COBIT Mit COBIT Ihre IT businessorientiert und kostentransparent lenken 01.07.2008, Stuttgart Massood Salehi 1 01.07.2008 arxes consulting gmbh
Unternehmerisches Umfeld heute Regularien (Gesetze..) SOX, 8. EU Richtlinie Basel II, KonTraG Stakeholder Shareholder Kostenvorteile Dienstleistungsqualität Umweltverträglichkeit Arbeitsplatzsicherheit Kosteneffizienz Leistungssteigerung Standardisierung Automatisierung Qualität Markt Innovationsdruck Kostendruck Wettbewerbsfähigkeit 2 01.07.2008 arxes consulting gmbh
Unternehmenssteuerung Enterprise und Corporate Governance Governance Kontrolle, Beherrschung, Steuerung Enterprise Governance Bettet Kontrollen und Messverfahren auf Unternehmensebene ein fokussiert auf Kontrolle, Performance und gutes Management fördert Transparenz und Verantwortlichkeit Beispiel: SOX, 8. EU Richtlinie, Basel II usw. Corporate Governance Conformance Business Governance Performance Ziel ist es sicherzustellen, dass eine strategische Richtung für das Unternehmen vorhanden ist die gesetzlichen Ziele erreicht werden mit Risiken angemessen umgegangen wird die Unternehmensressourcen verantwortlich eingesetzt werden Verantwortlichkeit Zusicherung Wertbeitrag Nutzung von Ressourcen CIMA (Chartered Institute of Management Accountaints) Framework 3 01.07.2008 arxes consulting gmbh
SOX Sarbanes-Oxley Act und Auswirkungen auf die IT Controlling Entwicklung/Ableitung einer IT-Strategie Investitionsplanung und Überwachung von Kosten/Nutzen, Transparenz Risikomanagement und Frühwarnsystem Identifikation und Beurteilung von geschäftsgefährdenden Risiken Präventive Sicherheitsmaßnahmen (z.b. zeitgemäße IT-Infrastruktur) Gemäß Section 302 muss die Unternehmensleitung (CEO und CFO) in Verbindung mit dem quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation internes Kontrollsystem Definierte Aufbau- und Ablauforganisation Festgelegte Rollen und Verantwortlichkeiten Funktionstrennung und Berechtigungsmanagement Dokumentierte Prozesslandschaft und Security Policies Leistungs- und Qualitätsmanagement Überwachungsmaßnahmen und interne Revision 4 01.07.2008 arxes consulting gmbh
SOX vs. EURO-SOX (8. EU-Richtlinie) Sarbanes Oxley Act 8. EU Richtlinie CEO jährliche Stellungnahme CFO jährliche Stellungnahme Geschäftsführer + Prüfungsausschuss + Wirtschaftsprüfer (CPA) + Prüfungsausschuss + Wirtschaftsprüfer Sehr hohe Strafen a.) mehrere Millionen US-Dollar b.) mehrere Jahre Haft (bis 25 Jahre) - Verfahren laufen Sarbanes Oxley Act regelt eindeutig und hart! kollektive Vorstandshaftung persönliche Haftung der Wirtschaftsprüfer Strafen? Länderrecht! In Deutschland Haftung mit Privatvermögen! Der Sarbanes Oxley Act ist im Strafmaß sehr hart! Die 8.EG-Richtlinie lässt hier dem jeweiligen EU Land Gestaltungsspielraum! 5 01.07.2008 arxes consulting gmbh
Definition IT Governance IT Governance Schaffen von Werten ist ein integrierter Teil der Corporate Governance und umfasst Führung, organisatorische Strukturen und Prozesse, die sicher stellen, dass die IT die Strategien und Ziele des Unternehmens unterstützt und verlängert. (IT Governance Institute) Strategische Ausrichtung der IT Stakeholder Value Drivers Messen der Performance Risikomanagement Ressourcenmanagement IT Governance übernimmt im Kern vier Verantwortungen: die Ziele des Unternehmens und seine Anforderungen durch die Bereitstellung bedarfsgerechter IT Services erfüllt werden, Vorschriften und Gesetze eingehalten werden, Ressourcen durch eine effiziente und effektive Organisation verantwortungsvoll eingesetzt werden und Risiken in angemessener Form kontrolliert und gesteuert werden 6 01.07.2008 arxes consulting gmbh
COBIT (Control Objectives for Information and Related Technology ) liefert das Rahmenwerk für IT Governance 7 01.07.2008 arxes consulting gmbh
COBIT Framework Das COBIT Rahmenwerk beschreibt, wie die IT Prozesse die für das Business benötigten Informationen bereitstellen, um das Business in seiner Zielerreichung und Wertschöpfung zu unterstützen. Geschäftliche Anforderungen Grundprinzipien: Businessfokussiert IT Prozesse Domänen Prozesse Informationen Anwendungen Infrastruktur Personal Prozessorientiert Basierend auf Controls Getrieben durch Messungen Aktivitäten 8 01.07.2008 arxes consulting gmbh
Business Value und Kennzahlen IT Ziele: was das Unternehmen von IT erwartet Prozessziele: Was die IT Prozesse liefern müssen, um die IT Ziele zu erfüllen Kennzahlen betreffen verschiedene Ebenen von Nutzen, die aufeinander aufbauen Prozessziele Unternehmensziele IT Ziele Strategische IT- Kennzahlen Kern- Geschäftskennzahlen Umsatz Marktanteil Gewinn ROI Balanced Scorecard Das Berichten der Kennzahlen richtet sich nach seiner Anwendung und seiner Zielgruppe Aktivitätsziele IT-Betriebskennzahlen Prozesskennzahlen für IT Management IT Business Excellence, ISO20000; Six Sigma; ITIL; COBIT Crown Copyright 2007. Reproduced under license from OGC. 9 01.07.2008 arxes consulting gmbh Kennzahlen: Service Desk, Incident, Problem Change, Release
Beispiel aus Geschäftszielen werden IT-Ziele Konzernziel aus einer Kundensituation 1 Mrd. Euro Umsatz in Europa bis Ende 2010 Ziele an das Kerngeschäft Kostentransparenz Zuverlässige Forecasts Geringe Lagerhaltung und Schneller Warenumschlag Konzernweite Kommunikation Ziele an die IT - Wertbeitrag zum Kerngeschäft durch: Kostentransparenz und optimierung Zuverlässige Bestandsführungssysteme (z.b. SAP) Unterstützung der Lieferantenkette (SCM) Harmonisierung der Kommunikationssysteme 10 01.07.2008 arxes consulting gmbh
Praxisbericht Zielsetzung und Vorgehen Zielsetzung: Definition des IT-Governance Umfangs Feststellung eines sog. IT Governance Reifegrades Erarbeitung eines Fahrplans für die Einführung von IT-Governance Vorgehen: Sammlung von Informationen mittels standardisierter Interviews (u.a. im Rahmen des Value Scans) Reifegradfeststellung basiert auf Themenblöcken: - Planung und Organisation - Beschaffung und Implementierung - Betrieb und Unterstützung - Überwachung und Bewertung C O B I T F R A M E W O R K MONITOR AND EVALUATE Efficiency Effectiveness Compliance DELIVER AND SUPPORT INFORMATION Reliability IT RESOURCES Applications Information Infrastructure People Integrity Availability Confidentiality ACQUIRE AND IMPLEMENT PLAN AND ORGANISE Auswertung und Aufbereitung der Informationen Handlungsempfehlungen 11 01.07.2008 arxes consulting gmbh
Beispiel-Ergebnis - Gesamtbetrachtung der Kunden IT Business Alignment 100,00 Project Portfolio 80,00 60,00 40,00 Organisation Asset Management 20,00 0,00 Service Management Infrastructure Operations Service Portfolio best practice-ziel IST-Zustand 12 01.07.2008 arxes consulting gmbh
Beispiel-Ergebnis Auszug SWOT Analyse Strengths Gutes Provider Management im Hinblick auf bestehende Verträge und ausgelagerte Aktivitäten Weaknesses Risiko-Management-Prozess fehlt SLAs nur für SAP existent Keine Kennzahlen definiert Opportunities Ein IT-Marketing-Programm sollte gestartet werden, um rasch eine höhere Sichtbarkeit der IT zu erreichen Threats Die Prozesse folgen keinem Industrie- Standard (z.b. ITIL) und gefährden die Wirksamkeit und Kosteneffizienz der IT Das fehlende Risiko-Management könnte sich unmittelbar auf das operative Geschäft auswirken 13 01.07.2008 arxes consulting gmbh
Heatmap Prozessreifegrad Cockpit IT Prozesse abgleitet & unterteilt nach Domänen aus COBIT Die Resultate aus einem vorher durchgeführten Assessments führen zu den u.g. Ausprägungen im Reifegradmodell Ein Reifegrad von 3,5 genügt bspw. den internationalen Anforderungen an SOX Gewichtung nach best practice und Geschäftsrelevanz Heatmap- Intensität zeigt die Dringlichkeit und Priorität Der durchschnittliche Reifegrad der untersuchten Organisation 14 01.07.2008 arxes consulting gmbh
Bewertung der internen IT-Kontrollen Reifegradmodell 0 1 2 3 4 5 Symbole Aktueller Status Internationaler Standard Best practice Reifegrade 0 Nicht existent 1 Initial 2 Wiederholbar, aber intuitiv 3 Definierter Prozess 4 Überwacht 5 Optimiert Strategisches Ziel 15 01.07.2008 arxes consulting gmbh
IT Balanced Scorecard Finanzen Nr. IT-Ziel KPI 1 Innvoationen Nr. IT-Ziel KPI 1 Kunden Nr. IT-Ziel KPI 1 Prozesse Nr. IT-Ziel KPI 1 IT Compliance sicherstellen Anzahl Compliance Reviews: - Risiko Mgt. - Revision 16 01.07.2008 arxes consulting gmbh
Roadmap IT Governance 100 Tage Plan May 2008 June 2008 July 2008 Mission 1 Refining KPIs measurable goals for vision/mission Organisation Decision Central or decentralized IT Realization IT Advertisement 2 PR Financial Management Cost control / -transparency Risk Management 3 RM - Compliance Project Management Infrastructure Service Management IT Governance II IT Governance Review Governance Review Defining a standard business case orientation strategic triangle Architecture SLA s Service Cataloge Requirement and Change Management Customer Satisfaction Analysis Review Coaching 17 01.07.2008 arxes consulting gmbh
Was tun? Regeln: Im Hinblick auf die EURO-SOX (8. EU Richtlinie) das Unternehmen global betrachten. Jeder einzelne Bereich ist betroffen, trägt Mitverantwortung und hat folglich einen Beitrag zur Umsetzung zu leisten Die Unternehmen müssen vermeiden, die selben Aufgaben an unterschiedlichen Stellen zu erfüllen ToDo: Beschäftigung mit dem Thema Governance Governance Team einrichten Risikomanagement und interne Kontrollsysteme einführen Empfehlung: Benutzen was vorhanden ist und starten mit dem, was unbedingt erforderlich ist! 18 01.07.2008 arxes consulting gmbh
Was bietet arxes an? Übersetzung der Geschäftsziele in IT Ziele Standortbestimmung Ihrer IT (value scan) Einführung von COBIT SWOT Analyse Governance Cockpit Einführung von Balanced Scorecard Herstellung von Kostentransparenz und -optimierung COBIT Training 19 01.07.2008 arxes consulting gmbh
SOX Sarbanes-Oxley Act / Section 302 und 404 Gemäß Section 302 muss die Unternehmensleitung (CEO und CFO) in Verbindung mit dem quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen. Darüber hinaus sind sowohl der Jahresabschlussprüfer als auch das Audit Committee über wesentliche Schwachstellen oder Unregelmäßigkeiten in der Finanzberichterstattung zu informieren. Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation Dabei sind sämtliche interne Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen, Gegenstand dieser Regelung Zusammen mit der quartalsweisen und jährlichen Berichterstattung ist die Einschätzung und Bewertung der Zweckmäßigkeit dieses Kontrollsystems durch die Unternehmensleitung zu prüfen und zu veröffentlichen Der Jahresabschlussprüfer bestätigt und berichtet über die regelmäßige Einschätzung der Unternehmensleitung. 20 01.07.2008 arxes consulting gmbh
Euro SOX Die 8. EU Richtlinie ist in Kraft und muss nun in nationale Regelungen umgesetzt werden Wer ist betroffen? 8.EG-Richtlinie gilt für alle Kapitalunternehmen, man unterscheidet in wirtschaftlich bedeutende Unternehmen und Kleinunternehmen S. 6 Z. 13 21 01.07.2008 arxes consulting gmbh
Heatmap Das Kennzahlen Cockpit Corporate Goal "achieve 1 Billion euro sales in FY2010" Business Goals performant financial management achievement of reliable sales supply and demand forecast simulation accurate distrubution and low stock communication IT Goals Plan and Organize Define a strategic IT plan. Define the information architecture. Determine the technological direction. Define the IT processes, organisation and relationships. Manage the IT investment. Communicate management aims and direction. Manage IT human resources. Manage quality. Assess and manage risks. Manage projects. Acquire and Implement Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. cost control / cost transparency performant IT applications for: ERP CRM SCM collaboration and email harmonisation 22 01.07.2008 arxes consulting gmbh
IT-Balanced Scorecard 23 01.07.2008 arxes consulting gmbh