Cobit als De-facto-Standard der IT-Governance

Größe: px

Ab Seite anzeigen:

Download "Cobit als De-facto-Standard der IT-Governance"

Kilian Gehrig
vor 8 Jahren
Abrufe

1 Cobit als De-facto-Standard der IT-Governance Praxisbericht über die Einführung von SOX Krzysztof Müller, CISA, CISSP

2 Agenda Anforderungen an Compliance (SOX) CobiT als Framework und Integration anderer Anforderungen Vor- und Nachteile von CobiT Do s und Don ts für die Implementierung 2

3 Die Telekom Austria Gruppe ist der führende Telekommunikationsanbieter in Österreich Überblick Telekom Austria Gruppe Wireless Wireline Retail Wholesale Die Telekom Austria Gruppe besteht aus zwei großen Geschäftsfeldern Wireline - Festnetz, Internet, Datenkommunikation (Marktanteil jeweils > 50 %) - Vorrangig Österreich, Tochter in Tschechien Wireless - Mobilfunk (Marktanteil Österreich: 40 %) - Österreich und International, vorrangig Südosteuropa Finanzkennzahlen (Q3/05) - Umsatz 1,2 Mrd. (+14% vs. 2004) - EBITDA 543 Mio. (+22% vs. 2004) - Nettogewinn 261 Mio. (+54% vs. 2004) 3

jeweils > 50 %) - Vorrangig Österreich, Tochter in Tschechien Wireless - Mobilfunk (Marktanteil Österreich: 40 %) - Österreich und International,

4 Innerhalb von Wireline managed der Bereich SNO Implementierung und Betrieb aller Services Überblick Wireline Service Wireline Service Aufgaben des Bereichs SNO Retail Business Solutions Customer Service Media/ Internet Marketing Retail Private & Prof. Customers Wholesale Marketing Wholesale Plattform & Technologiemgmt. Service & Network Operation Wholesale Vertrieb Der Bereich Wireline Services verantwortet alle Dienste und Services der Bereiche Sprachtelefonie, Internet und Datenkommunikation Innerhalb der Wireline Services deckt SNO folgende Wertschöpfungsstufen ab: Implementierung von auf den Kunden maßgeschneiderten Lösungen Servicierung dieser Lösungen über den gesamten Produktlebenszyklus Operation der Telekommunikationsund Systeminfrastruktur österreichweit, intern und für Dritte 4

Service & Network Operation Wholesale Vertrieb Der Bereich Wireline Services verantwortet alle Dienste und Services der Bereiche Sprachtelefonie, Internet und Datenkommunikation Innerhalb der

5 In den Verantwortungsbereich von SNO fallen Services verschiedenster Themenbereiche Security Firewall Services IPS/IDS Virenschutz Spamschutz Multimedia AON Residential AON Digital TV AON Business Access VERFÜGBARKEIT 24x7x365 GARANTIERT Service & Network Operation IP Solutions Corporate Network LIC+/ LIC+ ADSL LIC+ Voice IT-Solutions Netze & Voice Hosting Services, auf Basis Microsoft, Linux und UNIX ASP-Lösungen Collaboration Services Client Services Sprachdienstservices Intelligent Network Voice over IP SDH, ATM, MPLS, ADSL 5

Operation IP Solutions Corporate Network LIC+/ LIC+ ADSL LIC+ Voice IT-Solutions Netze & Voice Hosting Services, auf Basis Microsoft,

6 Was ist SOX-IKS & wozu brauchen wir es? Sarbanes-Oxley Act (SOX) Section 302 Paul S. Sarbanes Michael G. Oxley Act (Gesetz) SOA oder SOX Die erforderlichen Veröffentlichungen (Bilanzen etc.) müssen vollständig und richtig sein CEO und CFO müssen eine eidesstattliche Erklärung bei der Börsenaufsichtsbehörde (SEC) für die Korrektheit der Finanzberichte abgeben Der Sarbanes-Oxley Act (SOX) betrifft alle Unternehmen, deren Aktien an US-amerikanischen Börsen notiert sind. SOX soll nach den Bilanzskandalen in Amerika (Enron) und Europa (Parmalat) das Vertrauen der Anleger wieder stärken. Die zwei wichtigsten Paragraphen dieses Gesetzes sind Section 302 und Section 404. Section 404 Das Management muss ein effizientes internes Kontrollsystem für finanzielles Reporting implementieren und warten Unternehmen sind dazu verpflichtet die Wirksamkeit des internen Kontrollsystems (IKS) für die Finanzberichterstattung explizit zu bestätigen SOX Internes Kontroll- System 6

(SOX) betrifft alle Unternehmen, deren Aktien an US-amerikanischen Börsen notiert sind.

7 SOX fordert die Implementierung von IKS in der IT, gibt aber für das Vorgehen keine Hinweise! Sarbanes-Oxley Act (SOX) Das Management muss ein effizientes internes Kontrollsystem für finanzielles Reporting implementieren und warten. Dieses interne Kontrollsystem muss auch die IT Prozesse und Systeme umfassen, die Kernprozesse des finanziellen Reportings unterstützen Cobit Regelt alle wesentliche IT Aktivitäten in 4 Domänen: Plan & Organise Acquire & Implement Deliver & Support Monitor & Evaluate 34 Prozesse und 318 Kontrollziele IT Objective for SOX Stellt die Konsistenz mit dem Framework Internal Integrated Framework von COSO sicher! Ausgehend von einer Analyse der Risiken für Finanzielles Reporting werden zunächst die für SOX wichtige Cobit Busines Goals und dann Cobit-Prozesse und Kontrollziele festgelegt Cobit ist damit de-facto-standard Framework für die Umsetzung von SOX und die Basis für den Aufbau des Internen Kontrollsystems (IKS) 7

Dieses interne Kontrollsystem muss auch die IT Prozesse und Systeme umfassen, die Kernprozesse des finanziellen Reportings unterstützen Cobit Regelt alle wesentliche IT Aktivitäten in 4 Domänen: Plan

8 Die Implementierung von IKS innerhalb der IT von Telekom Austria basiert auf Cobit und umfasst alle relevante Systeme 1. CobiT-Prozesse 2. -Ziele Definition Risikoanalyse Verantwortungen IT General s Formalisierte Kontrollen Definition Risikoanalyse Verantwortungen Vollständige Dokumentation 3. Kontrollen Definition Verantwortungen Implementierung auf Systemen Selfassessment Implementierung auf allen für finanzielles Reporting wichtigen Systemen 4. Systeme Erstellung der Systemliste Clusterung der Systeme Verantwortungen SOA-Relevanz 8

-Ziele Definition Risikoanalyse Verantwortungen IT General s Formalisierte Kontrollen Definition Risikoanalyse Verantwortungen

9 SOX-IKS erfordert die Einführung von klaren Strukturen und Verantwortlichkeiten Prozess - Sicht Cobit Prozess Cobit- Prozess Cobit- Prozess SAP Prozesse - Ziele - Ziele - Ziele Host Prozesse CRM Prozesse DWH Prozesse Host SAP Billing DWH CRM System - Sicht Unstrukturierte, historisch gewachsene Kontrollen Exakt zugeordnete Prozesse, Kontrollziele und Kontrollen 9

Prozesse CRM Prozesse DWH Prozesse Host SAP Billing DWH CRM System - Sicht Unstrukturierte,

10 SOX-IKS ITGC bei Telekom Austria basiert auf Cobit und stellt die Basis für die Kernprozesse Unternehmen führen Finanzen managen Personal managen Kernprozesse des Unternehmens -gemäß COSO Framework Material & Dienstleistung beschaffen Verkauf durchführen Fachbereiche IT Application s SOA relevante Systeme Anwendungsentwicklung Change Management Security und Zugriffsschutz IT-Prozesse des Unternehmens - gemäß COBIT Framework Backup Operations 10

beschaffen Verkauf durchführen Fachbereiche IT Application s SOA relevante Systeme Anwendungsentwicklung Change

11 Prozessmap mit den bei Telekom Austria implementierten Cobit-Prozessen AI01 Anfrage Mgmt Development AI02 Entwicklung AI03 Infrastruktur Beschaffung AI05 Testen AI06 Change Mgmt DS5 Securitymanagement PO9 Risikomanagement DS10 Entstörung&Problem Mgmt DS9 Configuration Mgmt/Inventory DS11 Datenmanagement (Backup) DS13 Operation (Batchsteuerung) DS12 Zutrittskontrolle Operation 11

Securitymanagement PO9 Risikomanagement DS10 Entstörung&Problem Mgmt DS9 Configuration

12 Scope von SOX (basierend auf Cobit) und ISO 27001* ist inhaltlich ähnlich aber SOX ist formeller ITK Betrieb Unternehmen Cobit SOX Scope des SOX-IKS für IT: IT General s ITIL BS7799 Sicherheitsrichtlinien aus SHB SOX (Cobit) s definieren ISO Abgleich u. Anpassung an SOX Cobit-s Gemeinsame Umsetzung Beide Frameworks haben ähnlichen Inhalt im Bezug auf Security SOX-IKS bringt aber einen viel höheren Formalismus auf operativer Ebene *) ISO (Nachfolger von BS 7799) ist der international anerkannte Standard für Information Security 12

Anpassung an SOX Cobit-s Gemeinsame Umsetzung Beide Frameworks haben ähnlichen Inhalt im Bezug auf Security SOX-IKS bringt aber einen

13 Die gemeinsame Umsetzung von SOX ITGC und ISO brachte der TA große Vorteile IT General s (Cobit) SOX ist sehr präzise auf operativer Ebene und überprüft regelmäßig die Ausführung der festgelegten Kontrollen SOX verlangt viele Richtlinien und Vorgaben im Umfeld der Security ISO Standard ISO ist vornehmlich ein Managementsystem für Information Security Garantiert die richtige und ganzheitliche Strategie der Firma um Umfeld Security Die Verbindung von Cobit und ISO Das Sicherheitshandbuch (basierend auf ISO 27001) liefert alle notwendigen Security Richtlinien Das Information Security Management bietet alle notwendigen Security Prozesse Die Cobit Kontrollen garantieren optimale operative Umsetzung der Richtlinien 13

Garantiert die richtige und ganzheitliche Strategie der Firma um Umfeld Security Die Verbindung von Cobit und ISO 27001 Das Sicherheitshandbuch (basierend auf ISO 27001) liefert alle

14 Cobit or ITIL or something else? It s a question Kontrollansatz Prozessansatz CobiT + Konzentration aufs Wesentliche! + Befolgung der Objectives - einheitliche Implementierung der Prozesse ist kein Muss! - Der Kontrollansatz ist nicht intuitiv verständlich ITIL + Der Prozessansatz ist für die Mehrheit leichter verständlich + Mehr Best-Practice Beispiele schon vorhanden - Die vollständige Implementierung ist sehr langwierig und aufwendig Dank größtenteils gemeinsamer Betrachtung der IT-Themen ist die Nutzung der Synergie-Effekte von unterschiedlichen Frameworks durchaus möglich 14

- Der Kontrollansatz ist nicht intuitiv verständlich ITIL + Der Prozessansatz ist für die Mehrheit leichter verständlich + Mehr Best-Practice

15 Die Implementierung von Cobit bringt dem IT- Betrieb einige Vorteile 1 2 Klare Rollen und Verantwortlichkeiten Transparenz und Messbarkeit des Betriebes 3 Verbesserung der Dokumentation 4 Nachhaltigkeit 5 Basis für präzise Verbesserungsmaßnahmen 15

Transparenz und Messbarkeit des Betriebes 3 Verbesserung der

16 Bei der Einführung von Cobit sind folgende Punkte besonders zu beachten Think big do small - Umfangreiches Konzept und schrittweise Einführung Risiko Management Basis des Handelns! Nicht alles auf Ein Mal - Auswahl der wichtigsten Cobit-Prozesse Gute Schulung darf nicht fehlen! Alles muss messbar sein! 16

17 Vielen Dank 17

Ähnliche Dokumente

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 IT in Balance - Bedeutung von Risikomanagement und Compliance CON.ECT Informunity Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 Management In Balance ROI Organization Business Quality Compliancy