BUSINESS ADVISORY SERVICE
This presentation is the property of its rightful owner.
Sponsored Links
1 / 72

Michael Schirmbrand Dezember 2010 PowerPoint PPT Presentation


  • 59 Views
  • Uploaded on
  • Presentation posted in: General

BUSINESS ADVISORY SERVICE . IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit. IT Advisory. Michael Schirmbrand Dezember 2010. Warum (IT-) Audits noch immer nicht bestanden werden. Unkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der Prüfer

Download Presentation

Michael Schirmbrand Dezember 2010

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Michael schirmbrand dezember 2010

BUSINESS ADVISORY SERVICE

IT- Governance

Unter besonderer Berücksichtung von Compliance / IT Audit

IT Advisory

Michael SchirmbrandDezember 2010


Warum it audits noch immer nicht bestanden werden

Warum (IT-) Audits noch immer nicht bestanden werden

  • Unkenntnis der relevanten Regularien

  • Bessere Ausbildung und Kenntnis der Prüfer

  • Event getriebener Ansatz für Compliance

  • Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten

(Siehe auch Information Systems Control Journal 5/2007)


Compliance als teil der it governance

Compliance als Teil der IT-Governance


It governance balance zwischen risiko und performance

IT GovernanceBalance zwischen Risiko und Performance

Die Rechtssprechung zieht das Pendel in Richtung Risiko

Wettbewerb und Marktdruck drücken das Pendel Richtung Performance

IT Governance managt die Balance zwischen Risikomanagement und Performance-erfordernis.

Stabiler Wert und Vertrauen

Integriertes

Risiko Management

Risiko

Verbesserte

Kontrolle

Prozess

Transformation

Prozess

Verbesserung

Compliance

Performance


It governance eine definition

IT-Governance: Eine Definition

CorporateGovernance

Business

ITGovernance

Informations-systeme

Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.

— IT Governance Institute


Was ist it governance

Was ist IT-Governance?

IT-GOVERNANCE

IT-GOVERNANCE

  • Setze Ziele

  • IT arbeitet im Sinne des Kerngeschäfts (Alignment)

  • IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery)

  • IT Ressourcen werden verantwortungsvoll eingesetzt

  • IT-bezogene Risiken werden angemessen gemanagt

Evaluiere Performance

Gib die Richtung vor

Messe und Berichte über Performance

Überführe die Richtung in eine Strategie

  • Setze die Strategie um

  • Erhöhe die Automation (mache das Kerngeschäft wirksam)

  • Senke Kosten (mache das Unternehmen wirtschaftlich)

  • Manage Risiken (Security, Verlässlichkeit und Compliance)

IT-MANAGEMENT

  • Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt

  • Methode: Führungs- und Organisationsstrukturen sowie Prozesse

  • Verantwortung: Vorstand und Geschäftsführung


Wesentliche standards f r it governance

Wesentliche Standards für IT Governance

  • fordernd

    • Fachgutachten (IFAC, AICPA, KWT)

    • SAS 70

    • Sarbanes Oxley Act

    • 8. EU-Audit-Richtlinie

    • Sonstige relevante Gesetze

  • helfend

    • CobiT

    • ValIT

    • ITIL

    • ISO 17799

    • CMMI


Fachgutachten

Fachgutachten


Fachgutachten verschiedene herausgebende organisationen

Fachgutachten - Verschiedene herausgebende Organisationen

  • IFAC – International FederationofAccountants

    • ISA 315 / ISA 330

    • ISA ISA 402 - Audit Considerations relating to Entities using Service Organizations

  • KFS – Kammer der WT - FachsenatfürDatenverarbeitung

    • KFS/DV1

    • KFS/DV2

  • AICPA – American Institute of CPAs

    • Zb SAS 70 - Reports on the Processing of Transactions by Service Organizations

  • IWP – Institut der Wirtschaftsprüfer

    • IWP PE 14 – Prüfung bei ausgelagerten Funktionen

  • IDW – Institut der Wirtschaftsprüfer (Deutschland)

    • PS331 (Serviceorganisationen)

    • FAIT (Fachgutachtenfür die Prüfung von Informationstechnologie)


Isa 315

ISA 315

  • Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment

  • 18. The auditor shall obtain an understanding of the information system, including the related business processes, relevant to financial reporting, including the following areas:

    (a) The classes of transactions in the entity’s operations that are significant

    to the financial statements;

    (b) The procedures, within both information technology (IT) and manual

    systems, by which those transactions are initiated, recorded, processed,

    corrected as necessary, transferred to the general ledger and reported in

    the financial statements;

    (c) The related accounting records, supporting information and specific

    accounts in the financial statements that are used to initiate, record,

    process and report transactions; this includes the correction of incorrect

    information and how information is transferred to the general ledger.

    The records may be in either manual or electronic form;

    (d) How the information system captures events and conditions, other than

    transactions, that are significant to the financial statements;

    (e) The financial reporting process used to prepare the entity’s financial

    statements, including significant accounting estimates and disclosures; and

    (f) Controls surrounding journal entries, including non-standard journal

    entries used to record non-recurring, unusual transactions or adjustments.

    (Ref: Para. A81–A85)


Isa 3151

ISA 315

  • A95. The use of IT affects the way that control activities are implemented. From the auditor’s perspective, controls over IT systems are effective when they maintain the integrity of information and the security of the data such systems process, and include effective general IT controls and application controls.

  • A96. General IT controls are policies and procedures that relate to many applications and support the effective functioning of application controls. They apply to mainframe, miniframe, and end-user environments. General IT controls that maintain the integrity of information and security of data commonly include controls over the following:

    • Data center and network operations.

    • System software acquisition, change and maintenance.

    • Program change.

    • Access security.

    • Application system acquisition, development, and maintenance.


Isa 3152

ISA 315

  • A97. Application controls are manual or automated procedures that typically operate at a business process level and apply to the processing of transactions by individual applications. Application controls can be preventive or detective in nature and are designed to ensure the integrity of the accounting records. Accordingly, application controls relate to procedures used to initiate, record, process and report transactions or other financial data. These controls help ensure that transactions occurred, are authorized, and are completely and accurately recorded and processed. Examples include edit checks of input data, and numerical sequence checks with manual follow-up of exception reports or correction at the point of data entry.


Fachgutachten sterreich

Fachgutachten Österreich

  • KFS/DV1 der Kammer der WT

    • Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...)

    • Forderung nach Funktionstrennung

    • Detaillierte Forderungen an die Systemdokumentation

  • KFS/DV 2

    • Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen


Kfs dv 1 grunds tze

KFS/DV 1 - Grundsätze

  • Allgemeine Anforderungen

  • Unternehmer buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)

  • Radierverbot

  • Prüfspur progressiv und retrograd

  • Verbot nachträglicher Schreibvorgänge


Sterreich kfs dv 1 dokumentation

Österreich KFS/DV 1 – Dokumentation

  • Verfahrensdokumentation

    • Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein:

      • Anforderung/Aufgabenstellung

      • Datensatzaufbau

      • Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung

      • Datenausgabe

      • Datensicherung

      • Verfügbare Programme

      • Art, Inhalt und Umfang der durchgeführten Tests

      • Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)

      • Versionsmanagement

    • Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,…

    • Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden

  • Dokumentation der Zugriffsverfahren

  • Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)


Kfs dv 1 iks

KFS/DV 1 - IKS

  • Zusätzlich notwendig

    • Funktionstrennung (Fachabteilung/Entwickler/Admin)

    • Zugriffsberechtigungen auf allen Systemebenen

    • Datensicherungen

    • Schutz vor Sabotage, Missbrauch und Vernichtung

    • Kontinuitätsmanagement

    • Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre


Idw rs fait 2 dokumentation

IDW RS FAIT 2 - Dokumentation

  • Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1

  • Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:

    • Doku HW/SW (zB Router, Firewall, Virenscanner,..)

    • Netzwerkarchitektur (auch Anbindung ISP)

    • Verwendete Protokolle

    • Verschlüsselungsverfahren

    • Signaturverfahren

    • Datenflusspläne, Schnittstellen, relevante Kontrollen

    • Autorisierungsverfahren, Verfahren zur Generierung von Buchungen


Idw rs fait 2 iks

IDW RS FAIT 2 - IKS

  • Für IKS zusätzlich notwendig

    • Firewall Einstellungen (+Überprüfungen)

    • Firewall-Logs (+Überprüfungen)

    • Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,)

    • Scanner (IDS, Viren, Kontrollen,..)

    • Penetration Tests

    • Überprüfung dieser Themen durch die Revision

  • Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren


Berblick fachgutachten kfs dv 2

Überblick Fachgutachten KFS/DV 2

  • Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“

  • Erarbeitet durch FS DV

  • Gemeinsame Überarbeitung durch FS DV und FS HR

  • Verabschiedet im November 2004


Struktur kfs dv 2

Struktur KFS/DV 2

A.Vorbemerkungen

A.1.Anwendungsbereich des Fachgutachtens

A.2.Einbindung in die Abschlussprüfung

B.Ziel und Umfang der Prüfung der Informationstechnik

C.Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik

C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung

C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens

C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken

C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken

Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse

Anwendungsabhängige Kontrollen der Geschäftsprozesse

C.5.Prüfungshandlungen des Abschlussprüfers

Prüfung der anwendungsunabhängigen Kontrollen

Prüfung der anwendungsabhängigen Kontrollen

Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung

C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen

D.Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)


Kfs dv 2 grunds tze

KFS/DV 2 - Grundsätze

  • Prüfung der IT ist der der Prüfung des Internen Kontrollsystems

  • Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz)

  • Risikoorientierte Prüfung

  • Prüfung von Stichproben

  • Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme


Kfs dv 2 grob berblick ber it pr fungen

KFS/DV 2 – Grobüberblick über IT Prüfungen

  • Gewinnung eines Überblicks über Systeme und Abläufe

  • Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT

  • Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)


Pr ffelder it pr fung

Prüffelder IT-Prüfung

  • allgemeine IT Kontrollen (General IT Controls / ITGC)

  • Anwendungskontrollen

  • Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)


Praxisbeispiel teil einer anwendungs bersicht

Praxisbeispiel: Teil einer Anwendungsübersicht


Arten von kontrollen

Arten von Kontrollen

  • Kontrollarten (vgl. Prüfungsmethoden / KAM)

    • authorization

    • system configuration and account mapping controls

    • exception / edit reports

    • interface / conversion controls

    • key performance indicators

    • management review

    • reconciliation

    • segregation of duties

    • system access

  • Die meisten dieser Kontrollen sind in der IT – in Form von Anwendungskontrollen oder halb automatisierten Kontrollen – realisiert

  • Achtung:Zusammenarbeit / Abgrenzung von Fachbereichen und IT

IT

IT


Minimale pr fungsgebiete der itgc

Minimale Prüfungsgebiete der ITGC

  • Kontrollumgebung

    • Systemübersicht / Informationsflüsse (GoBS)

    • Planung und Steuerung der IT

    • Monitoring und Verbesserung der IT-Prozesse

    • IKS der IT

  • Zugriffsschutz

    • Security Policy

    • Logischer Zugriffsschutz

    • Funktionstrennung

  • Änderungswesen

    • Programmänderungen

    • Konfigurationsänderungen

    • Inbetriebnahme der Änderungen

    • Software-Entwicklung

  • Betrieb

    • Datensicherung

    • Incident-Management

    • Automatisierte Systemabläufe

    • Physischer Zugriffsschutz (Rechenzentrum)

    • Kontinuitätsmanagement der IT

Dringend empfohlen:

CobiT


Kfs dv 2 pr fung anwendungsabh ngig

KFS/DV 2 – Prüfung anwendungsabhängig

  • Einholung von Informationen über die relevanten Anwendungen

  • Prüfung und Beurteilung der Programmfunktionen:

    insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung

  • Prüfung der Anwendungskontrollen:

    hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.

  • Verbindung von Bilanz/G&V-Position mit Prozessen/Kontrollen auf Assertion-Level


Beurteilung des iks im rahmen der pr fung

Nicht durchgeführt

Prozessanalyse

Nicht geprüft

Controls

Application

IT-General

Manual

Nicht wirksam

Geprüft & kontrolliert

Risk = High

Risk = Low

Beurteilung des IKS imRahmen der Prüfung

Substantieller

Prüfungsansatz

Kontrollorientierter

Prüfungsansatz


Kfs dv 2 outsourcing

KFS/DV 2 - Outsourcing

Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kanninsbesondere aus Prüfung von Dienstleistungsunternehmenoder Serviceunternehmen nach demStandard ISA 402der IFAC herangezogen werden.


Sas 70

SAS 70


Berblick sas 70 siehe auch isa 402

Überblick SAS 70 (siehe auch ISA 402)

  • Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)

  • Veröffentlichung der AICPA

  • Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP

  • Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen

  • Praktisch inhaltsgleich zu ISA 402 der IFAC

  • In Deutschland auch Standard PS 331

  • Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben

  • Auch in Österreich bei (fast) allen RZ in Umsetzung

  • In Österreich in Richtlinie IWP-PE14 umgesetzt


Isa 402 sas 70 anforderungen an pr fer

ISA 402 / SAS 70 Anforderungen an Prüfer

  • Anzuwenden bei (Teil-) Outsourcing der IT

  • Prüfer von RZ-Kunden müssen

    • Report nach SAS 70 / ISA 402 des RZ einholen oder

    • selbst das RZ prüfen oder

    • jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder

    • Bestätigungsvermerk einschränken oder versagen


Sas 70 berichterstattung

SAS 70 - Berichterstattung

  • Standard-Text für Bestätigungsvermerk definiert

  • Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen

  • Die Verantwortungen von Kunde und RZ sind klar abzugrenzen

  • Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen


Sas 70 berichtsausschnitt beispiel

SAS-70 Berichtsausschnitt (Beispiel)


Sarbanes oxley

Sarbanes Oxley


Sarbanes oxley sox paragraph 404

Sarbanes-Oxley (SOX) Paragraph 404

  • Section 404 des Sarbanes-Oxley Act fordert:

    • Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber

    • Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test

  • Prüfer berichtet direkt über die Wirksamkeit des IKS

  • Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich

  • Andere Unternehmen (foreign issuers) seit 2006


8 eu audit richtlinie rl 2006 43 eg eurosox

8. EU-Audit-Richtlinie(RL 2006/43/EG)“EuroSox”


Auspr gung in sterreich

Ausprägung in Österreich

  • Unternehmensrechtsänderungsgesetz (URÄG) 2008

    • Verabschiedung am 10. April 2008

    • In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008

  • Unternehmen von öffentlichem Interesse (Betroffene)

    • Kapitalmarktorientierte Unternehmen

      • Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren

    • Versicherungen, Banken

    • „Sehr“ große Unternehmen

      • >192 Mio. EUR Umsatz oder > 96 Mio. EUR Bilanzsumme

    • Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern


Ur g 2008 gesetzliche rahmenbedingungen

URÄG 2008Gesetzliche Rahmenbedingungen

Vorstand

Aufsichtsrat

Publizität

Überwachung

Implementierung

URÄG 2008

§ 92 (4a) AktG

Implementierungeines Internen Kontrollsystems, das den Anforderungen des Unternehmens entspricht

URÄG 2008

Überwachung der Wirksamkeit des IKS und des Risikomanagementsystems

im Hinblick auf das Gesamtunternehmen

§ 243 a UGB

Auseinandersetzung mit der Effektivität des bestehenden Kontrollsystems im Zuge der Offenlegung

Beschreibung der wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf die Rechnungslegung

.

§ 82 AktG§ 22 GmbHG

Risikomanagement

Überwachung der Wirksamkeit

Internes Kontrollsystem


Auswirkungen des ur g 2008 auf die it

Auswirkungen des URÄG 2008 auf die IT

  • Massive Auswirkungen

  • Kontrollen müssen dokumentiert und geprüft werden

  • große Teile der Kontrollen in der IT (oft 50 bis 70 %)

  • Im Regelfall mehrere hundert Kontrollen

  • Wesentliche Kontroll-Schwachstellen sind oft in der IT

  • Unterscheidung in Anwendungskontrollen und General IT Controls

  • Cobit als Standard für General IT Controls anerkannt

  • Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute


Iks und it

IKS der ITVollständig

Wirksam

IKS und IT

Unternehmensweites IKS

M

A

Geschäftsprozesse

M

M

M

M

M

M

A

A

A

A

COSO

System A

System B

A

A

A

Schnittstellen

COBIT

IT-Prozesse (zB Zugriffsschutz, Change-Management, Betrieb, …)

A

M

A

A

M

M

SAS 70

Legende:

M

M

manuelle Kontrolle

A

A

automatische Kontrolle

Fachabteilung

IT


Frameworks

Frameworks


Frameworks und standards

Frameworks und Standards…

Quelle: Pink Roccade/Elefant

Source: PINK


Coso internal control integrated framework

COSO (Internal Control - Integrated Framework)

  • 1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht

  • Gemeinsame Sprache über Kontrollen, Definitionen, Modelle

  • Unternehmensziele im Rahmen von COSO sind

    • Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)

    • Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)

    • Compliance (Einhaltung von Gesetzen und Regulationen)

  • Zielerreichung über die Ausgestaltung der Komponenten des Frameworks

    • Control Environment (Kontrollumfeld)

    • Risk Assessment (Risikobewertung)

    • Control Activities (Kontrollaktivitäten)

    • Information & Communication (Information & Kommunikation)

    • Monitoring (Überwachung)

  • Benchmark für interne Kontrollen und Verweis in SOX

  • Weiterentwicklungen:

    • September 2004: Enterprise Risk Management (COSO II)

    • Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“


Cobit

CobiT


Entwicklung von cobit

Entwicklung von CobiT

Governance

Management

Control

Audit

COBIT 1

COBIT 2

COBIT 3

COBIT 4

1996

1998

2000

2005


Unterst tzung durch cobit

Unterstützung durch CobiT

Unternehmensziele

CobiT

IT Ziele

IT Prozesse


Ausrichtung von it prozessen an unternehmensziele

Ausrichtung von IT-Prozessen an Unternehmensziele

Typische Unternehmensziele

Referenz zu IT-Ziel


Typische it ziele

Typische IT-Ziele


Cobit it prozesse

CobiT IT-Prozesse

Plan and Organise

PO1Define a strategic IT plan

PO2 Define the information architecture

PO3 Determine technological direction

PO4 Define the IT processes, organisation and relationships

PO5 Manage the IT investment

PO6 Communicate management aims and direction

PO7 Manage IT human resources

PO8 Manage quality

PO9 Assess and manage IT risks

PO10 Manage projects

INFORMATION

Monitor and Evaluate

ME1 Monitor and evaluate IT performance

ME2 Monitor and evaluate internal control

ME3 Ensure regulatory compliance

ME4 Provide IT governance

  • Efficiency

  • Effectiveness

  • Confidentiality

  • Integrity

  • Availability

  • Compliance

  • Reliability

Monitor and Evaluate

Plan and Organise

IT RESSOURCES

  • Applications

  • Information

  • Infrastructure

  • People

Deliver and Support

Deliver and Support

DS1 Define and manage service levels

DS2 Manage third-party services

DS3Manage performance and capacity

DS4 Ensure continuous service

DS5 Ensure systems security

DS6Identify and allocate costs

DS7 Educate and train users

DS8 Manage service desk and incidents

DS9 Manage the configuration

DS10 Manage problems

DS11 Manage data

DS12 Manage the physical environment

DS13 Manage operations

Acquire and Implement

Acquire and Implement

AI1Identify automated solutions

AI2 Acquire and maintain application software

AI3 Acquire and maintain technology infrastructure

AI4 Enable operation and use

AI5 Procure IT resources

AI6 Manage changes

AI7 Install and accredit solutions and changes


Bestandteile von prozessen 1 3

Bestandteile von Prozessen (1/3)

Prozessbeschreibung

Domäne und Information-Criteria

IT Ziele

Prozessziele

wichtige Aktivitäten

wichtige Metriken

IT Governance

& IT Resources


Bestandteile von prozessen 2 3

Bestandteile von Prozessen (2/3)

  • RACI-Chart zur Darstellung der Verantwortlichkeiten, zB

  • Inputs und Outputs, zB


Bestandteile von prozessen 3 3

Bestandteile von Prozessen (3/3)

  • Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zB


Reifegradmodell maturity model

Reifegradmodell (Maturity Model)

Non-existent

(nicht existent)

Initial

(initial)

Repeatable

(wiederholbar)

Defined

(definiert)

Managed

(gemanagt)

Optimised

(optimiert)

0

1

2

3

4

5

Reifegrade

Symbole

Derzeitiger Status

Internationaler Standard

Strategisches Ziel

0 .. Nicht existent

1 .. Initial

2 .. Wiederholbar

3 .. Definiert

4 .. Monitoringfunktionen

5 .. Optimiert und Automatisiert


Reifegradmodell rising star model

Reifegradmodell – (Rising-Star-Model)

Strategisches Ziel

Handlungsbedarf

Derzeitiger Status


Ergebnisse einer reifegradbeurteilung zb

Ergebnisse einer Reifegradbeurteilung (zB)


Valit a value lense into cobit

ValITA value lense into CobiT


Valit principles

ValIT - Principles


Val it processes

Val IT – Processes

Value Governance (VG)

Portfolio Management (PM)

Investment Management (IM)


Valit processes key management practices

ValITProcesses & Key Management Practices


Val it framework detail

Val IT Framework - Detail

Domain: Value Governance (VG)

Process

CobiT

RACI Chart

Description

Key Management Practices

Cross Ref.

Exec

Bus

IT

VG1 Ensure informed and committed leadership

Primary:

A,R

C

C

  • Establish

The reporting line of the CIO should be commensurate with the im

portance

PO1.2, PO4.4,

of IT within the enterprise. All executives should have a sound

understand

-

governance,

ME3.1, ME3.2

ing

of strategic IT issues such as dependence on IT, technology ins

ights

monitoring and

and capabilities, in order that there is a common and agreed und

erstanding

control

between the business and IT of the potential impact of IT on the

business

framework

strategy. The business and IT strategy should be integrated clea

rly linking

  • Establish

enterprise goals and IT goals and should be broadly communicated

.

Strategic

VG2 Define and implement processes

Primary:

A

R

C

Direction

PO4.1, ME1.1,

Define, implement and consistently follow processes that provide

for clear

  • Establish

and active linkage between the enterprise strategy, the portfoli

o of IT

-

ME1.3, ME3.1

portfolio

enabled investment programmes that execute the strategy, the ind

ividual

Secondary:

characteristics

investment programmes, and the business and IT projects that mak

e up

PO5.2

-

5,

the programmes. The processes should include: planning and budge

ting;

PO10.2

prioritisation of planned and current work within the overall bu

dget;

resource allocation

consis

-

tent with the priorities; stage

-

gating of invest

-

ment

programmes; monitoring and communicating performance; taking

appropriate remedial action; and benefits management such that t

here is

an optimal return on the portfolio and on all IT assets and serv

ices.

VG3 Define roles & responsibilities

Primary:

A

R

C

PO4.6, PO4.15

Define and communicate roles and responsibilities for all person

nel in the

enterprise in relation to the portfolio of IT

-

enabled business investment

Secondary:

programmes, individual investment programmes and other IT assets

and

PO4.8, PO4.9

services to allow sufficient authority to exercise the role and

responsibility

assigned to them. These roles should include, but not necessaril

y be

limited to: an investment decision body; programme sponsorship;

programme management; project management; and associated support

roles. Provide business with procedures, techniques, and tools e

nabling

them to address their responsibilities. Establish and maintain a

n optimal

coordination, communication and liaison structure between the IT

function

and other stakeholders inside and outside the enterprise.

VG4 Ensure appropriate and accepted accountability

Primary:

A

R

C

PO1.1, ME3.1

-

Establish a supporting and appropriate control framework that is

consistent

with the overall enterprise control environment, and generally a

ccepted

3, ME3.3

control principles. The framework should provide for unambiguous

account

-

Secondary:

abilities and practices to avoid breakdown in internal control a

nd oversight.

ME3.2

Accountability for achieving the benefits, delivering required c

apabilities

and controlling the costs should be clearly assigned and monitor

ed.


Valit principles cio questionnaire results

ValIT – Principles(CIO questionnaire results)


Cobit mapping series

CobiT Mapping Series

  • Künftige mappings

    • In Umsetzung

      • TOGAF (Architektur)

      • COSO ERM

      • GBPM

    • Geplant

      • ITIL v3

      • FFEIC (US banking)

      • NIAC (Insurance)

      • NIST SP800-53

      • FISMA

      • IAIS Framework (Solvency II)

      • HIPAA (Health Insurance)

      • GLBA (Privacy)

      • ISO19770-1 (SW Asset Mgmt)

      • ISO 20000 (Service Mgmt)

      • ISO 27005 (Risk Mgmt)

      • ISO 27002 (ISO17799)

  • Started in 2003

  • Integration of Standards

  • Update of CobiT


Cobit itil

CobiT & ITIL

Plan and Organize

1

2

3

4

5

6

7

8

9

10

A

1

e

t

c

4

a

q

u

2

u

l

i

a

r

v

e

3

3

E

a

n

d

4

d

n

a

I

2

m

r

5

o

p

t

l

i

e

6

n

m

o

1

e

M

7

n

t

by Jimmy Heschl

1

2

3

4

5

6

8

9

10

11

7

12

13

Deliver and Support


Cobit und itil

CobiT und ITIL

Stakeholder

ITGovernance

(CobiT, ValIT)

CEO

CFO

CIO

CMO

CxO

OPs

AD

SD

ITIL

IT xyz Management


Die stimmen der anderen

Die Stimmen der anderen …

  • Gartner

    • Man kombiniere CobiT und ITIL für wirksame IT-Governance.

    • Gute Frameworks sind notwendig, damit die IT-Ressourcen mit den Organisationszielen angeglichen werden.

    • CobiT und ITIL schließen einander nicht aus und können kombiniert werden, um eine wirksame IT-Governance umzusetzen.

    • Organisationen, die ihrem ITIL Programm einen breiteren Horizont (Steuerung und Governance) geben wollen, sollen CobiT verwenden.

  • Forrester

    • Man erstelle Frameworks, um die Governance-Umsetzung zu erleichtern

      • CobiT als übergeordnetes Framework,

      • dann ITIL für Service Delivery und Management,

      • dann ISO17799 für Informationssicherheit und

      • eine Balanced Scorecard für die Messung und Kommunikation.


Cobit und itil1

CobiT und ITIL

Stakeholder

ITGovernance

(CobiT, ValIT)

CEO

CFO

CIO

CMO

CxO

OPs

AD

SD

ITIL

IT xyz Management


Caats

CAATs

  • Computer Assisted Audit Techniques

    • Substantielle Prüfungshandlungen

    • Journal Entry Testing

    • Typische Tools

      • IDEA

      • ACL


Automatisierte pr fung von prozessen und kontrollen

Automatisierte Prüfung von Prozessen und Kontrollen

  • Prüfung von 100% der Daten des Unternehmens


Ausblick

Ausblick

  • Real time Audit

  • Online Audit


Ausbildung it governance it audit

Ausbildung IT Governance / IT Audit

  • Studium Wirtschaftsinformatik (oder ähnliches)

  • Erfahrung IT Operations / IT Development

  • Fortbildungen / Zertifizierungen

    • CISA – Certified Information Systems Auditor

    • CISM – Certified Information Security Manager

    • CISSP – Certified Information Security Professional

    • CGEIT – Certified in the Enterprise Governanceof IT


Kontakt dr michael schirmbrand

Kontakt – Dr. Michael Schirmbrand

  • Partner of KPMG Austria

  • Head of the service line “IT Advisory” of KPMG Austria

  • CPA / PhD

  • Board Member of ISACA Austria

  • CISA - Certified Information Systems Auditor

  • CISM – Certified Information Security Manager

  • Board member of the IT committee of the Austrian Chamber of Public Accountants

  • Earlier:

    • Member of the worldwide COBIT Steering Committee

    • Member of the Steering Committee of the IT Governance Institute

    • Member of the IFAC IT Committee

  • Author of publications about IT Governance, IT Security und IT Audits as well as several professional articles. Lecturer at Austrian Universities.

  • [email protected]

  • +43 1 31332-656


  • Login