COBIT. Mit COBIT Ihre IT businessorientiert und kostentransparent lenken. 01.07.2008, Stuttgart Massood Salehi. 1 01.07.2008 arxes consulting gmbh

Ähnliche Dokumente
COBIT 5/ITIL-Convergence?

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management

Optimale Prozessorganisation im IT Management

IIBA Austria Chapter Meeting

ITIL V3 zwischen Anspruch und Realität

Dr.Siegmund Priglinger

IT-Governance und COBIT. DI Eberhard Binder

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

IT Governance im Zusammenspiel mit IT Audit

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Process Management Office Process Management as a Service

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum bis Köln Dr.

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Sarbanes-Oxley: Nutzenpotential und Nachhaltigkeit Martin Studer, Managing Partner Advisory Services, Mitglied der Geschäftsleitung

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

Modul 1 Modul 2 Modul 3

COBIT. Proseminar IT Kennzahlen und Softwaremetriken Erik Muttersbach

Fall 8: IKS-Prüfung nicht dokumentiert

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart,

Fall 1: Keine Übersicht (Topographie)

SWOT Analyse zur Unterstützung des Projektmonitorings

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

The AuditFactory. Copyright by The AuditFactory

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Sourcing Modell Phase 4

PROZESSBETRACHTUNG DURCH DIE NEUE NORM ISO 9001

ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09)

GUARDEAN CM Trend Monitor Die Ergebnisse im Überblick

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Organisation des Qualitätsmanagements

Referenzmodelle für IT-Governance

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

[ 5.BI Praxis Forum. Martin Daut I CEO I simple fact AG Nürnberg I 12. November 2015

SPI-Seminar : Interview mit einem Softwaremanager

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

Outsourcing. Projekte. Security. Service Management. Personal

Internes Kontrollsystem und andere Neuerungen im Schweizer Recht

Teil I Überblick... 25

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Vorlesung Hochschule Esslingen IT-Winter School 2013

Business-Analyse Probleme lösen, Chancen nutzen

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Hotel-Ticker. Performance Analyse ausgewählter deutscher Städte August 2012

IT-Prüfung im Rahmen der Jahresabschlussprüfung

GRC-Modell für die IT Modul GRC-Self Assessment 1

BPM Strategie. Von der Strategie zur operativen Umsetzung. GFT Academy. 06. und , Hamburg 04. und , Stuttgart

Modul 3: Service Transition Teil 2

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

Geyer & Weinig: Service Level Management in neuer Qualität.

ammann projekt management

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Qualität und Führung 18. Juni Integration IKS ins bestehende Management System

WSO de. <work-system-organisation im Internet> Allgemeine Information

Governance, Risk & Compliance für den Mittelstand

Risiko und Compliance Management Nur der guten Ordnung halber? Wolfram Bartuschka Dr. Daniel Kautenburger-Behr

1 Thematische Auseinandersetzung

Führungsinformationssysteme für Universitäten und Hochschulen

IT-Service Management

Jahresrechnung zum 31. Dezember 2014

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Prozessorientierte Applikationsund Datenintegration mit SOA

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

9.6 Korrekturmaßnahmen, Qualitätsverbesserung

ITIL Incident Management

21. Januar 2011, PMI Chaptermeeting HH. Rüdiger L. Thomas Director Research, ifano. Özgür Sengül Consultant, maxence

Internes Kontrollsystem in der IT

Microsoft Digital Pharma. Die nächste Generation von Innovationen für Chemie und Pharma. BearingPoint

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

ÖCI-Plattform: The Future of Risk Management Quo vadis, Risk Management? Entwicklungslinien einer noch jungen Disziplin

Wie wirksam wird Ihr Controlling kommuniziert?

Risikomanagement zahlt sich aus

Informations- / IT-Sicherheit Standards

Sourcing-Governance Retained Organisation itsmf-live! Böblingen Jörg Hild, 27. Mai 2011

ITIL - Die Einführung im IT-Systemhaus der BA. Rolf Frank - itsmf Jahrestagung Projekt ITIL2010

Firmenpräsentation get it services gmbh

Mit uns auf dem Weg zur Spitze.

Änderungen ISO 27001: 2013

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

N N O B O X E N C H E C K. Learn more about (your) Innovation Management and how to make it even better! M A R I A T A G W E R K E R - S T U R M

Konzept Controlling RoadMap. Auswahl, Implementierung und Beratungen für Lösungen zur Konzernsteuerung

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Setzen Sie die richtigen Prioritäten im Service Desk!

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Vorwort des betreuenden Herausgebers (Berndt) A. Strategieprozess und aufsichtsrechtliche Anforderungen (Bastek-Margon)... 7

Impuls-Studie Enterprise Mobility

HP Software für SAP Solutions

IT Service Management

Product Lifecycle Management Studie 2013

Information Security Awareness

Ganzheitliches Management unter Storage Management Aspekten Fluch oder Segen?

PECOS GmbH Hamburg Wie viel Qualität braucht IT-Sourcing?

Fit for Fair-Training. Unternehmensberatung. Mit Weitblick & System!

Transkript:

COBIT Mit COBIT Ihre IT businessorientiert und kostentransparent lenken 01.07.2008, Stuttgart Massood Salehi 1 01.07.2008 arxes consulting gmbh

Unternehmerisches Umfeld heute Regularien (Gesetze..) SOX, 8. EU Richtlinie Basel II, KonTraG Stakeholder Shareholder Kostenvorteile Dienstleistungsqualität Umweltverträglichkeit Arbeitsplatzsicherheit Kosteneffizienz Leistungssteigerung Standardisierung Automatisierung Qualität Markt Innovationsdruck Kostendruck Wettbewerbsfähigkeit 2 01.07.2008 arxes consulting gmbh

Unternehmenssteuerung Enterprise und Corporate Governance Governance Kontrolle, Beherrschung, Steuerung Enterprise Governance Bettet Kontrollen und Messverfahren auf Unternehmensebene ein fokussiert auf Kontrolle, Performance und gutes Management fördert Transparenz und Verantwortlichkeit Beispiel: SOX, 8. EU Richtlinie, Basel II usw. Corporate Governance Conformance Business Governance Performance Ziel ist es sicherzustellen, dass eine strategische Richtung für das Unternehmen vorhanden ist die gesetzlichen Ziele erreicht werden mit Risiken angemessen umgegangen wird die Unternehmensressourcen verantwortlich eingesetzt werden Verantwortlichkeit Zusicherung Wertbeitrag Nutzung von Ressourcen CIMA (Chartered Institute of Management Accountaints) Framework 3 01.07.2008 arxes consulting gmbh

SOX Sarbanes-Oxley Act und Auswirkungen auf die IT Controlling Entwicklung/Ableitung einer IT-Strategie Investitionsplanung und Überwachung von Kosten/Nutzen, Transparenz Risikomanagement und Frühwarnsystem Identifikation und Beurteilung von geschäftsgefährdenden Risiken Präventive Sicherheitsmaßnahmen (z.b. zeitgemäße IT-Infrastruktur) Gemäß Section 302 muss die Unternehmensleitung (CEO und CFO) in Verbindung mit dem quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation internes Kontrollsystem Definierte Aufbau- und Ablauforganisation Festgelegte Rollen und Verantwortlichkeiten Funktionstrennung und Berechtigungsmanagement Dokumentierte Prozesslandschaft und Security Policies Leistungs- und Qualitätsmanagement Überwachungsmaßnahmen und interne Revision 4 01.07.2008 arxes consulting gmbh

SOX vs. EURO-SOX (8. EU-Richtlinie) Sarbanes Oxley Act 8. EU Richtlinie CEO jährliche Stellungnahme CFO jährliche Stellungnahme Geschäftsführer + Prüfungsausschuss + Wirtschaftsprüfer (CPA) + Prüfungsausschuss + Wirtschaftsprüfer Sehr hohe Strafen a.) mehrere Millionen US-Dollar b.) mehrere Jahre Haft (bis 25 Jahre) - Verfahren laufen Sarbanes Oxley Act regelt eindeutig und hart! kollektive Vorstandshaftung persönliche Haftung der Wirtschaftsprüfer Strafen? Länderrecht! In Deutschland Haftung mit Privatvermögen! Der Sarbanes Oxley Act ist im Strafmaß sehr hart! Die 8.EG-Richtlinie lässt hier dem jeweiligen EU Land Gestaltungsspielraum! 5 01.07.2008 arxes consulting gmbh

Definition IT Governance IT Governance Schaffen von Werten ist ein integrierter Teil der Corporate Governance und umfasst Führung, organisatorische Strukturen und Prozesse, die sicher stellen, dass die IT die Strategien und Ziele des Unternehmens unterstützt und verlängert. (IT Governance Institute) Strategische Ausrichtung der IT Stakeholder Value Drivers Messen der Performance Risikomanagement Ressourcenmanagement IT Governance übernimmt im Kern vier Verantwortungen: die Ziele des Unternehmens und seine Anforderungen durch die Bereitstellung bedarfsgerechter IT Services erfüllt werden, Vorschriften und Gesetze eingehalten werden, Ressourcen durch eine effiziente und effektive Organisation verantwortungsvoll eingesetzt werden und Risiken in angemessener Form kontrolliert und gesteuert werden 6 01.07.2008 arxes consulting gmbh

COBIT (Control Objectives for Information and Related Technology ) liefert das Rahmenwerk für IT Governance 7 01.07.2008 arxes consulting gmbh

COBIT Framework Das COBIT Rahmenwerk beschreibt, wie die IT Prozesse die für das Business benötigten Informationen bereitstellen, um das Business in seiner Zielerreichung und Wertschöpfung zu unterstützen. Geschäftliche Anforderungen Grundprinzipien: Businessfokussiert IT Prozesse Domänen Prozesse Informationen Anwendungen Infrastruktur Personal Prozessorientiert Basierend auf Controls Getrieben durch Messungen Aktivitäten 8 01.07.2008 arxes consulting gmbh

Business Value und Kennzahlen IT Ziele: was das Unternehmen von IT erwartet Prozessziele: Was die IT Prozesse liefern müssen, um die IT Ziele zu erfüllen Kennzahlen betreffen verschiedene Ebenen von Nutzen, die aufeinander aufbauen Prozessziele Unternehmensziele IT Ziele Strategische IT- Kennzahlen Kern- Geschäftskennzahlen Umsatz Marktanteil Gewinn ROI Balanced Scorecard Das Berichten der Kennzahlen richtet sich nach seiner Anwendung und seiner Zielgruppe Aktivitätsziele IT-Betriebskennzahlen Prozesskennzahlen für IT Management IT Business Excellence, ISO20000; Six Sigma; ITIL; COBIT Crown Copyright 2007. Reproduced under license from OGC. 9 01.07.2008 arxes consulting gmbh Kennzahlen: Service Desk, Incident, Problem Change, Release

Beispiel aus Geschäftszielen werden IT-Ziele Konzernziel aus einer Kundensituation 1 Mrd. Euro Umsatz in Europa bis Ende 2010 Ziele an das Kerngeschäft Kostentransparenz Zuverlässige Forecasts Geringe Lagerhaltung und Schneller Warenumschlag Konzernweite Kommunikation Ziele an die IT - Wertbeitrag zum Kerngeschäft durch: Kostentransparenz und optimierung Zuverlässige Bestandsführungssysteme (z.b. SAP) Unterstützung der Lieferantenkette (SCM) Harmonisierung der Kommunikationssysteme 10 01.07.2008 arxes consulting gmbh

Praxisbericht Zielsetzung und Vorgehen Zielsetzung: Definition des IT-Governance Umfangs Feststellung eines sog. IT Governance Reifegrades Erarbeitung eines Fahrplans für die Einführung von IT-Governance Vorgehen: Sammlung von Informationen mittels standardisierter Interviews (u.a. im Rahmen des Value Scans) Reifegradfeststellung basiert auf Themenblöcken: - Planung und Organisation - Beschaffung und Implementierung - Betrieb und Unterstützung - Überwachung und Bewertung C O B I T F R A M E W O R K MONITOR AND EVALUATE Efficiency Effectiveness Compliance DELIVER AND SUPPORT INFORMATION Reliability IT RESOURCES Applications Information Infrastructure People Integrity Availability Confidentiality ACQUIRE AND IMPLEMENT PLAN AND ORGANISE Auswertung und Aufbereitung der Informationen Handlungsempfehlungen 11 01.07.2008 arxes consulting gmbh

Beispiel-Ergebnis - Gesamtbetrachtung der Kunden IT Business Alignment 100,00 Project Portfolio 80,00 60,00 40,00 Organisation Asset Management 20,00 0,00 Service Management Infrastructure Operations Service Portfolio best practice-ziel IST-Zustand 12 01.07.2008 arxes consulting gmbh

Beispiel-Ergebnis Auszug SWOT Analyse Strengths Gutes Provider Management im Hinblick auf bestehende Verträge und ausgelagerte Aktivitäten Weaknesses Risiko-Management-Prozess fehlt SLAs nur für SAP existent Keine Kennzahlen definiert Opportunities Ein IT-Marketing-Programm sollte gestartet werden, um rasch eine höhere Sichtbarkeit der IT zu erreichen Threats Die Prozesse folgen keinem Industrie- Standard (z.b. ITIL) und gefährden die Wirksamkeit und Kosteneffizienz der IT Das fehlende Risiko-Management könnte sich unmittelbar auf das operative Geschäft auswirken 13 01.07.2008 arxes consulting gmbh

Heatmap Prozessreifegrad Cockpit IT Prozesse abgleitet & unterteilt nach Domänen aus COBIT Die Resultate aus einem vorher durchgeführten Assessments führen zu den u.g. Ausprägungen im Reifegradmodell Ein Reifegrad von 3,5 genügt bspw. den internationalen Anforderungen an SOX Gewichtung nach best practice und Geschäftsrelevanz Heatmap- Intensität zeigt die Dringlichkeit und Priorität Der durchschnittliche Reifegrad der untersuchten Organisation 14 01.07.2008 arxes consulting gmbh

Bewertung der internen IT-Kontrollen Reifegradmodell 0 1 2 3 4 5 Symbole Aktueller Status Internationaler Standard Best practice Reifegrade 0 Nicht existent 1 Initial 2 Wiederholbar, aber intuitiv 3 Definierter Prozess 4 Überwacht 5 Optimiert Strategisches Ziel 15 01.07.2008 arxes consulting gmbh

IT Balanced Scorecard Finanzen Nr. IT-Ziel KPI 1 Innvoationen Nr. IT-Ziel KPI 1 Kunden Nr. IT-Ziel KPI 1 Prozesse Nr. IT-Ziel KPI 1 IT Compliance sicherstellen Anzahl Compliance Reviews: - Risiko Mgt. - Revision 16 01.07.2008 arxes consulting gmbh

Roadmap IT Governance 100 Tage Plan May 2008 June 2008 July 2008 Mission 1 Refining KPIs measurable goals for vision/mission Organisation Decision Central or decentralized IT Realization IT Advertisement 2 PR Financial Management Cost control / -transparency Risk Management 3 RM - Compliance Project Management Infrastructure Service Management IT Governance II IT Governance Review Governance Review Defining a standard business case orientation strategic triangle Architecture SLA s Service Cataloge Requirement and Change Management Customer Satisfaction Analysis Review Coaching 17 01.07.2008 arxes consulting gmbh

Was tun? Regeln: Im Hinblick auf die EURO-SOX (8. EU Richtlinie) das Unternehmen global betrachten. Jeder einzelne Bereich ist betroffen, trägt Mitverantwortung und hat folglich einen Beitrag zur Umsetzung zu leisten Die Unternehmen müssen vermeiden, die selben Aufgaben an unterschiedlichen Stellen zu erfüllen ToDo: Beschäftigung mit dem Thema Governance Governance Team einrichten Risikomanagement und interne Kontrollsysteme einführen Empfehlung: Benutzen was vorhanden ist und starten mit dem, was unbedingt erforderlich ist! 18 01.07.2008 arxes consulting gmbh

Was bietet arxes an? Übersetzung der Geschäftsziele in IT Ziele Standortbestimmung Ihrer IT (value scan) Einführung von COBIT SWOT Analyse Governance Cockpit Einführung von Balanced Scorecard Herstellung von Kostentransparenz und -optimierung COBIT Training 19 01.07.2008 arxes consulting gmbh

SOX Sarbanes-Oxley Act / Section 302 und 404 Gemäß Section 302 muss die Unternehmensleitung (CEO und CFO) in Verbindung mit dem quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Darüber hinaus sind sowohl der Jahresabschlussprüfer als auch das Audit Committee über wesentliche Schwachstellen oder Unregelmäßigkeiten in der Finanzberichterstattung zu informieren. Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation Dabei sind sämtliche interne Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen, Gegenstand dieser Regelung Zusammen mit der quartalsweisen und jährlichen Berichterstattung ist die Einschätzung und Bewertung der Zweckmäßigkeit dieses Kontrollsystems durch die Unternehmensleitung zu prüfen und zu veröffentlichen Der Jahresabschlussprüfer bestätigt und berichtet über die regelmäßige Einschätzung der Unternehmensleitung. 20 01.07.2008 arxes consulting gmbh

Euro SOX Die 8. EU Richtlinie ist in Kraft und muss nun in nationale Regelungen umgesetzt werden Wer ist betroffen? 8.EG-Richtlinie gilt für alle Kapitalunternehmen, man unterscheidet in wirtschaftlich bedeutende Unternehmen und Kleinunternehmen S. 6 Z. 13 21 01.07.2008 arxes consulting gmbh

Heatmap Das Kennzahlen Cockpit Corporate Goal "achieve 1 Billion euro sales in FY2010" Business Goals performant financial management achievement of reliable sales supply and demand forecast simulation accurate distrubution and low stock communication IT Goals Plan and Organize Define a strategic IT plan. Define the information architecture. Determine the technological direction. Define the IT processes, organisation and relationships. Manage the IT investment. Communicate management aims and direction. Manage IT human resources. Manage quality. Assess and manage risks. Manage projects. Acquire and Implement Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. cost control / cost transparency performant IT applications for: ERP CRM SCM collaboration and email harmonisation 22 01.07.2008 arxes consulting gmbh

IT-Balanced Scorecard 23 01.07.2008 arxes consulting gmbh

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback