ompliance-lösungen und IT-Governance im BO Management Office Vom operationellen Risikomanagement, über IKS zu obit und ISO 20000 Mag. Robert Strobl BO GmbH BO-Gruppe Gruppe,, 2007
Inhalt 1 Die BO-Gruppe Firmenprofil & Einführung 2 Operationelles Risikomanagement und Geschäftsprozesse 3 Internes Kontrollsystem und Geschäftsprozesse 4 Vom Geschäftsrisiko zu IT-Risiken: obit und ISO 20000 5 Zusammenfassung & Ausblick - 2 -
Inhalt 1 Die BO-Gruppe Firmenprofil & Einführung 2 Operationelles Risikomanagement und Geschäftsprozesse 3 Internes Kontrollsystem und Geschäftsprozesse 4 Vom Geschäftsrisiko zu IT-Risiken: obit und ISO 20000 5 Zusammenfassung & Ausblick - 3 -
Firmenprofil BO-Gruppe BO Information Technologies onsulting - Gruppe "Holding" BO Information Systems GmbH Wien "Operativen" BO Unternehmensberatung GmbH BO Information Technologies onsulting GmbH BO Business Objectives onsulting Iberica, S.A. BO Information Technologies onsulting Ltd. BO Information Technologies onsulting EPE BO Information Technologies onsulting Sp. z. o o. Wien Berlin Madrid Dublin Athen Warschau - 4 -
Kernprodukte und services der BO-Gruppe "Softwareprodukte zur IT-Unterstützung der zentralen Managementansätze" Strategie- Management Prozess- Management IT- Management BS-Methode BPMS-Methode SOR-Methode ITIL -Methode Strategie- und Performance Management Business Process Management Supply hain Management IT Service- und Architekturmanagement - 5 -
Kernelemente modellbasierter Unternehmensbetrachtung Produkte Produkt X Produktkomponente Y Informationstechnologie Geschäftsprozesse Organisationseinheiten : hängen voneinander ab : werden umgesetzt in : beeinflusst die Gestaltung - 6 -
Vom Paradigma zur IT-Unterstützung Positionierung im BPMS-Rahmenwerk Definition von strategischen Rahmenbedingungen, Erfolgsfaktoren und wesentlichen Kriterien für Prozesse Dokumentation, Adaption, Modellierung und fachliche Optimierung von Prozessen, Identifikation von Reorganisationspotential Strategischer Entscheidungsprozess Gestaltungsprozess Aggregation und Aufbereitung von Prozessdaten, Gewinnung von Kennzahlen und Metriken Informationstechnische und organisatorische Umsetzung von Prozessen, Ressourcen- und infrastrukturelle Zuordnung Umsetzungsprozess Bewertungs- und Kontrollprozess Ausführen der Prozesse in der operativen Arbeitsumgebung, Sammeln von operativen Daten als Basis für weiterführende Auswertungen. Produkte Informationstechnologie Organisationseinheiten Ausführungs- prozess Geschäftsprozesse - 7 -
Inhalt 1 Die BO-Gruppe Firmenprofil & Einführung 2 Operationelles Risikomanagement und Geschäftsprozesse 3 Internes Kontrollsystem und Geschäftsprozesse 4 Vom Geschäftsrisiko zu IT-Risiken: obit und ISO 20000 5 Zusammenfassung & Ausblick - 8 -
Vom Paradigma zur IT-Unterstützung Positionierung im BPMS-Rahmenwerk Definition von strategischen Rahmenbedingungen, Erfolgsfaktoren und wesentlichen Kriterien für Prozesse Dokumentation, Adaption, Modellierung und fachliche Optimierung von Prozessen, Identifikation von Reorganisationspotential Strategischer Entscheidungsprozess Gestaltungsprozess Aggregation und Aufbereitung von Prozessdaten, Gewinnung von Kennzahlen und Metriken Informationstechnische und organisatorische Umsetzung von Prozessen, Ressourcen- und infrastrukturelle Zuordnung Umsetzungsprozess Bewertungs- und Kontrollprozess Ausführen der Prozesse in der operativen Arbeitsumgebung, Sammeln von operativen Daten als Basis für weiterführende Auswertungen. Produkte Informationstechnologie Organisationseinheiten Ausführungs- prozess Geschäftsprozesse - 9 -
Einsatzszenarien des Prozessmanagements Basis für Zertifizierung im Dokumentation und Erstellung von (Intranet-basierten) Org.-Handbüchern Rahmen von IMS (z.b. ISO 9000:2000) Business Activity Monitoring Prozessmodelle Prozessmodellierung Prozessdokumentation Prozessführung und -steuerung Prozessorientierte ompliancevorgaben Einführung von Standardsoftware Prozessbewertung Prozessoptimierung Service Level Verbesserung bei Kundenprozessen Prozessbasierte Anwendungsentwicklung - 10 -
ase-study: Prozessorientierung im Investment Banking: Projektumfeld und Projektziele Was? Für wen? Projektorientierte Einführung einer Prozessorganisation und dokumentation in der Investmentbanking-Sparte einer deutschen Bank unter besonderer Berücksichtigung regulatorischer Aspekte (interner und externer). Warum? ommerzbank AG (betroffene Standorte: FRA und LON) Involvierte Abteilungen: Investmentbanking und zugehörige Querschnittsabteilungen Initiiert wurde das Projekt nach einer Prüfung der BaFin bzw. durch die darin festgestellten Mängel (Moniten), die auch die Aspekte Prozessorientierung und -dokumentation betrafen. - 11 -
ase-study: Prozessorientierung im Investment Banking: Modellierungsmethode in ADONIS Prozessübersicht Produktübersicht Dokumentenübersicht Organigramm Prozessablauf Rollenmodell IT-System - 12 -
ase-study: Prozessorientierung im Investment Banking: Prozesskategorisierung Sichten in ADONIS "Klassische" Prozesssichten Geschäftsprozesse Produkt-Prozess Zuordnung Externe Prüfsicht und Revisionsanforderungen (z.b. BaFin) - 13 -
ase-study: Prozessorientierung im Investment Banking: Erweiterung der Modellierungsmethode in ADONIS Prozessübersicht Produktübersicht OpRiskübersicht Dokumentenübersicht Organigramm Prozessablauf Rollenmodell IT-System - 14 -
ase-study: Prozessorientierung im Investment Banking: Analyse der operationellen Risiken (Basel II) Kategorisierung von Risikotypen (Risikoübersicht) Top-Down Kategorisierung von potentielle Risiken 1 4 3 Organigramm Dokumentenübersicht Prozessablauf 2 Rollenmodell IT-System - 15 -
ase-study: Prozessorientierung im Investment Banking: Analyse der operationellen Risiken (Basel II): Schritt 1-16 -
ase-study: Prozessorientierung im Investment Banking: Analyse der operationellen Risiken (Basel II): Schritt 2 Das entsprechende Rating zu den Attributen ergibt sich automatisch - 17 -
ase-study: Prozessorientierung im Investment Banking: Analyse der operationellen Risiken (Basel II): Schritt 3-18 -
Inhalt 1 Die BO-Gruppe Firmenprofil & Einführung 2 Operationelles Risikomanagement und Geschäftsprozesse 3 Internes Kontrollsystem und Geschäftsprozesse 4 Vom Geschäftsrisiko zu IT-Risiken: obit und ISO 20000 5 Zusammenfassung & Ausblick - 19 -
Modeling Internal ontrols in ADONIS Business Process Activity 1 Activity 2 Model types: Standard configuration ADONIS SOX Extension Generic Risks Risk 9 ontrol 1 SOX Extension integrated in standard configuration Generic ontrols Risk 1 Risk 2 Risk 3 Risk 4 ontrol 1 ontrol 2 ontrol 3 ontrol 4 Risk 9 ontrol 1 Risk 5 Risk 6 Risk 7 Risk 8 ontrol 5 ontrol 6 ontrol 7 ontrol 8 Process start 1 Activity 1 Decision 1 Risk 9 Risk 10 Risk 11 Risk 12 ontrol 9 ontrol 10 ontrol 11 ontrol 12 Risks are assigned to activities. Risks can be controlled within the same or in another process. Risks in processes refer to a generic risk and its controls. ontrols refer to control activities via their generic control. Process start 1 Activity 1 Decision 1 ontrol Process Process start 1 Activity 1 Decision 1-20 -
Design vs. Operating effectiveness The effectiveness of the internal control structure is looked at in two different ways. Design effectiveness The first part of checking the effectiveness of the internal control system is done by checking its design. This encloses that all risks are assessed and the appropriateness of the control structure is suitable. In the ADONIS ERM Extension this is supported by a traffic light coding system. Thresholds for likelihood and impact can be defined and are assessed towards the aggregated values of the collection of identified risks. Operating effectiveness Once the design of the internal control system is considered as appropriate, it is necessary to regularly test the effectiveness of the controls that have been introduced. The execution of control actions and checked and the effectiveness is classified by evaluating it as follows: No deficiency Minor deficiency Significant deficiency Material weakness A checklist with the test tasks can be created and the results of the test can be saved in ADONIS. Again, the results are aggregated and shown in traffic light coding. Design Operating - 21 -
Sarbanes-Oxley Report Automated generation of documentation with all model information. Front pages for sign-off ontrol Process 1 Business Process 1 ontrol Process 2 Business Process 2 Flow charts and verbal documentation Business Process 3 Activity 1 Activity 2 Reporting ontrol 1 ontrol 2 ontrol 3 ontrol 4 Risk 9 ontrol 1 ontrol 5 ontrol 6 ontrol 7 ontrol Risk 1 8 Risk 2 Risk 3 Risk 4 Risk 5 Risk 6 Risk 7 Risk 8 ontrol 9 ontrol 10 ontrol 11 ontrol 12 Reports: Standard configuration ADONIS SOX Extension Risk 9 Risk 10 Risk 11 Risk 12 Risk report - 22 -
Messaging System and Test enter Portal Web forms to report events, risks, actions, and accounts. Automatic Reminders of responsible persons for the execution of control actions: Notification: Email with reminder, list of actions and necessary tasks. Feedback: Web form with date, checklist, date of execution, result, etc. Notification Action 1 Action 2 Role Action 3 Action 4 Performer Feedback - 23 -
Inhalt 1 Die BO-Gruppe Firmenprofil & Einführung 2 Operationelles Risikomanagement und Geschäftsprozesse 3 Internes Kontrollsystem und Geschäftsprozesse 4 Vom Geschäftsrisiko zu IT-Risiken: obit und ISO 20000 5 Zusammenfassung & Ausblick - 24 -
Vom Paradigma zur IT-Unterstützung Positionierung im BPMS-Rahmenwerk Strategischer Entscheidungsprozess Gestaltungsprozess Umsetzungsprozess Bewertungs- und Kontrollprozess Ausführungs- prozess - 25 -
IT-Servicemanagement und IT-Architekturmanagement mit ADOit BO Rahmenwerk zum IT-Management ITIL IT-Service Management IT-Architektur Management - 26 -
OBIT in ADOit OBIT -Würfel IT-Prozesse Kritische IT-Prozesse 4x 34x Kontrollziele 318 x Die gesamte OBIT- Family of Products liegt in Form von Referenzmodellen vor. - 27 -
ISO 20000/BS 15000 in ADOit Orientierung nach BS 15000 / ISO 20000 Risiko Prozess landkarte IT-Prozess Kontrollziel BS 15000/ ISO 20000 Aktivität Organisation Rolle Prozessablauf Referenzmodelle Dokumente/ Daten Dokumente/ Daten - 28 -
ISO 20000/BS 15000 in ADOit Auszug von Assessment-Fragen jedem ITSM-Prozess sind Assessment-Fragen (Kontrollziele) zugeordnet BS 15000 Kontrollziele - 29 -
OBIT in ADOit OBI Umsetzung der Kontrollziele OBIT-Kontrollanforderungen werden durch Kontollprozesse, Kontrollaktivitäten oder durch Anpassung von IT-Ressourcen umgesetzt. Financial Management nach ITIL IT-Prozesse: Individuelle Prozesse oder Orientierung an ITIL - 30 -
Inhalt 1 Die BO-Gruppe Firmenprofil & Einführung 2 Operationelles Risikomanagement und Geschäftsprozesse 3 Internes Kontrollsystem und Geschäftsprozesse 4 Vom Geschäftsrisiko zu IT-Risiken: obit und ISO 20000 5 Zusammenfassung & Ausblick - 31 -
Vom Paradigma zur IT-Unterstützung Positionierung im BPMS-Rahmenwerk Strategischer Entscheidungsprozess Gestaltungsprozess Umsetzungsprozess Bewertungs- und Kontrollprozess Ausführungs- prozess - 32 -
Referenzkunden in Österreich - 33 -
Internationale Referenzkunden - 34 -
Vielen Dank für Ihre Aufmerksamkeit! Mag. Robert Strobl BO GmbH A-1010 Wien Tel.: ++43-1-513 27 36 Fax: ++43-1-513 27 36-5 E-Mail: robert.strobl@boc-at.com Web: www.boc-eu.com - 35 -