Der Weg zur wertorientierten IT-Security Governance



Ähnliche Dokumente
Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management

ITIL V3 zwischen Anspruch und Realität

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT-Governance und COBIT. DI Eberhard Binder

COBIT. Proseminar IT Kennzahlen und Softwaremetriken Erik Muttersbach

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Inhalt 1 Übersicht Cobit IT-Prozesse

BPM im Kontext von Unternehmensarchitekturen. Konstantin Gress

Der Blindflug in der IT - IT-Prozesse messen und steuern -

MehrWert durch IT. REALTECH Assessment Services für SAP Kosten und Performance Optimierung durch Marktvergleich

SPI-Seminar : Interview mit einem Softwaremanager

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Process Management Office Process Management as a Service

Information Security Awareness

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -

IIBA Austria Chapter Meeting

EAM Ein IT-Tool? MID Insight Torsten Müller, KPMG Gerhard Rempp, MID. Nürnberg, 12. November 2013

Information Governance Ergebnisse einer Marktbefragung zum Status Quo und Trends. Dr. Wolfgang Martin Analyst

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung

Systemen. Stand der Umsetzung von BSC-Systemen. 3/4 der Unternehmen setzen Balanced Scorecard als neues Instrument der Unternehmensführung ein.

Modul 1 Modul 2 Modul 3

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

IT Governance im Zusammenspiel mit IT Audit

CMMI und SPICE im Automotive Umfeld

IT-Service Management

Modul 8: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung)

IT Balanced Scorecard (IT BSC)

ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09)

Optimale Prozessorganisation im IT Management

Dr.Siegmund Priglinger

Modul 7: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung)

Vorlesung Hochschule Esslingen IT-Winter School 2013

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Sourcing Modell Phase 4

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Vortrag zum Thema E C G Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Betriebswirtschaftliche Kriterien, Aufwand und Nutzen von CMMI-Implementierungen

Sarbanes-Oxley: Nutzenpotential und Nachhaltigkeit Martin Studer, Managing Partner Advisory Services, Mitglied der Geschäftsleitung

BCM Schnellcheck. Referent Jürgen Vischer

EuroCloud Deutschland Confererence

IT-Revision als Chance für das IT- Management

IT Governance Michael Schirmbrand 2004 KPMG Information Risk Management

Scheer Management Report 2014 Operative Strategieumsetzung. Herausforderungen und Methoden aus der Unternehmenspraxis

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Führungsinformationen in Echtzeit: Erfolgsfaktoren bei der Einführung einer Balanced Scorecard (BSC)

BUSINESS PARTNER STATT ZAHLENKNECHT

Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass?

Teil I Überblick... 25

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart,

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx /09/2012

Welches sind die wichtigsten Aufgaben des Strategischen Projektmanagements? Die Aufgaben des Strategischen Projektmanagements sind wie folgt:

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Geyer & Weinig: Service Level Management in neuer Qualität.

Security Reporting. Security Forum FH Brandenburg Guido Gluschke 2012 VICCON GmbH

EN : Informationen für Management und Betrieb

ITIL und Entwicklungsmodelle: Die zwei Kulturen

Über mich. IT-Governance für KMU Luxus oder Fundament? ISACA After Hours Seminar vom 29. Januar 2013 Peter Josi.

Referenzmodell für die strategische Ausrichtung eines internen IT-Dienstleisters am Business Value

Benchmark zur Kompetenzbestimmung in der österreichischen SW Industrie. Mag. Robert Kromer NCP / AWS Konferenz Wien,

Governance, Risk & Compliance für den Mittelstand

Product Lifecycle Management Studie 2013

Führungsinformationssysteme für Universitäten und Hochschulen

Strategische Führung einer Gemeinde. Instrumente - Erfahrungen

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Financial Management für IT Services. Referent : Olaf Mahrenholz

Process Management Office. Process Management Office as a Service

Herausforderungen und Veränderungen aktiv gestalten Die weichen Faktoren sind die harten Erfolgsfaktoren. DQS-Kundentage 2011

IT-Controlling in der Sparkasse Hildesheim

BPM Strategie. Von der Strategie zur operativen Umsetzung. GFT Academy. 06. und , Hamburg 04. und , Stuttgart

BearingPoint RCS Capability Statement

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

COBIT 5/ITIL-Convergence?

BCM Business Continuity Management

ITIL - Die Einführung im IT-Systemhaus der BA. Rolf Frank - itsmf Jahrestagung Projekt ITIL2010

Risiko- und Compliancemanagement mit

Fachtagung, Donnerstag, 26. April 2012, Au Premier, Zürich. Bereichs- und Amtsstrategien Aufwand und Nutzen

ERP / IT Strategieleitfaden Vorgehensmodell zur Entwicklung einer ERP / IT-Strategie

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

Test zur Bereitschaft für die Cloud

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede

> Als Mittelständler auf dem Weg in die Cloud

Executive Search oder Interim Management - was ändert sich durch digitale Transformation?

Informationssicherheit als Outsourcing Kandidat

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Risiken auf Prozessebene

Hotel-Ticker. Performance Analyse ausgewählter deutscher Städte August 2012

IT Wirtschaftlichkeit. Themenenabend der Gesellschaft für Informatik, Regionalgruppe Köln

d i e J E D E R s c h o n m o r g e n f r ü h s ta r te n k a n n!

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

ITSM (BOX & CONSULTING) Christian Hager, MSc

Herzlich Willkommen auf dem

Transkript:

Wert und Kosten der IT- Der Weg zur wertorientierten IT- Governance 26. Decus Symposium, Königswinter, 10. April 2003 Dr. Stephan Teiwes Special Assurance and Advisory Services, Zürich Agenda 1. Aktuelle Situation 2. Wertorientiertes IT-/IT- Management 3. Evolution von Budgeting- nach Beyond-Budgeting-Modell 4. IT-/IT- Governance 5. Integrierte, wertorientierte Führungsmethodik 6. IT--Management 7. IT-/IT- Balanced Scorecard 8. COBIT als Kontrollmodell 9. Leistungsvereinbarung 10. Wertorientiertes IT- Assessment 11. Tools zur wertorientierten Steuerung der IT- 12. Zusammenfassung

Aktuelle Situation Kritische Diskrepanz zwischen den Anforderungen an die Geschäftskontinuität und den praktischen Sicherheitsvorkehrungen Anforderungen Erhaltung der auf Geschäftskontinuität Identifikation der IT-Assets im Unternehmen IT ist einer der wesentlichen Geschäftstreiber und Unterstützungsprozesse Erhaltung der IT-Geschäftskontinuität Verständnis über die Zusammenhänge zwischen Geschäftsstrategie, Risiko- Management und (IT-)Sicherheits- Management Verständnis der Zusammenhänge von Wert- und Kostentreibern, Wert- und Kostenerfassung, Werterhaltung Kunde Vision / Prozesse Strategie Finanzen Personal Geschäftsstrategie Defizite (IT-) Risiko-Management ist noch nicht oder nur stellenweise umgesetzt Schutzobjekte sind nicht identifiziert Es besteht keine unternehmensweite Geschäftskontinuitätsplanung. Krisenmanagement ist unzureichend (Mängel: Personal, Know-how, Training) Kein unternehmensweite einheitliche Risikokultur; unzureichende Koordination IT und IT- sind nicht messbar, nicht nachvollziehbar, kein Kontrollsystem keine IT- und IT--Governance Kosten sind oft nicht transparent, nicht zuordenbar IT-Sicherheit ist heterogen Aktuelle Situation Studie bei Schweizer Unternehmen zeigt starke Unterschiede bei Kostenstruktur und Controlling in der IT Durchschnitt Finanzdienstleistungen Technologie, Medien Sonstige Dienstl., Logistik Handel Chemie, Pharma Sonstige Industrien Öffentl. Verwaltungen Aufteilung der IT Kosten, gegliedert nach Branchen 27% 34% 35% 31% 39% 35% 42% 50% 17% 15% 21% 20% 23% 13% 30% 21% 0% 20% 40% 60% 80% 100% 14% 17% 11% 13% 10% 14% 12% 6% 14% 21% 14% 12% 33% 16% 7% 13% 26% 19% 23% 23% 14% 7% 9% 2% Kernaussagen: In den Unternehmen sind die Praktiken in der Organisation der IT und bei der Erhebung der IT Kosten sehr unterschiedlich De Facto existiert heute kein einheitl. Standard im IT Controlling und in der Beurteilung von Kosten bzw. Leistung. Das erschwert den Vergleich, die Transparenz und die Steuerung Oft verfügt das IT-Controlling nicht über den in der Befragung geforderten Detaillierungsgrad der Zahlen Internes Personal HW SW Telecom & Infrastruktur Externe Leistungen Source: IT-Kosten und IT-Performance 2002, EY Schweiz

Aktuelle Situation Handlungsbedarf angesichts der Defizite im Risiko-, Business-Continuity- und Krisenmanagement Die meisten Unternehmen sind auf Krisensituationen schlecht oder gar nicht vorbereitet Die Bereitschaft zur Investition in die Verbesserung der Sicherheit ist prinzipiell vorhanden. Doch der Einsatz von Geldern soll nachweislich eine Wertschöpfung für das Unternehmen sein Das Verständnis der Wertschöpfung durch IT-Risiko-Management und IT- muss verbessert werden Handeln ist notwendig Hastiges Vorgehen durch Angst vor wachsenden Bedrohungen (Terror) birgt wiederum die Gefahr, falsche Massnahmen aus einem Unverständnis heraus zu beschliessen. So können hohe Investitionen leicht ihr Ziel verfehlen und der Krisenfall darum zur Katastrophe werden. + Gezieltes Handeln und koordiniertes Vorgehen sind erforderlich: erster Schritt ist eine Diagnose, um die eigene Situation zu verstehen, zu beurteilen und darauf aufbauend Massnahmen zu planen, einzuleiten und deren Umsetzung zu kontrollieren. Wertorientierte Planung und Umsetzung schaffen Kosten- und Nutzentransparenz und Wertschätzung Kontroll- und Steuermechanismen erhalten Sicherheit und deren Wert Sicherheit, die durch Investitionen geschaffen worden ist, soll dem Unternehmen auch erhalten bleiben. Wertorientiertes IT-/IT- Management Werttreiber und Risikotreiber werden miteinander in Beziehung gestellt Geschäftseinheiten Verwaltungsrat Finanziell Umsatz Umsatzwachstum Kosteneinsparungen Nicht Finanziell Kundenzufriedenheit Kundenzuwachs Kundenvertrauen -Effektivität Fokus auf Mehrwert Wertenetz Marktdiversifikation Image, Branding Mitarbeiterqualifikation Wert- Treiber Stakeholders IT-/IT- Strategie Kritische Faktoren Alignment mit Unternehmensstrategie und Marktbedürfnissen Kennzahlen zur strategischen Steuerung Risiko-Wahrscheinlichkeiten, Schadenssummen RoI, Kosten, BSC KPIs, Frühwarn-Indikatoren Industrie-Benchmarks IT-/IT--Kosten IT-/IT--Prozesse und -Standards Anwendungslandschaft Anwenderzufriedenheit Compliance Gesetzgebung (national, international) Trends Studien Gartner, Forrester, Ernst & Young Risiko- Treiber Finanziell Kosten durch Fehleinschätzungen Controlling Mängel Monetäre Strafen durch rechtl. Streit Nicht Finanziell Techn. Wandel IT-Gefahren Mängel in Praktiken Risikounterschätzung Wertenetz Unvorsicht Vernachlässigung von IT- Imageverlust Fokus auf Risiko

Blick auf die Evolution: vom Budgeting-Modell zum Beyond-Budgeting-Modell Der Wechsel des Modells trägt dem dynamischen Verhalten von Markt und Kunden Rechnung. Heute Budgeting Modell Vision Zukunft Beyond Budgeting Modell Strategie Budget Konvertierung Self-Governance Management Budget einhalten Soll-/Ist- Vergleich Adaptive Management- Prozesse Boni/Prämien (vs. Budget) Ziel: effiziente Nutzung von Finanzkapital und anderen Ressourcen Ziel: hohe Anpassungsund Innovationsfähigkeit Budgeting vs. Beyond-Budgeting: was ändert sich? Kriterium 1. Ziele 2. Bonussystem 3. Planung 4. Ressourcen 5. Koordination 6. Strategisches Controlling Budgeting Modell 1. Fixes Jahresziel 2. Zumeist auf der Basis individueller Ziele 3. Unternehmensbezogen 4. Zentral gesteuerter Einsatz verhindert Reaktionsfähigkeit 5. Unternehmensorientiert und somit statisch 6. Vergleich der Ist-Zahlen mit Budget; Fehlen von strategisch relevanten Informationen Beyond Budgeting Modell 1. Wettbewerbsorientierte Ziele 2. Auf Basis von Team-bezogenen Zielen 3. Kundenbezogen Customer first 4. Bedarfsorientierte Entscheidung und Ressourcenplanung 5. Marktorientiert und somit dynamisch 6. Strategisch relevante, entscheidungsorientierte und vielseitige Informationen

IT- / IT- Governance Prinzip der Steuerung von IT und integrierter IT- in einem formalen Prozess nach COBIT Unternehmensleitung Führung Reporting IT-Ziele (IT--Ziele) Optimale Unterstützung der Geschäftsziele Adäquates Risiko-Mgmt. Verantwortungsbewusster Einsatz von Ressourcen Leistungsvereinbarungen Management & Control IT-Aktivitäten (IT- Aktivitäten) Planung & Organisation Akquisition & Umsetzung Kontrolle Auslieferung & Unterstützung Überwachung Reporting ROI erzeugen Risiken beherrschen IT Ressourcen Einsatz einer integrierten, wertorientierten Führungsmethodik Risikoorientierter Prozess zur Wertsteuerung Vorteile Risikoorientiertes Führungs- und Controlling-Instrument, basierend auf den strategischen Zielen Transparenz schafft Vertrauen beim Stakeholder (Stakeholder-Orientierung) Integration von Risiko-Management in die Balanced Scorecard (BSC) Ansatz Reduktion von Redundanzen bei Führung und Reporting Strategiekonforme IT- und IT- Projekte und Budgetierung Risikoaspekte Wertaspekte

IT--Management Mittels IT--Management werden die Risikotreiber festgestellt und überwacht Kritische Aspekte Einheitliche Sprache und Verständnis bei Risikoverständnis und -beurteilung Einbezug aller Bereiche bei einheitlichem (ggf. globalen) Ansatz Festlegung von Verantwortlichkeiten Schaffung einer Risikokultur durch Integration eines risikobewussten Denkens im Tagesgeschäft Klare Vorgaben, wie Risiken identifiziert, gemessen, gehandhabt und reduziert werden sollen Automation der -Prozesse Trennung der Kontrollfunktion von der Managementfunktion Monitoring Identification Universe Management Measurement IT- / IT- Balanced Scorecard Mittels Balanced Scorecard können auch die Wert- und Kosten-Treiber der IT- festgestellt und überwacht werden. Vorteile Monitoring der Leistung operativer Prozesse und der langfristig für den Erfolg relevanten Faktoren durch eine balancierte Menge von Messkriterien Es gibt finanzielle und nicht-finanzielle Messkategorien und -kriterien Die Messkriterien müssen mit der IT- (-) Strategie verbunden sein Die IT- (-) Strategie muss in eine Menge greifbarer Objekte und Messwerte verschiedener Messkategorien abgebildet werden Die Kategorien der IT- Balanced Scorecard können nach Bedarf spezifiziert werden Klassische IT-Balanced Scorecard

Erweiterte IT- Balanced Scorecard Modifikation der klassischen Balanced Scorecard um zusätzliche Dimensionen IT-s User Satisfaction Future Orientation Goals, Services Organisation Costs Procedures Klassische IT-Balanced Scorecard Modifizierte IT-Balanced Scorecard Anwendung der Balanced Scorecard in der IT- In dem hierarchischen Modell müssen die horizontale Ableitungen und vertikale Abstimmungen berücksichtigt Kategorien. Strategy Policies & Standards IT- Organization & IT- Processes People & User Satisfaction Value & Cost IT- Ziele Policies & Stanards Ziele Strategische Messgrössen Kritische Erfolgsfaktoren Erfolgsfaktoren Organisation Prozessziele Messgrössen zu Policies u. Standards Human Factors Ziele Scorecard Strategie Messgrössen für Organisation u. Prozesse Kritische Erfolgsfaktoren Erfolgsfaktoren Scorecard Policies Messgrössen für Human Factors Scorecard Organisation und Prozesse Scorecard Human Factor Technical Architecture Technische Ziele Technische Erfolgsfaktoren Messgrössen für Technik Scorecard Technik IT- Pyramide Ableitung Abstimmung

COBIT als Kontrollmodell der Prozesse in IT / IT- COBIT ist ein internationaler Standard und beschreibt IT-Prozesse nach 4 Bereichen (Megaprozesse) sortiert. Monitoring Business Processes Planning & Organisation M 1 Monitor the Processes M 2 Assess Internal Control Adequacy M 3 Obtain Independent Assurance M 4 Provide for Independent Audit Delivery & Support DS 1 Define Service Levels DS 2 Manage Third-Party Services DS 3 Manage Performance and Capacity DS 4 Ensure Continuous Service DS 5 Ensure Systems DS 6 Identify and Attribute Costs DS 7 Educate and Train Users DS 8 Assist and Advise IT Customers DS 9 Manage the Configuration DS 10 Manage Problems and Incidents DS 11 Manage Data DS 12 Manage Facilities DS 13 Manage Operations IT/IT- Criteria Integrity Effectiveness Availability Efficiency Compliance Confidentiality Reliability IT Resources Data Applications Technology Facilities People PO 1 Define a Strategic IT Plan PO 2 Define the Information Architecture PO 3 Determine the Technological Direction PO 4 Define the IT Organisation and Relationships PO 5 Manage the IT Investment PO 6 Communicate Management Aims and Direction PO 7 Manage Human Resources PO 8 Ensure Compliance with External Requirements PO 9 Assess s PO 10 Manage Projects PO 11 Manage Quality Acquisition & Implementation AI 1 Identify Solutions AI 2 Acquire and Maintain Application Software AI 3 Acquire and Maintain Technology Architecture AI 4 Develop and Maintain IT Procedures AI 5 Install and Accredit Systems AI 6 Manage Changes COBIT als Kontrollmodell der Prozesse in IT / IT- Für jeden IT-Prozess gibt es Managementrichtlinien in Form von Maturity Models, Critical Success Factors, Key Goal Factors und Key Performance Indicators, um eine bestmögliche Planung, Umsetzung und Überwachung zu unterstützen. IT-/IT- Prozess Planung Umsetzung Überwachung Auslieferung/ Unterstützung Definition und Management von SLAs Key Goal Indicators (KGIs) Definition von Kenngrößen zur Messung der Erreichung der Ziele und Anforderungen Critical Success Factors (CSFs) Definition der wesentlichen Umsetzungsvorgaben zur Erreichung von Kontrolle in und über den IT-/IT- Prozess Key Performance Indicators (KPIs) Indikatoren zur Messung des Leistungsgrads des IT-/IT- Prozesses zur Unterstützung der KGIs. Maturity Model Bestehender Reifegrad des IT-/IT- Prozesses Branchenvergleich Definition des Sollzustands Maßnahmen Formulierung von Einzelmaßnahmen

Leistungsvereinbarung (Service Level Agreements) und Standardisierung Vorteile einer Einführung Unterstützung von guter und detaillierter Umsetzung des Service Managements Definition von Funktionen, Rollen und Verantwortlichkeiten im Service-Bereich IT und IT--Dienstleistungen, die den Anforderungen durch Geschäftsziele oder Kunden entsprechen; dadurch höhere Kundenakzeptanz Messbare Leistungen und Kosten der IT- und IT--Services; dadurch besseres Wertverständnis und bessere Möglichkeiten der Verrechenbarkeit von Leistungen nach dem Verbraucherprinzip Höhere Produktivität und Effizienz durch den gezielte Einsatz von Wissen und Erfahrung Basis für eine Quality-Management-Systematik im IT Servicemanagement Möglichkeit des (internationalen) Erfahrungsaustausches und Vergleichs bei Einsatz standardisierter Methoden Leistungsvereinbarung und IT- IT- ist ein wesentlicher Bestandteil der Leistungsvereinbarungen Elemente eines SLA 1. Performanz 2. Kosten 3. IT- 4. Verfügbarkeit 5. Business Continuity 6. Disaster Recovery 7. Regelung von Schadensansprüchen bei Nichteinhaltung Monitoring Identification Universe Management Leistungsvereinbarung mittels SLA Measurement IT-Governance Framework mittels COBIT IT- Framework generisch mittels ISO 17799 IT- Umsetzung BSI Grundschutzhandbuch IT- Implikationen

Prinzip eines wertorientierten IT- Assessments Die Prüfbereiche sind entlang der IT- Pyramide gegliedert Grobe Beurteilungskategorien Strategy: Eignung der IT-und IT- Massnahmen bzgl. der Geschäftsziele und -initiativen Policies & Standards: Eignung der Policies und Standards bzgl. der Geschäftsanforderungen Organisation & Processes: Reifegrad der Organisation und Prozesse sowie Anpassungsfähigkeit an neue Anforderungen und Technologien People & User Satisfaction: Grad der Berücksichtung des Human Factor Technical Architecture: Reife und Adäquatheit technischer Massnahmen Value & Cost: Wertbeitrag und Kostenperspektive Strategy Policies & Standards Organization & Processes People & User Satisfaction Technical Architecture Value & Cost Information Pyramid Ernst & Young Assessment Balanced Scorecard COBIT ISO17799 BSI Grundschutz E&Y Methodik Wertorientiertes IT- Assessment von Ernst & Young Prüfbereiche können modular nach individuellen Anforderungen ausgewählt und priorisiert werden. Assessment Areas Group Level Corporate Information & IT Strategy Corporate Information & IT Policies Business Level IT Control IT Policies and Standards Access Control and Data Ownership Compliance IT- Lifecycle IT- in IT Projects and IT Systems Development IT Threats & Vulnerabilities Business Continuity and Disaster Recovery IT- Awareness Office Level IT- Architecture Network Systems User Satisfaction Future Orientation Issues Goals IT-s Procedures Organization Future Orientation User Satisfaction Costs IT-s Goals Procedures Organization BSC Ansatz Costs Ausschnitt eines vordefinierten Questionnaires

Modell zur Ermittlung von Value und Costs Der Wert eines Prüfbereichs ist im wesentlichen die Summe gewichteter KPIs. Die Kosten eines Prüfbereichs werden aus der Summe der Detailkosten ermittelt. Value and Cost Evaluation Model Assessment Areas Area 1 Area 2 Area Weight Issue Issue Value Issue Weight Issue 1,1 V 1,1 W 1,1 f 1 Issue 1,k V 1,k W 1,k Issue 2,1 V 2,1 W 2,1 f 2 Issue 2,m V 2,k W 2,k Area Values V 1 V 2 Area Costs C 1 C 2... Area h Issue h,1 V h,1 W h,1 f h Issue h,m V h,m W h,m V h Σ C h Σ Area Value V h : Sum of Weighted Issue Values Total Value Total Costs Visualisierung und Reporting Die Visualisierung der quantitativen Beurteilung der IT- unterstützt bei der Management-Entscheidungsfindung. Nutzen 1. Methode zur quantitativen Beurteilung des Wertes der IT- für die Geschäftsprozesse und ziele 2. Methode zum Self-Assessment für Current State / Future State Benchmarking 3. Im Gegensatz zu herkömmlichen BS7799-orientierten Assessments wird hier im Sinne der BSC auch bzgl. des Geschäftsnutzen geprüft 4. Qualitativ hochwertige Information zur Management-Entscheidungsfindung bei zukünftigen IT--Initiativen 5. Bessere Visualisierung von Wert und Kosten der IT- Information & IT Value / Cost Ratio Total Costs Costs Current State Value 1 3,5 6 Total Value Area 3 Area 2... Future Initiative A (e.g. result of Phase 3) Future Initiative B Future Initiative C Area 1 1 3,5 6 Area h Current State Future State Information & IT Value in Selected Areas

Entwicklung einer integrierten, wertorientierten Führungsmethodik für IT- Wesentliche Schritte 1. Value & Costs Assessment zur Erfassung des Ist-Zustands und Einstellung der wertorientierten Vorgehensweise: - Definition der Prüfbereiche - Durchführung des Assessments - Resultate: Wertbeurteilung, Empfehlungen für Optimierungen 2. Entwicklung von Steuer-Tools zum Erhalt der Wertorientierung - Self-Assessment - wertorientierte Steuerung gemäss Balanced Scorecard Ansatz - Reporting Tools Report: Value and Cost Analysis and Recommendations Benchmarking Assessment Reporting Value and Cost Analysis Results of Value and Cost Analysis Co-Developed Solutions: e.g. Information BSC, Improved Reporting Tools, SW-Tools Steering Reporting Zusammenfassung Der Kostendruck in den Unternehmen zwingt zur Begründung von Ausgaben Es gibt keine einheitliche Vorgehensweise in Unternehmen zur Erfassung von Ausgaben oder Ermittlung von Werten in der IT bzw. IT-; entsprechend entsteht ein Erklärungsnotstand gegenüber der Geschäftsführung bzgl. Kosten und Nutzen von Initiativen in der IT- bzw. IT- Kosten sind Hard-Factors und leicht ermittelt, Werte sind Soft-Factors und schwieriger zu ermitteln Eine Assessment-Methodik zur wertorientierten, integrierten IT- Governance wurde vorgestellt Der Ansatz basiert auf einer Kombination von -Management, IT-Balanced Scorecard und Standards zur Prozessbeurteilung (COBIT, ISO 17799) Vorteile der Methodik: eine wertorientierte Beurteilung von Initiativen in der IT- zeigt auf, wo Investitionen sinnvoll eingesetzt werden und wo nicht Aktionspläne können auf der Basis der Wertorientierung definiert werden Tools zur Überwachung und zum Erhalt der Wertorientierung können entwickelt werden

Ihr Kontakt Dr. Stephan Teiwes ist Berater für IT- und Informationssicherheit bei Ernst & Young, Special Assurance and Advisory Services (SAAS), Zürich. Er hat in seiner langjährigen Tätigkeit diverse Beratungsmandate für Unternehmen in Finanzen, Industrie und Gesundheitswesen wahrgenommen. Zu seinen Spezialgebieten gehören IT-Sicherheits-architek-turen und -infrastrukturen sowie die Sicherheit elektronischer Geschäftsprozesse. Dr. Teiwes ist regelmässig Referent an Kongressen zur IT-Sicherheit im deutschsprachigen Raum und hat zahlreiche Fachartikel publiziert. Ernst & Young AG Binzmühlestr. 14 Postfach 8022 Zürich Schweiz Tel. +41 79 752 6373 E-Mail: stephan.teiwes@eycom.ch

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback