dr michael schirmbrand mai 2007
Post on 15-Jan-2016
23 Views
Preview:
DESCRIPTION
TRANSCRIPT
Dr Michael Schirmbrand Mai 2007
Dr Michael Schirmbrand Mai 2007
BUSINESS ADVISORY SERVICE
INFORMATION RISK MANAGEMENT
Standards für IT - Audit und
IT - Governance
2Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
AgendaAgenda
Aktuelle EntwicklungenAktuelle Entwicklungen
IT GovernanceIT Governance
(Neue) Internationale und Nationale Compliance-(Neue) Internationale und Nationale Compliance-Anforderungen (inkl Sarbanes-Oxley)Anforderungen (inkl Sarbanes-Oxley)
Standards für IT Prozesse und ComplianceStandards für IT Prozesse und ComplianceITILITILCobiTCobiTWeitere relevante StandardsWeitere relevante StandardsIntegration von CobiT mit ITIL, ISO 17799, CMMI, etc Integration von CobiT mit ITIL, ISO 17799, CMMI, etc
AusblickAusblick
3
IT GovernanceAktuelle Entwicklungen
IT GovernanceAktuelle Entwicklungen
4Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Beobachtungen in ÖsterreichBeobachtungen in Österreich
Mehr als 50% der Unternehmen haben keine IT Mehr als 50% der Unternehmen haben keine IT StrategieStrategie80% der Großunternehmen haben kein 80% der Großunternehmen haben kein nachvollziehbares IT Steuerungsgremiumnachvollziehbares IT SteuerungsgremiumBei einem Großteil der Unternehmen sind die IT Ziele Bei einem Großteil der Unternehmen sind die IT Ziele nicht erkennbar an den Unternehmenszielen nicht erkennbar an den Unternehmenszielen ausgerichtetausgerichtetDer Nutzen von (IT) Projekten wird meist nicht Der Nutzen von (IT) Projekten wird meist nicht gemessengemessenBei mehr als 50% der Unternehmen sind IT Prozesse Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbarnicht dokumentiert oder messbarBei mehr als 90% der Unternehmen sind Kontrollen in Bei mehr als 90% der Unternehmen sind Kontrollen in IT Prozessen nicht dokumentiert oder nachvollziehbarIT Prozessen nicht dokumentiert oder nachvollziehbar
5Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
20 % der IT Budgets gehen weltweit verloren
Aktuelle Schlagzeilen
6Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
• 85% der Untenehmen verlangen 85% der Untenehmen verlangen Busines-Cases für ChangesBusines-Cases für Changes
• Nur 40% der freigegebenen Nur 40% der freigegebenen Projekte basieren auf Projekte basieren auf realistischen Nutzen-Statementsrealistischen Nutzen-Statements
• Weniger als 10% der Unter-Weniger als 10% der Unter-nehmen stellen nachträglich nehmen stellen nachträglich sicher, dass Nutzen tatsächlich sicher, dass Nutzen tatsächlich generiert wurdegeneriert wurde
• Weniger als 5% definieren Weniger als 5% definieren persönliche Verantwortung für persönliche Verantwortung für die Nutzenstiftungdie Nutzenstiftung
NutzenNutzen RisikenRisikenKostenKosten
(Meta Group Juli 2004)(Meta Group Juli 2004)
IT Governance:Wesentlich ist die Generierung von Nutzen durch die IT
7Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT Governance: Eine DefinitionIT Governance: Eine Definition
CorporateGovernance
ITGovernance
BusinessInformations-systeme Für IT Governance sind Vorstand und
Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate-Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt
— IT Governance Institute
8Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Strategic AlignmentStrategic Alignment Value DeliveryValue Delivery IT Asset ManagementIT Asset Management Risk ManagementRisk Management Performance Performance
MeasurementMeasurement
GartnerGartner CSCCSC CompassCompass GigaGiga AICPA/CICAAICPA/CICA CIO MagazineCIO Magazine Technology Technology
CouncilCouncil
Prioritäten der AnalystenPrioritäten der Analysten
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
9Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT Governance DomänenIT Governance Domänen
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
10Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Stabiler Wert und Vertrauen
IT GovernanceBalance zwischen Risiko und PerformanceIT GovernanceBalance zwischen Risiko und Performance
ProzessVerbesserung
VerbesserteKontrolle
IntegriertesRisiko Management
ProzessTransformation
Performance
Ris
iko
Compliance
Die Rechtssprechung Die Rechtssprechung zieht das Pendel in zieht das Pendel in Richtung RisikoRichtung Risiko
Wettbewerb und Wettbewerb und Marktdruck drücken Marktdruck drücken das Pendel Richtung das Pendel Richtung PerformancePerformance
IT Governance managt IT Governance managt die Balance zwischen die Balance zwischen Risikomanagement Risikomanagement und Performance-und Performance-erfordernis.erfordernis.
11Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Wesentliche Standards für IT GovernanceWesentliche Standards für IT Governance
forderndfordernd
Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT)
SAS 70SAS 70
Sarbanes Oxley ActSarbanes Oxley Act
Sonstige relevante GesetzeSonstige relevante Gesetze
helfendhelfend
CobiTCobiT
ITILITIL
ISO 17799ISO 17799
CMMICMMI
12
FachgutachtenFachgutachten
13Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Herausgebende OrganisationenHerausgebende Organisationen
IFAC – International Federation of AccountantsIFAC – International Federation of AccountantsISA (ISA (ISA 402 - Audit Considerations relating to Entities using ISA 402 - Audit Considerations relating to Entities using Service Organizations)Service Organizations)
AICPA – American Institute of CPAsAICPA – American Institute of CPAsSAS (zB SAS/70 - Reports on the Processing of Transactions by SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations)Service Organizations)
PCAOB – Public Company Accounting Oversight BoardPCAOB – Public Company Accounting Oversight BoardAuditing StandardsAuditing Standards
KFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS – Kammer der WT - Fachsenat für DatenverarbeitungKFS/DV1KFS/DV1KFS/DV2KFS/DV2
IDW – Institut der WirtschaftsprüferIDW – Institut der WirtschaftsprüferPS331 (Serviceorganisationen)PS331 (Serviceorganisationen)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)FAIT (Fachgutachten für die Prüfung von Informationstechnologie)
14Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ISAs (IFAC)ISAs (IFAC)
Standards der International Federation of AccountantsStandards der International Federation of AccountantsFür (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln dagegen sprechendagegen sprechen
Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordertVom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert
De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“
Auszug aus den ISAsAuszug aus den ISAsISA 200 - Objective and General Principles Governing an Audit of Financial ISA 200 - Objective and General Principles Governing an Audit of Financial
StatementsStatements
ISA 315 - Understanding the Entity and its Environment and Assessing Risks ISA 315 - Understanding the Entity and its Environment and Assessing Risks of Material Misstatementof Material Misstatement
ISA 330 - The Auditors Procedures in Response to Assessed RisksISA 330 - The Auditors Procedures in Response to Assessed Risks
ISA 402 - Audit Considerations relating to Entities using Service ISA 402 - Audit Considerations relating to Entities using Service OrganizationsOrganizations
ISA 500 - Audit EvidenceISA 500 - Audit Evidence
15Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Fachgutachten ÖsterreichFachgutachten Österreich
KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT
Allgemeine Anforderungen (Belegfunktion, Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...)Journalfunktion, Kontenfunktion,...)
Forderung nach FunktionstrennungForderung nach Funktionstrennung
Detaillierte Forderungen an die Detaillierte Forderungen an die SystemdokumentationSystemdokumentation
KFS/DV 2 KFS/DV 2
Richtlinien zur Prüfung der IT im Rahmen von Richtlinien zur Prüfung der IT im Rahmen von JahresabschlussprüfungenJahresabschlussprüfungen
16Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 1 - OrdnungsmäßigkeitKFS/DV 1 - Ordnungsmäßigkeit
Gliederung des FachgutachtensGliederung des FachgutachtensGrundsätzeGrundsätzeDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Prüfbarkeit als OrdnungsmäßigkeitskriteriumDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesDie Nachvollziehbarkeit des einzelnen GeschäftsvorfallesBelegfunktionBelegfunktionJournalfunktionJournalfunktionKontenfunktionKontenfunktionVerfahrensdokumentationVerfahrensdokumentationDas Interne KontrollsystemDas Interne KontrollsystemSystemeinführung und WeiterentwicklungSystemeinführung und WeiterentwicklungAufbauorganisationAufbauorganisationAblauforganisationAblauforganisationDokumentationDokumentation
17Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 1 - GrundsätzeKFS/DV 1 - Grundsätze
Allgemeine AnforderungenAllgemeine Anforderungen
Kaufmann buchführungspflichtig und für Kaufmann buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)Fremd-SW und Online-Verfahren)
RadierverbotRadierverbot
Prüfspur progressiv und retrogradPrüfspur progressiv und retrograd
Verbot nachträglicher SchreibvorgängeVerbot nachträglicher Schreibvorgänge
18Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 1 - PrüfbarkeitKFS/DV 1 - Prüfbarkeit
VerfahrensdokumentationVerfahrensdokumentationFür Programmentwicklungen, Change Management, Zukäufe von SW Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:(inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:
Anforderung/AufgabenstellungAnforderung/AufgabenstellungDatensatzaufbauDatensatzaufbauVerarbeitungsregeln (inkl. Steuerungsparameter, Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlungund FehlerbehandlungDatenausgabeDatenausgabeDatensicherungDatensicherungVerfügbare ProgrammeVerfügbare ProgrammeArt, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)VersionsmanagementVersionsmanagement
Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,……Eventuell können Teile davon auch von externen Dritten zur Verfügung Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdengestellt werden
19Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 1 - IKSKFS/DV 1 - IKS
Zusätzlich notwendigZusätzlich notwendig
Funktionstrennung Funktionstrennung (Fachabteilung/Entwickler/Admin)(Fachabteilung/Entwickler/Admin)
Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen
DatensicherungenDatensicherungen
Schutz vor Sabotage, Missbrauch und VernichtungSchutz vor Sabotage, Missbrauch und Vernichtung
KontinuitätsmanagementKontinuitätsmanagement
Aufbewahrung sämtlicher Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 JahreDokumentationsbestandteile für 7 Jahre
20Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IDW RS FAIT 2 - DokumentationIDW RS FAIT 2 - Dokumentation
Deutsches Fachgutachten – in einigen Bereichen zur Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1Klarstellung detaillierter als KFS/DV 1
Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:
Doku HW/SW (zB Router, Firewall, Virenscanner,..)Doku HW/SW (zB Router, Firewall, Virenscanner,..)
Netzwerkarchitektur (auch Anbindung ISP)Netzwerkarchitektur (auch Anbindung ISP)
Verwendete ProtokolleVerwendete Protokolle
VerschlüsselungsverfahrenVerschlüsselungsverfahren
SignaturverfahrenSignaturverfahren
Datenflusspläne, Schnittstellen, relevante KontrollenDatenflusspläne, Schnittstellen, relevante Kontrollen
Autorisierungsverfahren, Verfahren zur Generierung von Autorisierungsverfahren, Verfahren zur Generierung von BuchungenBuchungen
21Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IDW RS FAIT 2 - IKSIDW RS FAIT 2 - IKS
Für IKS zusätzlich notwendigFür IKS zusätzlich notwendig
Firewall Einstellungen (+Überprüfungen)Firewall Einstellungen (+Überprüfungen)
Firewall-Logs (+Überprüfungen)Firewall-Logs (+Überprüfungen)
Change Management für die gesamte Infrastruktur Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,)(Firewalls, Router, Switches,..,)
Scanner (IDS, Viren, Kontrollen,..)Scanner (IDS, Viren, Kontrollen,..)
Penetration TestsPenetration Tests
Überprüfung dieser Themen durch die RevisionÜberprüfung dieser Themen durch die Revision
Dient nur als Beispiel; in Deutschland alles für 10 Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahrenJahre aufzubewahren
22Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Überblick Fachgutachten KFS/DV 2Überblick Fachgutachten KFS/DV 2
Fachgutachten „Die Prüfung der IT im Rahmen von Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“Abschlussprüfungen“
Erarbeitet durch FS DVErarbeitet durch FS DV
Gemeinsame Überarbeitung durch FS DV und FS Gemeinsame Überarbeitung durch FS DV und FS HRHR
Verabschiedet im November 2004Verabschiedet im November 2004
23Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Struktur KFS/DV 2Struktur KFS/DV 2
A.A. VorbemerkungenVorbemerkungenA.1.A.1. Anwendungsbereich des FachgutachtensAnwendungsbereich des FachgutachtensA.2.A.2. Einbindung in die AbschlussprüfungEinbindung in die AbschlussprüfungB.B. Ziel und Umfang der Prüfung der InformationstechnikZiel und Umfang der Prüfung der InformationstechnikC.C. Tätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikTätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikC.1.C.1.Berücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungBerücksichtigung der Prüfung der Informationstechnik bei der PrüfungsplanungC.2.C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensGewinnung eines Überblicks über die Informationstechnik des geprüften UnternehmensC.3.C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenFeststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden RisikenC.4.C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der
RisikenRisikenAnwendungsunabhängige Kontrollen der Informationstechnik-ProzesseAnwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der GeschäftsprozesseAnwendungsabhängige Kontrollen der Geschäftsprozesse
C.5.C.5.Prüfungshandlungen des AbschlussprüfersPrüfungshandlungen des AbschlussprüfersPrüfung der anwendungsunabhängigen KontrollenPrüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen KontrollenPrüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger BuchführungPrüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung
C.6.C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenDokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenD.D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes
Unternehmen (IT‑Outsourcing)Unternehmen (IT‑Outsourcing)
24Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 2 - GrundsätzeKFS/DV 2 - Grundsätze
Prüfung der IT ist der der Prüfung des Internen Prüfung der IT ist der der Prüfung des Internen KontrollsystemsKontrollsystems
Geprüft werden die Geprüft werden die IT Qualitätsmerkmale der IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Integrität, Konformität und Wartbarkeit (nicht Effizienz)Effizienz)
Risikoorientierte PrüfungRisikoorientierte Prüfung
Prüfung von StichprobenPrüfung von Stichproben
Abhängig von Größe und Komplexität des Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten SystemeUnternehmens und der eingesetzten Systeme
25Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 2 – Grobüberblick über IT PrüfungenKFS/DV 2 – Grobüberblick über IT Prüfungen
Gewinnung eines Überblicks über Systeme und Gewinnung eines Überblicks über Systeme und AbläufeAbläufe
Prüfung der IT Prozesse (anwendungsPrüfung der IT Prozesse (anwendungsununabhängige abhängige IT Kontrollen), orientiert zB an CobITIT Kontrollen), orientiert zB an CobIT
Prüfung der Anwendungen (anwendungsabhängige Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)IT Kontrollen)
26Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Prüffelder IT-PrüfungPrüffelder IT-Prüfung
allgemeine IT Kontrollen (General IT Controls)allgemeine IT Kontrollen (General IT Controls)
AnwendungskontrollenAnwendungskontrollen
Sonderthemen (Datenanalysen, Prozess-Erhebung, Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)Schnittstellen, Datenschutz, Archivierung, Migration)
IT-Prozess externe Anbindungen
Netzwerk
Betriebssystem(e)
Datenbank 1
Prozess 2Prozess 2Prozess 1Prozess 1 Prozess 3Prozess 3
Telebanking SAPBilling
Datenbank 1 Datenbank 1
27Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,...IFAC Guideline on Monitoring, SysTrust,...
Prüfung des IT Überwachungssystems (IT Umfeld, Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT InfrastrukturIT Organisation, IT Infrastruktur
IT Governance, IT Controlling, Kontrolle der IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der KontrollenNachvollziehbarkeit der Kontrollen
KFS/DV 2 – Prüfung anwendungsunabhängig (2)
28Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 2 – Prüfung anwendungsabhängigKFS/DV 2 – Prüfung anwendungsabhängig
Einholung von Informationen über die relevanten AnwendungenEinholung von Informationen über die relevanten Anwendungen
Prüfung und Beurteilung der Programmfunktionen: insbesondere Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der PrüfungHauptbuch Bestandteil der Prüfung
Prüfung der Anwendungskontrollen: hierzu gehören das interne Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.
29Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
KFS/DV 2 - OutsourcingKFS/DV 2 - Outsourcing
Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kann kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen insbesondere aus Prüfung von Dienstleistungsunternehmen
oder Serviceunternehmen nach dem oder Serviceunternehmen nach dem Standard ISA 402Standard ISA 402 der IFAC herangezogen werden.der IFAC herangezogen werden.
30
SAS 70SAS 70
31Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)
Standard für die Prüfung von Outsourcing-Dienstleistern Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)(und deren Kontrollumfeld)
Veröffentlichung der AICPAVeröffentlichung der AICPAGilt grundsätzlich für USA, aber auch bei Bilanzierung Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAPnach US GAAPMittlerweile weltweiter De-Facto Standard für Prüfungen Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-von und für Wirtschaftsprüfern bei (IT ) Service-OrganisationenOrganisationenPraktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFACIn Deutschland auch Standard PS 331In Deutschland auch Standard PS 331Achtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAchtung: Sarbanes Oxley – vom PCAOB vorgeschriebenAuch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung
32Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer
Anzuwenden bei (Teil-) Outsourcing der ITAnzuwenden bei (Teil-) Outsourcing der IT
Prüfer von RZ-Kunden müssenPrüfer von RZ-Kunden müssen
Report nach SAS 70 / ISA 402 des RZ einholen oderReport nach SAS 70 / ISA 402 des RZ einholen oder
selbst das RZ prüfen oderselbst das RZ prüfen oder
jemanden beauftragen, das RZ nach SAS 70 zu jemanden beauftragen, das RZ nach SAS 70 zu prüfen oderprüfen oder
Bestätigungsvermerk einschränken oder versagenBestätigungsvermerk einschränken oder versagen
33Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
SAS 70 – Die Reports (1)SAS 70 – Die Reports (1)
Typ I: Typ I: ”Report on controls placed in operation””Report on controls placed in operation”Die im Service-Unternehmen vorgesehenen internen Die im Service-Unternehmen vorgesehenen internen Kontrollen, die für einen Kunden relevant sind, werden Kontrollen, die für einen Kunden relevant sind, werden auf Ihre Angemessenheit hin überprüft. Der Report auf Ihre Angemessenheit hin überprüft. Der Report beinhaltet folgende Informationen:beinhaltet folgende Informationen:
den Fluss der Transaktionen des Kunden innerhalb den Fluss der Transaktionen des Kunden innerhalb des Service-Unternehmensdes Service-UnternehmensKontrollen der relevanten Applikationen im Service-Kontrollen der relevanten Applikationen im Service-UnternehmenUnternehmenob diese Kontrollen angemessen sind und ob diese Kontrollen angemessen sind und angewendet werdenangewendet werden
Der Report Typ I umfasst nicht den Test der Der Report Typ I umfasst nicht den Test der eingesetzten Kontrollmaßnahmeneingesetzten Kontrollmaßnahmen..
34Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Typ II: „Typ II: „Reports on controls placed in operation and Reports on controls placed in operation and tests of operating effectiveness”tests of operating effectiveness”Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser die Effektivität der Kontrollen beurteilt und sich die Effektivität der Kontrollen beurteilt und sich Wirtschaftprüfer in Teilbereichen darauf verlassen können Wirtschaftprüfer in Teilbereichen darauf verlassen können und so bei funktionierenden Kontrollen im und so bei funktionierenden Kontrollen im Rechenzentrum bei Prüfungen von Kunden mit einer Rechenzentrum bei Prüfungen von Kunden mit einer reduzierten Risikoeinschätzung vorgehen können.reduzierten Risikoeinschätzung vorgehen können.
Voraussetzung: Die Kontrollen in Prozessen müssen Voraussetzung: Die Kontrollen in Prozessen müssen definiert und wirksam sein.definiert und wirksam sein.
SAS 70 – Die Reports (2)SAS 70 – Die Reports (2)
35Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
SAS 70 - BerichterstattungSAS 70 - Berichterstattung
Standard-Text für Bestätigungsvermerk definiertStandard-Text für Bestätigungsvermerk definiert
Bei Typ II Report sind die vorhandenen Kontrollen, Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellenDetail dazustellen
Die Verantwortungen von Kunde und RZ sind klar Die Verantwortungen von Kunde und RZ sind klar abzugrenzenabzugrenzen
Bei wesentlichen Mängeln ist der Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagenoder zu versagen
36Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Würdigung von SAS 70 Reports Typ IIWürdigung von SAS 70 Reports Typ II
Kritisch zu würdigen und eventuell abstützenKritisch zu würdigen und eventuell abstützen
Bei Zweifeln:Bei Zweifeln:
Gespräche mit dem Prüfer des RZGespräche mit dem Prüfer des RZ
Anforderung von Zusatzprüfungen durch den Prüfer Anforderung von Zusatzprüfungen durch den Prüfer des RZdes RZ
Eventuell selbst Zusatzprüfungshandlungen (nicht Eventuell selbst Zusatzprüfungshandlungen (nicht nach ISA 402)nach ISA 402)
Verweis auf SAS 70 Report unzulässigVerweis auf SAS 70 Report unzulässig
37Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei RechenzentrumskundenISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei Rechenzentrumskunden
Bei Vorliegen von SAS 70/ISA 402 – Reports:Bei Vorliegen von SAS 70/ISA 402 – Reports:
Klares Aufzeigen der Serviceverantwortungen von Klares Aufzeigen der Serviceverantwortungen von Kunde und RechenzentrumKunde und Rechenzentrum
Die IT Prozesse und -Systeme, die in der Die IT Prozesse und -Systeme, die in der Verantwortung des Kunden liegen, sind auch von Verantwortung des Kunden liegen, sind auch von dessen Wirtschaftsprüfer zu prüfendessen Wirtschaftsprüfer zu prüfen
38
Sarbanes OxleySarbanes Oxley
39Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404
Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert: Unternehmensleitung beurteilt das Interne Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüberFinanzreporting (ICOFR) und berichtet darüberDer externe, unabhängige Prüfer gibt ein Testat Der externe, unabhängige Prüfer gibt ein Testat über den Management-Testüber den Management-Test
Prüfer berichtet direkt über die Wirksamkeit des Prüfer berichtet direkt über die Wirksamkeit des IKSIKSSeit 2004 für US-Unternehmen, die SEC gelistet Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlichsind, erforderlichAndere Unternehmen (foreign issuers) ab 2006Andere Unternehmen (foreign issuers) ab 2006
40Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
PCAOB, Auditing Standard No. 2PCAOB, Auditing Standard No. 2
Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Oversight Board)Oversight Board)
Anforderungen für die SOX-Prüfungen und Anleitung zur Anforderungen für die SOX-Prüfungen und Anleitung zur DurchführungDurchführung
Management TestsManagement Tests
JahresabschlussprüfungJahresabschlussprüfung
Grundsätzlich am Internal Control framework COSO ausgerichtetGrundsätzlich am Internal Control framework COSO ausgerichtet
Umfeld (control environment)Umfeld (control environment)
Risikobewertung (risk assessment)Risikobewertung (risk assessment)
Kontrollen (control activities)Kontrollen (control activities)
Information und Kommunikation (information and communication)Information und Kommunikation (information and communication)
Überwachung (monitoring)Überwachung (monitoring)
41Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Verantwortung des ManagementVerantwortung des Management
Übername der Verantwortung für die Wirksamkeit des Übername der Verantwortung für die Wirksamkeit des IKSIKS
Beurteilung der Wirksamkeit an Hand entsprechender Beurteilung der Wirksamkeit an Hand entsprechender Kriterien (Management-Assessment)Kriterien (Management-Assessment)
Bereitstellung von Evidence und DokumentationBereitstellung von Evidence und Dokumentation
Erstellung einer schriftlichen Erklärung über die Erstellung einer schriftlichen Erklärung über die Wirksamkeit des IKSWirksamkeit des IKS
42Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Verantwortung des AuditorsVerantwortung des Auditors
Der Auditor muss die Vorgehensweise des Management-Der Auditor muss die Vorgehensweise des Management-Assessments verstehen und die Beurteilung des Managements Assessments verstehen und die Beurteilung des Managements evaluierenevaluieren
Der Auditor muss hierbeiDer Auditor muss hierbei
bestimmen, welche Kontrollaktivitäten wesentlich sindbestimmen, welche Kontrollaktivitäten wesentlich sind
die Kontrollaktivitäten dokumentierendie Kontrollaktivitäten dokumentieren
Design und Wirksamkeit beurteilenDesign und Wirksamkeit beurteilenKontrolle dazu geeignet, das Prozessziel zu erreichenKontrolle dazu geeignet, das Prozessziel zu erreichen
Kontrollen sind den Risiken entsprechend festgelegtKontrollen sind den Risiken entsprechend festgelegt
Kontrollschwächen bestimmen und deren Auswirkung bewerten Kontrollschwächen bestimmen und deren Auswirkung bewerten (Significant Deficiencies oder Material Weaknesses)(Significant Deficiencies oder Material Weaknesses)
Findings und Auswirkungen kommunizierenFindings und Auswirkungen kommunizieren
43Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT Controls – gemäß PCAOBIT Controls – gemäß PCAOB
IT controls in drei EbenenIT controls in drei Ebenen
IT Überlegungen im Kontrollumfeld (Planung, IT Überlegungen im Kontrollumfeld (Planung, Organisation, Personal, …)Organisation, Personal, …)
Anwendungskontrollen (Application Controls)Anwendungskontrollen (Application Controls)
IT General ControlsIT General Controls
Management ist für Definition und Test von IT Management ist für Definition und Test von IT Kontrollen auf allen drei Ebenen verantwortlichKontrollen auf allen drei Ebenen verantwortlich
Einsatz eines Control Frameworks, das sich an COSO Einsatz eines Control Frameworks, das sich an COSO orientiert, empfohlenorientiert, empfohlen
44Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Auswirkungen von Sarbanes Oxley Act auf die ITAuswirkungen von Sarbanes Oxley Act auf die IT
Massive AuswirkungenMassive AuswirkungenKontrollen müssen dokumentiert und geprüft Kontrollen müssen dokumentiert und geprüft werdenwerdengroße Teile der Kontrollen in der IT große Teile der Kontrollen in der IT (oft 50 bis 70 %)(oft 50 bis 70 %)Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert KontrollenWesentliche Kontroll-Schwachstellen sind oft in Wesentliche Kontroll-Schwachstellen sind oft in der ITder ITUnterscheidung in Anwendungskontrollen und Unterscheidung in Anwendungskontrollen und General IT ControlsGeneral IT ControlsCobiT als Standard für General IT Controls CobiT als Standard für General IT Controls anerkanntanerkanntÜberleitung von COSO auf CobiT in einer Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance InstituteVeröffentlichung vom IT Governance Institute
45Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT General Controls – gemäß PCAOBIT General Controls – gemäß PCAOB
IT General Controls sind Kontrollen, die zur Steuerung IT General Controls sind Kontrollen, die zur Steuerung von IT Systemen und IT Prozessen im Einsatz sind.von IT Systemen und IT Prozessen im Einsatz sind.
ITGCs sind für Risiken der folgenden Bereiche ITGCs sind für Risiken der folgenden Bereiche umzusetzenumzusetzen
Zugriff zu Programmen und DatenZugriff zu Programmen und DatenÄnderung von ProgrammenÄnderung von ProgrammenEntwicklung von ProgrammenEntwicklung von ProgrammenBetrieb von ITBetrieb von ITEnd User Computing *End User Computing *
* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken
46Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ITGC und AnwendungskontrollenITGC und Anwendungskontrollen
Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, die durch IT Systeme und Applikationen unterstützt werdendie durch IT Systeme und Applikationen unterstützt werdenDer Kernprozess ist üblicherweise für die Identifikation und Der Kernprozess ist üblicherweise für die Identifikation und Dokumentation der Kontrollen zuständigDokumentation der Kontrollen zuständigBeispiele für derartige KontrollenBeispiele für derartige Kontrollen
AutorisierungAutorisierungKonfigurationen (zB Kontenpläne)Konfigurationen (zB Kontenpläne)Ausnahmereports (zB über erfolgte Bearbeitungen)Ausnahmereports (zB über erfolgte Bearbeitungen)SchnittstellenSchnittstellenSystemzugriffSystemzugriff
Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Wirksamkeit von AnwendungskontrollenWirksamkeit von Anwendungskontrollen
Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC automatisch unwirksam!automatisch unwirksam!
47Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
SOX ZusammenfassungSOX Zusammenfassung
Fokussiert auf FinanzberichteFokussiert auf Finanzberichte
Festlegung des IKS durch das ManagementFestlegung des IKS durch das Management
Identifikation von Risiken und ProzessenIdentifikation von Risiken und Prozessen
Identifikation oder Neudefinition von entsprechenden KontrollenIdentifikation oder Neudefinition von entsprechenden Kontrollen
Dokumentation der Prozesse und KontrollenDokumentation der Prozesse und Kontrollen
Regelmäßige Tests der Kontrollen durch das ManagementRegelmäßige Tests der Kontrollen durch das Management
Design: Art der Kontrolle, Anordnung im ProzessDesign: Art der Kontrolle, Anordnung im Prozess
Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Nachvollziehbarkeit der Durchführung von KontrollenNachvollziehbarkeit der Durchführung von Kontrollen
Einleitung und Umsetzung von VerbesserungsmaßnahmenEinleitung und Umsetzung von Verbesserungsmaßnahmen
48Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
„Euro-SOX“„Euro-SOX“
8. EU-Audit Richtlinie wurde im Juni 2006 vom 8. EU-Audit Richtlinie wurde im Juni 2006 vom europäischen Parlament beschlosseneuropäischen Parlament beschlossen
Ist bis Juni 2008 in lokales Recht umzusetzen (dann Ist bis Juni 2008 in lokales Recht umzusetzen (dann keine Übergangsfrist)keine Übergangsfrist)
Das Funktionieren des Internen Kontrollsystems ist Das Funktionieren des Internen Kontrollsystems ist danach (jährlich) vom Prüfungsausschuss des danach (jährlich) vom Prüfungsausschuss des Aufsichtsrates zu prüfenAufsichtsrates zu prüfen
49
GesetzeGesetze
50Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
GesetzestexteGesetzestexte
§ 189 UGB:§ 189 UGB:
(2) Lesbarkeit(2) Lesbarkeit
(3) Inhaltsgleiche, vollständige, geordnete (3) Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist)Wiedergabe (volle Aufbewahrungsfrist)
§ 131 BAO:§ 131 BAO:
(2) Zusammenhang zw. Buchungen und Belegen (2) Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und nachweisbar; Nachweis der Vollständigkeit und RichtigkeitRichtigkeit
(3) Datenträger können verwendet werden(3) Datenträger können verwendet werden
51Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Aktiengesetz (AktG)Aktiengesetz (AktG)
Viele Bestimmungen, die zu Corporate Governance Viele Bestimmungen, die zu Corporate Governance beitragen,beitragen,
zB § 81 Quartalsberichte und Jahresberichte an den zB § 81 Quartalsberichte und Jahresberichte an den AufsichtsratAufsichtsrat
§ 92 Ausschüsse für Jahresabschlusserstellung§ 92 Ausschüsse für Jahresabschlusserstellung
Vorstandsverantwortung für Corporate Governance Vorstandsverantwortung für Corporate Governance wird derzeit in § 82 subsummiert:wird derzeit in § 82 subsummiert:
„„Der Vorstand hat dafür zu sorgen [...] dass ein Der Vorstand hat dafür zu sorgen [...] dass ein internes Kontrollsystem geführt wird, das den internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.
52Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
GmbHGGmbHG
Bei großen GmbHs gelten die Bestimmungen des Bei großen GmbHs gelten die Bestimmungen des AktG über Aufsichtsräte sinngemäß.AktG über Aufsichtsräte sinngemäß.
Die Verantwortung der Geschäftsführer für Die Verantwortung der Geschäftsführer für Corporate Governance wird in § 22 subsummiert:Corporate Governance wird in § 22 subsummiert:
„„Die Geschäftsführer haben dafür zu sorgen...dass Die Geschäftsführer haben dafür zu sorgen...dass ein internes Kontrollsystem geführt wird, das den ein internes Kontrollsystem geführt wird, das den Anforderungen des Unternehmens entspricht“.Anforderungen des Unternehmens entspricht“.
53Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT Compliance nahe GesetzeIT Compliance nahe Gesetze
DatenschutzgesetzDatenschutzgesetz
FernabsatzgesetzFernabsatzgesetz
Telekommunikationsgesetz Telekommunikationsgesetz
Signaturgesetz, SignaturverordnungSignaturgesetz, Signaturverordnung
eCommerce GesetzeCommerce Gesetz
eGovernment GesetzeGovernment Gesetz
InformationssicherheitsgesetzInformationssicherheitsgesetz
Emittenten Compliance Verordnung Emittenten Compliance Verordnung
……
54Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
DSG - Datensicherheit §14 (1/2)DSG - Datensicherheit §14 (1/2)
Maßnahmen zur Gewährleistung der DatensicherheitMaßnahmen zur Gewährleistung der Datensicherheit
Schutz vor zufälliger oder unrechtmäßiger Zerstörung Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlustund vor Verlust
ordnungsgemäße Verwendungordnungsgemäße Verwendung
Daten Unbefugten nicht zugänglich Daten Unbefugten nicht zugänglich
55Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
DSG Datensicherheit §14 (2/2)DSG Datensicherheit §14 (2/2)
Aufgabenverteilung - Funktionstrennung im UnternehmenAufgabenverteilung - Funktionstrennung im Unternehmen
Gültige Aufträge vorhanden (Dokumentation!)Gültige Aufträge vorhanden (Dokumentation!)
Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)
Physische ZugriffssicherheitPhysische Zugriffssicherheit
Logische ZugriffssicherheitLogische Zugriffssicherheit
Absicherung der Geräte gegen unbefugte InbetriebnahmeAbsicherung der Geräte gegen unbefugte Inbetriebnahme
Protokollierung der VerwendungsvorgängeProtokollierung der Verwendungsvorgänge
Dokumentation über die bisher aufgezählten Punkte: Dokumentation über die bisher aufgezählten Punkte: Richtlinien/Auditing/MaßnahmenRichtlinien/Auditing/Maßnahmen
56
Standards für IT GovernanceStandards für IT Governance
57
ITILIT Infrastructure Library
ITILIT Infrastructure Library
58Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IncidentManagement
ProblemManagement
ChangeManagement
ReleaseManagement
ContinuityManagement
AvailabilityManagement
CapacityManagement
FinancialManagement
Service LevelManagement
Security Management
Configuration Management
ITIL - IT Infrastructure Library ITIL - IT Infrastructure Library
59Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ITIL – Komponenten (1/2)ITIL – Komponenten (1/2)
Planning to Implement Service ManagementPlanning to Implement Service ManagementWesentliche Aufgaben in der Planung und Umsetzung von IT Service Wesentliche Aufgaben in der Planung und Umsetzung von IT Service ManagementManagement
ICT Infrastructure ManagementICT Infrastructure ManagementNetzwerkmanagementNetzwerkmanagementBetriebsmanagementBetriebsmanagementInstallation von SystemenInstallation von Systemen
Application Management Application Management Softwareentwicklung mit Hilfe eines Lify-Cycle AnsatzesSoftwareentwicklung mit Hilfe eines Lify-Cycle Ansatzes
ITIL Security Management ITIL Security Management Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT SecuritSecurit
The Business PerspectiveThe Business PerspectiveBeziehungsmanagement zum BusinessBeziehungsmanagement zum BusinessOutsourcingOutsourcingKontinuierliche VerbesserungKontinuierliche Verbesserung
60Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ITIL – Komponenten (2/2)ITIL – Komponenten (2/2)
Service SupportService SupportService Desk Service Desk Configuration ManagementConfiguration Management Incident Management Incident Management Problem Management Problem Management Release Management Release Management Change ManagementChange Management
Service DeliveryService DeliveryService Level ManagementService Level ManagementFinancial ManagementFinancial ManagementCapacity ManagementCapacity ManagementAvailability ManagementAvailability ManagementIT Continuity ManagementIT Continuity Management
61
CobiTCobiT
62Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
CobiTCobiT
CobiT = Control Objectives for Information and Related CobiT = Control Objectives for Information and Related TechnologyTechnologyProzessorientiertes Framework für die Steuerung von IT Prozessorientiertes Framework für die Steuerung von IT ProzessenProzessenHerausgegeben vom IT Governance Institute, früher ISACAHerausgegeben vom IT Governance Institute, früher ISACAInhalt wird vom CobiT Steering Committee gesteuert und von Inhalt wird vom CobiT Steering Committee gesteuert und von Universitäten, Experten aus den Bereichen IT Management, Universitäten, Experten aus den Bereichen IT Management, Governance, Consulting und Audit entwickeltGovernance, Consulting und Audit entwickeltOrientiert sich an Unternehmenszielen und Orientiert sich an Unternehmenszielen und UnternehmenserfordernissenUnternehmenserfordernissenWerkzeug für Geschäftsführung, IT Management und IT Werkzeug für Geschäftsführung, IT Management und IT ProzessmanagerProzessmanagerBasiert auf einer Vielzahl internationaler StandardsBasiert auf einer Vielzahl internationaler StandardsDokumente auf www.isaca.org zum Download und als Bücher Dokumente auf www.isaca.org zum Download und als Bücher verfügbarverfügbar
63Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Entwicklung von CobiTEntwicklung von CobiT
Governance
Management
Control
Audit
COBIT 1 COBIT 2 COBIT 3 COBIT 4
1996 1998 2000 2005
64Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
CobiT – BestandteileCobiT – Bestandteile
IT Prozesse
Control Objectives
Control Practices
Audit Guidelines
Activity Goals
Maturity ModelleKey Goal Indicators
Key Performance Indicators
Kerngeschäft
Anforderungen Information
gesteuert durch
realisiert
durchüber
setzt
in
geprüft
durch
effi
zien
t un
d e
ffek
tiv
dur
ch
gem
esse
n du
rch
für
Out
put für Reife
für Perfo
rmance
65Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Vom Ziel zur ArchitekturVom Ziel zur Architektur
Unternehmensziele für IT
IT Ziele
Unternehmens-architektur für IT
bestimmen
messen
messen
bestimmen
IT S
corecard
Unternehmens- und Governance- Erfordernisse
66Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Unternehmensziele für IT
IT Ziele
IT Prozesse
Unternehmens Erfordernisse
Governance Erfordernisse
Informations -Services
Information Criteria
erfordern beeinflussen
setzen voraus
Unterstützung durch CobiTUnterstützung durch CobiT
IT Prozesse(mit Verantwortlichen)
liefernInformation
Anwendungen
Infrastrukturund Personal
betreiben
benötigt
67Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)
0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert
0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
SymboleSymbole ReifegradeReifegrade
0 1 2 3 4 5
Non-existent(nicht existent)
Initial(initial)
Repeatable(wiederholbar)
Defined(definiert)
Managed(gemanagt)
Optimised(optimiert)
68Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Der IT Prozess nach CobiTDer IT Prozess nach CobiT
INFORMATION
Monitor and Evaluate
Deliver and Support
Acquire and Implement
Plan and Organise
• Effizienz• Effektivität• Vertraulichkeit• Integrität• Verfügbarkeit• Compliance• Verlässlichkeit
• Anwendungen• Information• Infrastruktur• Personal
IT RESSOURCEN
69Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT-Prozesse nach CobiTIT-Prozesse nach CobiT
Information
Monitor and Evaluate
Deliver and Support Acquire and
Implement
Plan and Organise
PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation
and relationships.PO5 Manage the IT investment.PO6 Communicate management aims and
direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology
infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.
DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.
ME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure regulatory compliance.ME4 Provide IT governance.
70Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Bestandteile von ProzessenBestandteile von Prozessen
Prozessbeschreibung
Domäne und InformationResources
IT Ziele
Prozessziele
wichtige Aktivitäten
wichtige Metriken
IT Governance& IT Resources
71Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Bestandteile von ProzessenBestandteile von Prozessen
RACI-Chart zur Darstellung der Verantwortlichkeiten, zBRACI-Chart zur Darstellung der Verantwortlichkeiten, zB
Inputs und Outputs, zBInputs und Outputs, zB
72Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Bestandteile von ProzessenBestandteile von Prozessen
Messgrößen auf unterschiedlichen Ebenen und deren Verbindung Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zBzu IT Zielen, zB
73Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Bestandteile von ProzessenBestandteile von Prozessen
Prozessspezifisches Reifegradmodell, zBProzessspezifisches Reifegradmodell, zB
74Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Bestandteile von ProzessenBestandteile von Prozessen
214 Detaillierte Control Objectives, zB:214 Detaillierte Control Objectives, zB:
75Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Started in 2003Started in 2003Integration of StandardsIntegration of StandardsUpdate of CobiTUpdate of CobiT
CobiT Mapping ProjectCobiT Mapping Project
Further mappingsFurther mappingsIn progressIn progress
TOGAF (Architecture)TOGAF (Architecture)COSO ERMCOSO ERMGBPMGBPM
On our radarOn our radarITIL v3ITIL v3FFEIC (US banking)FFEIC (US banking)NIAC (Insurance)NIAC (Insurance)NIST SP800-53NIST SP800-53FISMA FISMA IAIS Framework (Solvency II)IAIS Framework (Solvency II)HIPAA (Health Insurance)HIPAA (Health Insurance)GLBA (Privacy)GLBA (Privacy)ISO19770-1 (SW Asset Mgmt)ISO19770-1 (SW Asset Mgmt)ISO 20000 (Service Mgmt)ISO 20000 (Service Mgmt)ISO 27005 (Risk Mgmt)ISO 27005 (Risk Mgmt)ISO 27002 (ISO17799)ISO 27002 (ISO17799)
76
ValITValIT
77Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
The Fundamental QuestionThe Fundamental Question
Are we managing our investments Are we managing our investments in IT such that:in IT such that:
we are getting optimal value;we are getting optimal value;
at an affordable cost; andat an affordable cost; and
with an acceptable level of risk?with an acceptable level of risk?
78Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
The strategic question. Is the investment:In line with our vision?Consistent with our business principles?Contributing to our strategic objectives?Providing optimal value, at affordable cost, at an acceptable level of risk?
In the value question. Do we have:A clear and shared understanding of the expected benefits?Clear accountability for realising the benefits?Relevant metrics?An effective benefits realisation process?
The architecture question. Is the investment:In line with our architecture?Consistent with our architectural principles?Contributing to the population of our architecture?In line with other initiatives?
The delivery question. Do we have:Effective and disciplined delivery and change management processes?Competent and available technical and business resources t deliver:
the required capabilities; andthe organisational changes required to leverage the capabilities.
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?Some fundamental
questionsabout thevalue deliveredby IT
The Four “Ares” - continually asking…
79Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
A New PerspectiveA New Perspective
IT Investments
Investments inIT-enabled Change
80Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Projects, Programmes and Portfolios
PortfolioPortfolioManagementManagement
Programme Programme ManagementManagement
Project Project ManagementManagement
Programme – a structured grouping of projects designed to produce clearly identified business value
Project – a structured set of activities concerned with delivering a defined capability based on an agreed schedule and budget
Portfolio – a suite of business programmes managed to optimise overall enterprise value
81Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Val IT Principles
IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of investmentsa portfolio of investments. .
IT-enabled investments will include the IT-enabled investments will include the full scope of activities full scope of activities that are that are required to achieve business value. required to achieve business value.
IT-enabled investments will be managed through their IT-enabled investments will be managed through their full economic life full economic life cyclecycle. .
Value delivery practices will recognise that there areValue delivery practices will recognise that there are different categories different categories of investmentsof investments that will be evaluated and managed differently. that will be evaluated and managed differently.
Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will and will respond quickly to any changes or deviations. respond quickly to any changes or deviations.
Value delivery practices will engage all stakeholders and assign Value delivery practices will engage all stakeholders and assign appropriate accountabilityappropriate accountability for the delivery of capabilities and the for the delivery of capabilities and the realisation of business benefits. realisation of business benefits.
Value delivery practices will be Value delivery practices will be continually monitored, evaluated and continually monitored, evaluated and improvedimproved. .
82Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ValITProcesses & Key Management Practices
VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted
accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category
PM1 Maintain human resource inventory
PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements
and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme
concept business casePM8 Evaluate & assign relative score to
programme business casePM9 Create overall portfolio viewPM10 Make and communicate
investment decisionPM11 Stage-gate (and fund) selected
programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio
performance
IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme
ValueGovernance
(VG)
PortfolioManagement
(PM)Investment
Management(IM)
VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted
accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category
PM1 Maintain human resource inventory
PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements
and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme
concept business casePM8 Evaluate & assign relative score to
programme business casePM9 Create overall portfolio viewPM10 Make and communicate
investment decisionPM11 Stage-gate (and fund) selected
programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio
performance
IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme
ValueGovernance
(VG)
PortfolioManagement
(PM)Investment
Management(IM)
83Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Val IT Framework - DetailVal IT Framework - Detail
Domain: Value Governance (VG)Process CobiT RACI Chart
Description Key Management Practices Cross Ref. Exec Bus IT
CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2
VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored.
CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9
VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise.
CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1Secondary:PO5.2-5, PO10.2
VG2 Define and implement processesDefine, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis- tent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.
CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2
VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.
•Establish governance, monitoring and control framework
•Establish Strategic Direction
•Establish portfolio characteristics
84
ISO/IEC 17799:2005ISO/IEC 17799:2005
85Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
ISO/IEC 17799:2005ISO/IEC 17799:2005
Historie:Historie:
CoP for Security ManagementCoP for Security Management
BS7799 Part 1BS7799 Part 1
ISO 17799:2000ISO 17799:2000
Zukünftig:Zukünftig:
ISO/IEC 2700x-FamilieISO/IEC 2700x-Familie
Best Practice für Informations-SicherheitBest Practice für Informations-Sicherheit
Herausgegeben von der ISOHerausgegeben von der ISO
Zeitweise im Konflikt mit BSI - GrundschutzhandbuchZeitweise im Konflikt mit BSI - Grundschutzhandbuch
Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)
86
Integration von StandardsIntegration von Standards
87Integrating Application Mgmt. & Service Mgmt.
COBIT
IT OPERATIONS
IT Governance
Quality Systems & Frameworks
Service M
gm
t.
Ap
p. D
ev. (SD
LC
)
Pro
ject Mg
mt.
IT P
lann
ing
IT S
ecurity
Qu
ality System
IT Governance Model
COSO
ITIL
BS7799
PMI
ISO
SixSigma
TSOIS
Strategy
ASL
CMM
Sarbanes Oxley
US Securities & Exchange Commission
88Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Gartner‘s AdviseGartner‘s Advise
Combine CobiT and ITIL for Powerful IT GovernanceCombine CobiT and ITIL for Powerful IT GovernanceStrong framework tools are essential for ensuring IT resources are Strong framework tools are essential for ensuring IT resources are aligned with an enterprise‘s business objectives, and that services and aligned with an enterprise‘s business objectives, and that services and information meet quality, fiduciary and security needs.information meet quality, fiduciary and security needs.Bottom Line:Bottom Line:
CobiT and ITIL are not mutually exclusive and can be combined to provide CobiT and ITIL are not mutually exclusive and can be combined to provide a powerful IT governance, control and best-practice framework in IT a powerful IT governance, control and best-practice framework in IT service management. service management. Enterprises that want to put their ITIL program into the context of a wider Enterprises that want to put their ITIL program into the context of a wider control and governance framework should use CobiT.control and governance framework should use CobiT.
Source: Technical Guidelines, TG-16-1849, S.Mingay, S. BittingerSource: Technical Guidelines, TG-16-1849, S.Mingay, S. Bittinger
89Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Forrester Quotes (Jan 5 2006)Forrester Quotes (Jan 5 2006)
Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation
First CobiT for overall governanceFirst CobiT for overall governance
Then ITIL for service delivery and managementThen ITIL for service delivery and management
Then ISO 17799 for information securityThen ISO 17799 for information security
Balanced Scorecard for measurement and Balanced Scorecard for measurement and communicationcommunication
Source: Forrester Helping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance by Craig Symons
90Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Potential CobiT & ITILPotential CobiT & ITIL
Stakeholder Stakeholder
C F O
O P s A D S D
C IO C M O C xO
C E O CobiT
ITIL
91Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
AusblickAusblick
Die Zeit ist reifDie Zeit ist reif
Für nachvollziehbare und messbare IT ProzesseFür nachvollziehbare und messbare IT Prozesse
Einhaltung internationaler StandardsEinhaltung internationaler Standards
Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand
Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch)
Professionelle Unterstützung empfehlenswert – Professionelle Unterstützung empfehlenswert – besonders auch mit Prüfungs- und Kontroll – Know besonders auch mit Prüfungs- und Kontroll – Know HowHow
92Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
IT – Governance – Services der KPMGIT – Governance – Services der KPMG
Quick AssessmentsQuick AssessmentsDetailbeurteilungenDetailbeurteilungenGesamthafte Einführung von IT GovernanceGesamthafte Einführung von IT GovernanceDefinition und Umsetzung von Verantwortlichkeiten und RollenDefinition und Umsetzung von Verantwortlichkeiten und RollenErarbeitung von IT-StrategienErarbeitung von IT-StrategienNachweisbare, nutzenorientierte Ausrichtung der IT an den Nachweisbare, nutzenorientierte Ausrichtung der IT an den UnternehmenszielenUnternehmenszielenGestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung der IT- Prozesse unter Umsetzung von CobiT und Gestaltung des Internen Kontrollsystems in der ITGestaltung des Internen Kontrollsystems in der ITErhöhung des Reifegrades der IT-ProzesseErhöhung des Reifegrades der IT-ProzesseIntegration von ITIL, CMM, ISO 17799,…Integration von ITIL, CMM, ISO 17799,…BenchmarkingBenchmarkingIT Due DiligenceIT Due Diligence
93Michael Schirmbrand
Mai 2007Michael Schirmbrand
Mai 2007
Kontakt – Dr. Michael SchirmbrandKontakt – Dr. Michael Schirmbrand
Partner of KPMG AustriaPartner of KPMG AustriaHead of the service line Head of the service line “Information Risk Management” “Information Risk Management” of KPMG Austriaof KPMG AustriaCPA / PhDCPA / PhDChairman of the board of ISACA AustriaChairman of the board of ISACA AustriaCISA - Certified Information Systems AuditorCISA - Certified Information Systems AuditorCISM – Certified Information Security ManagerCISM – Certified Information Security ManagerChairman of the IT committee of the Austrian Chairman of the IT committee of the Austrian Chamber of Public AccountantsChamber of Public AccountantsMember of the worldwide CobiT Steering Member of the worldwide CobiT Steering CommitteeCommitteeMember of the Steering Committee of the IT Member of the Steering Committee of the IT Governance InstituteGovernance InstituteAuthor of publications about IT Governance, IT Author of publications about IT Governance, IT Security und IT Audits as well as several Security und IT Audits as well as several professional articles. Lecturer at Austrian professional articles. Lecturer at Austrian Universities.Universities.
MSchirmbrand@kpmg.at +43 1 31332-656 MSchirmbrand@kpmg.at +43 1 31332-656
top related