GRC-Modell für die IT Modul GRC-Self Assessment 1

Transkript

1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die Marke Global IT-Security ist eingetragen auf Bernd Peter Ludwig (Ebersbach an der Fils), Unternehmensberatung 1 Das GRC-Modell für die IT enthält 26 Basis-Module. 22. März 2012 Version 1.1 (Modul GRC-Self Assessment) 1

2 Inhaltsverzeichnis 1.12 Modul GRC-Self Assessment Modul GRC-Self Assessment (Anforderungskomplex) Modul GRC-Self Assessment (Modulumgebung) Modul GRC-Self Assessment (Masterprozess) 6 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) März 2012 Version 1.1 (Modul GRC-Self Assessment) 2

3 1.12 Modul GRC-Self Assessment GRC-Modell für die IT Modul GRC-Self Assessment Modul GRC-Self Assessment (Anforderungskomplex) Modul GRC-Self Assessment (Anforderungskomplex) GRC-relevanter Anforderungskatalog (wesentliche Aspekte): Das Unternehmen führt regelmäßig Self Assessments * zur Beurteilung der Erfüllung von Anforderungen des GRC-Komplexes durch. Die Schwerpunkte der Self Assessments liegen auf der Identifikation, Analyse und Bewertung von Schwachstellen und Risiken im Zusammenhang mit der Governance, dem Risk Management und der Compliance. Die Resultate aus den Self Assessments dienen der Schwachstellenbeseitigung und der Optimierung der Geschäfts- und IT-Prozesse. Der Mitteleinsatz bei der Durchführung von Self Assessments entspricht der Bedeutung des beurteilten Bereichs (Fachbereich/IT) für das Unternehmen und den Geschäftserfolg. Die Fokusse der IT-relevanten Self-Assessments liegen auf der Beurteilung von IT-Risiken, der Sicherheit, des Datenschutzes, der Ordnungsmäßigkeit und der Wirtschaftlichkeit. Des Weiteren auf der Beurteilung von Qualitäts- und Leistungsaspekten (IT-Performance). Die Self Assessments finden in angemessenen zeitlichen Abständen statt. Die Ergebnisse der Self- Assessments stehen der Unternehmensleitung und dem IT-Management zur Verfügung. Erkannte Schwachstellen werden in der Folge durch geeignete Maßnahmen beseitigt und die damit zusammenhängenden IT-Prozesse optimiert. GRC-relevante Schwerpunkte Governance Risk Management Compliance Betroffene IT-Aufgabenbereiche 1 Formaler, organisatorischer Rahmen, Infrastruktur 2 IT-Planung und Realisation 3 IT-Service (IT-Performance) 4 Aufwand-Kosten-Nutzen-Relation (Wertschöpfung) 5 Kontrolle, Sicherheit, Datenschutz und Risikohandhabung Hinweise * Self Assessments zur Beurteilung der Anforderungserfüllung des GRC-Komplexes sollten auch in kleineren Unternehmen durchgeführt werden. Die Self Assessments sind vom Ergebnis her deutlich enger gefasst als die Verfahren der Maturity Modelle (Maturity Check), dafür aber auch erheblich weniger aufwändig und nicht so stark instrumentalisiert. Die Self Assessments sollten primär zum Ziel haben, Risiken und Schwachstellen aus dem Anforderungsumfeld des GRC-Komplexes frühzeitig festzustellen und zu beseitigen (bspw. unzureichende Kontrollen, Compliance-Verstöße, falsche Kosteneinschätzungen usw.). Self Assessments dienen insgesamt einer kontinuierlichen Optimierung der Geschäfts- und IT- Prozesse. 22. März 2012 Version 1.1 (Modul GRC-Self Assessment) 3

4 Modul GRC-Self Assessment (Modulumgebung) Modul GRC-Self Assessment (Modulumgebung) Mögliche Skalierungen Betroffene Ressourcen S min S bp (Best Practice) S max Anwendungen Informationen Infrastruktur Personal Anwendbare Grundlagen (Rahmenwerke, Normen, Standards, Richtlinien) AS9100 IDW PS 880 AS9110 IIR-Revisionsgrundsätze Balanced Scorecard ISO BS ISO 9000 ff. CC (ITSEC, TCSEC) ISO/IEC CMMI -DEV ISO/IEC ff. COBIT 5 th Edition ISO/IEC COSO ISO/TS COSO ERM ITIL Du-Pont-Schema MaRisk EFQM PMBOK (PMI) Enterprise Architecture PRINCE2 EuroSOX RoSI GDPdU SAS 70 Type II GoBS Security Baseline Grundschutzkatalog des BSI TickIT IDW PS 260 TOGAF IDW PS 321 [Ggf. weitere Grundlagen...] IDW PS 330 IDW PS 331 Wirksamkeitsebenen Ebene(n) Strategisch Taktisch Operativ Anmerkungen Verantwortung, Zuständigkeiten Unternehmensleitung Fachbereich(e) Externe Steuerung Gestaltung/Umsetzung Überwachung 22. März 2012 Version 1.1 (Modul GRC-Self Assessment) 4

5 Organisationsrelevanz Organisationsaspekt(e) Anmerkungen Aufbauorganisation Ablauforganisation Anderer Organisationsaspekt Informations-/Kommunikationsaspekte Mitteleinsatz Schätzwert (PT, ) Anmerkungen Arbeitsaufwand Teilweise personalintensiv Abhängig vom Umfang der Self Assessments Kosten Niedrige Sachkosten Nutzenaspekte I Primäraspekt(e) Sekundäraspekt(e) Ordnungsmäßigkeit Compliancekonformität Sicherheit und Datenschutz Effektivität Produktivität Effizienz Wirtschaftlichkeit Flexibilität Integrität Nachvollziehbarkeit Prävention Qualität Transparenz Verfügbarkeit Verlässlichkeit Vertraulichkeit Nutzenaspekte II Einsparpotenzial(e) Schätzwert (PT, ) Anmerkungen (Einsparpotenzial(e) aufgrund Anforderungsumsetzung) Arbeitsaufwand - Effizientere Umsetzung von Geschäfts- und IT-Prozessen und von GRCrelevanten Maßnahmen möglich Kosten - Kostenersparnis durch Optimierung von Geschäfts- und IT-Prozessen Präventivaspekt(e) Schätzwert (PT, ) Anmerkungen (Präventivaspekt(e) aufgrund Anforderungsumsetzung) Schaden - Vermeidung von Schäden durch unzureichende Sicherheitslösungen Verlust - Vermeidung von Verlusten durch die unzureichende Erfüllung von GRCrelevanten Anforderungen Ertrag - Vermeidung von Ertragseinbußen durch die unzureichende Erfüllung von GRC-relevanten Anforderungen Reputation - Vermeidung von Reputationsbeeinträchtigungen durch die unzureichende Erfüllung von GRC-relevanten Anforderungen 22. März 2012 Version 1.1 (Modul GRC-Self Assessment) 5

6 Modul GRC-Self Assessment (Masterprozess) Modul GRC-Self Assessment (Masterprozess) Prozessschritte 1 Erhebung, Identifikation 2 Analyse 3 Bewertung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 4 Definition, Konzeption GRC-relevante Prozessinhalte/-Aktivitäten 1 Erhebung der allg. Voraussetzungen im Unternehmen zur Durchführung von Self Assessments 2 Erhebung der IT-spezifischen Voraussetzungen zur Durchführung von Self Assessments 3 Identifizierung von Aufgaben- und Verfahrensbereichen zur Durchführung Self Assessments 1 Analyse der allg. Voraussetzungen zur Durchführung von Self Assessments 2 Analyse der IT-spezifischen Voraussetzungen zur Durchführung von Self Assessments 3 Analyse der Aufgaben- und Verfahrensbereiche zur Durchführung von Self Assessments 1 Bewertung des allgemeinen und IT-spezifischen Verfahrensumfelds zur Durchführung von Self Assessments 2 Bewertung der Zweckmäßigkeit der Durchführung von Self Assessments 3 Reporting der Bewertungsergebnisse (Stati, Verbesserungsvorschläge, Empfehlungen) 4 In Abhängigkeit von den Bewertungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 1 Konzeption des allg./it-spezifischen Verfahrensumfelds zur Durchführung von Self Assessments 2 Definition der Inhalte zur Durchführung von Self Assessments 5 Planung 6 Entscheidung, Zielsetzung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 7 Information, Kommunikation 8 Integration, Umsetzung 9 Dokumentation, Archivierung 10 Überwachung (Prüfung, Kontrolle) [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 11 Korrektur, Anpassung 12 Nachkontrolle, [Genehmigung] 1 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung von allg. Verfahrensvoraussetzungen zur Durchführung von Self Assessments (Unternehmen/IT) 2 Erstellen einer Planung (Inhalte, Termin, Budget) zur Durchführung von Self Assessments 1 Entscheidung über die Schaffung der allg./it-spezifischen Voraussetzungen zur Durchführung von Self Assessments 2 Entscheidung über die Inhalte zur Durchführung von Self Assessments 3 In Abhängigkeit von den Entscheidungen/Zielsetzungen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 1 Information/Kommunikation der Entscheidung zur Durchführung von Self Assessments (Unternehmen/IT) 2 Information/Kommunikation der Entscheidung über die Inhalte der Self Assessments 1 Durchführung von Self Assessments 1 Dokumentation der Inhalte und Ergebnisse der Self Assessments 1 Überwachung der Anforderungsgerechtigkeit der allg. Voraussetzungen zur Durchführung von Self Assessments. 2 Überwachung der Ergebnisse von Self Assessments 3 In Abhängigkeit von den Überwachungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 1 Anpassung/Korrektur der Self Assessments an veränderte Rahmenbedingungen (Unternehmen/IT) 1 Kontrolle der Anpassungen/Korrekturen der Self Assessments 2 Reporting über die durchgeführten Anpassungen und Korrekturen (Nachvollziehbarkeit) 3 Genehmigung von Anpassungen, Korrekturen und Verfahrensänderungen 22. März 2012 Version 1.1 (Modul GRC-Self Assessment) 6

7 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) Die vorstehenden Seiten zeigen nur einen kleinen Teilbereich des GRC-Umfelds und des GRC-Modells für die IT auf. Eingehende Beratungsleistungen dazu werden erbracht durch: Unternehmensberatung Bernd Peter Ludwig Lindenstr. 66 D Ebersbach Geschäftszeiten Mo Fr Uhr Telefon/Fax oder Home März 2012 Version 1.1 (Modul GRC-Self Assessment) 7