Einführung in die IT-Governance VL: Informationsmanagement und Informationssicherheit Universität Hannover Institut für Wirtschaftsinformatik Inhalt 01 Einsatz von IT im Unternehmen Stellenwert und Probleme 02 IT Governance & IT Compliance 03 IT Governance Frameworks COSO CobiT ITIL SAS Überblick & Zusammenfassung 04 IT Controlling Seite 2
IT Bedeutung im Unternehmen Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 3 IT Häufigkeit relevanter Themen auf der Board Agenda Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 4
IT Schwachstellen und Probleme im Unternehmen Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 5 Inhalt 01 Einsatz von IT im Unternehmen Stellenwert und Probleme 02 IT Governance & IT Compliance 03 IT Governance Frameworks COSO CobiT ITIL SAS Überblick & Zusammenfassung 04 IT Controlling Seite 6
IT Governance Begriff Corporate Governance Organisation der Unternehmensleitung und Kontrolle, die auf Verantwortlichkeit und langfristige Wertschöpfung ausgerichtet ist Empfehlungen z.b. hinsichtlich der Aufgaben und des Zusammenwirkens von Vorstand und Aufsichtsrat sowie der Transparenz der Unternehmenssituation IT-Governance Führungsmechanismen, Organisationsstrukturen und Prozesse, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden IT governance is an integral part of enterprise governance and consists of the leadership and organizational structures t and processes that t ensure that t the organization's IT sustains and extends the organization's strategies and objectives. (Definition: IT Governance Institute, www.itgi.org) Quelle: Heinrich (2004), S. 64 Seite 7 IT Governance Nutzen und Notwendigkeit When you are IT Governance could serve e the following objectives for you Executive and Board Set direction for IT, monitor results and insist i on corrective measures Business Manager IT Manager IT Auditor Risk & Compliance Manager Define business requirements for IT and ensure that value is delivered and risks are managed Deliver and improve the IT services as required by the business and directed by the board Provide independent assurance that IT delivers what it needs to deliver Measure whether policies are complied with and focus on alerts to new risks Seite 8
IT Governance Kernbereiche Kernbereiche der IT Governance Strategic Alignment - Ausrichtung der IT auf die Geschäftsprozesse Performance Measurement - wirtschaftlicher Umgang mit IT-Ressourcen, Überwachung der IT Services Risk Management - Überwachung der mit dem IT- Einsatz verbundenen Risiken Value Delivery - Nutzengenerierung mit Fokus auf die Optimierung der IT-Ausgaben und Bewertung/Steigerung des Nutzens der IT Resource Management - Optimierung von Wissen und IT-Infrastruktur Quelle: Board Briefing on IT Governance, 2nd edition, www.itgi.org Quelle: IT Governance Institute Seite 9 IT Governance Reifegrad in Unternehmen (II) Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 10
IT Governance Gegenwärtige Umsetzung Quelle: IT Governance Global Status Report 2008, www.itgi.org Seite 11 IT Compliance Begriff Der Begriff Compliance ist ein Oberbegriff und bedeutet: (i) Einhaltung sämtlicher für das jeweilige Unternehmen relevanten gesetzlichen Pflichten, Vorschriften, Regeln (ii) Fachliche h Kompetenz und persönliche Verantwortung im Umgang mit externen Regeln, internen Regeln und Vorgaben der Shareholder und Vertragspartner sowie (iii) Einhaltung von Vorgaben der Zentrale durch Konzerneinheiten Definition iti IT Compliance Einhaltung und Umsetzung von regulatorischen Anforderungen im weitesten Sinne mit dem Ziel eines verantwortungsvollen Umgangs g mit allen Aspekten der Informationstechnik (IT) Quelle: Dr. Gregor Wecker, Luther Rechtsanwaltsgesellschaft mbh, IT Compliance als Teil der Corporate Governance Seite 12
IT Compliance Kernbereiche Etablierung eines IT-gestützten Informations- und Kontrollsystems (IKS) Schaffung von IT-Security Sicherstellung der Rechtskonformität der genutzten IT-Systeme (Lizenzmanagement) Sicherstellung von Datenschutz und Datensicherheit Gesetzeskonforme elektronische Archivierung Quelle: Dr. Michael Rath, Luther Rechtsanwaltsgesellschaft ll h mbh, Rechtliche h Aspekte von IT Compliance Seite 13 Inhalt 01 Einsatz von IT im Unternehmen Stellenwert und Probleme 02 IT Governance & IT Compliance 03 IT Governance Frameworks COSO CobiT ITIL SAS Überblick & Zusammenfassung 04 IT Controlling Seite 14
COSO Grundlagen COSO = The Committee of Sponsoring p g Organizations g of the Treadway Commission COSO ist eine 1985 gegründete und privat geführte Organisation in den USA, die sich die deverbesserung des Berichtswesen ese im Finanzbereich e mit Hilfe ethischer e Grundsätze, effektiver interner Kontrollen und der Anwendung von Corporate Governance Grundsätzen zum Ziel gesetzt hat. COSO definiert interne Kontrolle als einen Prozess, der vom Board of Directors, Management und weiteren Mitarbeitern einer Wirtschafteinheit durchgeführt wird, und darauf abstellt, hinreichende Gewähr für die Realisierung folgender Ziele zu bieten: Effektivität und Effizienz der operativen Prozesse Zuverlässigkeit der Finanzberichterstattung Beachtung von Gesetzen und Regelungen Quelle: Ernst & Young AG, Business Risk Services Seite 15 COSO Ansatz: Die fünf Elemente des internen Kontrollsystems Die Prüfung des internen Kontrollsystems auf Entity-Ebene gemäß der COSO Methodologie besteht aus fünf, miteinander verbundenen Elementen: Geschäftbereiche Funktionen Umfang für Sarbanes-Oxley Act 404 Überlegungen bez. des internen Kontrollsystems neben 404 Kontrollumfeld Risikoaufnahme Kontrollmaßnahmen Information und Kommunikation Laufende Überwachung Seite 16 Überlegungen bez. des internen Kontrollsystems aufgrund des Sarbanes- Oxley Act, 404 Schaubild auf Grundlage v. AICPA Auditing Standards AU319, Dfiiti Definition des internen it Kontrollsystems t ( 13)
COBIT Grundlagen 1996 erstmals von der ISACA (Information Systems Audit and Control Association) veröffentlichtes Governance Framework und unterstützendes Toolset und mittlerweile international anerkannter Standard für IT-Governance CobiT: Control Objectives for Information and related Technology Ein Kontrollziel (Control Objective) ist eine Aussage zum gewünschten Resultat t (Zweck), das mit der Implementierung von Kontroll(verfahr)en in einer bestimmten Aktivität erreicht werden soll. Quelle: www.isaca.org Seite 17 COBIT Modell Das COBIT-Modell stellt einen strukturierten Ansatz für die Durchführung von IT- Prüfungen dar: The CUBE Relationships among Components Information Criteria Es liefert ein Referenzmodell für IT Prozesse Es nennt die relevanten Kontrollziele und weist diese den IT-Prozessen zu Es berücksichtigt Personen, Daten, Technik sowie Infrastruktur r Es ermöglicht Benchmarks durch ein integriertes Bewertungssystem IT Proc cesses Applic cation System ms Technolog gy ities Data Facil COBIT-Modell Quelle: Bitterli, Praxishandbuch CobiT, 2006 Seite 18
COBIT Einsatzbereiche in Unternehmen Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 19 COBIT Nutzen für die IT Governance Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 20
ITIL Grundlagen ITIL = IT Infrastructure Library ITIL (the IT Infrastructure Library ) ist der weltweit meistverbreitete Ansatz für IT Service Management. Die ITIL bietet ein geschlossenes Set von Best Practices aus dem öffentlichen und privatwirtschaftlichen Sektor. Dazu kommen umfassende Qualifizierungsprogramme, akkreditierte Trainings und Implementierungs- und dbewertungstools. t Adressaten IT Service Management Quelle: www.itil-officialsite.com i l Seite 21 ITIL Ansatz Es gibt keine Universallösung im Hinblick auf Design und Implementierung von optimierten i t Prozessen und Lieferung von qualifizierten i IT Services. ITIL soll daher weder als Standard noch als Regel- und Gesetzeswerk betrachtet werden. Es stellt vielmehr einen Rahmen dar, der eine von Experten und Autoritäten allgemein anerkannte, strukturierte Annäherung an die essentiellen Prozesse ermöglicht. ITIL liefert best practice Leitlinien und Architekturen, die sicherstellen sollen, dass IT Prozesse auf die Geschäftsprozesse abgestimmt sind und dje IT korrekte und passende Lösungen für die Vorgänge im Unternehmen zur Verfügung stellt. Jede Organisation kann die Leitlinien, Prinzipien und Konzepte von ITIL übernehmen und an ihr individuelles Umfeld anpassen adopt and adapt. Quelle: IT Service Management Forum: ITIL pocket guide Seite 22
ITIL Ziel Unterstützung von IT Service Providern zur Verbesserung von IT-Effizienz und Effektivität bei gleichzeitiger Verbesserung der Servicequalität unter Einhaltung bestehender Kostenbeschränkungen One of the main objectives of ITIL is to assist IT service provider organisations to improve IT efficiency and effectiveness whilst improving the overall quality of service to the business within imposed cost constraints. Quelle: IT Service Management Forum: ITIL pocket guide Seite 23 ITIL Nutzen Ständige Verbesserung der Qualität von IT Services Reduktion der Langzeitkosten durch verbesserten ROI (Return On Investment) oder reduzierte TCO (Total Costs of Ownership) durch Prozessverbesserung Angemessenes Preis-Leistungs-Verhältnis für das Unternehmen, das Management und die Stakeholder durch verbesserte Effizienz Reduziertes Risiko des Verfehlens von Unternehmenszielen durch die Bereitstellung von gleich bleibender Servicequalität Verbesserte Kommunikation und Zusammenarbeit zwischen IT und Business Fähigkeit, einen hohen Grad an Veränderungen durch eine verbesserte, messbare Erfolgsrate zu kompensieren Prozesse und Verfahren können auf die Vereinbarkeit mit Best Practice - Vorlagen geprüft werden Verbesserte Fähigkeit, Übernahmen, Mergers und Outsourcing entgegenzutreten Quelle: IT Service Management Forum: ITIL pocket guide Seite 24
COBIT und ITIL Abgrenzung (II) Das COBIT-Framework verfolgt primär die Ordnungsmäßigkeit und Sicherheit und stellt damit die IT-Governance beim Betrieb der IT-Services sicher. IT Service Management gemäß ITIL orientiert sich einzig am Kundennutzen und der Effizienz. Die Erreichung der Geschäftsziele unter gleichzeitiger Erfüllung interner und externer Auflagen ist eine grundlegende Voraussetzung, um mittel- und langfristig den Erfolg eines Unternehmens zu sichern. Quelle: www.itil.org Seite 25 COBIT und ITIL Synergien Die eher formalen Kontrollziele von COBIT werden mit dem auf Angemessenheit und Flexibilität ausgerichteten Framework von ITIL abgeglichen und sind damit leichter festzulegen und zu erfüllen. Die Vorgaben zur strategischen Ausrichtung und Effizienzsteigerung von IT Service Management lassen sich durch diese Verbindung mit den Vorgaben der Revision synchronisieren. Die beiden Frameworks werden sich weiter entwickeln und immer mehr aufeinander zu bewegen. Hier schlägt der internationale Standard ISO 20000 die Brücke. Quelle: www.itil.org Seite 26
SAS Grundlagen SAS = Statements on Auditing Standards Herausgegeben vom Auditing Standards Board (ASB) des American Institute of Certified Public Accountants (AICPA), um Äußerungen zu prüfungsrelevanten Themen bei der Vorbereitung und Erstellung von Prüfungsberichten für Nicht-Aussteller anwenden zu können Adressaten Externe Auditoren Quelle: www.aicpa.org Seite 27 IT Governance Frameworks Überblick (I) Security and Exchange Commission (SEC) Sarbanes Oxley Compliance SAS US Public Companies Accounting Oversight Board (PCAOB) Audit Guidelines COSO Committee of Sponsoring Organizations of the Treadway Commission (COSO) Corporate Internal Control Environment CobiT Control Objectives for Information and other Technologies (COBIT) IT Internal Control Environment ITIL Information Technology Infrastructure Library (ITIL) Process Quelle: IT Governance Institute, t CobiT Management Guidelines, www.itig.org Seite 28
IT Governance Frameworks Used Solutions Quelle: IT Governance Global l Status t Report 2008, www.itgi.org i Seite 29 Inhalt 01 Einsatz von IT im Unternehmen Stellenwert und Probleme 02 IT Governance & IT Compliance 03 IT Governance Frameworks COSO CobiT ITIL SAS Überblick & Zusammenfassung 04 IT Controlling Seite 30
IT-Controlling Messung der Performance der IT mit Hilfe der folgenden Lösungen: COBIT-Reifegradmodell e eg Key Performance Indicators (KPI) IT Benchmarking IT Balanced Scorecard Seite 31 Grundlage IT Value Benchmark: Das COBIT-Referenzmodell Ausgewählte Prozesse stehen im Fokus der Untersuchung Planung und Organisation Beschaffung und Einführung Auslieferung/ Unterstützung Überwachung Definition eines strategischen IT- Plans Personalwesen Identifikation von automatisierten Lösungen Definition und Management von SLAs Unterstützung und Beratung der IT-Kunden Überwachung der Prozesse Definition der Informationsarchitektur Einhaltung externer Anforderungen Beschaffung von Anwendungs-SW Handhabung von externen Dienstleistern Konfigurationsmanagement Beurteilung der Angemessenheit interner Kontrollen Bestimmung der technologischen Richtung Definition der IT- Organisation Risikobeurteilung Beschaffung der technischen Architektur Entwicklung und Unterhalt von IT- Verfahren Projektmanagement Performance- & Kapazitätsmanagement Kontinuitätsmanagement Problemmanagement Verwaltung der Daten Unhabhängige gg Revision sicherstellen Verwaltung der IT- Investitionen Installation und Akkreditierung von Systemen Sicherstellen der Systemsicherheit Qualitätsmanagement Facility- Management Change Management Kommunikation der Unternehmensziele Kostenverrechnung Management der Produktion Ausbildung & Training der User Seite 32
Bewertung der IT-Prozesse Objektive Einschätzung der IT-Prozesse auf Basis von Fragebögen und eines durch CobiT definierten Bewertungsschemas Beschreibung 1 Nicht vorhanden Kein erkennbarer Prozess vorhanden. Bedürfnis nach einem definierten Prozess ist innerhalb der Organisation nicht vorhanden 2 Ad hoc Kein standardisierter Prozess vorhanden. Bedürfnis nach einem definierten Prozess ist innerhalb der Organisation erkannt. Individuelle Vorgehensweisen bzw. Fall zu Fall Vorgehensweisen werden angewandt. Es gibt keine standardisierte Prozessbewertung. Überwachungen des Prozesses finden nur im Fehlerfall statt. 3 Intuitiver, Der Prozess ist identifiziert. Grundlegende Measurements werden erhoben und der Prozess wird überwacht. wiederholbarer Prozessverständnis ist nicht in der gesamten Organisation vorhanden. Schulungen von Standardprozessen finden nicht Prozess statt. Tools zur Prozessunterstützung sind teilweise implementiert. 4 Definierter Prozess Der Prozess ist definiert und kommuniziert. Messgrößen zur Prozess-Steuerung sind definiert und werden abhängig vom individuellen Engagement erhoben. Regelmäßige Verbesserungsmaßnahmen werden nicht initiiert. 5 Gemessener Prozess Der Prozess ist definiert, kommuniziert und unternehmensweit geschult. Verantwortlichkeiten sind klar und eine Prozessverantwortung ist etabliert. Der Prozess wird regelmäßig gemessen und Verbesserungsmaßnahmen eingeleitet. 6 Optimierter Prozess Der Prozess hat den Status Best practice erreicht. Bei Abweichungen werden Ursachenanalysen durchgeführt. Die eingesetzten Tools sind integriert. Verbesserungsmaßnahmen werden auch aus externen Benchmarks und Expertenmeinungen eingeleitet. Seite 33 Key Performance Indicators (KPI) Sichtweisen in IT (1) Kundensicht IT Produkt - katalog Verantwortlicher SAP- Arbeitsplatz Standard PC - CAD- CAM- CAE- Arbeitsplatz Arbeitsplatz Arbeitsplatz Arbeitsplatz Verantwortlicher Verantwortlicher Verantwortlicher Verantwortlicher Appl. Services Front End Services Netzwerk Services KPI SA AP MS Offi ce CAT TIA etc c. Desk ktop Druc cker PD A File e- serv vice Ne tz- Druc cker Netzw werk- zuga ang Verantwortlicher Verantwortlicher Verantwortlicher Verantwortlicher...... IT Service - katalog RZ SAN LAN WAN End User Support Verantwortlicher Verantwortlicher Verantwortlicher katalog Server Firewall...... etc. IT Sicht Seite 34
Key Performance Indicators (KPI) Anwendungsbeispiel (3) Prozess: End-User Support KPI-Name Anteil der Personalkosten (FTE) an den IT Gesamtkosten Kosten Definition Ermittlung der FTEs, deren Aufgabengebiet ausschließlich im Help Desk, Support liegt Anteil der Personalkosten Zielvorgabe (qualitativ) Bestehender Anteil soll konstant gehalten werden (keine Erhöhung!) Durchschnittl. Kosten je Anwender Zielvorgabe (quantitativ) 7 FTE; 12 % Kostenanteil von ITZ-314 Qualität Datenquellen IT Betriebsergebnis und Kontenauswertung Ergebnisse Ist-Personalkosten des End-User-Service an den IT Gesamtkosten Erreichbarkeit Kundenzufriedenheit Periodizität Zweimal im Jahr Leistung Anzahl der Anfragen Umfang des Serviceangebots Prozess Durchschnittliche Bearbeitungszeiten Standardisierungsgrad gg Innovation Reaktionsfähigkeit auf veränderte Serviceanforderungen KPI-Name Definition Zielvorgabe (qualitativ) Zielvorgabe (quantitativ) Datenquellen Ergebnisse Periodizität Kundenzufriedenheit Durchschnittliche Differenz zwischen der vereinbarten und tatsächlich geleisteten Servicequalität anhand einer 5-Punkte Likert-Skala (stimme voll zu stimme überhaupt nicht zu) Hohe Service Qualität (Umfrage ITZ von mindestens 70 Punkten) 4 Punkte (durchschnittlich bei Auswertung von 100 Anwendern) Anwenderbefragung; Service Level Agreements Tatsächlich geleistete Servicequalität; Performance Gap Einmal im Jahr Seite 35 IT-Benchmarking - Definition Definition Benchmarking: eine objektive, vergleichende Bewertung von Strategien, Prozessen, Funktionen und Verhaltensweisen mit Hilfe von quantitativen Indikatoren und qualitativen Messgrößen, die sich aus der direkten Analyse von Daten und Informationen einer repräsentativen Gruppe von ähnlichen oder konkurrierenden Unternehmen ergeben, die als Weltbesten gelten. (Sabisch/Tintelnot, 1997) Benchmarking von IT im Unternehmen: Objekte des Benchmarking können Institutionen (IT-Abteilung Abteilung, Rechenzentrum, Benutzerservice), IT-Projekte (Entwicklungsprojekte, Wartungsprojekte) oder IT- Prozesse (Beschaffungsprozesse, Outsourcingprozesse) sein. (Heinrich, 2005) Mögliche Kennzahlen: Anteil IT-Kosten/Gesamtkosten, Anteil IT-Kosten/Umsatz, Anteil IT- Mitarbeiter/Gesamtmitarbeiter, Entwicklung IT-Budget der letzten Jahre etc. Seite 36
Benchmarking im Bereich IT Ziele/Prozessschritte und Trends Benchmarking ist in den USA und Japan mittlerweile allgemeine Praxis kommt in Europa immer häufiger zur Anwendung Benchmarking-Ziele Prozessschritte Istzustandsanalyse der bestehenden und möglichen IT- Effizienz Aufzeigen und Evaluierung der Einsparungspotenziale Empfehlungen zur Verbesserung/Restrukturierung Bestimmung der weiteren IT-Strategie des Unternehmens 1. Planung 2. Durchführung 3. Analyse 4. Veränderung Seite 37 Beispielhafte Ergebnisse und Schlussfolgerungen 1.1 Wie zufrieden sind sie mit der IT im 1.3 Haben Sie neben einem zentralen Allgemeinen? Ansprechpartner in der IT zusätzlich lokale Ansprechpartner in der Fachabteilung (z. B. lokaler Mitarbeiter)? 11% 0% 6% 7% 35% 1 - sehr gut 2 - gut 3 - befriedigend 4 - ausreichend 5 - mangelhaft 41% 6 - ungenügend 53% 47% Ja Nein 83 % der befragten Personen kommen zur Rund die Hälfte der Anwender geben an, keinen Beurteilung befriedigend oder besser. Damit fällt lokalen Ansprechpartner (Key User) zu haben. die Gesamtbeurteilung sehr positiv aus. In Das Key User Konzept sollte überprüft und / Einzelfragen ist Optimierungspotential aber oder stärker kommuniziert werden. erkennbar. Seite 38
Beispielhafte Ergebnisse und Schlussfolgerungen Vergleich der Kostenartenstrukturen IT -K o sten n g esamten Anteil a 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0,1% 15,4% 26,9% 0,2% 16,8% 7,5% 23,8% 2,4% 6,1% 3,8% 17,2% 12,0% 29% 2,9% 12,3% 12,6% 33,1% Kostenumlage von anderen Kostenstellen Sonstige Kostenarten (Reisekosten, Schulungen,...) Kalk. Abschreibung (Afa, Zins) / Leasing / GwG Lizenzen / SW-Wartung Telekommunikation Instandhaltung (HW-Wartung, Outsourcing,...) Fremdpersonal (Beratung,...) Personalkosten - Intern 0% Beispielunternehmen Vergleichsuntern. Mittelwert Seite 39 Vielen Dank für Ihre Aufmerksamkeit! k