The Business Value of IT The IT Productivity Paradox Master Course

Größe: px
Ab Seite anzeigen:

Download "The Business Value of IT The IT Productivity Paradox Master Course"

Transkript

1 Folien Stand The Business Value of IT The IT Productivity Paradox Master Course Information Management Winter 2014/2015 1

2 Business Value of IT Business Value of IT (Konzept) : BV (IT) = Business Performance IT Investment IT Investment: Eine Investition in die Fähigkeit, ein Geschäft zu führen, nicht nur reine Kosten Geschäftserfolg (Business success, business value ): Hängt auch davon ab, den Zählerwert in der Wertegleichung zu erhöhen, d.h. die Business performance Nicht (nur) den Wert des Nenners reduzieren Übersetzung von Gartner (2007) 2

3 Criteria for Performance Excellence: Baldridge Award * 1. Leadership (120 pts.) 1.1 Organizational Leadership (70 pts.) 1.2 Social Responsibility (50 pts.) 2. Strategic Planning (85 pts.) 2.1 Strategic Development (40 pts.) 2.2 Strategic Deployment (45 pts.) 3. Customer and market focus (85 pts.) 3.1 Customer and Market Knowledge (40 pts.) 3.2 Customer Relationships and Satisfaction (45 pts.) 4. Measurement, Analysis, Knowledge Management (90 pts.) 4.1 Measurement and Analysis of Organizational Performance (45 pts.) 4.2 Information and Knowledge Management (45 pts.) * 3

4 Criteria for Performance Excellence: Baldridge Award * 5. Human Resource Focus (85 pts.) 5.1 Work Systems (35 pts.) 5.2 Employee Learning and Motivation (25 pts.) 5.3 Employee Well-being and Satisfaction (25 pts.) 6. Process Management (85 pts.) 6.1 Value Creation Processes (50 pts.) 6.2 Support Processes (35 pts.) 7. Business Results (450 pts.) 7.1 Customer-Focused Results (75 pts.) 7.2 Product and Service Results (75 pts.) 7.3 Financial and market Results (75 pts.) 7.4 Human Resource Results (75 pts.) 7.5 Organizational Effectiveness Results (75 pts.) 7.6 Governance and Social Responsibility Results (75 pts.) * 4

5 Kennzahlen (i.e.s.) und Indikatoren* quantitative Informationen, die für die spezifischen Bedürfnisse der Unternehmensanalyse und -steuerung aufbereitet wurden. Kennzahlen sind betriebswirtschaftliche Informationskonzentrate. Kennzahlen im engeren Sinne Maßgrößen, die bewusst zu absoluten oder relativen Zahlen verdichtet werden, um mit ihnen in konzentrierter Form über einen zahlenmäßig erfassbaren Sachverhalt berichten zu können Indikatoren berichten gezwungenermaßen unvollständig über eine Realität, die sich nur schwer abbilden lässt * Hoffmann, F., Kritische Erfolgsfaktoren - Erfahrungen in großen und mittelständischen Unternehmen, in: Zeitschrift für betriebswirtschaftliche Forschung 1986, S. 831ff. 5

6 Kennzahlen und Kennzahlensysteme Verdichtung von Einzelinformationen zu Kennzahlen dient der Informationsentlastung insbesondere der höheren Führungsebenen hochverdichtete Zahlen können die Realitätsnähe verlieren ( Kunst-zahlen ), z.b. Unternehmensrentabilität notwendige Einbeziehung weiterer Kennzahlen zur Erklärung bei Ausnahmen ( Management by Exception ): Erweiterung zu Kennzahlensystemen: die Gesamtheit von geordneten Kennzahlen, die die Zusammenhänge zwischen verschiedenen Größen aufzeigen und so betriebswirtschaft-lich sinnvolle Aussagen über Unternehmungen und ihre Teile vermitteln * Differenzierung in Analyse- & SteuerungsKennzahlensysteme * Gladen, Werner [Berichtssysteme, 2003]: Kennzahlen- und Berichtssysteme, 2. Aufl., Gabler (2003), S. 91 6

7 Aufgaben von Kennzahlen Christoph Lauterbach / Klaus Knopper Gladen, W., Performance Measurement. Controlling mit Kennzahlen. 5. Aufl., 7

8 The Balanced Scorecard Links Performance Measures How do we look to shareholders? Financial Goals Measures At what must we excel? How do customers see us? Internal Business Customer Goals Measures Goals Measures Innovation & Learning Goals Measures Can we continue to improve and create value? 8

9 Grundstruktur der Balanced Scorecard Allgemeine Ziele Meßgröße Finanzen Ertragssteigerung ROI Kunden Kundentreue erhöhen Zielvorgabe Maßnahmen 14% ROI Frühzeitigere Projektselektio n Wiederkaufrate 65% Technischen Service ausbauen Prozesse Verkürzung der Durchlaufzeiten Durchlauftage eines Auftrags 5 Tage Abbau von 2 Schnittstellen Lernen Repräsentative Umfrage 10 % Steigerung der Empowerment Zufriedenheitswerte Mitarbeiterzufriedenheit 1. Strategische Ziele sind zu identifizieren (objectives) 2. Zielmaßstäbe sind zu definieren (measures) 3. Zielhöhen sind zu vereinbaren (targets) 4. Maßnahmen (strategische Projekte) sind zu verabschieden (initiatives) Quelle: Steinmann, H., Schreyögg, G.: Management. Grundlagen der Unternehmensführung. Christoph2005, Lauterbach Konzepte Funktionen Fallstudien, 6. Auflage, Wiesbaden S. 272 / Klaus Knopper 9

10 Strategy and the BSC A BSC tells the story of the companys / business units strategy A BSC identifies and makes explicit the hypotheses about the cause and effect relationships between Outcome measures in the Financial and Customer perspectives Performance drivers of those outcomes in the Internal and Learning & Growth perspectives Atkinson, A. A. Kaplan, R.S., Young, S. M.: Management Accounting, Pearson/Prentice Hall, 4th edition,

11 Performance Measurement: Balanced Scorecard Gegenstand der Unternehmenssteuerung das operative "Tagesgeschäft" (interne Abstimmung), und die Wahrnehmung von strategischen Aufgaben Abstimmung mit der Unternehmensumwelt kontinuierliche Verbesserungen Unterscheidung zwischen diagnostischen Kennzahlen überwachen, ob das Unternehmen unter Kontrolle ist registrieren von Abweichungen vom Plan strategischen Kennzahlen definieren eine Strategie, die auf exzellente Wettbewerbs-fähigkeit abzielt enthalten nicht allein die finanziellen Endziele, sondern auch deren vorlaufende Indikatoren (Leistungstreiber) 11

12 Ursache-Wirkungs-Vermutungen Gladen, W., Performance Measurement. Controlling mit Kennzahlen. 5. Aufl., Gabler (2011), S

13 Balanced Scorecard: Linking Measurements to Strategy 13

14 Bestandteile einer Balanced Scorecard Prosser, A. et al: Balanced Scorecards with SAP Strategic Enterprise Management, Wien (2005), Lauterbach / Klaus zitiert nach: Barthélemy, F. et al: Balanced Scorecard, Christoph Vieweg + Teubner (2011), S. 64 Knopper 14

15 Business Performance Management the systematic generation and control of an organization s performance using financial/nonfinancial metrics indicators to assess the present state of the business and to prescribe a course of action main activities: performance planning performance control (management in the narrower sense) performance measurement performance rewarding performance requirements derived from the company s strategy or vision the company s stakeholders 15

16 Business Performance Management can only be implemented successfully, if strategic planning is tightly linked to operational execution requires integration of strategies, organizational structures and business processes by the use of specialized information systems: strategy changes trigger modifications on the business process level and the supporting information systems innovations on the IS or the process level initiate the adjustment of the company s strategy close relationship between current business requirements and newly developing IT enablers 16

17 Business Performance Management BI = Business Intelligence Melchert F., Winter, R.: The Enabling Role of Information Technology for Business Performance Management, Proc IFIP Int l. Conf. on Decision Support Systems, 2004, p

18 The Solow Paradox (IT Productivity Paradox) Growth in labor (non-farmal) labor productivity (CAGR Compound Annual Growth Rate) IT investment as percentage of total business investment (Information processing equipment and software) (Nobel laureate 1987 for his contributions to the theory of economic growth) McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Lauterbach / Klaus Knopper Information Technology relative to other factors. Christoph , Washington,

19 Country Level: A New Economy? CAGR: Compound Annual Growth Rate (the year-over-year growth rate of an investment over a specified period of time) McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Christoph Lauterbach / Klaus Knopper Information Technology relative to other factors, 2001: Synthesis 19

20 Industry Level (PEP - Persons Employed in Production) McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Information Technology relative to other factors,

21 Jumping sectors and Paradox cases McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Information Technology relative to other factors,

22 IT: only one of several factors at work in the productivity jump Causality framework for jumping sectors McKinsey Global Institute: US Productivity Growth - Understanding the contribution of Information Technology relative to other factors,

23 Comparison of industry sectors IT was a critical enabler of productivity acceleration in the U.S. with diverse and complex impact depending on when, where, and how IT was deployed IT is an enabler of management innovation: a critical tool to innovative managers to redesign core business processes or innovate around products and services in response to changing business conditions No answer to where and how IT had impact on productivity across industries (no killer application ): understanding the role of IT in productivity growth involves understanding of each particular industries the specific environment and dynamics the business processes, and the key performance levers 23

24 IT Performance Indicators Operationalization of Efficiency und Effectivity (example) IT efficiency (Wirtschaftlichkeit der ITUnterstützung) IT cost as a percentage of revenue, plus project management performance against schedule and budget IT effectiveness (Wirksamkeit der ITUnterstützung) The availability, functionality, and utilization rates of IT applications for each core business process 24

25 Indicators of IT Performance Effizienz (Wirtschaftlichkeit) Effektivität (Wirksamkeit) R. Kampis, J. Ringbeck et al.: DO IT SMART, Seven Rules for Superior Christoph Lauterbach Klaus Knopper Information Technology Performance, The Free Press, New York/ (1999) 25

26 Indicator of Corporate Success Source: McKinsey & Company, Inc. 26

27 IT Performance: Four IT Cultures Percentage of companies surveyed 27

28 How the Four IT Cultures Perform More effective IT generally correlates positively with corporate success. 28

29 Results on Financial Indicators Big IT spenders and IT stars demonstrate much better results than IT laggards and cautious IT spenders At constant level of low effectiveness an increase in IT efficiency merely helps to lower cost: On the average, cautious spenders rated insignificantly better than IT laggards An improvement in IT efficiency has less bottomline impact than an effectiveness-oriented approach aimed at achieving competitive differentiation via smart IT processes 29

30 Wertbeitragskategorien der IT in Banken1 Kategorie/T Antei Beispiele yp l Bereitstellung der Run 50Effizienz der 70% Benutzerarbeitspl Differenzierungspotenzial/ Messmethode must do : indirekte Wirkung durch geringere Kosten; Optimierungen können direkt durch die IT-Abteilung gemessen werden (z.b. TCO) IT-Organisation ätze; Betreiben der Giro"Anwendung Change I 20% Effektivität der ITUnterstützun g Prozessautom niedrig : indirekt über höhere Durchlaufzeiten, atisierung Change II Benefit der IT-Leistung 1 10% höhere Qualität, geringere Kosten; der Wertbeitrag kann nur durch die Fach-abteilung beurteilt werden hoch : der Beitrag der IT zur Wertschöpfung kann direkt (Umsatz über den Kanal) und indirekt (z. B. Erhöhung der Kundenbindung) gemes-sen werden; Wahrnehmung und Beurteilung erfolgt direkt durch den Kunden Christoph Lauterbach / Klaus Knopper Fischer/Rothe in Moormann/Fischer: Handbuch Informationstechnologie in Banken 30

31 IT-Wertbeitrag durch Geschäftsprozess-Unterstüzung 1 IT-Einsatz und -Nutzung können Geschäftsprozesse verbessern und neue Geschäftsprozesse ermöglichen: Steigerung der Unternehmensperformance Davenport: effizientere Abwicklung von Geschäftsaktivitäten durch Betrachtung auf der Prozessebene und den komplementären Einsatz von IT1 zur effizienteren Abwicklung IT-Investitionen Rechtfertigung durch Umsatzsteigerung oder Kostenreduktion selten möglich häufiger durch qualitativen Nutzen auf Geschäftsprozessebene Direkte Zuordnung von Nutzen auf Aktivitäts- und Prozessebene, Effekte auf Unternehmensebene: unterschiedliche Stärke/Richtung Davenport, T.H.: Putting the Enterprise into The Enterprise System, Havard Business Review, July-August

32 Globalisierung, Innovationen, hoher & wachsender Wettbewerbsdruck zwingt zu Unterstützung oder Enabling fast aller Geschäftsprozesse durch IT schnelle Anpassung der Geschäftsprozesse erfordert Themen dieser Veranstaltung: Best Practices? Marktdruck Wettbewerbsdruck: Auslöser und Treiber transparente und flexible IT-Prozesse transparente und flexible IT-Aufbauorganisation Best Practices? erfordern IT Compliance regulatorische Anforderungen IT Risk Zunahme des unternehmerischen Risikos Management 32

33 Auslöser und Treiber: Konsequenzen IT wird zum kritischen Erfolgsfaktor für den Unternehmenserfolg IT muss ebenso professionell gemanagt werden wie jeder andere kritische Erfolgsfaktor das Managen von IT gehört zu den Kernaufgaben der Unternehmensführung kann nicht delegiert oder ausgegliedert werden ist vielmehr intensiv von der Unternehmensführung wahrzunehmen 33

34 Business Value of IT: Erstes Resumé das Potenzial der IT für Wertsteigerungsbeiträge ist nicht in erster Linie auf der Seite der Informationstechnik an sich zu suchen entscheidend ist das Management des Technikeinsatzes es lässt sich nachweisen, dass bei langfristiger Betrachtung der Wertbeitrag der IT noch deutlicher steigt, wenn der IT-Einsatz zusätzlich durch neue Organisationskonzepte, vor allem die Prozessorientierung, unterstützt wird. BV (IT) = Business Performance IT Investment Business Performance = f(it Management) 34

35 IT Governance Framework Unternehmen Umwelt Faktoren Unternehmensführung Unternehmen Governance IT- Governance Geschäftsmodell Allg. Grundsätze IT-Prinzipien Zurechenbar keit Verantwortlich keit Entscheidungs rechte Rollen & Verantwortlichkeiten Rollen & Verantwortlichkeiten Markt/Branche Strategie Gesamtwirt schaft Struktur Technologien Prozesse Politik und Gesetzgebung Mitarbeiter Domänen Technologie Strategic Alignm. Kultur und Gesellschaft s.z.b. -> St. Galler Managementmodell Organisation Informationsmanagement IT-Managemt. IT-Produktion Entscheid.Felder IT-Busin. Mgmt. Projekte IT-Strategie Information Benefit Tracking Serv. Level Def. Anwendung Organisation Infrastruktur& Technologie Service Mgmt. Regelbetrieb Portfolio Mgmt. Value Delivery Sourcing Sicherheit Resource Mgmt. Risk Management Prozess&Steuerungsrahmen Investition & Priorisierung Business Case Busin. Alignmt. Projektportfolio Organisation Menschen Technologien Prozesse Controls Metriken Performance Measurement Steuerung Indikatoren Metriken Benchmarks vgl. Fröhlich, M., Glasner, K. (Hrsg.): IT Governance. Leitfaden für eine praxisgerechte Implementierung Gabler, 2007, S

36 IT Governance als Teil des Unternehmens (Überblick) 1. Die Umwelt des Unternehmens determiniert seine Handlungsmög-lichkeiten: Marktpotenziale, Regularien, Wettbewerbssituationen, usw. geben den Aktionsrahmen des Unternehmens vor! 2. Aufgaben der Unternehmensführung Definition eines an den Handlungsrahmen/die Umwelt ange-passten Geschäftsmodells Definition der Strategie mit den Geschäftsprozessdefinitionen einer geeigneten Organisation Vorgaben zur Personalpolitik Vorgaben zum Technologieeinsatz vgl. Fröhlich, M., Glasner, K. (Hrsg.): ITChristoph Governance. Leitfaden für Lauterbach / Klaus Knopper eine praxisgerechte Implemen-tierung Gabler, 2007, S. 28ff 36

37 IT Governance als Teil des Unternehmens (Überblick) 2. Aufgaben der Unternehmensführung (Fortsetzung): Definition der Corporate Governance mit allgemeinen Grundsätzen zu Entscheidungskompetenzen und Verantwortung Regeln für die Sicherstellung von Transparenz Regeln für die Einhaltung moralischer Grundsätze (Fairness) Definition der IT-Governance auf den Grundlagen des Geschäfts-modells und der der Corporate Governance IT Governance umfasst prinzipielle Regelungen zu Entscheidungsrechten, Rollen und Verantwortlichkeiten sowie zur Organisation der IT, die sich jeweils auf die Domänen Strategic Alignment, Value Delivery, Ressource Management, Risk Management und Performance Measurement beziehen. vgl. Fröhlich, M., Glasner, K. (Hrsg.): ITChristoph Governance. Leitfaden für Lauterbach / Klaus Knopper eine praxisgerechte Implemen-tierung Gabler, 2007, S. 28ff 37

38 IT Governance Domains Strategic alignment focuses on ensuring the linkage of business and IT plans; defining, maintaining and validating the IT value proposition; and aligning IT operations with enterprise operations. Value delivery is about executing the value proposition throughout the delivery cycle, ensuring that IT delivers the promised benefits against the strategy, concentrating on optimising costs and proving the intrinsic value of IT. Resource management is about the optimal investment in, and the proper management of, critical IT resources: applications, information, infrastructure and people. Key issues relate to the optimisation of knowledge and infrastructure. COBIT 4.1. Framework, Control Objectives, Management Guidelines, Maturity Model, IT Governance Institute, 2007, p. 6 38

39 IT Governance Domains Risk management requires risk awareness by senior corporate officers, a clear understanding of the enterprise s appetite for risk, understanding of compliance requirements, transparency about the significant risks to the enterprise and embedding of risk management responsibilities into the organisation. Performance measurement tracks and monitors strategy implementation, project completion, resource usage, process performance and service delivery, using, for example, balanced scorecards that translate strategy into action to achieve goals measurable beyond conventional accounting. COBIT 4.1. Framework, Control Objectives, Management Guidelines, Maturity Model, IT Governance Institute, 2007, p. 6 39

40 IT Governance als Teil des Unternehmens - Überblick Aufgabe der Unternehmensleitung ist die Definition von Geschäfts-modell, Corporate Governance und IT Governance IT Governance umfasst prinzipielle Regelungen zu Entscheidungsrechten, Rollen und Verantwortlichkeiten sowie zur Organisation der IT IT-Management beschreibt konkret die Felder, innerhalb derer das Management Entscheidungen zu treffen und Vorgaben für die IT zu machen hat legt Größen und Mechanismen fest, mit deren Hilfe die Umsetzung der Entscheidungen und Vorgaben überwacht und gesteuert wird IT-Produktion steht für die Umsetzung der Entscheidungen in Form von Projekten und für den Regelbetrieb der IT erfasst alle erforderlichen Kennzahlen stellt diese für Steuerungszwecke zur Verfügung 40

41 Corporate Governance: interne und externe Perspektive die Innensicht betrifft Rollen, Kompetenzen und Funktionsweisen Zusammenwirken der Unternehmensorgane, z.b. zwischen Vorstand, Aufsichtsrat und Hauptversammlung häufig auch als Unternehmensverfassung bezeichnet die Außensicht bezieht sich auf das Verhältnis der (Träger der) Unternehmensführung zu den wesentlichen Anspruchsgruppen insbesondere der Anteilseigner 41

42 Principal-Agent-Problem in Unternehmen werden Beiträge verschiedener Akteure zur arbeits-teiligen Wertschöpfung unter Leitung des Managements gebündelt Beziehungen der Akteure bzw. Bezugsgruppen zum Unternehmen werden in expliziten oder impliziten Verträgen geregelt das Principal-Agent-Problem ergibt sich aus der prinzipiellen Unvollständigkeit dieser Verträge teilweise unterschiedlichen Interessen Stakeholder opportunistischem Verhalten der Stakeholder: Ausnutzung der Unvollständigkeiten der Verträge zu eigenem Vorteil und damit meist zulasten anderer Bezugsgruppen Regelungen zur Corporate Governance sollen durch geeignete rechtliche und faktische Arrangements die Spielräume und Motivationen der Akteure für opportunistisches Verhalten einschränken 42

43 Stakeholder alle (Gruppen von) natürlichen Personen und Institutionen, die auf der Grundlage unvollständiger Verträge Transaktionen mit dem Unternehmen durchführen generelles Interesse der Stakeholder: Erhalt einer adäquaten Gegenleistung für geleistete Beiträge zur Wertschöpfung, z.b. Anteilseigner (Eigenkapital gegen Rendite) Fremdkapitalgeber (Kredite gegen Zinsen) Arbeitnehmer (Arbeitsleistungen gegen Entlohnung) Management (Leitung gegen Vergütung) Lieferanten (Zulieferungen gegen Bezahlung) Allgemeinheit in Form des Staates (Infrastrukturen gegen Steuern) Kunden (Bezahlung gegen Produkt). 43

44 Stakeholder: Risiken & Optionen durch unvollständige Verträge Gläubiger: freiwilliger Verzicht auf einen Teil ihrer Forderungen im Insolvenzverfahren Arbeitnehmer: fehlende Honorierung ihrer (Vor-)Leistungen, wenn z.b. in Aussicht gestellte Verdienst- und Karrierechancen aufgrund späterer wirtschaftlicher Schwierigkeiten des Unter-nehmens nicht verwirklicht werden können Kunden: gravierende Nachteile einer komplexen IT-Anwendung werden erst nach dem Erwerb erkannt Systemwechsel nur zu erheblichen (oft prohibitiv hohen) Kosten Anfechtungsklagen durch räuberische Aktionäre mangelndes Engagement von Arbeitnehmern Ausnutzung von existentielle Abhängigkeiten ihrer Lieferanten durch Großkunden in Preisverhandlungen 44

45 Gestaltungsfelder der Corporate Governance Festlegung der übergeordneten Zielsetzung des Unternehmens, die Handlungsmaximen bieten, um Interessenkonflikte zwischen den Bezugsgruppen im Einzelfall zu bewältigen Strukturen, Prozesse und Personen der Unternehmensführung, mit denen diese Zielsetzung erreicht werden soll regelmäßige Evaluation der Führungsaktivitäten zur Bestandsauf-nahme und kontinuierlichen Verbesserung der Modalitäten der Unternehmensführung proaktive Unternehmenskommunikation, um durch Herstellung von Transparenz das Vertrauen und damit die letztlich existenznotwen-dige Unterstützung der relevanten Bezugsgruppen des Unterneh-mens zu gewinnen und zu festigen. 45

46 Mechanismen der Corporate Governance Organkontrollen (interne CorporateGovernance) bestimmte Informations-, Überwachungs- und Entscheidungsrechte für Stakeholder, um Risiken (besser) zu erkennen und im Rahmen ihrer Kompetenzen reduzieren zu können Beispiel: der Aufsichtsrat der AG, der es den dort vertretenen Bezugsgruppen (Aktionäre, Arbeitnehmer im Mitbestimmungs-fall, ggf. Kreditgeber etc.) erlaubt, den Vorstand zu kontrollieren Marktkontrollen (externe Corporate Governance) freiwillige Koordination unterschiedlicher Interessen durch die Marktkräfte (Eigenkapital-)Markt für Unternehmenskontrolle: unbefriedigende Leistungen des Topmanagements werden durch die Aktienverkäufen, Kursrückgänge, feindliche Übernahme und Auswechslung des Managements sanktioniert 46

47 Gestaltungsprinzipen der Corporate Governance zur Förderung der produktiven Wertschöpfung und der fairen Wertverteilung Gewaltenteilung: Verteilung der Verfügungsrechte auf mehrere Akteure zum Abbau von Machtmonopolen Transparenz: Reduzierung der Informationsasymmetrie zwischen den Akteuren Reduzierung von Interessenkonflikten, insbesondere des Topmanagements Sicherstellung der Qualifikation und der Motivation der Organ-mitglieder für die kompetente Wahrnehmung der Leitungs- und Überwachungsaufgaben, unterstützt durch Haftungsvorschriften zivil- und strafrechtlicher Natur, die vertrags- und gesetzwidrige Formen des Opportunismus sanktionieren 47

48 Regulierungsebenen der Corporate Governance gesetzliche Vorschriften Ergebnis eines parlamentarischen Gesetzgebungsverfahrens und für alle Adressaten des betreffenden Gesetzes verbindlich untergesetzliche Regelungen ( soft law ) füllen die jeweils geltenden gesetzlichen Vorschriften aus sollen durch (mehr oder weniger freiwillige) Selbstbindung der Unternehmen wirksam werden nach ihrer Geltungsreichweite Unterscheidung zwischen generellen Regelwerken für eine bestimmte, größere Gruppe von Unternehmen (z.b. Kodizes wie der Deutsche Corporate Governance Kodex) unternehmensindividuelle Leitlinien 48

49 Systeme der Corporate Governance bestehen aus Elementen rechtlicher und faktischer Natur, die unter-schiedliche Ausprägungen annehmen können Kombination dieser Elemente führt zu spezifischen Arrangements institutioneller Regelungen, die insgesamt die Möglichkeiten der verschiedenen Stakeholder zur Einflussnahme bestimmen rechtliche Systemelemente übergeordnete Zielsetzung des Unternehmens: Shareholder- oder Stakeholder-Orientierung Strukturmerkmale: monistische (Board-System) oder dualistische (Two-Tier-System) Verfassung Verankerung der Arbeitnehmer: Partizipation durch Mitbestimmung oder Ausübung externen Arbeitsmarktdrucks Ausrichtung von Publizität und Prüfung nach dem Marktwert- oder dem Vorsichtsprinzip (US-GAAP bzw. IFRS/IAS vs. HGB) 49

50 Hauptaufgaben der IT-Governance Verfolgung der Ziele & Interessen der Stakeholder (stakeholder value drivers) Ausrichtung der IT an den Unternehmenszielen (strategic alignment) Wertschöpfung (value delivery): Lieferung des versprochenen Nutzens im vereinbarten Zeitraum zu einem angemessenen Preis) Management der Ressourcen (resource management): vorhandene Ressour-cen (z.b.informationssysteme, Infrastruktur, Wissen) sollen effizient einge-setzt werden Risikomanagement (risk management): nicht beschränkt auf Sicherheit, schließt auch Risiken aus Kundenverträgen, Ahängigkeit von der Technolo-gie, den Lieferanten- und Mitarbeiter ein Leistungsmessung (performance management) prüft das Erreichen von stra-tegischen Zielen, IT-Projektzielen, die Leistungsfähigkeit von IT-Prozessen, die Wirtschaftlichkeit von Services, die Effektiviät und Effizienz von Ressourcennutzung Heinrich, L. J., Stelzer, D., Informationsmanagement: Grundlagen, Aufgaben, Methoden, 9. Aufl., Oldenbourg, 2009, S

51 IT Governance: Entscheidungsbereiche IT-Prinzipien Angaben auf höchster Ebene, wie IT im Unternehmen eingesetzt werden soll IT-Architektur die steuernde Logik für Daten, Anwendungen und Infrastruktur, erfasst in einer Reihe von Regeln, Beziehungen & technischen Entscheidungen mit dem Ziel, eine erwünschte geschäftliche oder technische Standardisierung oder Integra-tion zu erreichen IT-Applikationen Festlegung der betriebswirtschaftlichen Erfordernisse für gekaufte oder intern ent-wickelte Anwendungen IT-Investitionen und Priori-sierung Entscheidungen über die Größe der Investitionen und wo diese getätigt werden, IT Infrastruktur beinhalten Projektfreigaben und zentral abgestimmte, gemeinsam genutzte IT- Begründungstechnike n Dienste, welche die Basis für die IT-Fähigkeiten des Unternehmens bilden Weill, P., Ross, J.: IT Governance: How Top Performers Manage IT, Harvard Business School Press, 2004, S. 27, zitert nach Krcmar, H.: Informationsmanagement. 5.Aufl., Springer 2010, S

52 Beurteilung/Messung der Wirksamkeit von IT Governance primär über die Wirkung für das Geschäft Kennzahlen der Geschäftsprozesse Produkt-/Service- und Innovationskennzahlen Kennzahlen zur Nutzenraelisierung unter Einbeziehung IT-interner Kennzahlen Kennzahlen zur operationalen IT-Performanz Kennzahlen zu IT-Prozessen 52

53 IT Governance Models (or Archetypes or Manager Stereotypes) indentify the type of people involved in making an IT decision Business Monarchy - Top managers IT Monarchy - IT specialists Feudal - Each business unit making independent decisions Federal - Combination of the corporate center and the business units with or without IT people involved IT duopoly - IT group and one other group (e.g. top manage-ment or business unit leaders) Anarchy - isolated individual or small groups decision making 1 Weill, P., Ross, J.: IT Governance: How Top Performers Manage IT, Harvard Business School Press,

54 IT Governance: Entscheidungs- & Organisationskonzept Regel- und Organisationswerk für effektive Entscheidungsprozesse (Sicht des Top-Managements, wie IT geführt werden sollte) : Specify the decision rights and accountability framework to encourage desirable behaviour in the use of IT. IT governance reflects broad corporate governance principles, while focusing on the management and use of IT to achieve corporate governance goals. 1 Kernaspekte 1. Definition von Entscheidungsrechten in Verbindung mit der aus den Rechten resultierenden positiven wie negativen ökonomi-schen Haftung (Anreizsteuerung) 2. Berücksichtigung der mehr oder minder komplexen Unter-nehmensstruktur, z.b. zentral vs. dezentral; hierarchisch vs. evolutionär; anarchisch 1 Weill, Performers Manage/ Klaus IT, Harvard P., Ross, J.: IT Governance: How TopChristoph Lauterbach Knopper Business School Press,

55 Beteiligte in IT Governance Archetypen Leitende Angestellte (C-Level) Geschäftsmonarchie Unternehmens-IT Geschäftsbereichsleite und/oder r oder Geschäftsbereich- KerngeschäftsprozessIT verantwortlicher IT Monarchie Feudal Föderal IT Duopoly Anarchie Weill, P., Ross, J.: IT Governance: How Top Performers Manage IT, Harvard Business School Press, 2004, S. 60, zitert nach Krcmar, H.: Informationsmanagement. 5.Aufl., Springer 2010, S

56 IT Governance: Compliance-Konzept IT governance is the responsibility of executives and the board of directors, and consists of the leadership, organisational structures and processes that ensure that the enterprise's IT sustains and extends the organisation's strategies and objectives. * emphasizes the need for assurance about the value of IT, the management of IT-related risks, increased requirements for control over information Value, risk and control constitute the core of IT governance * Kernaspekte: sichere, risikominimierte IT-Betriebsprozesse Grundlage für IT-Prüfungen (IT Controlling, IT Audits) * COBIT 4.1. Framework, Control Objectives, Management Guidelines, Maturity Model, IT Governance Christoph Lauterbach / Klaus Knopper Institute, 2007, p. 5 56

57 Erweitertes Verständnis von Corporate Compliance Einbeziehung des Corporate-Governance-Aspekts des Interessensausgleichs zwischen Anteilseignern bzw. Anspruchsgruppen und Unternehmensleitung Corporate Governance ist der Prozess der Steuerung des Unternehmens zur Sicherstellung eines Interessensausgleichs zwischen den Anspruchsgruppen durch transparente Regeln und Kontrollmechanismen in unternehmerischen Abläufen und Entscheidungen. Der Prozess dient der Sicherstellung des Fortbestands des Unternehmens und unterliegt externer Prüfung. erfordert eine Definition von Corporate Compliance i.s. v. Normbefolgung in sozial komplexen, gewinnorientierten Organisationen Notwendig ist eine Governance von Compliance, also ein Prozess mit Regeln und Kontrollmechanismen, der die Einhaltung des normativen Rahmens sicherstellt Corporate Compliance bezeichnet die Auswahl und Bewertung der für das Unternehmen relevanten Anforderungen und den Zustand der Anforderungs-konformität unter Berücksichtigung verschiedener Anspruchsgruppen des Unternehmens. * vgl. Falk, M., IT-Compliance in der Corporate Governance. Anforderungen und Umsetzung. Springer Christoph Lauterbach / Klaus Knopper Gabler Reasearch (2012), S. 32ff 57

58 IT Compliance IT-Compliance als Teildisziplin der Corporate Compliance wird als Zustand bezeichnet, der durch geeignete Maßnahmen anzustreben ist und somit eine Zielgröße der IT-Governance darstellt. wesentliche Stakeholder externe Prüfer als Vertreter der Interessen der Eigenkapitalgeber Unternehmensleitung IT-Management Definitionen IT-Governance ist ein Prozess der verantwortungsvollen Steuerung von IT, der durch transparente Regeln und Kontrollmechanismen die optimale Unter-stützung der Geschäftsprozesse durch IT sicherstellt. ITGovernance befasst sich mit dem (1) Wertbeitrag der IT, dem (2) ITRisikomanagement und der (3) IT-Compliance. IT-Compliance bezeichnet den Zustand der Anforderungskonformität der IT selbst und die Umsetzung von Anforderungskonformität mit ITUnterstützung. * * Lensdorf, L.: IT-Compliance - Maßnahmen zur Reduzierung vonchristoph Haftungsrisiken für IT-Verantwort-liche, in: Lauterbach / Klaus Knopper CR - Zeitschrift für die Praxis des Rechts der Informationstechnologien, 7/2007, S

59 Rahmenbedingungen für IT-Compliance: Gesetze BDSG 9 (Schutz p ersonenbezogener Daten) * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen undlauterbach Umsetzung. /Springer Gabler Christoph Klaus Knopper Reasearch (2012), S

60 Quellen von IT-Compliance-Vorgaben* Unternehmensinterne Regelwerke Richtlinien Unternehmensexterne Regelwerke Rechtliche Vorgaben Kodizes Hausstandards Gesetze und Rechtsverordnungen Verfahrensanweisungen Rechtsprechung Branchenstandards Service Level Agreements Verwaltungsvorschriften Verbandsstandards Referenzierte Regelwerke Verträge Datenschutzregelungen Bundesdatenschutz gesetz (BDSG) Landesdatenschutz gesetze Betriebsverfassungs gesetz Buchführungs- und Archivierungsregelungen Normen Risikomanagementregelungen Grundsätze ordnungs-mäßiger Buchführungssysteme (GoSS) Gesetz zur Kontrolle und Transparenz im Unterneh-mensbereich (KonTraG) Grundsätze zum Daten-zugriff und zur Prüfbarkeit digitaler Unterlagen (GOPdU ) Sarbanes-Oxley Act (SOX) * Klotz, M., lt-compliance - Ein Überblick., Heidelberg (2009) Basel II Solvency II 60

61 SOX Section 404: Internal Control over Financial Reporting Gesetz plus Auditing Standard (aktuell Auditing Standard 5) Kontrolle durch den Public Company Accounting and Oversight Board (Berufsaufsicht der Wirtschaftsprüfungsgesellschaften) Verschärfung der Strafvorschriften fordert ein effektives Internes Kontrollsystem (IKS) zur Sicher-stellung einer funktionsfähigen Berichterstattung Jahresbericht enthält einen ( Internal Control Report ) über das IKS (ähnlich wie im Lagebericht deutscher Kapitalgesellschaften) Erklärung des Managements zur Effizienz der eingerichteten Kontrollmaßnahmen gemäß Section 302 Bestätigung durch den Vorstand im Rahmen der Certification 61

62 SOX Section 404: Internal Control over Financial Reporting eidesstattliche Erklärung von CEO und CFO korrekte Darstellung der finanziellen Situation des Unternehmens kritische Durchsicht und Prüfung aller veröffentlichungspflichti-gen Berichte Einrichtung und Pflege von Kontrollen Verfahren zur Offenlegung (Disclosure Controls and Procedures) Abschlussprüfer muss Wirksamkeit des IKS attestieren, Bewertung auf der Basis eines anerkannten Rahmenkonzepts (z.b. COSO) gilt für US-amerikanische börsennotierte Unternehmen und deren ausländischen Töchtern in der Praxis vertragliche Festschreibung der SOXVorgaben bei Auf-tragsvergabe US-amerikanischer an ausländische Unternehmen, die nicht von SOX erfasst werden 62

63 8. EU-Richtlinie des Gesellschaftsrechts (Prüferrichtlinie) Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen - 8. EU-Richtlinie des Gesellschaftsrechts, vulgo EuroSOX - Artikel 53: Die Mitgliedstaaten erlassen und veröffentlichen bis zum 29. Juni 2008 die Rechtsvorschriften, die erforderlich sind, um dieser Richtlinie nachzukommen. Ziele: europaweit verpflichtende Wirkung internationaler Prüfungs-standards (ISA) Gleichstellung der Abschlussprüfungen von Unternehmen innerhalb der europäischen Gemeinschaft mit denen der USA 63

64 Standards & Frameworks: Lösungsansätze für IT-Compliance * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen Christoph Lauterbachund / Klaus Knopper Umsetzung. Springer Gabler Reasearch (2012), S

65 Anforderungen an IT Compliance Control Framework Methodische Vorbemerkung (Top-Down-)Analyse der Stakeholder-Anforderungen an die IT-Com-pliance, ausgehend von den Zielen und Aufgaben der Anspruchs-gruppen im Unternehmen, oder (Botttom up) Analyse der gesetzlichen Anforderungen? Vorteile der Top-Down-Analyse ermöglicht die direkte Zuordnung von Maßnahmen, Zielen und Auf-gaben zu den Aufgabenträgern adressiert das Problem der Wahrnehmung und Unterstützung (comitt-ment) der IT-Compliance konzeptionell und und inhaltlich konkretere Anforderungen (Rechts-normen häufig unkonkret formuliert) regulatorische Anforderungen stellen externe Faktoren dar und wer-den so berücksichtigt * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen Christoph Lauterbach /und Klaus Knopper Umsetzung. Springer Gabler Reasearch (2012), S

66 Anforderungen: Eigenkapitalgeber und Prüfer Eigenkapitalgeber implementieren Interne Kontrollsysteme (IKS) zum Management der Risiken aus der PrinzipalAgenten-Beziehung Wirtschaftsprüfer sind Erfüllungsgehilfen der Eigenkapitalgeber, indem sie wesentliche Teile der Kontrollaufgaben übernehmen schwache Rechtsposition der Eigenkapitalgeber: es gibt keinen gesetzlich fest-gelegter Anspruch auf Rückzahlung des eingesetzten Kapitals hat zu Vorschriften im Kapitalmarkt- und Aktienrecht geführt, die dem Anlegerschutz und der Funktionsfähigkeit der Kapital-märkte dienen Vorschriften fordern im Kern ein IKS, das frühzeitig bestands-gefährdende Risiken und damit einen (Total-) Verlust der Ein- lagen erkennen soll 66

67 Kernfunktionen des IKS aus Sicht der Eigenkapitalgeber 1. Fernhalten von Risiken (z. B. in Form von Sanktionen oder Ruf-schädigungen) durch eine präventiv wirkende und die Haftungs-risiken minimierende Unternehmensorganisation (Risikobegren-zungsfunktion) 2. Sicherstellen der Transparenz in unternehmerischen Abläufen und Informationsversorgung der Entscheidungsträger (allgemeine Informationsfunktion) 3. Überwachung der Unternehmensorganisation durch das Management Überwachung des Managements durch die Anteilseigner (Top-Down) und Arbeitnehmer (BottomUp). 4. Erzeugung von Informationen, die Stellung und Ansehen des Unternehmens positiv beeinflussen (Marketingfunktion) 67

68 Anforderungen: Eigenkapitalgeber und Prüfer Anforderung an ein unternehmensweites IKS zur Risikosteuerung für Eigenkapitalgeber Implementierung eines Risikomanagementprozesses mit dem Ziel, das Risiko des Teil- oder Totalverlust der Eigenkapitaleinlage aktiv zu managen Prozessphasen: 1. Risikoidentifikation, 2. Risikoanalyse/-bewertung, 3. Risikohandhabung und 4. Risikoüberwachung. Einbeziehung des Managements von IT-Risiken 68

69 Anforderungen an das IT Compliance Framework Risikoorientierter Ansatz für das Management von ITRisiken: Das Control-Framework initiiert einen iterativen Prozess zur Steuerung der sich aus dem Einsatz und der zunehmenden Abhängigkeit von IT ergebenden Risiken Ausrichtung an etablierten Best-Practices und Marktstandards: Das Control-Framework richtet sich methodisch und inhaltlich an etablierten Standards und Frameworks aus. Überprüfung durch externe Kontrolle: Die Maßnahmen des Control-Frameworks eignen sich für eine Überprüfung durch unabhängige Dritte. konkrete Anforderungen an die Ausgestaltung eines IKS in Bezug auf IT ergeben sich aus den berufsständischen Rege-lungen und Standards der Wirtschaftsprüfer 69

70 Gesetzliche Grundlagen der Wirtschaftsprüfung Beurteilung der Überwachungssysteme (Risikomanagementprozesse, Risikofrüherkennungs- und IT-Systeme) durch den Abschlussprüfer im Rahmen der Jahresabschlussprüfungen nach 317 Abs. 4 HGB dabei Beurteilung des Aufbau, der Angemessenheit und Funktion des Risikomanagements Checkliste nach IDW PS 330* umfasst über 100 Fragen für die Prüfung der IT-Systeme * Prüfungsstandard des Institutes der Wirtschaftsprüfer (IDW), s.u. 70

71 IT-relevante Prüfungsstandards Konkretisierung der Anforderungen an die Rechnungslegung aus Sicht der Wirtschaftsprüfer durch das Institut der Wirtschaftsprüfer (IDW) IDW RS FAIT 1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie IDW RS FAIT 2: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce IDW RS FAIT 3: Grundsätze ordnungsmäßiger Buchführung bei Einsatz elektronischer Archivierungsverfahren IDW PS 330: Abschlussprüfung beim Einsatz von Informations-technologie Aussagen zur risikoorientierten Prüfung im Zusammenhang mit dem Einsatz von IT 71

72 Abschlussprüfung Buchhaltung und Jahresabschluss können aufgrund des verstärkten IT-Einsatzes nicht als isolierte und eindeutig abgrenzbare Unter-nehmensfunktion betrachtet werden: hochintegrierte IT-Systeme decken weite Teile der rechnungs-legungsrelevanten Geschäftsprozesse ab sind somit Basis für die Informationen der Rechnungslegung. auch gemäß den Grundsätzen ordnungsgemäßer DVgestützter Buchführungssysteme (GoBS) kann es ohne ein funktionsfähiges IKS kein ordnungsgemäßes Buchführungssystem geben ist ohne ein funktionsfähiges IKS der Jahresabschluss mit hoher Wahrscheinlichkeit fehlerbehaftet 72

73 Abschlussprüfung Beurteilung der Ordnungsmäßigkeit der Rechnungslegung durch den Abschlussprüfer beleghaften Prüfungsmethode indirekt über die Ordnungsmäßigkeit der ITgestützten Buch-führungsprozesse Wirksamkeit der IT-bezogenen Kontrollen Zwingende Verpflichtung zur IT-Prüfung richtet sich u.a.* nach der Wesentlichkeit des IT-Systems für die Rechnungslegung bzw. für die Beurteilung dessen Ordnungsmäßigkeit Komplexität des eingesetzten IT-Systems Grad der Integration der IT-Lösung vgl. z.b. PS 260 IDW 73

74 Frameworks zur Gestaltung des IKS: COSO Kernfunktion des IKS: unternehmensweites Risikomanagement, ein Pro-zess, der von den Überwachungsorganen, der Geschäftsleitung, dem operati-ven Management und den Mitarbeitern im Unternehmen bewirkt wird und dazu bestimmt ist, mögliche Ereignisse mit Einfluss auf das Unternehmen zu identifizieren und Risiken im Rahmen der Risikoeinstellung zu handhaben, um das Erreichen der Unternehmensziele mit hinreichender Sicherheit zu unter-stützen Ziele des IKS 1. Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit 2. Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung 3. Einhaltung von Gesetzen und Vorschriften Anforderungen an das IT Compliance Framework Das Control-Framework richtet sich an übergeordneten Methoden und Rahmenwerken des Risikomanagements (COSO Enterprise Risk Management) aus. 74

75 Internes Kontrollsystem: Struktur * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen und Umsetzung. Springer Christoph Lauterbach / KlausGabler Knopper (2012), S. 60 Reasearch 75

76 Enge Verbindung von Geschäftsprozessen und IT-Unterstützung IT-Systemprüfung nach IDW PS 330 Anforderung an das Control Framework * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen undlauterbach Umsetzung. /Springer Gabler Christoph Klaus Knopper Reasearch (2012), S

77 Prüfanforderung: Integrierte Risikobetrachtung Das Control-Framework befasst sich mit den Teilbereichen IT-gestützte Geschäftsprozesse IT-Anwendungen IT-Infrastruktur und beachtet deren Verknüpfungen untereinander. Risiken im Zusammenhang mit der Ausgestaltung der ITSysteme (IT-Fehlerrisken) inhärente Risiken (= Wahrscheinlichkeit, dass ein wesentlicher Fehler bei nicht vorhandenen internen Kontrollen auftritt) Kontrollrisiken (= Wahrscheinlichkeit, dass es ein IKS gibt, dieses aber wesentliche Fehler nicht verhindert oder aufdeckt) 77

78 Anforderungen: Grundsätze ordnungsmäßiger Buchführung HGB und die Grundsätze ordnungsmäßiger Buchführung (GoB) defi-nieren allgemeine Anforderungen an Buchführungsverfahren, die prinzipiell auch von IT-gestützten Verfahren erfüllt werden können Weiterentwicklung der GoB in Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme (GoBS) IDW RS FAIT 1: Prüfungsgrundlage für die IT-gestützte Buchführung: inhaltliche Überschneidungen mit den GoBS, aber zusätzlich technische und organisatorische Anforderungen des Informationssicherheitsmanagements (ISM) ISM-Prüfanforderungen aus IDW RS FAIT 1: Vertraulichkeit, Integrität und Verfügbarkeit der IT im Unternehmen Autorisierung: nur vorab festgelegte Personen dürfen auf Daten zugreifen 78

79 ISM-Prüfanforderungen aus IDW RS FAIT1 (Forts.) Authentizität: Geschäftsvorfälle sind einem Verursacher eindeutig zuzuordnen Verbindlichkeit: gewollte Rechtsfolgen können bindend herbeigeführt werden Schutz von Hard- und Software sowie gespeicherten Daten, primär durch Schaffung eines sicheren räumlichen Umfelds logische Zugriffskontrollen: Schutz gespeicherter Daten vor unberechtigtem Zugriff durch eindeutige Identifizierung und Authentifizierung) Datensicherung und Auslagerungsverfahren: Schutz der Daten vor Verlust durch Zerstörung, Beschädigung und Manipulation vor allem durch geeignete Backup-Verfahren, digitale Signaturverfahren Nachvollziehbarkeit der Buchführung für sachverständige Dritte die angewandten IT-Rechnungslegungsverfahren die technische Systemdokumentation die Freigabeverfahren für Programmänderungen (Updates) 79

80 Prüfung von Dienstleistern (Outsourcing) IT-Prüfung der Dienstleister in zwei Teilbereichen anwendungsunabhängigen Controls (IT General Controls, ITGC) anwendungsbezogenen Controls (IT Application Controls). inhaltlicher Schwerpunkt der anwendungsunabhängigen Controls (z.b. in CobiT) sind Strukturen und Prozessen in der IT, z.b. Change Management, Incident Management, Backup und Recovery usw.) anwendungsabhängige Controls: automatisierte und in den Pro-grammablauf integrierte Kontrollen, z.b. Überprüfung der Validität der eingegebenen Daten Überwachung der Vollständigkeit der Dateneingabe 80

81 Control Objectives und Controls deklarativ formulierte Transformationen (abstrakter) Anforderun-gen für die operative Umsetzung als erste Konkretisierung abstrakter Anforderungen Grundlage für die Gestaltung unternehmensspezifischer Prozesse/ Anweisungen Control Objectives definieren das übergeordnete Ziel der Aktivitäten in einem be-stimmten Bereich. beschreiben deklarativ die ordnungsgemäße Ausführung eines IT-Prozesses (ohne den Prozess zu spezifizieren) Controls (oder Control Descriptions) brechen die Anforderung inhaltlich herunter 81

82 Anforderungen der Unternehmensleitung Beweislast für die Wahrnehmung der allgemeinen Sorgfaltspflich-ten nach 93 Abs. 1 AktG, 43 GmbHG, 347 HGB liegt beim Vor-stand Anforderung: Das Control-Framework ist Ausgangspunkt für ein IT-Managementsystem, das nachweis-bar die Erfüllung relevanter Pflichten des Vorstands bezüglich der IT dokumentiert. lässt sich in übergeordnete Risikomanagementprozesse des Unternehmens einordnen. richtet sich inhaltlich an etablierten Standards und Referenz-modellen aus und dokumentiert damit die Umsetzung ange-messener Best-Practices. 82

83 Verantwortung und Delegation Aufgabenteilung ist nicht möglich, wenn die Aufgabe in die Gesamtverantwortung der Unternehmensleitung fällt oder per Gesetz bestimmten Mitgliedern der Unternehmensleitung zugewiesen ist haftungserleichternde Delegation/Aufgabenverteilung nur bei Überschneidungsfreiheit der Aufgaben Anforderung: Das Control-Framework basiert auf einer überschneidungsfreien Delegation von ITbezogenen Aufgaben und Verantwortlichkeiten und dokumentiert eine sachdienliche Funktionstrennung innerhalb des Unternehmens. 83

84 Grundformen der Delegation von Aufgaben im Unternehmen * Falk, M., IT-Compliance in der Corporate Governance. Anforderungen und Umsetzung. Springer Christoph Lauterbach / KlausGabler Knopper Reasearch (2012), S

85 GoBS: Ordnungsmäßigkeitskriterien ( 238, 2389 HGB) Vollständigkeit: Alle rechnungslegungsrelevanten Geschäftsvorfälle werden einzeln erfasst und einzeln verbucht. Richtigkeit: Die Belege und Bücher entsprechen den tatsächlichen Verhältnissen. Zeitgerechtheit: Die Geschäftsvorfälle werden zeitnah und periodengerecht verbucht. Ordnung: Buchungen werden sachlich und zeitlich ordentlich dargestellt. Nachvollziehbarkeit: Ein sachverständiger Dritter kann sich in angemessener Zeit ein Bild über die Geschäftsvorfälle und die Rechnungslegung machen und daraus auf die Lage des Unternehmens schließen. Unveränderlichkeit: Einmal durchgeführte Eintragungen dürfen nur verändert werden, wenn der ursprüngliche Eintrag und die durchgeführte Änderung erkennbar ist. 85

86 GoB & GoBS -Anforderungen (Zusammenfassung) Das Control-Framework beinhaltet manuelle und automatische Controls für rechnungslegungsrelevante IT-Systeme, um die Vollständigkeit und sachliche Richtigkeit der Datenverarbeitung zu gewährleisten. Basis für das Control-Framework sind überschneidungsfreie Zuständigkeiten und Verantwortungsbereiche für die betrieblichen Funktionen unter Beachtung der Prinzipien der Funktionstrennung. Das Control-Framework stellt sicher, dass alle Arbeitsabläufe und Prozesse in der IT detailliert definiert und dokumentiert sind. Die Durchführung der Kontrollen (manuell und automatisiert) wird für unabhängige Dritte nachvollziehbar dokumentiert. Im Control-Framework werden für die rechnungslegungsrelevanten IT-Systeme im Bezug auf die verarbeiteten Daten die grundlegenden Sicherheitsanforderungen Verfügbarkeit, Integrität und Vertraulichkeit im Sinne eines aktiven Informationssicherheitsmanagements erfüllt. 86

87 IT-Management-Anforderungen an ein Control Framework Das IT-Management unter der Leitung eines Verantwortlichen für die Ressource Information ist für die inhaltliche Ausgestaltung der Maß-nahmen zur Erreichung von IT-Compliance verantwortlich Anforderung: Das Control-Framework enthält Elemente eines integrieren Management-systems zur IT-Sicherheit. Integrierte Informationssicherheitsmanagementsysteme (ISMS) beinhalten: technischen Schutzmaßnahmen organisatorische Regelungen zur Sicherung der Ressource Information die IT ist in Einklang mit dem Unternehmen, seiner Strategie und seinen Zielen zu gestalten (Business-IT-Alignment) negative Effekte von IT-Compliance-Investitionen auf die Leistungs-fähigkeit und den Wertbeitrag der IT 87

88 Elemente des Informationssicherheitsmanagements im IKS Prinzip der Transparenz: Außenstehenden müssen beurteilen können, inwieweit Beteiligte konform zu dokumentierten Sollkonzepten für Prozesse arbeiten Dokumentation der Erwartungshaltung der Organisationsleitung Prinzip der Vier Augen: keine Person darf alleine verantwortlich für einen Prozess sein fachlich geeignete Personen müssen Vorgänge bearbeiten: Ausschalten von Abweichungen und Kontrollschwächen Verfügungen über das Vermögen des Unternehmens dürfen nicht durch Einzelne getroffen werden Prinzip der Funktionstrennung: Trennung zwischen Auftragserfüllung (operative Verantwortung) und Auftragskontrolle (Soll-Ist-Vergleich) Prinzip der Mindestinformation: für Mitarbeiter sollen nur diejenigen Informationen verfügbar sein, die sie für ihre Arbeit brauchen 88

89 Standardisierung von IT-Prozessen Standardisierung der Leistungserbringung der IT vereinfacht die Einführung von Controls Orientierung Unternehmen an bestehenden Frameworks des IT-Service-Managements (z.b. ITIL) Anforderung Das Compliance-Framework baut auf standardisierten IT-Prozessen auf und fordert die Standardisierung der IT-Prozesse ein. Prozessüberwachung Vielzahl von regulatorischen, inhaltlich überlappenden Anforderungen erfordert Konsolidierung der inhaltlichen Anforderungen auf Basis von Sammlungen etablierter Controls z.b. aus COBIT) 89

90 Einbettung von Controls in Geschäfts- und IT-Prozesse organisatorische Einbettung erfordert Schaffung geeigneter personeller Strukturen Schaffung einer Instanz, die die Umsetzung unabhängig überprüft Umsetzung in einem Rollenkonzept Zusammenfassung bestimmte Stellenmerkmale (wie Aufgaben-, Verantwortungs- und Kompetenzbereiche) zu Rollen Rolle: kleinste Organisationseinheit in der Ablauforganisation eine Person kann mehrere Rollen ausfüllen, mehrere Personen können die gleiche Rolle einnehmen Anforderung Das Control-Framework ordnet alle Aufgaben und Verantwortlichkeiten Aufgabenträgern auf Basis eines Rollenkonzepts zu. 90

91 Mitarbeiter als Erfüllungsgehilfen übernehmen im Rahmen der vertikalen Delegation Verantwortung für wesentliche Aufgaben im Unternehmen werden so zu einer potenzielle Bedrohung für die Interessen des Unternehmens und zum Objekt interner Kontrollmechanismen Einschränkungen der Kontrollmöglichkeiten im Rahmen des IKS Bundesdatenschutzgesetz (BDSG), Betriebsverfassungsgesetz (BetrVG), Telekommunikationsgesetz und Grundgesetz Persönlichkeitsrechte der Mitarbeiter betriebliche Mitbestimmung umfassende Güter- und Interessenabwägung unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit 91

92 COBIT 5 formerly known as Control Objectives for Information and related Technology (COBIT), now used only as the acronym in its fifth iteration a complete, internationally accepted framework for governing and managing enterprise information and technology (IT) that supports enterprise executives and management in their definition and achievement of business goals and related IT goals 92

93 COBIT 5 Principles integrating IT governance into enterprise governance Efficient and effective governance and management of enterprise IT COBIT ISO ISO

94 COBIT 5: Stakeholder Orientation (Principle 1) Enterprises exist to create value for their stakeholders value creation as a governance objective Value creation: realising benefits at an optimal resource cost while optimising risk 94

95 COBIT 5 Goals Cascade Stakeholder needs are influenced by a number of drivers, e.g., strategy changes, changing business and regulatory environment, and new technologies Stakeholder Needs and Enterprise Goals Enterprise Goals Detailed Mapping Enterprise Goals IT-related Goals IT-related Goals Detailed Mapping ITrelated Goals ITrelated Processes 95

96 Enterprise Goals a set of generic enterprise goals developed using the balanced scorecard (BSC) dimensions represent a list of commonly used goals that an enterprise may define for itself most enterprise-specific goals can be mapped onto one or more of the generic enterprise goals 17 generic enterprise goals complemented by the following information: the BSC dimension under which the enterprise goal fits the relationship to the three main governance objectives (benefits realisation, risk optimisation, resource optimisation) classifiaction of the relationship: primary ( P ); secondary ( S ), i.e., a less strong relationship 96

97 Enterprise Goals 97

98 Enterprise Goals and Governance/Management Questions 98

99 IT Goals and Enabler Goals IT Goals IT-related outcomes - represented by the IT-related goals - required to achieve enterprise goals IT-related goals are structured along the dimensions of the IT Balanced Scorecard (IT BSC) 17 IT-related goals along with a mapping table between IT-related goals and enterprise goals showing how each enterprise goal is supported by a number of IT-related goals Governance Enabler the organisational resources (e.g. structures; processes; enterprise resources) through or towards which action is directed and objectives can be attained Enabler Goals a set of specific relevant goals for each enabler (e.g. IT processes) in support of the IT-related goals 99

100 IT-related Goals 100

101 Mapping of Enterprise Goals to IT-related Goals (example) 101

102 Mapping of IT-related Goals to IT-related Processes 102

103 COBIT 5: Covering the Enterprise End-to-end 103

104 COBIT 5: Single Integrated Framework (Principle 3) 104

105 COBIT 5 Enablers (Holistic Approach, Principle 4) factors that, individually and collectively, influence whether IT Governance and IT Management will work 105

106 COBIT 5 Enablers (Holistic Approach, Principle 4) Principles, policies and frameworks translate the desired behaviour into practical guidance for day-to-day management Processes describe an organised set of practices and activities to achieve certain objectives and produce a set of outputs in support of achieving overall IT-related goals Organisational structures are the key decision-making entities in an enterprise. Culture, ethics and behaviour of individuals and of the enterprise are a success factor in governance and management activities. Information includes all information produced and used by the enterprise. Services, infrastructure and applications include the infrastructure, technology and applications that provide the enterprise with information technology processing and services. People, skills and competencies are required for successful completion of all activities, making correct decisions and taking corrective actions. 106

107 COBIT 5 Enabler Dimensions All COBIT 5 enablers have a set of common dimensions: 107

108 Enabling Information: COBIT 5 Professional Guide provides a structured way of thinking about information governance and management issues concerning information structure can be applied throughout the life cycle of information, from conception and design, through building information systems, securing information, using and providing assurance over information, and to the disposal of information. common information governance and management issues addressed: Big data Master data management Information disintermediation Privacy 108

109 Enabling Information: COBIT 5 Professional Guide: information issues and challenges addressed: disparate, uncoordinated data sets are implicated in increasing cost and risk from missed project deadlines, lack of transparen-cy and operational failures records management, legal and IT organizations need a common base reference to coordinate activities, because records retention and legal discovery are of growing concern and cost to managers, and security classifications overlap with record classifications appropriate practices to comply with relevant global and regional legislation and regulatory and compliance requirements 109

110 COBIT 5 Enabler: Services, Infrastructure and Applications 110

111 Services, Infrastructure and Applications: Good Practices includes the definition of architecture principles, i.e. overall guide-lines that govern the implementation and use of ITrelated resources Examples of potential architecture principles: Reuse: common components of the architecture should be used when designing and implementing solutions Buy vs. build: solutions should be purchased unless there is an approved rationale for developing them internally Simplicity: the enterprise architecture should be designed and maintained to be as simple as possible Agility: the enterprise architecture should incorporate agility to meet changing business needs in an effective and efficient way Openness: the enterprise architecture should leverage open industry standards 111

112 Services, Infrastructure and Applications: Good Practices further includes the enterprise s definition of the most appropriate architecture view-points to meet the needs of different stakeholders (to be discussed later) having an architecture repository, which can be used to store different types of architectural outputs, including architecture principles and standards architecture reference models, and other architecture deliverables the building blocks of services such as: applications, providing business functionality technology infrastructure, including hardware, system software and networking infrastructure physical infrastructure Service levels that need to be defined and achieved by service providers 112

113 COBIT 5: Separating Governance From Management In the COBIT 5 process model a distinction is made between governance and management processes, including specific sets of practices and activities for each. 113

114 Grundkonfiguration der IT Fragestellung: welche Konfiguration ist im Sinn der IT-Governance-Prinzipien vor dem Hintergrund der Gegebenheiten die effektivste? Effektivität im Wesentlichen bestimmt durch Zentralisierungsgrad der IT: Grad der Zusammenfassung von IT-Funktionen in einer Organisationseinheit Externalisierungsgrad der IT: Eigentumsstruktur oder Grad des Outsourcings Reifegrad der IT: Grad der Formalisierung von Prozessen innerhalb der IT-Funktionen, oder Grad der Professionalisierung der IT-Funktion 114

115 Reifegrad der IT wesentliche Gradmesser für den Zustand der Aufbauorganisation niedriger Formalisierungsgrad bedeutet Prozesse sind nicht dokumentiert fehlende Evaluation der notwendigen Mitarbeiterkompetenzen für die effiziente Bewältigung anfallenden Aufgaben damit keinerlei Basis für die Steuerung von Prozessen, Normen, keine Mechanismen der Marktkoordination (Outsourcing) IT-Leistungen können nicht definiert werden damit keine Abrechnungsgrundlage für extern bezogene IT-Leistungen je höher der Reifegrad, desto mehr organisatorische Möglichkeiten 115

116 Organisationsstruktur und Reifegrad 116

117 COBIT 5: Process Capability Model (Maturity Model) 0 Incomplete process: The process is not implemented or fails to achieve its process purpose. At this level, there is little or no evidence of any systema-tic achievement of the process purpose 1 Performed process : The implemented process achieves its process purpose. 2 Managed process: The performed process is implemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained. 3 Established process: The managed process is implemented using a defined process that is capable of achieving its process outcomes. 4 Predictable process: The established process operates within defined limits to achieve its process outcomes. 5 Optimising process: The predictable process is continuously improved to meet relevant current and projected business goals. 117

118 COBIT 5 Process Capability Model (Maturity Model) compliance with ISO ISO/IEC Software Engineering Process Assess-ment inclusion of relevant enablers other then processes elimination of process maturity attributes in other COBIT components, i.e. process descriptions and process controls: ISO/IEC prohibits the previous COBIT approach of a specific maturity model per process included with the detailed process contents instead, the information required in the process reference model (the process model to be used for the assessment) is limited to process description, with the purpose statements base practices (governance or management practices in COBIT 5) work products (inputs and outputs in COBIT 5) 118

119 COBIT 5: Enabling Processes 119

120 COBIT 5 Enabler: Processes Stakeholder internal stakeholders and their responsibility levels are documented in charts that show who is responsible, accountable, consulted or informed (RACI) external stakeholders include customers, business partners, shareholders and regulators Goals are defined as a statement describing the desired outcome of a process part of the goals cascade, i.e., process goals supporting IT-related goals, which in turn support enterprise goals 120

121 Domains, Processes, Activities Business Requirements IT Processes IT Resources Domains Processes Activities or Tasks Natural grouping of processes, often matching an organisational domain of responsibility A series of joined activities with natural control breaks Actions needed to achieve a measurable result activities have a life cycle, whereas tasks are discrete 121

122 COBIT 5: Extended Process Model 122

123 COBIT 5 Process Reference Guide Contents 123

124 COBIT 5 Process Reference Guide Contents For each process the following information is included Process identification: Process label: domain prefix and process number Process name: short description, indicating the main subject of the process Area of the process Governance or management Domain name Process description: an overview of what the process does and a high-level overview of how the process accomplishes its purpose Process purpose statement: a description of the overall purpose of the process 124

125 COBIT 5 Process Reference Guide Contents Goals cascade information reference and description of the IT-related goals that are primarily supported by the process metrics to measure the achievement of the IT-related goals Process goals and metrics: a set of process goals and a limited number of example metrics 125

126 COBIT 5 Process Reference Guide Contents For each Key Management Practice of each Process the following information is included: RACI chart: a suggested assignment of level of responsibility for process practices to different roles and structures Levels of involvement: R(esponsible): refers to the roles taking the main operational stake in fulfilling the activity and creating the intended outcome A(ccountable): assigns the overall accountability for getting the task done broken down as far as possible: role as the lowest appropriate level of accountability does not indicate that the role has no operational activities C(onsulted): key roles that provide input I(nformed): roles who are informed of the achievements and/or deliverables of the task 126

127 COBIT 5 RACI Chart 127

128 COBIT 5 Process Reference Guide Contents Detailed description of the process practices Practice title and description Practice inputs and outputs, with indication of origin and destination Process activities, further detailing the practices Inputs and Outputs (at the level of the governance and manage-ment practices) 128

129 COBIT 5 Process Practices, Inputs and Outputs the details: 129

130 COBIT and ITIL V3, 2011Processes DSS01 Manage operations DSS02 Manage Service Requests & Incidents DSS05 Security Services DSS06 Business Process Controls DSS03 Manage Problems DSS04 Manage Continuity COBIT 5 Deliver, Service and Support more details in Event Management Incident Management Access Management ITIL Service Operation, p.57 Request Fulfilment Problem Management ITIL V3, 2011 Service Operation 130

131 COBIT 4.1: DS 8.2 Assurance Steps 1. Confirm that processes and tools are in placeto register customer queries, status, and actionstowards resolution 2. Assess how completely and accurately this repository is maintained 3. Confirm that the process includes workflow for the handling and escalation of customer queries 4. Review a sample of open and closed customer queries to check compliance with the process and service committments 131

132 Value and Risk Drivers (Control Practices & Assurance Steps) DS 8.2 Value drivers efficient solving of incidents in a timely manner added value for end users accountability for incident solving DS 8.2 Risk drivers not all incidents tracked prioritisation of incidents failing to reflect business needs incidents not solved in a timely manner 132

133 COBIT to ITIL V3, 2011 Mappings ( Related Guidance ) COBIT 5 ITIL V DSS 01 Manage operations Service Operation, 4.1 Event Management DSS 02 Manage Service Requests and Incidents Service Operation, 4.2 Incident Management Service Operation, 4.3 Request Fulfilment DSS 03 Manage Problems Service Operation, 4.4 Problem Management DSS 04 Manage Continuity Service Design, 4.6 IT Service Continuity Management DSS 05 Security Services DSS 06 Business Process Controls Service Operation, 4.5 Access Management - 133

134 COBIT 5 and ISACA Legacy Frameworks integrates knowledge previously dispersed over different frameworks COBIT, Val IT, Risk IT, BMIS Busines Modell for Information Security) (see COBIT 5, Appendix A, p or OLAT / Materialordner / Materialien for the reproduction) complements this content with areas needing further elaboration and updates aligning to other relevant standards and frameworks (ITIL, ISO standards, ) 134

135 Val IT Domains and Processes 135

136 VALIT 2.0 COBIT 5 VAL IT 2.0 and COBIT 5 Process Models EDM 01 Ensure governance framework setting and maintenance EDM 02 Ensure benefits delivery EDM 05 Ensure stakeholder transparency EDM 03 Ensure risk optimisation Evaluate, Direct and Monitor APO 01 Manage the IT mgmt. framework APO 02 Manage strategy APO 06 Manage budget and costs VG 1 Establish informed & committed leadership VG 2 Define and implement processes VG 3 Define portfolio characteristics VG 5 Establish effective governance monitoring VG 6 Continuously improve value management practices EDM 04 Ensure resource optimisation Align, Plan and Organise VG 4 Align & integrate value mgmt. with enterprise financial planning Value Governance 136

137 VALIT 2.0 COBIT 5 VAL IT 2.0 and COBIT 5 Process Models APO 05 Manage portfolio APO 07 Manage human resources PM 1 Establish strategic direction and target investment mix PM 2 Determine the availability and sources of funds PM 5 Monitor and report on investment portfolio performance PM 6 Optimise investment portfolio performance Align, Plan and Organize PM 3 Manage the availability of human resources. PM 4 Evaluate and select programs to fund Portfolio Management 137

138 VALIT 2.0 COBIT 5 VAL IT 2.0 and COBIT 5 Process Models APO 05 Manage portfolio BAI 01 Manage programs and projects IM 1 Develop and evaluate the initial program IM 5 case business Develop the detailed candidate program IM 9 business case Monitor and report on the program Align, Plan and Organise IM 2 Understand the candi-date program & implementation options IM 6 Launch and manage the program IM 10 Retire the program Build, Acquire and Implement IM 3 Develop the program plan IM 7 Update operational IT portfolios IM 4 Develop full lifecycle costs and IM 8 benefits Update the business case Investment Manageme 138

139 Risk IT Components: Domains and Processes Domain Risk Governance RG1: Establish & Maintain a Common Risk View RG2: Integrate with ERM RG3: Make Risk-aware Business Decisions Domain Risk Response RR1: Articulate Risk RR2: Manage Risk RR3: React to Events Domain Risk Evaluation RE1: Collect Data RE2: Analyse Risk RE3: Maintain Risk Profile 139

The Business Value of IT The IT Productivity Paradox Master Course

The Business Value of IT The IT Productivity Paradox Master Course Folien Stand 8.10.2015 The Business Value of IT The IT Productivity Paradox Master Course Information Management Winter 2015/2016 1 Business Value of IT Business Value of IT (Konzept) : BV (IT) = Business

Mehr

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis E-Gov Fokus Geschäftsprozesse und SOA 31. August 2007 Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis Der Vortrag zeigt anhand von Fallbeispielen auf, wie sich SOA durch die Kombination

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Projektrisikomanagement im Corporate Risk Management

Projektrisikomanagement im Corporate Risk Management VERTRAULICH Projektrisikomanagement im Corporate Risk Management Stefan Friesenecker 24. März 2009 Inhaltsverzeichnis Risikokategorien Projekt-Klassifizierung Gestaltungsdimensionen des Projektrisikomanagementes

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena http://www.im.uni-jena.de Contents I. Learning Objectives II. III. IV. Recap

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

ITIL & TOGAF die Doppelspitze für IT Governance

ITIL & TOGAF die Doppelspitze für IT Governance 1 ITIL Day 2014 ITIL & TOGAF die Doppelspitze für IT Governance Referenten: Arif Chughtai, Matthias Gessenay 2 Referenten Arif Chughtai mail@arifchughtai.org www.arifchughtai.org Matthias Gessenay matthias.gessenay@corporatesoftware.ch

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Labour law and Consumer protection principles usage in non-state pension system

Labour law and Consumer protection principles usage in non-state pension system Labour law and Consumer protection principles usage in non-state pension system by Prof. Dr. Heinz-Dietrich Steinmeyer General Remarks In private non state pensions systems usually three actors Employer

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Unternehmenspräsentation. 2007 Raymon Deblitz

Unternehmenspräsentation. 2007 Raymon Deblitz Unternehmenspräsentation 2007 Raymon Deblitz Der zukünftige Erfolg vieler Unternehmen hängt im Wesentlichen von der Innovationsfähigkeit sowie von der Differenzierung ab Vorwort CEO Perspektive Anforderungen

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Best Practise in England. Osnabrücker Baubetriebstage 2012. Yvette Etcell LLB Business Development & HR

Best Practise in England. Osnabrücker Baubetriebstage 2012. Yvette Etcell LLB Business Development & HR Hochschule Osnabrück University of Applied Sciences Investors in People Best Practise in England Yvette Etcell LLB Business Development & HR Gavin Jones Ltd., UK Osnabrücker Baubetriebstage 2012 Die Seminarunterlagen

Mehr

Human Capital Management

Human Capital Management Human Capital Management Peter Simeonoff Nikolaus Schmidt Markt- und Technologiefaktoren, die Qualifikation der Mitarbeiter sowie regulatorische Auflagen erfordern die Veränderung von Unternehmen. Herausforderungen

Mehr

AnyWeb AG 2008 www.anyweb.ch

AnyWeb AG 2008 www.anyweb.ch Agenda - BTO IT heute Was nützt IT dem Business? Die Lösung: HP Software BTO Q&A IT heute Kommunikation zum Business funktioniert schlecht IT denkt und arbeitet in Silos und ist auch so organisiert Kaum

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Einfluss von Zielsetzung und Incentives auf Kultur am Beispiel von Hilti

Einfluss von Zielsetzung und Incentives auf Kultur am Beispiel von Hilti SGO Themenabend Zürich, 10.09.2015 Franz Wirnsperger, Managing Director Einfluss von Zielsetzung und Incentives auf Kultur am Beispiel von Hilti Chair of Controlling / Performance Management Hilti Lab

Mehr

Der Mar a k r e k t e i t ng Bo B ost s e t r

Der Mar a k r e k t e i t ng Bo B ost s e t r Der Marketing Booster Inhaltsverzeichnis Seite Performancesteigerung durch den Marketing Booster 3 Die Entwicklung des Marketing Boosters 7 Planen und Steuern durch den Marketing Booster 12 Beispiele für

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

Measure before you get measured!

Measure before you get measured! Measure before you get measured! Controlling Live Communication Zürich, 19. Juni 2014 Polo Looser, HQ MCI Group Vizepräsident Strategie & Consulting CMM, EMBA HSG, BsC Board www.faircontrol.de Uebersicht

Mehr

Creating your future. IT. αacentrix

Creating your future. IT. αacentrix Creating your future. IT. αacentrix We bring IT into Business Context Creating your future. IT. Wir sind eine Strategie- und Technologieberatung mit starkem Fokus auf die IT-Megatrends Cloud, Mobility,

Mehr

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten?

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten? Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

Project Management Office (PMO)

Project Management Office (PMO) Project Management Office (PMO) Modeerscheinung oder organisatorische Chance? Stefan Hagen startup euregio Management GmbH, Januar 2007 Einleitung Dem professionellen Management von Projekten und Programmen

Mehr

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung Ralf Heib Senior Vice-President Geschäftsleitung DACH IT-Beratung: Vom Geschäftsprozess zur IT-Lösung www.ids-scheer.com Wofür steht IDS Scheer? Wir machen unsere Kunden in ihrem Geschäft erfolgreicher.

Mehr

IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap

IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap Ernst Tiemeyer, IT-Consulting AGENDA IT-Governance Herausforderungen und Zielsetzungen im Überblick Zentrale IT-Steuerung Bereiche/Handlungserfordernisse

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Leibniz Universität Hannover Services Juni 2009. PwC

Leibniz Universität Hannover Services Juni 2009. PwC Leibniz Universität Hannover Services Juni 2009 PwC Agenda PwC Das interne Kontrollsystem Unser Prüfungsansatz Diskussion und Fragen PricewaterhouseCoopers PwC Daten und Fakten PricewaterhouseCoopers International

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

BIM Forum Serviceorientierung ein wichtiger Faktor für ein erfolgreiches IT Service Management

BIM Forum Serviceorientierung ein wichtiger Faktor für ein erfolgreiches IT Service Management - ein Kooperationspartner von BIM www.futureways.ch SwissICT 2011 BIM Forum Serviceorientierung ein wichtiger Faktor für ein erfolgreiches IT Service Management Fritz Kleiner, fritz.kleiner@futureways.ch

Mehr

ITIL V3. Service Mehrwert für den Kunden. Ing. Martin Pscheidl, MBA, MSc cert. ITIL Expert. SolveDirect Service Management

ITIL V3. Service Mehrwert für den Kunden. Ing. Martin Pscheidl, MBA, MSc cert. ITIL Expert. SolveDirect Service Management ITIL V3 Ing. Martin Pscheidl, MBA, MSc cert. ITIL Expert SolveDirect Service Management martin.pscheidl@solvedirect.com Service Mehrwert für den Kunden mit Unterstützung von 1 Wie Service für den Kunden

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Social Business Erfolgsmessung

Social Business Erfolgsmessung Social Business Erfolgsmessung Praxisbericht aus dem Social Business Projekt bei der Robert Bosch GmbH 8.10.2013, Cordula Proefrock (Robert Bosch GmbH), Dr. Christoph Tempich (inovex GmbH) 1 The Bosch

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

on Software Development Design

on Software Development Design Werner Mellis A Systematic on Software Development Design Folie 1 von 22 How to describe software development? dimensions of software development organizational division of labor coordination process formalization

Mehr

IT-Dienstleistungen nach Maß

IT-Dienstleistungen nach Maß IT-Dienste erfolgreich einführen Make IT, 25.03.2014 Vorstellung Forschungsgruppe Informationsmanagement und Unternehmensführung Research Group on Strategic Information Management! IT Strategy! IT Value

Mehr

1 Die IT Infrastructure Library 1

1 Die IT Infrastructure Library 1 xix 1 Die IT Infrastructure Library 1 1.1 ITIL ein erster Überblick................................. 2 1.2 Service Management Grundlegende Begriffe.................. 5 1.2.1 Dienstleistungen (Services)..........................

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Process Management Office Process Management as a Service

Process Management Office Process Management as a Service Process Management Office Process Management as a Service Unsere Kunden bringen ihre Prozesse mit Hilfe von ProcMO so zur Wirkung, dass ihre IT- Services die Business-Anforderungen schnell, qualitativ

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim

Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I undco. Servicekonzepte/IT-Servicemanagement Servicemanagement Dennis Feiler, DFC-SYSTEMS GmbH München/Mannheim ITIL I IT Infrastructure Library Entstehung und Definition: Bestehende Best-Practices-Sammlung

Mehr

Vom Hype zur gelebten Normalität Wie entsteht echter Nutzen durch Web 2.0 im Unternehmen?

Vom Hype zur gelebten Normalität Wie entsteht echter Nutzen durch Web 2.0 im Unternehmen? Vom Hype zur gelebten Normalität Wie entsteht echter Nutzen durch Web 2.0 im Unternehmen? Christoph Rauhut T-Systems Multimedia Solutions GmbH 3. Fachtagung Dynamisierung des Mittelstandes durch IT 8.

Mehr

Warum ist PS 402 bald nicht mehr aktuell?

Warum ist PS 402 bald nicht mehr aktuell? 1 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Worum geht es? 2 2 PS 402 Schlüsselaussagen (1/2) Transaktionsart Es ist zu unterscheiden zwischen Dienstleistungsorganisationen,

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz Reifegradmodelle Skiseminar Software Engineering Robin Schultz Agenda Grundlagen Die IT Infrastructure Library Entwicklung Aufbau Kritik Kombination mit anderen Modellen Praktischer Einsatz Fazit und Ausblick

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Die richtigen Dinge tun

Die richtigen Dinge tun Die richtigen Dinge tun Einführung von Projekt Portfolio Management im DLR Rüdiger Süß, DLR Frankfurt, 2015 Sep. 25 Agenda DLR Theorie & Standards Definition Standards Praxis im DLR Umsetzung Erfahrungen

Mehr

Strategisches Project Office (SPO) Partner für Projekt und Portfoliomanagement

Strategisches Project Office (SPO) Partner für Projekt und Portfoliomanagement Strategisches Project Office (SPO) Partner für Projekt und Portfoliomanagement Die Wahrheit über Projekte. nur 24% der IT Projekte der Fortune 500 Unternehmen werden erfolgreich abgeschlossen 46% der Projekte

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite 1 itsmf Deutschland e.v. Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite Ben Martin, Glenfis AG Zürich 26.09.2012 Service Strategie und Sourcing

Mehr

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank SwissICT 2011 am Fallbeispiel einer Schweizer Bank Fritz Kleiner, fritz.kleiner@futureways.ch future ways Agenda Begriffsklärung Funktionen und Aspekte eines IT-Servicekataloges Fallbeispiel eines IT-Servicekataloges

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Neuerungen in den PMI-Standards. PMI Chapter Meeting 30.3.2009 in Frankfurt/Main

Neuerungen in den PMI-Standards. PMI Chapter Meeting 30.3.2009 in Frankfurt/Main Neuerungen in den PMI-Standards PMI Chapter Meeting 30.3.2009 in Frankfurt/Main Ihr Referent Henning Zeumer, Dipl.-Kfm., PMP Selbständiger Projekt- und Programm-Manager, Projektmanagement-Berater und -Trainer

Mehr

Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance hilft, Ihre Kunden besser zu verstehen

Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance hilft, Ihre Kunden besser zu verstehen Fakultät Informatik und Wirtschaftsinformatik Sanderheinrichsleitenweg 20 97074 Würzburg Folie 1 Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

etom enhanced Telecom Operations Map

etom enhanced Telecom Operations Map etom enhanced Telecom Operations Map Eigentümer: Telemanagement-Forum Adressaten: Telekommunikationsunternehmen Ziel: Industrieeigenes Prozessrahmenwerk Verfügbarkeit: gegen Bezahlung, neueste Version

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

S-ITIL: IT-Infrastructure Library

S-ITIL: IT-Infrastructure Library S-ITIL: IT-Infrastructure Library ITIL bietet eine exzellente Basis zur Ausrichtung der IT an den Geschäftsanforderungen und Kunden sowie für einen effizienten und qualitativ hochwertigen IT-Betrieb. ITIL

Mehr

Junisphere Systems AG 23.11.2010. Aligning Business with Technology. One step ahead of Business Service Management. Intelligentes ITSM

Junisphere Systems AG 23.11.2010. Aligning Business with Technology. One step ahead of Business Service Management. Intelligentes ITSM Aligning Business with Technology One step ahead of Business Service Management Intelligentes ITSM Agenda Junisphere s Lösung Use cases aus der Praxis Zentrale Informatik Basel-Stadt ETH Zürich Ausblick

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Ausgangspunkt: niedrigere Ebene der DIKW-Pyramide; betraf ursprünglich nur formatierte Daten.

Ausgangspunkt: niedrigere Ebene der DIKW-Pyramide; betraf ursprünglich nur formatierte Daten. Information Management 1. Ziel und Anspruch 2. Einteilung und Aufgaben 3. IT Governance 4. IT Controlling 5. Organisation der IT-Abteilung Ausgangspunkt: niedrigere Ebene der DIKW-Pyramide; betraf ursprünglich

Mehr

Ist das Big Data oder kann das weg? Outsourcing ja, aber geistiges Eigentum muss im Unternehmen bleiben

Ist das Big Data oder kann das weg? Outsourcing ja, aber geistiges Eigentum muss im Unternehmen bleiben Ist das Big Data oder kann das weg? Outsourcing ja, aber geistiges Eigentum muss im Unternehmen bleiben Jürgen Boiselle, Managing Partner 16. März 2015 Agenda Guten Tag, mein Name ist Teradata Wozu Analytics

Mehr

Titel1. Titel2. Business Analytics als Werkzeug zur. Unternehmenssteuerung. Business Excellence Day 2015. Michael Shabanzadeh, 10.

Titel1. Titel2. Business Analytics als Werkzeug zur. Unternehmenssteuerung. Business Excellence Day 2015. Michael Shabanzadeh, 10. Titel1 Business Analytics als Werkzeug zur Titel2 Unternehmenssteuerung Business Excellence Day 2015 Michael Shabanzadeh, 10. Juni 2015 World Communication GmbH 2015 Seite 1 Definition Business Analytics

Mehr

Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück

Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück Continuous Auditing eine gut gemeinte aber schlechte Idee kommt zurück Michel Huissoud Lic.iur, CISA, CIA 5. November 2012 - ISACA/SVIR-Fachtagung - Zürich Überwachung Continuous Monitoring Continuous

Mehr

Company Profile Computacenter

Company Profile Computacenter Company Profile Computacenter COMPUTACENTER AG & CO. OHG 2014 Computacenter an Overview Computacenter is Europe s leading independent provider of IT infrastructure services, enabling users and their business.

Mehr

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen Software Asset Management (SAM) Vorgehensweise zur Einführung Bernhard Schweitzer Manager Professional Services Agenda Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Mehr

Die Finanzfunktion als Treiber des Wandels am Beispiel SAP

Die Finanzfunktion als Treiber des Wandels am Beispiel SAP Die Finanzfunktion als Treiber des Wandels am Beispiel SAP Luka Mucic, CFO, COO und Mitglied des Vorstands, SAP SE SAP-Forum für Finanzmanagement und GRC, 13. 14. April 2015 Public SAP s Line of Business

Mehr

Modul Strategic Management (PGM-07)

Modul Strategic Management (PGM-07) Modul Strategic Management (PGM-07) Beschreibung u. Ziele des Moduls Dieses Modul stellt als eine der wesentlichen Formen wirtschaftlichen Denkens und Handelns den strategischen Ansatz vor. Es gibt einen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

Beschwerdemanagement / Complaint Management

Beschwerdemanagement / Complaint Management Beschwerdemanagement / Complaint Management Structure: 1. Basics 2. Requirements for the implementation 3. Strategic possibilities 4. Direct Complaint Management processes 5. Indirect Complaint Management

Mehr

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Erfahrungsbericht eines Auditors Uwe Rühl 1 Uwe Rühl Kurz zu meiner Person Externer Client Manager (Lead Auditor) für ISO/IEC 27001, ISO 22301 und

Mehr

Digital Customer Experience Notwendiges Übel oder überlebenswichtige Notwendigkeit? Datalympics, 2. Juli 2014

Digital Customer Experience Notwendiges Übel oder überlebenswichtige Notwendigkeit? Datalympics, 2. Juli 2014 Digital Customer Experience Notwendiges Übel oder überlebenswichtige Notwendigkeit? Datalympics, 2. Juli 2014 Digitale Realität Die Welt verändert sich in rasantem Tempo Rom, Petersplatz, März 2013 Franziskus

Mehr