-wickelte Anwendungen IT-Investitionen und Priori-sierung Entscheidungen über die Größe der Investitionen und wo diese getätigt werden, IT Infrastruktur beinhalten Projektfreigaben und zentral abgestimmte, gemeinsam genutzte IT- Begründungstechnike n Dienste, welche die Basis für die IT-Fähigkeiten des Unternehmens bilden Weill, P., Ross, J.: IT Governance: How Top Performers Manage IT, Harvard Business School Press, 2004, S. 27, zitert nach Krcmar, H.: Informationsmanagement. 5.Aufl., Springer 2010, S

52 Beurteilung/Messung der Wirksamkeit von IT Governance primär über die Wirkung für das Geschäft Kennzahlen der Geschäftsprozesse Produkt-/Service- und Innovationskennzahlen Kennzahlen zur Nutzenraelisierung unter Einbeziehung IT-interner Kennzahlen Kennzahlen zur operationalen IT-Performanz Kennzahlen zu IT-Prozessen 52

53 IT Governance Models (or Archetypes or Manager Stereotypes) indentify the type of people involved in making an IT decision Business Monarchy - Top managers IT Monarchy - IT specialists Feudal - Each business unit making independent decisions Federal - Combination of the corporate center and the business units with or without IT people involved IT duopoly - IT group and one other group (e.g. top manage-ment or business unit leaders) Anarchy - isolated individual or small groups decision making 1 Weill, P., Ross, J.: IT Governance: How Top Performers Manage IT, Harvard Business School Press,

54 IT Governance: Entscheidungs- & Organisationskonzept Regel- und Organisationswerk für effektive Entscheidungsprozesse (Sicht des Top-Managements, wie IT geführt werden sollte) : Specify the decision rights and accountability framework to encourage desirable behaviour in the use of IT. IT governance reflects broad corporate governance principles, while focusing on the management and use of IT to achieve corporate governance goals. 1 Kernaspekte 1. Definition von Entscheidungsrechten in Verbindung mit der aus den Rechten resultierenden positiven wie negativen ökonomi-schen Haftung (Anreizsteuerung) 2. Berücksichtigung der mehr oder minder komplexen Unter-nehmensstruktur, z.b. zentral vs. dezentral; hierarchisch vs. evolutionär; anarchisch 1 Weill, Performers Manage/ Klaus IT, Harvard P., Ross, J.: IT Governance: How TopChristoph Lauterbach Knopper Business School Press,

55 Beteiligte in IT Governance Archetypen Leitende Angestellte (C-Level) Geschäftsmonarchie Unternehmens-IT Geschäftsbereichsleite und/oder r oder Geschäftsbereich- KerngeschäftsprozessIT verantwortlicher IT Monarchie Feudal Föderal IT Duopoly Anarchie Weill, P., Ross, J.: IT Governance: How Top Performers Manage IT, Harvard Business School Press, 2004, S. 60, zitert nach Krcmar, H.: Informationsmanagement. 5.Aufl., Springer 2010, S

56 IT Governance: Compliance-Konzept IT governance is the responsibility of executives and the board of directors, and consists of the leadership, organisational structures and processes that ensure that the enterprise's IT sustains and extends the organisation's strategies and objectives. * emphasizes the need for assurance about the value of IT, the management of IT-related risks, increased requirements for control over information Value, risk and control constitute the core of IT governance * Kernaspekte: sichere, risikominimierte IT-Betriebsprozesse Grundlage für IT-Prüfungen (IT Controlling, IT Audits) * COBIT 4.1. Framework, Control Objectives, Management Guidelines, Maturity Model, IT Governance Christoph Lauterbach / Klaus Knopper Institute, 2007, p. 5 56

57 Erweitertes Verständnis von Corporate Compliance Einbeziehung des Corporate-Governance-Aspekts des Interessensausgleichs zwischen Anteilseignern bzw. Anspruchsgruppen und Unternehmensleitung Corporate Governance ist der Prozess der Steuerung des Unternehmens zur Sicherstellung eines Interessensausgleichs zwischen den Anspruchsgruppen durch transparente Regeln und Kontrollmechanismen in unternehmerischen Abläufen und Entscheidungen. Der Prozess dient der Sicherstellung des Fortbestands des Unternehmens und unterliegt externer Prüfung. erfordert eine Definition von Corporate Compliance i.s. v. Normbefolgung in sozial komplexen, gewinnorientierten Organisationen Notwendig ist eine Governance von Compliance, also ein Prozess mit Regeln und Kontrollmechanismen, der die Einhaltung des normativen Rahmens sicherstellt Corporate Compliance bezeichnet die Auswahl und Bewertung der für das Unternehmen relevanten Anforderungen und den Zustand der Anforderungs-konformität unter Berücksichtigung verschiedener Anspruchsgruppen des Unternehmens. * vgl. Falk, M., IT-Compliance in der Corporate Governance. Anforderungen und Umsetzung. Springer Christoph Lauterbach / Klaus Knopper Gabler Reasearch (2012), S. 32ff 57

58 IT Compliance IT-Compliance als Teildisziplin der Corporate Compliance wird als Zustand bezeichnet, der durch geeignete Maßnahmen anzustreben ist und somit eine Zielgröße der IT-Governance darstellt. wesentliche Stakeholder externe Prüfer als Vertreter der Interessen der Eigenkapitalgeber Unternehmensleitung IT-Management Definitionen IT-Governance ist ein Prozess der verantwortungsvollen Steuerung von IT, der durch transparente Regeln und Kontrollmechanismen die optimale Unter-stützung der Geschäftsprozesse durch IT sicherstellt. ITGovernance befasst sich mit dem (1) Wertbeitrag der IT, dem (2) ITRisikomanagement und der (3) IT-Compliance. IT-Compliance bezeichnet den Zustand der Anforderungskonformität der IT selbst und die Umsetzung von Anforderungskonformität mit ITUnterstützung. * * Lensdorf, L.: IT-Compliance - Maßnahmen zur Reduzierung vonchristoph Haftungsrisiken für IT-Verantwort-liche, in: Lauterbach / Klaus Knopper CR - Zeitschrift für die Praxis des Rechts der Informationstechnologien, 7/2007, S

59 Rahmenbedingungen für IT-Compliance: Gesetze BDSG 9 (Schutz p ersonenbezogener Daten) * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen undlauterbach Umsetzung. /Springer Gabler Christoph Klaus Knopper Reasearch (2012), S

60 Quellen von IT-Compliance-Vorgaben* Unternehmensinterne Regelwerke Richtlinien Unternehmensexterne Regelwerke Rechtliche Vorgaben Kodizes Hausstandards Gesetze und Rechtsverordnungen Verfahrensanweisungen Rechtsprechung Branchenstandards Service Level Agreements Verwaltungsvorschriften Verbandsstandards Referenzierte Regelwerke Verträge Datenschutzregelungen Bundesdatenschutz gesetz (BDSG) Landesdatenschutz gesetze Betriebsverfassungs gesetz Buchführungs- und Archivierungsregelungen Normen Risikomanagementregelungen Grundsätze ordnungs-mäßiger Buchführungssysteme (GoSS) Gesetz zur Kontrolle und Transparenz im Unterneh-mensbereich (KonTraG) Grundsätze zum Daten-zugriff und zur Prüfbarkeit digitaler Unterlagen (GOPdU ) Sarbanes-Oxley Act (SOX) * Klotz, M., lt-compliance - Ein Überblick., Heidelberg (2009) Basel II Solvency II 60

61 SOX Section 404: Internal Control over Financial Reporting Gesetz plus Auditing Standard (aktuell Auditing Standard 5) Kontrolle durch den Public Company Accounting and Oversight Board (Berufsaufsicht der Wirtschaftsprüfungsgesellschaften) Verschärfung der Strafvorschriften fordert ein effektives Internes Kontrollsystem (IKS) zur Sicher-stellung einer funktionsfähigen Berichterstattung Jahresbericht enthält einen ( Internal Control Report ) über das IKS (ähnlich wie im Lagebericht deutscher Kapitalgesellschaften) Erklärung des Managements zur Effizienz der eingerichteten Kontrollmaßnahmen gemäß Section 302 Bestätigung durch den Vorstand im Rahmen der Certification 61

62 SOX Section 404: Internal Control over Financial Reporting eidesstattliche Erklärung von CEO und CFO korrekte Darstellung der finanziellen Situation des Unternehmens kritische Durchsicht und Prüfung aller veröffentlichungspflichti-gen Berichte Einrichtung und Pflege von Kontrollen Verfahren zur Offenlegung (Disclosure Controls and Procedures) Abschlussprüfer muss Wirksamkeit des IKS attestieren, Bewertung auf der Basis eines anerkannten Rahmenkonzepts (z.b. COSO) gilt für US-amerikanische börsennotierte Unternehmen und deren ausländischen Töchtern in der Praxis vertragliche Festschreibung der SOXVorgaben bei Auf-tragsvergabe US-amerikanischer an ausländische Unternehmen, die nicht von SOX erfasst werden 62

63 8. EU-Richtlinie des Gesellschaftsrechts (Prüferrichtlinie) Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen - 8. EU-Richtlinie des Gesellschaftsrechts, vulgo EuroSOX - Artikel 53: Die Mitgliedstaaten erlassen und veröffentlichen bis zum 29. Juni 2008 die Rechtsvorschriften, die erforderlich sind, um dieser Richtlinie nachzukommen. Ziele: europaweit verpflichtende Wirkung internationaler Prüfungs-standards (ISA) Gleichstellung der Abschlussprüfungen von Unternehmen innerhalb der europäischen Gemeinschaft mit denen der USA 63

64 Standards & Frameworks: Lösungsansätze für IT-Compliance * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen Christoph Lauterbachund / Klaus Knopper Umsetzung. Springer Gabler Reasearch (2012), S

65 Anforderungen an IT Compliance Control Framework Methodische Vorbemerkung (Top-Down-)Analyse der Stakeholder-Anforderungen an die IT-Com-pliance, ausgehend von den Zielen und Aufgaben der Anspruchs-gruppen im Unternehmen, oder (Botttom up) Analyse der gesetzlichen Anforderungen? Vorteile der Top-Down-Analyse ermöglicht die direkte Zuordnung von Maßnahmen, Zielen und Auf-gaben zu den Aufgabenträgern adressiert das Problem der Wahrnehmung und Unterstützung (comitt-ment) der IT-Compliance konzeptionell und und inhaltlich konkretere Anforderungen (Rechts-normen häufig unkonkret formuliert) regulatorische Anforderungen stellen externe Faktoren dar und wer-den so berücksichtigt * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen Christoph Lauterbach /und Klaus Knopper Umsetzung. Springer Gabler Reasearch (2012), S

66 Anforderungen: Eigenkapitalgeber und Prüfer Eigenkapitalgeber implementieren Interne Kontrollsysteme (IKS) zum Management der Risiken aus der PrinzipalAgenten-Beziehung Wirtschaftsprüfer sind Erfüllungsgehilfen der Eigenkapitalgeber, indem sie wesentliche Teile der Kontrollaufgaben übernehmen schwache Rechtsposition der Eigenkapitalgeber: es gibt keinen gesetzlich fest-gelegter Anspruch auf Rückzahlung des eingesetzten Kapitals hat zu Vorschriften im Kapitalmarkt- und Aktienrecht geführt, die dem Anlegerschutz und der Funktionsfähigkeit der Kapital-märkte dienen Vorschriften fordern im Kern ein IKS, das frühzeitig bestands-gefährdende Risiken und damit einen (Total-) Verlust der Ein- lagen erkennen soll 66

67 Kernfunktionen des IKS aus Sicht der Eigenkapitalgeber 1. Fernhalten von Risiken (z. B. in Form von Sanktionen oder Ruf-schädigungen) durch eine präventiv wirkende und die Haftungs-risiken minimierende Unternehmensorganisation (Risikobegren-zungsfunktion) 2. Sicherstellen der Transparenz in unternehmerischen Abläufen und Informationsversorgung der Entscheidungsträger (allgemeine Informationsfunktion) 3. Überwachung der Unternehmensorganisation durch das Management Überwachung des Managements durch die Anteilseigner (Top-Down) und Arbeitnehmer (BottomUp). 4. Erzeugung von Informationen, die Stellung und Ansehen des Unternehmens positiv beeinflussen (Marketingfunktion) 67

68 Anforderungen: Eigenkapitalgeber und Prüfer Anforderung an ein unternehmensweites IKS zur Risikosteuerung für Eigenkapitalgeber Implementierung eines Risikomanagementprozesses mit dem Ziel, das Risiko des Teil- oder Totalverlust der Eigenkapitaleinlage aktiv zu managen Prozessphasen: 1. Risikoidentifikation, 2. Risikoanalyse/-bewertung, 3. Risikohandhabung und 4. Risikoüberwachung. Einbeziehung des Managements von IT-Risiken 68

69 Anforderungen an das IT Compliance Framework Risikoorientierter Ansatz für das Management von ITRisiken: Das Control-Framework initiiert einen iterativen Prozess zur Steuerung der sich aus dem Einsatz und der zunehmenden Abhängigkeit von IT ergebenden Risiken Ausrichtung an etablierten Best-Practices und Marktstandards: Das Control-Framework richtet sich methodisch und inhaltlich an etablierten Standards und Frameworks aus. Überprüfung durch externe Kontrolle: Die Maßnahmen des Control-Frameworks eignen sich für eine Überprüfung durch unabhängige Dritte. konkrete Anforderungen an die Ausgestaltung eines IKS in Bezug auf IT ergeben sich aus den berufsständischen Rege-lungen und Standards der Wirtschaftsprüfer 69

70 Gesetzliche Grundlagen der Wirtschaftsprüfung Beurteilung der Überwachungssysteme (Risikomanagementprozesse, Risikofrüherkennungs- und IT-Systeme) durch den Abschlussprüfer im Rahmen der Jahresabschlussprüfungen nach 317 Abs. 4 HGB dabei Beurteilung des Aufbau, der Angemessenheit und Funktion des Risikomanagements Checkliste nach IDW PS 330* umfasst über 100 Fragen für die Prüfung der IT-Systeme * Prüfungsstandard des Institutes der Wirtschaftsprüfer (IDW), s.u. 70

71 IT-relevante Prüfungsstandards Konkretisierung der Anforderungen an die Rechnungslegung aus Sicht der Wirtschaftsprüfer durch das Institut der Wirtschaftsprüfer (IDW) IDW RS FAIT 1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie IDW RS FAIT 2: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce IDW RS FAIT 3: Grundsätze ordnungsmäßiger Buchführung bei Einsatz elektronischer Archivierungsverfahren IDW PS 330: Abschlussprüfung beim Einsatz von Informations-technologie Aussagen zur risikoorientierten Prüfung im Zusammenhang mit dem Einsatz von IT 71

72 Abschlussprüfung Buchhaltung und Jahresabschluss können aufgrund des verstärkten IT-Einsatzes nicht als isolierte und eindeutig abgrenzbare Unter-nehmensfunktion betrachtet werden: hochintegrierte IT-Systeme decken weite Teile der rechnungs-legungsrelevanten Geschäftsprozesse ab sind somit Basis für die Informationen der Rechnungslegung. auch gemäß den Grundsätzen ordnungsgemäßer DVgestützter Buchführungssysteme (GoBS) kann es ohne ein funktionsfähiges IKS kein ordnungsgemäßes Buchführungssystem geben ist ohne ein funktionsfähiges IKS der Jahresabschluss mit hoher Wahrscheinlichkeit fehlerbehaftet 72

73 Abschlussprüfung Beurteilung der Ordnungsmäßigkeit der Rechnungslegung durch den Abschlussprüfer beleghaften Prüfungsmethode indirekt über die Ordnungsmäßigkeit der ITgestützten Buch-führungsprozesse Wirksamkeit der IT-bezogenen Kontrollen Zwingende Verpflichtung zur IT-Prüfung richtet sich u.a.* nach der Wesentlichkeit des IT-Systems für die Rechnungslegung bzw. für die Beurteilung dessen Ordnungsmäßigkeit Komplexität des eingesetzten IT-Systems Grad der Integration der IT-Lösung vgl. z.b. PS 260 IDW 73

74 Frameworks zur Gestaltung des IKS: COSO Kernfunktion des IKS: unternehmensweites Risikomanagement, ein Pro-zess, der von den Überwachungsorganen, der Geschäftsleitung, dem operati-ven Management und den Mitarbeitern im Unternehmen bewirkt wird und dazu bestimmt ist, mögliche Ereignisse mit Einfluss auf das Unternehmen zu identifizieren und Risiken im Rahmen der Risikoeinstellung zu handhaben, um das Erreichen der Unternehmensziele mit hinreichender Sicherheit zu unter-stützen Ziele des IKS 1. Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit 2. Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung 3. Einhaltung von Gesetzen und Vorschriften Anforderungen an das IT Compliance Framework Das Control-Framework richtet sich an übergeordneten Methoden und Rahmenwerken des Risikomanagements (COSO Enterprise Risk Management) aus. 74

75 Internes Kontrollsystem: Struktur * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen und Umsetzung. Springer Christoph Lauterbach / KlausGabler Knopper (2012), S. 60 Reasearch 75

76 Enge Verbindung von Geschäftsprozessen und IT-Unterstützung IT-Systemprüfung nach IDW PS 330 Anforderung an das Control Framework * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen undlauterbach Umsetzung. /Springer Gabler Christoph Klaus Knopper Reasearch (2012), S

77 Prüfanforderung: Integrierte Risikobetrachtung Das Control-Framework befasst sich mit den Teilbereichen IT-gestützte Geschäftsprozesse IT-Anwendungen IT-Infrastruktur und beachtet deren Verknüpfungen untereinander. Risiken im Zusammenhang mit der Ausgestaltung der ITSysteme (IT-Fehlerrisken) inhärente Risiken (= Wahrscheinlichkeit, dass ein wesentlicher Fehler bei nicht vorhandenen internen Kontrollen auftritt) Kontrollrisiken (= Wahrscheinlichkeit, dass es ein IKS gibt, dieses aber wesentliche Fehler nicht verhindert oder aufdeckt) 77

78 Anforderungen: Grundsätze ordnungsmäßiger Buchführung HGB und die Grundsätze ordnungsmäßiger Buchführung (GoB) defi-nieren allgemeine Anforderungen an Buchführungsverfahren, die prinzipiell auch von IT-gestützten Verfahren erfüllt werden können Weiterentwicklung der GoB in Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme (GoBS) IDW RS FAIT 1: Prüfungsgrundlage für die IT-gestützte Buchführung: inhaltliche Überschneidungen mit den GoBS, aber zusätzlich technische und organisatorische Anforderungen des Informationssicherheitsmanagements (ISM) ISM-Prüfanforderungen aus IDW RS FAIT 1: Vertraulichkeit, Integrität und Verfügbarkeit der IT im Unternehmen Autorisierung: nur vorab festgelegte Personen dürfen auf Daten zugreifen 78

79 ISM-Prüfanforderungen aus IDW RS FAIT1 (Forts.) Authentizität: Geschäftsvorfälle sind einem Verursacher eindeutig zuzuordnen Verbindlichkeit: gewollte Rechtsfolgen können bindend herbeigeführt werden Schutz von Hard- und Software sowie gespeicherten Daten, primär durch Schaffung eines sicheren räumlichen Umfelds logische Zugriffskontrollen: Schutz gespeicherter Daten vor unberechtigtem Zugriff durch eindeutige Identifizierung und Authentifizierung) Datensicherung und Auslagerungsverfahren: Schutz der Daten vor Verlust durch Zerstörung, Beschädigung und Manipulation vor allem durch geeignete Backup-Verfahren, digitale Signaturverfahren Nachvollziehbarkeit der Buchführung für sachverständige Dritte die angewandten IT-Rechnungslegungsverfahren die technische Systemdokumentation die Freigabeverfahren für Programmänderungen (Updates) 79

80 Prüfung von Dienstleistern (Outsourcing) IT-Prüfung der Dienstleister in zwei Teilbereichen anwendungsunabhängigen Controls (IT General Controls, ITGC) anwendungsbezogenen Controls (IT Application Controls). inhaltlicher Schwerpunkt der anwendungsunabhängigen Controls (z.b. in CobiT) sind Strukturen und Prozessen in der IT, z.b. Change Management, Incident Management, Backup und Recovery usw.) anwendungsabhängige Controls: automatisierte und in den Pro-grammablauf integrierte Kontrollen, z.b. Überprüfung der Validität der eingegebenen Daten Überwachung der Vollständigkeit der Dateneingabe 80

81 Control Objectives und Controls deklarativ formulierte Transformationen (abstrakter) Anforderun-gen für die operative Umsetzung als erste Konkretisierung abstrakter Anforderungen Grundlage für die Gestaltung unternehmensspezifischer Prozesse/ Anweisungen Control Objectives definieren das übergeordnete Ziel der Aktivitäten in einem be-stimmten Bereich. beschreiben deklarativ die ordnungsgemäße Ausführung eines IT-Prozesses (ohne den Prozess zu spezifizieren) Controls (oder Control Descriptions) brechen die Anforderung inhaltlich herunter 81

82 Anforderungen der Unternehmensleitung Beweislast für die Wahrnehmung der allgemeinen Sorgfaltspflich-ten nach 93 Abs. 1 AktG, 43 GmbHG, 347 HGB liegt beim Vor-stand Anforderung: Das Control-Framework ist Ausgangspunkt für ein IT-Managementsystem, das nachweis-bar die Erfüllung relevanter Pflichten des Vorstands bezüglich der IT dokumentiert. lässt sich in übergeordnete Risikomanagementprozesse des Unternehmens einordnen. richtet sich inhaltlich an etablierten Standards und Referenz-modellen aus und dokumentiert damit die Umsetzung ange-messener Best-Practices. 82

83 Verantwortung und Delegation Aufgabenteilung ist nicht möglich, wenn die Aufgabe in die Gesamtverantwortung der Unternehmensleitung fällt oder per Gesetz bestimmten Mitgliedern der Unternehmensleitung zugewiesen ist haftungserleichternde Delegation/Aufgabenverteilung nur bei Überschneidungsfreiheit der Aufgaben Anforderung: Das Control-Framework basiert auf einer überschneidungsfreien Delegation von ITbezogenen Aufgaben und Verantwortlichkeiten und dokumentiert eine sachdienliche Funktionstrennung innerhalb des Unternehmens. 83

84 Grundformen der Delegation von Aufgaben im Unternehmen * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen und Umsetzung. Springer Christoph Lauterbach / KlausGabler Knopper Reasearch (2012), S

85 GoBS: Ordnungsmäßigkeitskriterien ( 238, 2389 HGB) Vollständigkeit: Alle rechnungslegungsrelevanten Geschäftsvorfälle werden einzeln erfasst und einzeln verbucht. Richtigkeit: Die Belege und Bücher entsprechen den tatsächlichen Verhältnissen. Zeitgerechtheit: Die Geschäftsvorfälle werden zeitnah und periodengerecht verbucht. Ordnung: Buchungen werden sachlich und zeitlich ordentlich dargestellt. Nachvollziehbarkeit: Ein sachverständiger Dritter kann sich in angemessener Zeit ein Bild über die Geschäftsvorfälle und die Rechnungslegung machen und daraus auf die Lage des Unternehmens schließen. Unveränderlichkeit: Einmal durchgeführte Eintragungen dürfen nur verändert werden, wenn der ursprüngliche Eintrag und die durchgeführte Änderung erkennbar ist. 85

86 GoB & GoBS -Anforderungen (Zusammenfassung) Das Control-Framework beinhaltet manuelle und automatische Controls für rechnungslegungsrelevante IT-Systeme, um die Vollständigkeit und sachliche Richtigkeit der Datenverarbeitung zu gewährleisten. Basis für das Control-Framework sind überschneidungsfreie Zuständigkeiten und Verantwortungsbereiche für die betrieblichen Funktionen unter Beachtung der Prinzipien der Funktionstrennung. Das Control-Framework stellt sicher, dass alle Arbeitsabläufe und Prozesse in der IT detailliert definiert und dokumentiert sind. Die Durchführung der Kontrollen (manuell und automatisiert) wird für unabhängige Dritte nachvollziehbar dokumentiert. Im Control-Framework werden für die rechnungslegungsrelevanten IT-Systeme im Bezug auf die verarbeiteten Daten die grundlegenden Sicherheitsanforderungen Verfügbarkeit, Integrität und Vertraulichkeit im Sinne eines aktiven Informationssicherheitsmanagements erfüllt. 86

87 IT-Management-Anforderungen an ein Control Framework Das IT-Management unter der Leitung eines Verantwortlichen für die Ressource Information ist für die inhaltliche Ausgestaltung der Maß-nahmen zur Erreichung von IT-Compliance verantwortlich Anforderung: Das Control-Framework enthält Elemente eines integrieren Management-systems zur IT-Sicherheit. Integrierte Informationssicherheitsmanagementsysteme (ISMS) beinhalten: technischen Schutzmaßnahmen organisatorische Regelungen zur Sicherung der Ressource Information die IT ist in Einklang mit dem Unternehmen, seiner Strategie und seinen Zielen zu gestalten (Business-IT-Alignment) negative Effekte von IT-Compliance-Investitionen auf die Leistungs-fähigkeit und den Wertbeitrag der IT 87

88 Elemente des Informationssicherheitsmanagements im IKS Prinzip der Transparenz: Außenstehenden müssen beurteilen können, inwieweit Beteiligte konform zu dokumentierten Sollkonzepten für Prozesse arbeiten Dokumentation der Erwartungshaltung der Organisationsleitung Prinzip der Vier Augen: keine Person darf alleine verantwortlich für einen Prozess sein fachlich geeignete Personen müssen Vorgänge bearbeiten: Ausschalten von Abweichungen und Kontrollschwächen Verfügungen über das Vermögen des Unternehmens dürfen nicht durch Einzelne getroffen werden Prinzip der Funktionstrennung: Trennung zwischen Auftragserfüllung (operative Verantwortung) und Auftragskontrolle (Soll-Ist-Vergleich) Prinzip der Mindestinformation: für Mitarbeiter sollen nur diejenigen Informationen verfügbar sein, die sie für ihre Arbeit brauchen 88

89 Standardisierung von IT-Prozessen Standardisierung der Leistungserbringung der IT vereinfacht die Einführung von Controls Orientierung Unternehmen an bestehenden Frameworks des IT-Service-Managements (z.b. ITIL) Anforderung Das Compliance-Framework baut auf standardisierten IT-Prozessen auf und fordert die Standardisierung der IT-Prozesse ein. Prozessüberwachung Vielzahl von regulatorischen, inhaltlich überlappenden Anforderungen erfordert Konsolidierung der inhaltlichen Anforderungen auf Basis von Sammlungen etablierter Controls z.b. aus COBIT) 89

90 Einbettung von Controls in Geschäfts- und IT-Prozesse organisatorische Einbettung erfordert Schaffung geeigneter personeller Strukturen Schaffung einer Instanz, die die Umsetzung unabhängig überprüft Umsetzung in einem Rollenkonzept Zusammenfassung bestimmte Stellenmerkmale (wie Aufgaben-, Verantwortungs- und Kompetenzbereiche) zu Rollen Rolle: kleinste Organisationseinheit in der Ablauforganisation eine Person kann mehrere Rollen ausfüllen, mehrere Personen können die gleiche Rolle einnehmen Anforderung Das Control-Framework ordnet alle Aufgaben und Verantwortlichkeiten Aufgabenträgern auf Basis eines Rollenkonzepts zu. 90

91 Mitarbeiter als Erfüllungsgehilfen übernehmen im Rahmen der vertikalen Delegation Verantwortung für wesentliche Aufgaben im Unternehmen werden so zu einer potenzielle Bedrohung für die Interessen des Unternehmens und zum Objekt interner Kontrollmechanismen Einschränkungen der Kontrollmöglichkeiten im Rahmen des IKS Bundesdatenschutzgesetz (BDSG), Betriebsverfassungsgesetz (BetrVG), Telekommunikationsgesetz und Grundgesetz Persönlichkeitsrechte der Mitarbeiter betriebliche Mitbestimmung umfassende Güter- und Interessenabwägung unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit 91

92 COBIT 5 formerly known as Control Objectives for Information and related Technology (COBIT), now used only as the acronym in its fifth iteration a complete, internationally accepted framework for governing and managing enterprise information and technology (IT) that supports enterprise executives and management in their definition and achievement of business goals and related IT goals 92

93 COBIT 5 Principles integrating IT governance into enterprise governance Efficient and effective governance and management of enterprise IT COBIT ISO ISO

94 COBIT 5: Stakeholder Orientation (Principle 1) Enterprises exist to create value for their stakeholders value creation as a governance objective Value creation: realising benefits at an optimal resource cost while optimising risk 94

95 COBIT 5 Goals Cascade Stakeholder needs are influenced by a number of drivers, e.g., strategy changes, changing business and regulatory environment, and new technologies Stakeholder Needs and Enterprise Goals Enterprise Goals Detailed Mapping Enterprise Goals IT-related Goals IT-related Goals Detailed Mapping ITrelated Goals ITrelated Processes 95

96 Enterprise Goals a set of generic enterprise goals developed using the balanced scorecard (BSC) dimensions represent a list of commonly used goals that an enterprise may define for itself most enterprise-specific goals can be mapped onto one or more of the generic enterprise goals 17 generic enterprise goals complemented by the following information: the BSC dimension under which the enterprise goal fits the relationship to the three main governance objectives (benefits realisation, risk optimisation, resource optimisation) classifiaction of the relationship: primary ( P ); secondary ( S ), i.e., a less strong relationship 96

97 Enterprise Goals 97

98 Enterprise Goals and Governance/Management Questions 98

99 IT Goals and Enabler Goals IT Goals IT-related outcomes - represented by the IT-related goals - required to achieve enterprise goals IT-related goals are structured along the dimensions of the IT Balanced Scorecard (IT BSC) 17 IT-related goals along with a mapping table between IT-related goals and enterprise goals showing how each enterprise goal is supported by a number of IT-related goals Governance Enabler the organisational resources (e.g. structures; processes; enterprise resources) through or towards which action is directed and objectives can be attained Enabler Goals a set of specific relevant goals for each enabler (e.g. IT processes) in support of the IT-related goals 99

100 IT-related Goals 100

101 Mapping of Enterprise Goals to IT-related Goals (example) 101

102 Mapping of IT-related Goals to IT-related Processes 102

103 COBIT 5: Covering the Enterprise End-to-end 103

104 COBIT 5: Single Integrated Framework (Principle 3) 104

105 COBIT 5 Enablers (Holistic Approach, Principle 4) factors that, individually and collectively, influence whether IT Governance and IT Management will work 105

106 COBIT 5 Enablers (Holistic Approach, Principle 4) Principles, policies and frameworks translate the desired behaviour into practical guidance for day-to-day management Processes describe an organised set of practices and activities to achieve certain objectives and produce a set of outputs in support of achieving overall IT-related goals Organisational structures are the key decision-making entities in an enterprise. Culture, ethics and behaviour of individuals and of the enterprise are a success factor in governance and management activities. Information includes all information produced and used by the enterprise. Services, infrastructure and applications include the infrastructure, technology and applications that provide the enterprise with information technology processing and services. People, skills and competencies are required for successful completion of all activities, making correct decisions and taking corrective actions. 106

107 COBIT 5 Enabler Dimensions All COBIT 5 enablers have a set of common dimensions: 107

108 Enabling Information: COBIT 5 Professional Guide provides a structured way of thinking about information governance and management issues concerning information structure can be applied throughout the life cycle of information, from conception and design, through building information systems, securing information, using and providing assurance over information, and to the disposal of information. common information governance and management issues addressed: Big data Master data management Information disintermediation Privacy 108

109 Enabling Information: COBIT 5 Professional Guide: information issues and challenges addressed: disparate, uncoordinated data sets are implicated in increasing cost and risk from missed project deadlines, lack of transparen-cy and operational failures records management, legal and IT organizations need a common base reference to coordinate activities, because records retention and legal discovery are of growing concern and cost to managers, and security classifications overlap with record classifications appropriate practices to comply with relevant global and regional legislation and regulatory and compliance requirements 109

110 COBIT 5 Enabler: Services, Infrastructure and Applications 110

111 Services, Infrastructure and Applications: Good Practices includes the definition of architecture principles, i.e. overall guide-lines that govern the implementation and use of ITrelated resources Examples of potential architecture principles: Reuse: common components of the architecture should be used when designing and implementing solutions Buy vs. build: solutions should be purchased unless there is an approved rationale for developing them internally Simplicity: the enterprise architecture should be designed and maintained to be as simple as possible Agility: the enterprise architecture should incorporate agility to meet changing business needs in an effective and efficient way Openness: the enterprise architecture should leverage open industry standards 111

112 Services, Infrastructure and Applications: Good Practices further includes the enterprise s definition of the most appropriate architecture view-points to meet the needs of different stakeholders (to be discussed later) having an architecture repository, which can be used to store different types of architectural outputs, including architecture principles and standards architecture reference models, and other architecture deliverables the building blocks of services such as: applications, providing business functionality technology infrastructure, including hardware, system software and networking infrastructure physical infrastructure Service levels that need to be defined and achieved by service providers 112

113 COBIT 5: Separating Governance From Management In the COBIT 5 process model a distinction is made between governance and management processes, including specific sets of practices and activities for each. 113

114 Grundkonfiguration der IT Fragestellung: welche Konfiguration ist im Sinn der IT-Governance-Prinzipien vor dem Hintergrund der Gegebenheiten die effektivste? Effektivität im Wesentlichen bestimmt durch Zentralisierungsgrad der IT: Grad der Zusammenfassung von IT-Funktionen in einer Organisationseinheit Externalisierungsgrad der IT: Eigentumsstruktur oder Grad des Outsourcings Reifegrad der IT: Grad der Formalisierung von Prozessen innerhalb der IT-Funktionen, oder Grad der Professionalisierung der IT-Funktion 114

115 Reifegrad der IT wesentliche Gradmesser für den Zustand der Aufbauorganisation niedriger Formalisierungsgrad bedeutet Prozesse sind nicht dokumentiert fehlende Evaluation der notwendigen Mitarbeiterkompetenzen für die effiziente Bewältigung anfallenden Aufgaben damit keinerlei Basis für die Steuerung von Prozessen, Normen, keine Mechanismen der Marktkoordination (Outsourcing) IT-Leistungen können nicht definiert werden damit keine Abrechnungsgrundlage für extern bezogene IT-Leistungen je höher der Reifegrad, desto mehr organisatorische Möglichkeiten 115

116 Organisationsstruktur und Reifegrad 116

117 COBIT 5: Process Capability Model (Maturity Model) 0 Incomplete process: The process is not implemented or fails to achieve its process purpose. At this level, there is little or no evidence of any systema-tic achievement of the process purpose 1 Performed process : The implemented process achieves its process purpose. 2 Managed process: The performed process is implemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained. 3 Established process: The managed process is implemented using a defined process that is capable of achieving its process outcomes. 4 Predictable process: The established process operates within defined limits to achieve its process outcomes. 5 Optimising process: The predictable process is continuously improved to meet relevant current and projected business goals. 117

118 COBIT 5 Process Capability Model (Maturity Model) compliance with ISO ISO/IEC Software Engineering Process Assess-ment inclusion of relevant enablers other then processes elimination of process maturity attributes in other COBIT components, i.e. process descriptions and process controls: ISO/IEC prohibits the previous COBIT approach of a specific maturity model per process included with the detailed process contents instead, the information required in the process reference model (the process model to be used for the assessment) is limited to process description, with the purpose statements base practices (governance or management practices in COBIT 5) work products (inputs and outputs in COBIT 5) 118

119 COBIT 5: Enabling Processes 119

120 COBIT 5 Enabler: Processes Stakeholder internal stakeholders and their responsibility levels are documented in charts that show who is responsible, accountable, consulted or informed (RACI) external stakeholders include customers, business partners, shareholders and regulators Goals are defined as a statement describing the desired outcome of a process part of the goals cascade, i.e., process goals supporting IT-related goals, which in turn support enterprise goals 120

121 Domains, Processes, Activities Business Requirements IT Processes IT Resources Domains Processes Activities or Tasks Natural grouping of processes, often matching an organisational domain of responsibility A series of joined activities with natural control breaks Actions needed to achieve a measurable result activities have a life cycle, whereas tasks are discrete 121

122 COBIT 5: Extended Process Model 122

123 COBIT 5 Process Reference Guide Contents 123

124 COBIT 5 Process Reference Guide Contents For each process the following information is included Process identification: Process label: domain prefix and process number Process name: short description, indicating the main subject of the process Area of the process Governance or management Domain name Process description: an overview of what the process does and a high-level overview of how the process accomplishes its purpose Process purpose statement: a description of the overall purpose of the process 124

125 COBIT 5 Process Reference Guide Contents Goals cascade information reference and description of the IT-related goals that are primarily supported by the process metrics to measure the achievement of the IT-related goals Process goals and metrics: a set of process goals and a limited number of example metrics 125

126 COBIT 5 Process Reference Guide Contents For each Key Management Practice of each Process the following information is included: RACI chart: a suggested assignment of level of responsibility for process practices to different roles and structures Levels of involvement: R(esponsible): refers to the roles taking the main operational stake in fulfilling the activity and creating the intended outcome A(ccountable): assigns the overall accountability for getting the task done broken down as far as possible: role as the lowest appropriate level of accountability does not indicate that the role has no operational activities C(onsulted): key roles that provide input I(nformed): roles who are informed of the achievements and/or deliverables of the task 126

127 COBIT 5 RACI Chart 127

128 COBIT 5 Process Reference Guide Contents Detailed description of the process practices Practice title and description Practice inputs and outputs, with indication of origin and destination Process activities, further detailing the practices Inputs and Outputs (at the level of the governance and manage-ment practices) 128

129 COBIT 5 Process Practices, Inputs and Outputs the details: 129

130 COBIT and ITIL V3, 2011Processes DSS01 Manage operations DSS02 Manage Service Requests & Incidents DSS05 Security Services DSS06 Business Process Controls DSS03 Manage Problems DSS04 Manage Continuity COBIT 5 Deliver, Service and Support more details in Event Management Incident Management Access Management ITIL Service Operation, p.57 Request Fulfilment Problem Management ITIL V3, 2011 Service Operation 130

131 COBIT 4.1: DS 8.2 Assurance Steps 1. Confirm that processes and tools are in placeto register customer queries, status, and actionstowards resolution 2. Assess how completely and accurately this repository is maintained 3. Confirm that the process includes workflow for the handling and escalation of customer queries 4. Review a sample of open and closed customer queries to check compliance with the process and service committments 131

132 Value and Risk Drivers (Control Practices & Assurance Steps) DS 8.2 Value drivers efficient solving of incidents in a timely manner added value for end users accountability for incident solving DS 8.2 Risk drivers not all incidents tracked prioritisation of incidents failing to reflect business needs incidents not solved in a timely manner 132

133 COBIT to ITIL V3, 2011 Mappings ( Related Guidance ) COBIT 5 ITIL V DSS 01 Manage operations Service Operation, 4.1 Event Management DSS 02 Manage Service Requests and Incidents Service Operation, 4.2 Incident Management Service Operation, 4.3 Request Fulfilment DSS 03 Manage Problems Service Operation, 4.4 Problem Management DSS 04 Manage Continuity Service Design, 4.6 IT Service Continuity Management DSS 05 Security Services DSS 06 Business Process Controls Service Operation, 4.5 Access Management - 133

134 COBIT 5 and ISACA Legacy Frameworks integrates knowledge previously dispersed over different frameworks COBIT, Val IT, Risk IT, BMIS Busines Modell for Information Security) (see COBIT 5, Appendix A, p or OLAT / Materialordner / Materialien for the reproduction) complements this content with areas needing further elaboration and updates aligning to other relevant standards and frameworks (ITIL, ISO standards, ) 134

135 Val IT Domains and Processes 135

136 VALIT 2.0 COBIT 5 VAL IT 2.0 and COBIT 5 Process Models EDM 01 Ensure governance framework setting and maintenance EDM 02 Ensure benefits delivery EDM 05 Ensure stakeholder transparency EDM 03 Ensure risk optimisation Evaluate, Direct and Monitor APO 01 Manage the IT mgmt. framework APO 02 Manage strategy APO 06 Manage budget and costs VG 1 Establish informed & committed leadership VG 2 Define and implement processes VG 3 Define portfolio characteristics VG 5 Establish effective governance monitoring VG 6 Continuously improve value management practices EDM 04 Ensure resource optimisation Align, Plan and Organise VG 4 Align & integrate value mgmt. with enterprise financial planning Value Governance 136

137 VALIT 2.0 COBIT 5 VAL IT 2.0 and COBIT 5 Process Models APO 05 Manage portfolio APO 07 Manage human resources PM 1 Establish strategic direction and target investment mix PM 2 Determine the availability and sources of funds PM 5 Monitor and report on investment portfolio performance PM 6 Optimise investment portfolio performance Align, Plan and Organize PM 3 Manage the availability of human resources. PM 4 Evaluate and select programs to fund Portfolio Management 137

138 VALIT 2.0 COBIT 5 VAL IT 2.0 and COBIT 5 Process Models APO 05 Manage portfolio BAI 01 Manage programs and projects IM 1 Develop and evaluate the initial program IM 5 case business Develop the detailed candidate program IM 9 business case Monitor and report on the program Align, Plan and Organise IM 2 Understand the candi-date program & implementation options IM 6 Launch and manage the program IM 10 Retire the program Build, Acquire and Implement IM 3 Develop the program plan IM 7 Update operational IT portfolios IM 4 Develop full lifecycle costs and IM 8 benefits Update the business case Investment Manageme 138

139 Risk IT Components: Domains and Processes Domain Risk Governance RG1: Establish & Maintain a Common Risk View RG2: Integrate with ERM RG3: Make Risk-aware Business Decisions Domain Risk Response RR1: Articulate Risk RR2: Manage Risk RR3: React to Events Domain Risk Evaluation RE1: Collect Data RE2: Analyse Risk RE3: Maintain Risk Profile 139

The Business Value of IT The IT Productivity Paradox Master Course

The Business Value of IT The IT Productivity Paradox Master Course Folien Stand 8.10.2015 The Business Value of IT The IT Productivity Paradox Master Course Information Management Winter 2015/2016 1 Business Value of IT Business Value of IT (Konzept) : BV (IT) = Business

Mehr

Sustainability Balanced Scorecard as a Framework for Eco-Efficiency Analysis

Sustainability Balanced Scorecard as a Framework for Eco-Efficiency Analysis Sustainability Balanced Scorecard as a Framework for Eco-Efficiency Analysis Andreas Möller amoeller@uni-lueneburg.de umweltinformatik.uni-lueneburg.de Stefan Schaltegger schaltegger@uni-lueneburgde www.uni-lueneburg.de/csm

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis E-Gov Fokus Geschäftsprozesse und SOA 31. August 2007 Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis Der Vortrag zeigt anhand von Fallbeispielen auf, wie sich SOA durch die Kombination

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Optimale Prozessorganisation im IT Management

Optimale Prozessorganisation im IT Management Optimale Prozessorganisation im IT Management Was heisst optimal? Stichwort IT Governance 1 2 3 IT Governance soll die fortwährende Ausrichtung der IT an den Unternehmenszielen und Unternehmensprozessen

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

ITIL & TOGAF die Doppelspitze für IT Governance

ITIL & TOGAF die Doppelspitze für IT Governance 1 ITIL Day 2014 ITIL & TOGAF die Doppelspitze für IT Governance Referenten: Arif Chughtai, Matthias Gessenay 2 Referenten Arif Chughtai mail@arifchughtai.org www.arifchughtai.org Matthias Gessenay matthias.gessenay@corporatesoftware.ch

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

HIR Method & Tools for Fit Gap analysis

HIR Method & Tools for Fit Gap analysis HIR Method & Tools for Fit Gap analysis Based on a Powermax APML example 1 Base for all: The Processes HIR-Method for Template Checks, Fit Gap-Analysis, Change-, Quality- & Risk- Management etc. Main processes

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Projektrisikomanagement im Corporate Risk Management

Projektrisikomanagement im Corporate Risk Management VERTRAULICH Projektrisikomanagement im Corporate Risk Management Stefan Friesenecker 24. März 2009 Inhaltsverzeichnis Risikokategorien Projekt-Klassifizierung Gestaltungsdimensionen des Projektrisikomanagementes

Mehr

Darstellung und Anwendung der Assessmentergebnisse

Darstellung und Anwendung der Assessmentergebnisse Process flow Remarks Role Documents, data, tool input, output Important: Involve as many PZU as possible PZO Start Use appropriate templates for the process documentation Define purpose and scope Define

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung Ralf Heib Senior Vice-President Geschäftsleitung DACH IT-Beratung: Vom Geschäftsprozess zur IT-Lösung www.ids-scheer.com Wofür steht IDS Scheer? Wir machen unsere Kunden in ihrem Geschäft erfolgreicher.

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Performance Measurement als Element der Governance von öffentlichen Verwaltungen

Performance Measurement als Element der Governance von öffentlichen Verwaltungen Performance Measurement als Element der Governance von öffentlichen Verwaltungen Efficacia ed efficienza della PA come modo per realizzare l eguaglianza sostanziale Leistungsfähigkeit und Effizienz der

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define metrics Pre-review Review yes Release

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena http://www.im.uni-jena.de Contents I. Learning Objectives II. III. IV. Recap

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Die richtigen Dinge tun

Die richtigen Dinge tun Die richtigen Dinge tun Einführung von Projekt Portfolio Management im DLR Rüdiger Süß, DLR Frankfurt, 2015 Sep. 25 Agenda DLR Theorie & Standards Definition Standards Praxis im DLR Umsetzung Erfahrungen

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Lizenzmanagement auf Basis DBA Feature Usage Statistics?

Lizenzmanagement auf Basis DBA Feature Usage Statistics? Lizenzmanagement auf Basis DBA Feature Usage Statistics? Kersten Penni, Oracle Deutschland B.V. & Co. KG Düsseldorf Schlüsselworte Oracle License Management Services (LMS), Lizenzen, Lizenzierung, Nutzungserfassung,

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

Corporate Intelligence

Corporate Intelligence Corporate Intelligence Architekturunterstützung von Transformationen Prof. Dr. Stephan Aier Assistant Professor Institute of Information Management University of St.Gallen Müller-Friedberg-Strasse 8, CH-9000

Mehr

Developing the business case for investing in corporate health and workplace partnership indicators and instruments Input

Developing the business case for investing in corporate health and workplace partnership indicators and instruments Input Developing the business case for investing in corporate health and workplace partnership indicators and instruments Input Holger Pfaff Head of the department for Medical Sociology at the Institute of Occupational

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Measure before you get measured!

Measure before you get measured! Measure before you get measured! Controlling Live Communication Zürich, 19. Juni 2014 Polo Looser, HQ MCI Group Vizepräsident Strategie & Consulting CMM, EMBA HSG, BsC Board www.faircontrol.de Uebersicht

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

Ausgangspunkt: niedrigere Ebene der DIKW-Pyramide; betraf ursprünglich nur formatierte Daten.

Ausgangspunkt: niedrigere Ebene der DIKW-Pyramide; betraf ursprünglich nur formatierte Daten. Information Management 1. Ziel und Anspruch 2. Einteilung und Aufgaben 3. IT Governance 4. IT Controlling 5. Organisation der IT-Abteilung Ausgangspunkt: niedrigere Ebene der DIKW-Pyramide; betraf ursprünglich

Mehr

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012

Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft, München

Mehr

Master-Seminar (M.Sc.) Governance Risk Compliance

Master-Seminar (M.Sc.) Governance Risk Compliance Bergische Universität Wuppertal Fakultät für Wirtschaftswissenschaft Schumpeter School of Business and Economics Lehrstuhl für Wirtschaftsprüfung und Rechnungslegung Prof. Dr. Stefan Thiele Master-Seminar

Mehr

Messung und Bewertung von Prozessqualität Ein Baustein der Governance

Messung und Bewertung von Prozessqualität Ein Baustein der Governance Messung und Bewertung von Prozessqualität Ein Baustein der Governance Prof. Dr. Ralf Kneuper Beratung für Softwarequalitätsmanagement und Prozessverbesserung Ralf Kneuper Dipl.-Mathematiker, Univ. Bonn

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Human Capital Management

Human Capital Management Human Capital Management Peter Simeonoff Nikolaus Schmidt Markt- und Technologiefaktoren, die Qualifikation der Mitarbeiter sowie regulatorische Auflagen erfordern die Veränderung von Unternehmen. Herausforderungen

Mehr

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische

Mehr

Project Management Office (PMO)

Project Management Office (PMO) Project Management Office (PMO) Modeerscheinung oder organisatorische Chance? Stefan Hagen startup euregio Management GmbH, Januar 2007 Einleitung Dem professionellen Management von Projekten und Programmen

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

AnyWeb AG 2008 www.anyweb.ch

AnyWeb AG 2008 www.anyweb.ch Agenda - BTO IT heute Was nützt IT dem Business? Die Lösung: HP Software BTO Q&A IT heute Kommunikation zum Business funktioniert schlecht IT denkt und arbeitet in Silos und ist auch so organisiert Kaum

Mehr

IT-Dienstleistungen nach Maß

IT-Dienstleistungen nach Maß IT-Dienste erfolgreich einführen Make IT, 25.03.2014 Vorstellung Forschungsgruppe Informationsmanagement und Unternehmensführung Research Group on Strategic Information Management! IT Strategy! IT Value

Mehr

IT Risk Management. Digicomp Hacking Day, 11.06.2014 Umberto Annino

IT Risk Management. Digicomp Hacking Day, 11.06.2014 Umberto Annino IT Risk Management Digicomp Hacking Day, 11.06.2014 Umberto Annino Wer spricht? Umberto Annino WirtschaCsinformaEker, InformaEon Security Was ist ein Risiko?! Sicherheit ist das Komplementärereignis zum

Mehr

Junisphere Systems AG 23.11.2010. Aligning Business with Technology. One step ahead of Business Service Management. Intelligentes ITSM

Junisphere Systems AG 23.11.2010. Aligning Business with Technology. One step ahead of Business Service Management. Intelligentes ITSM Aligning Business with Technology One step ahead of Business Service Management Intelligentes ITSM Agenda Junisphere s Lösung Use cases aus der Praxis Zentrale Informatik Basel-Stadt ETH Zürich Ausblick

Mehr

Process Management Office Process Management as a Service

Process Management Office Process Management as a Service Process Management Office Process Management as a Service Unsere Kunden bringen ihre Prozesse mit Hilfe von ProcMO so zur Wirkung, dass ihre IT- Services die Business-Anforderungen schnell, qualitativ

Mehr

www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013

www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013 www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess Präsentation 4. Agenda 1. Einführung 2. FATCA-Hauptaufgaben 3. Versicherer in der Schweiz und FATCA 4. Implementierungsaspekte

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

Internes Kontrollsystem (IKS) bei KMU

Internes Kontrollsystem (IKS) bei KMU Schweizer Schriften zum Handels und Wirtschaftsrecht Band 318 Herausgegeben von Prof. Dr. Peter Forstmoser Dr. iur. Annina Wirth, Rechtsanwältin Internes Kontrollsystem (IKS) bei KMU Abkürzungsverzeichnis...

Mehr

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank SwissICT 2011 am Fallbeispiel einer Schweizer Bank Fritz Kleiner, fritz.kleiner@futureways.ch future ways Agenda Begriffsklärung Funktionen und Aspekte eines IT-Servicekataloges Fallbeispiel eines IT-Servicekataloges

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

IT-Governance und Sarbanes-Oxley: ITIL und COBIT als Mittel zur Umsetzung regulatorischer Anforderungen

IT-Governance und Sarbanes-Oxley: ITIL und COBIT als Mittel zur Umsetzung regulatorischer Anforderungen IT-Governance und Sarbanes-Oxley: ITIL und COBIT als Mittel zur Umsetzung regulatorischer Anforderungen von René Pierre Moch Erstauflage Diplomica Verlag 2014 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Labour law and Consumer protection principles usage in non-state pension system

Labour law and Consumer protection principles usage in non-state pension system Labour law and Consumer protection principles usage in non-state pension system by Prof. Dr. Heinz-Dietrich Steinmeyer General Remarks In private non state pensions systems usually three actors Employer

Mehr

Creating your future. IT. αacentrix

Creating your future. IT. αacentrix Creating your future. IT. αacentrix We bring IT into Business Context Creating your future. IT. Wir sind eine Strategie- und Technologieberatung mit starkem Fokus auf die IT-Megatrends Cloud, Mobility,

Mehr

Massood Salehi Vertriebsleiter der Region Süd

Massood Salehi Vertriebsleiter der Region Süd Massood Salehi Vertriebsleiter der Region Süd 1 Agenda Historie und Entstehung von COBIT Ursachen für fehlende Governance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

Social Business Erfolgsmessung

Social Business Erfolgsmessung Social Business Erfolgsmessung Praxisbericht aus dem Social Business Projekt bei der Robert Bosch GmbH 8.10.2013, Cordula Proefrock (Robert Bosch GmbH), Dr. Christoph Tempich (inovex GmbH) 1 The Bosch

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS)

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS) (IGS) SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Services (AMS) Martin Kadner, Product Manager SAP Hosting, GTS Klaus F. Kriesinger, Client Services Executive,

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

COBIT and IT Governance

COBIT and IT Governance COBIT and IT Governance Jimmy Heschl, CISA, CISM, CGEIT KPMG Austria & COBIT Steering Committee Is IT Governance Important? Results from the KPMG IT Governance survey 71% of respondents to achieve legal

Mehr

Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass?

Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass? Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass? 8. Swiss Business- & IT-Servicemanagement & Sourcing Forum 2014 Zürich, 25.03.2014 Seite 1 MASTERS Consulting GmbH Konzeptionen umsetzen IT Strategy

Mehr

Einfluss von Zielsetzung und Incentives auf Kultur am Beispiel von Hilti

Einfluss von Zielsetzung und Incentives auf Kultur am Beispiel von Hilti SGO Themenabend Zürich, 10.09.2015 Franz Wirnsperger, Managing Director Einfluss von Zielsetzung und Incentives auf Kultur am Beispiel von Hilti Chair of Controlling / Performance Management Hilti Lab

Mehr

2., erweiterte Auflage Haufe-Verlag 2007. 2., erweiterte Auflage, Hogrefe 06/2005. Handbuch Personalentwicklung/September 2004

2., erweiterte Auflage Haufe-Verlag 2007. 2., erweiterte Auflage, Hogrefe 06/2005. Handbuch Personalentwicklung/September 2004 Consultant Profile Anja Beenen (née Weidemann) Profil M Beratung für Human Resources Management GmbH & Co. KG Berliner Straße 131 42929 Wermelskirchen Telephone: (+49) 21 96 / 70 68 204 Fax: (+49) 21 96

Mehr

IBM Measured Capability Improvement Framework (MCIF) Überblick

IBM Measured Capability Improvement Framework (MCIF) Überblick IBM Measured Capability Improvement Framework (MCIF) Überblick Dejan Mihajlovic Seniour Managing Consultant IBM SWG Austria dejan_mihajlovic@at.ibm.com +43 6646185879 2006 IBM Corporation 2007 IBM Corporation

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Swiss Sport Forum Klubfinanzierung. Finanzielle Kontrollen bei Sportklubs und -verbänden. Fredy Luthiger. 4. April 2014

Swiss Sport Forum Klubfinanzierung. Finanzielle Kontrollen bei Sportklubs und -verbänden. Fredy Luthiger. 4. April 2014 Swiss Sport Forum Klubfinanzierung Finanzielle Kontrollen bei Sportklubs und -verbänden Fredy Luthiger 4. April 2014 Sportklubs und verbände im wirtschaftlichen Umfeld Finanzielle Kontrolle bei Industriebetrieben

Mehr