GRC-Modell für die IT Modul GRC-Organisation 1

Transkript

1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die Marke Global IT-Security ist eingetragen auf Bernd Peter Ludwig (Ebersbach an der Fils), Unternehmensberatung 1 Das GRC-Modell für die IT enthält 26 Basis-Module. 22. März 2012 Version 1.1 (Modul GRC-Organisation) 1

2 Inhaltsverzeichnis 1.11 Modul GRC-Organisation Modul GRC-Organisation (Anforderungskomplex) Modul GRC-Organisation (Modulumgebung) Modul GRC-Organisation (Masterprozess) 6 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) März 2012 Version 1.1 (Modul GRC-Organisation) 2

3 1.11 Modul GRC-Organisation GRC-Modell für die IT Modul GRC-Organisation Modul GRC-Organisation (Anforderungskomplex) Modul GRC-Organisation (Anforderungskomplex) GRC-relevanter Anforderungskatalog (wesentliche Aspekte): Das Unternehmen erfüllt alle wesentlichen organisatorischen Voraussetzungen zur systematischen Umsetzung wesentlicher Anforderungen aus dem GRC-Komplex. Insbesondere die Überwachungs- und Steuerungsprozesse (Governance) des Unternehmens sind fest in der Organisationsstruktur verankert (Integration). Hierfür sind angemessene Verfahrenslösungen und personelle Kapazitäten bereitgestellt. Daneben sind auch die Aufgaben der Compliance und des Risk Managements strukturell in die Organisation des Unternehmens integriert. Die für die anforderungsgerechte Durchführung der GRC-Aufgaben notwendigen Informations-, Kommunikations- und Kooperationsaspekte sind klar definiert. Rollen und Kompetenzen sind eindeutig festgelegt. Soweit die Dimension und Kapazität der IT-Umgebung dies zulassen, sind die entsprechenden Erfordernisse in geeigneter Weise auch in der IT-Organisation umgesetzt. Die für die GRC-Organisation angewandten Methoden, Strukturen, Verfahren und Lösungen stützen sich auf anerkannten Standards und Praktiken. Die Organisation und die IT-Organisation unterstützen die erfolgreiche Abwicklung der Geschäftsziele mit Hilfe der IT-Prozesse, so dass die Geschäftsziele insgesamt auf anforderungsgerechte und zugleich optimale Weise erreicht werden. Die (GRC-relevante) Organisationsstruktur ist dynamisch angelegt und ermöglicht schnelle Anpassungen an veränderte Unternehmensbedingungen und neue Geschäftsziele. GRC-relevante Schwerpunkte Governance Risk Management Compliance Betroffene IT-Aufgabenbereiche 1 Formaler, organisatorischer Rahmen, Infrastruktur 2 IT-Planung und Realisation 3 IT-Service (IT-Performance) 4 Aufwand-Kosten-Nutzen-Relation (Wertschöpfung) 5 Kontrolle, Sicherheit, Datenschutz und Risikohandhabung Hinweise Mit Hilfe der GRC-Organisation soll erreicht werden, dass im Unternehmen und der IT zur Erfüllung der GRC-relevanten Anforderungen optimale organisatorische Bedingungen hergestellt sind. Die GRC-Organisation ist gewissermaßen der Rahmen zur Umsetzung von Maßnahmen aus dem Anforderungskatalog des GRC-Komplexes. Dadurch wird die Instrumentalisierung des GRC-Komplexes erleichtert, so dass die damit beabsichtigten Inhalte und Ziele optimal erreicht werden können. Verschiede Schwerpunkte der GRC-Organisation liegen auf Governanceaspekten; letzten Endes profitieren aber auch die Compliance und das Risk Management gleichermaßen von dieser Organisationsumgebung. 22. März 2012 Version 1.1 (Modul GRC-Organisation) 3

4 Modul GRC-Organisation (Modulumgebung) Modul GRC-Organisation (Modulumgebung) Mögliche Skalierungen Betroffene Ressourcen S min S bp (Best Practice) S max Anwendungen Informationen Infrastruktur Personal Anwendbare Grundlagen (Rahmenwerke, Normen, Standards, Richtlinien) AS9100 IDW PS 880 AS9110 IIR-Revisionsgrundsätze Balanced Scorecard ISO BS ISO 9000 ff. CC (ITSEC, TCSEC) ISO/IEC CMMI -DEV ISO/IEC ff. COBIT 5 th Edition ISO/IEC COSO ISO/TS COSO ERM ITIL Du-Pont-Schema MaRisk EFQM PMBOK (PMI) Enterprise Architecture PRINCE2 EuroSOX RoSI GDPdU SAS 70 Type II GoBS Security Baseline Grundschutzkatalog des BSI TickIT IDW PS 260 TOGAF IDW PS 321 [Ggf. weitere Grundlagen...] IDW PS 330 IDW PS 331 Wirksamkeitsebenen Ebene(n) Strategisch Taktisch Operativ Anmerkungen Verantwortung, Zuständigkeiten Unternehmensleitung Fachbereich(e) Externe Steuerung Gestaltung/Umsetzung Überwachung 22. März 2012 Version 1.1 (Modul GRC-Organisation) 4

5 Organisationsrelevanz Organisationsaspekt(e) Anmerkungen Aufbauorganisation Ablauforganisation Anderer Organisationsaspekt Informations-/Kommunikationsaspekte Mitteleinsatz Schätzwert (PT, ) Anmerkungen Arbeitsaufwand Personalintensiv Abhängig vom Umfang der Organisationsumgebung und den damit verbundenen Aufgabenstellungen Kosten Mittelhohe - hohe Sachkosten Nutzenaspekte I Primäraspekt(e) Sekundäraspekt(e) Ordnungsmäßigkeit Compliancekonformität Sicherheit und Datenschutz Effektivität Produktivität Effizienz Wirtschaftlichkeit Flexibilität Integrität Nachvollziehbarkeit Prävention Qualität Transparenz Verfügbarkeit Verlässlichkeit Vertraulichkeit Nutzenaspekte II Einsparpotenzial(e) Schätzwert (PT, ) Anmerkungen (Einsparpotenzial(e) aufgrund Anforderungsumsetzung) Arbeitsaufwand - Effizientere Umsetzung von Geschäfts- und IT-Prozessen und von GRCrelevanten Maßnahmen möglich Kosten - Kostenersparnis durch Optimierung von Geschäfts- und IT-Prozessen Präventivaspekt(e) Schätzwert (PT, ) Anmerkungen (Präventivaspekt(e) aufgrund Anforderungsumsetzung) Schaden Verlust Ertrag Reputation 22. März 2012 Version 1.1 (Modul GRC-Organisation) 5

6 Modul GRC-Organisation (Masterprozess) Modul GRC-Organisation (Masterprozess) Prozessschritte GRC-relevante Prozessinhalte/-Aktivitäten 1 Erhebung, Identifikation 1 Erhebung der allg. Voraussetzungen zur Umsetzung wesentlicher Organisationsaspekte für die Erfüllung des Anforderungskatalogs des GRC-Komplexes (organisatorischer Rahmen für Governance, Risk Management und Compliance) im Unternehmen 2 Erhebung der IT-spezifischen Voraussetzungen zur Umsetzung wesentlicher Organisationsaspekte für die Erfüllung des Anforderungskatalogs des GRC-Komplexes (organisatorischer Rahmen für IT-Governance, IT-Risk Management und IT-Compliance) 2 Analyse 3 Bewertung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Analyse der allg. Voraussetzungen zur Umsetzung wesentlicher Organisationsaspekte für die Erfüllung des Anforderungskatalogs des GRC-Komplexes (organisatorischer Rahmen für Governance, Risk Management und Compliance) im Unternehmen 2 Analyse der IT-spezifischen Voraussetzungen zur Umsetzung wesentlicher Organisationsaspekte für die Erfüllung des Anforderungskatalogs des GRC-Komplexes (organisatorischer Rahmen für IT-Governance, IT-Risk Management und IT-Compliance) 1 Bewertung des allg. Voraussetzungen zur Umsetzung wesentlicher Organisationsaspekte für die Erfüllung des Anforderungskatalogs des GRC-Komplexes 2 Bewertung der IT-spezifischen Voraussetzungen zur Umsetzung wesentlicher Organisationsaspekte für die Erfüllung des Anforderungskatalogs des GRC-Komplexes 3 Reporting der Bewertungsergebnisse (Stati, Verbesserungsvorschläge, Empfehlungen) 4 In Abhängigkeit von den Bewertungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 4 Definition, Konzeption 1 Definition von wesentlichen Governance-Anforderungen (Unternehmen/IT) 2 Definition von wesentlichen Anforderungen an das Risk Management (Unternehmen/IT) 3 Definition von wesentlichen Compliance-Anforderungen 4 Konzeption einer anforderungsgerechten Organisationsumgebung zur Erfüllung des Anforderungskatalogs des GRC-Komplexes (Unternehmen/IT) 5 Planung 1 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung einer anforderungsgerechten Organisationsumgebung zur Erfüllung des Anforderungskatalogs des GRC-Komplexes (Unternehmen/IT) 6 Entscheidung, Zielsetzung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Entscheidung über die Umsetzung einer anforderungsgerechten Organisationsumgebung zur Erfüllung des Anforderungskatalogs des GRC-Komplexes (Unternehmen/IT) 2 In Abhängigkeit von den Entscheidungen/Zielsetzungen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 7 Information, Kommunikation 1 Information/Kommunikation der Entscheidung im Hinblick auf die Umsetzung einer anforderungsgerechten Organisationsumgebung zur Erfüllung des Anforderungskatalogs des GRC- Komplexes (Unternehmen/IT) 8 Integration, Umsetzung 1 Umsetzung einer anforderungsgerechten Organisationsumgebung zur Erfüllung des Anforderungskatalogs des GRC-Komplexes (Unternehmen/IT) unter Berücksichtigung von Optimierungsmöglichkeiten und Redundanzvermeidung (Koordination der Anforderungsumsetzung des GRC- Komplexes). 22. März 2012 Version 1.1 (Modul GRC-Organisation) 6

7 Modul GRC-Organisation (Masterprozess) GRC-Modell für die IT Modul GRC-Organisation Prozessschritte GRC-relevante Prozessinhalte/-Aktivitäten 9 Dokumentation, Archivierung 1 Dokumentation der GRC-relevanten Organisationsumgebung: Strukturen, Aufgaben/Rollen, Kompetenzen, Verfahren/Prozesse, Informationsgrundlagen, Kommunikation/Reporting 10 Überwachung (Prüfung, Kontrolle) [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Überwachung der GRC-relevanten Organisationsumgebung im Hinblick auf deren Anforderungsgerechtigkeit für das Unternehmen bzw. die IT 2 In Abhängigkeit von den Überwachungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 11 Korrektur, Anpassung 1 Anpassung der GRC-relevanten Organisationsumgebung und der damit verbundenen Aufgaben und Verfahren an veränderte Rahmenbedingungen im Unternehmen und der IT 12 Nachkontrolle, [Genehmigung] 1 Kontrolle der Anpassungen der GRC-relevanten Organisationsumgebung 2 Reporting über die durchgeführten Anpassungen (Nachvollziehbarkeit) 3 Genehmigung von Anpassungen, Korrekturen und Verfahrensänderungen 22. März 2012 Version 1.1 (Modul GRC-Organisation) 7

8 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) Die vorstehenden Seiten zeigen nur einen kleinen Teilbereich des GRC-Umfelds und des GRC-Modells für die IT auf. Eingehende Beratungsleistungen dazu werden erbracht durch: Unternehmensberatung Bernd Peter Ludwig Lindenstr. 66 D Ebersbach Geschäftszeiten Mo Fr Uhr Telefon/Fax oder Home März 2012 Version 1.1 (Modul GRC-Organisation) 8