BUSINESS ADVISORY SERVICE
Standards für IT - Audit und
IT - Governance
INFORMATION RISK MANAGEMENT
Dr Michael Schirmbrand
Mai 2007
Agenda
Aktuelle Entwicklungen
IT Governance
(Neue) Internationale und Nationale ComplianceAnforderungen (inkl Sarbanes-Oxley)
Standards für IT Prozesse und Compliance
ITIL
CobiT
Weitere relevante Standards
Integration von CobiT mit ITIL, ISO 17799, CMMI, etc
Ausblick
2
Michael Schirmbrand
Mai 2007
IT Governance
Aktuelle Entwicklungen
3
Beobachtungen in Österreich
Mehr als 50% der Unternehmen haben keine IT
Strategie
80% der Großunternehmen haben kein
nachvollziehbares IT Steuerungsgremium
Bei einem Großteil der Unternehmen sind die IT Ziele
nicht erkennbar an den Unternehmenszielen
ausgerichtet
Der Nutzen von (IT) Projekten wird meist nicht
gemessen
Bei mehr als 50% der Unternehmen sind IT Prozesse
nicht dokumentiert oder messbar
Bei mehr als 90% der Unternehmen sind Kontrollen in
IT Prozessen nicht dokumentiert oder nachvollziehbar
4
Michael Schirmbrand
Mai 2007
Aktuelle Schlagzeilen
20 % der IT Budgets gehen weltweit verloren
5
Michael Schirmbrand
Mai 2007
IT Governance:
Wesentlich ist die Generierung von Nutzen durch die IT
• 85% der Untenehmen verlangen
Busines-Cases für Changes
• Nur 40% der freigegebenen
Projekte basieren auf
realistischen Nutzen-Statements
• Weniger als 10% der Unternehmen stellen nachträglich
sicher, dass Nutzen tatsächlich
generiert wurde
• Weniger als 5% definieren
persönliche Verantwortung für
die Nutzenstiftung
Nutzen
Risiken
Kosten
(Meta Group Juli 2004)
6
Michael Schirmbrand
Mai 2007
IT Governance: Eine Definition
Corporate
Governance
Business
IT
Governance
Informationssysteme
Für IT Governance sind Vorstand und
Geschäftsführung verantwortlich. Sie ist integraler
Bestandteil der Corporate-Governance und
besteht aus Führungs- und
Organisationsstrukturen sowie Prozessen, die
sicherstellen, dass IT die Geschäftsstrategien und
-ziele unterstützt und vorantreibt
— IT Governance Institute
7
Michael Schirmbrand
Mai 2007
Prioritäten der Analysten
c
gi
te ent
a
r
St gnm
i
Al
e
anc t
orm
n
Perf ureme
s
Mea
8
V
De alu
liv e
er
y
IT Governance
Resource
Management
Risk
age
men
t
Gartner
CSC
Compass
Giga
AICPA/CICA
CIO Magazine
Technology
Council
Strategic Alignment
Value Delivery
IT Asset Management
Risk Management
Performance
Measurement
Man












Michael Schirmbrand
Mai 2007
IT Governance Domänen
IT Governance
Resource
Management
9
Michael Schirmbrand
Mai 2007
IT Governance
Balance zwischen Risiko und Performance
Stabiler
Wert und
Vertrauen
Wettbewerb und
Marktdruck drücken
das Pendel Richtung
Performance
Risiko
Integriertes
Risiko Management
Verbesserte
Kontrolle
Prozess
Transformation
Compliance
Die Rechtssprechung
zieht das Pendel in
Richtung Risiko
Prozess
Verbesserung
IT Governance managt
die Balance zwischen
Risikomanagement
und Performanceerfordernis.
Performance
10
Michael Schirmbrand
Mai 2007
Wesentliche Standards für IT Governance
fordernd
Fachgutachten (IFAC, AICPA, KWT)
SAS 70
Sarbanes Oxley Act
Sonstige relevante Gesetze
helfend
CobiT
ITIL
ISO 17799
CMMI
11
Michael Schirmbrand
Mai 2007
Fachgutachten
12
Herausgebende Organisationen
IFAC – International Federation of Accountants
ISA (ISA 402 - Audit Considerations relating to Entities using
Service Organizations)
AICPA – American Institute of CPAs
SAS (zB SAS/70 - Reports on the Processing of Transactions by
Service Organizations)
PCAOB – Public Company Accounting Oversight Board
Auditing Standards
KFS – Kammer der WT - Fachsenat für Datenverarbeitung
KFS/DV1
KFS/DV2
IDW – Institut der Wirtschaftsprüfer
PS331 (Serviceorganisationen)
FAIT (Fachgutachten für die Prüfung von Informationstechnologie)
13
Michael Schirmbrand
Mai 2007
ISAs (IFAC)
Standards der International Federation of Accountants
Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln
dagegen sprechen
Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert
De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“
Auszug aus den ISAs
ISA 200 - Objective and General Principles Governing an Audit of Financial
Statements
ISA 315 - Understanding the Entity and its Environment and Assessing Risks
of Material Misstatement
ISA 330 - The Auditors Procedures in Response to Assessed Risks
ISA 402 - Audit Considerations relating to Entities using Service Organizations
ISA 500 - Audit Evidence
14
Michael Schirmbrand
Mai 2007
Fachgutachten Österreich
KFS/DV1 der Kammer der WT
Allgemeine Anforderungen (Belegfunktion,
Journalfunktion, Kontenfunktion,...)
Forderung nach Funktionstrennung
Detaillierte Forderungen an die
Systemdokumentation
KFS/DV 2
Richtlinien zur Prüfung der IT im Rahmen von
Jahresabschlussprüfungen
15
Michael Schirmbrand
Mai 2007
KFS/DV 1 - Ordnungsmäßigkeit
Gliederung des Fachgutachtens
Grundsätze
Die Prüfbarkeit als Ordnungsmäßigkeitskriterium
Die Nachvollziehbarkeit des einzelnen Geschäftsvorfalles
Belegfunktion
Journalfunktion
Kontenfunktion
Verfahrensdokumentation
Das Interne Kontrollsystem
Systemeinführung und Weiterentwicklung
Aufbauorganisation
Ablauforganisation
Dokumentation
16
Michael Schirmbrand
Mai 2007
KFS/DV 1 - Grundsätze
Allgemeine Anforderungen
Kaufmann buchführungspflichtig und für
Ordnungsmäßigkeit verantwortlich (auch bei
Fremd-SW und Online-Verfahren)
Radierverbot
Prüfspur progressiv und retrograd
Verbot nachträglicher Schreibvorgänge
17
Michael Schirmbrand
Mai 2007
KFS/DV 1 - Prüfbarkeit
Verfahrensdokumentation
Für Programmentwicklungen, Change Management, Zukäufe von SW
(inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein:
Anforderung/Aufgabenstellung
Datensatzaufbau
Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen)
einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung
Datenausgabe
Datensicherung
Verfügbare Programme
Art, Inhalt und Umfang der durchgeführten Tests
Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)
Versionsmanagement
Gilt auch für Datenbanken, Betriebssysteme,
Netzwerkkomponenten,…
Eventuell können Teile davon auch von externen Dritten zur Verfügung
gestellt werden
18
Michael Schirmbrand
Mai 2007
KFS/DV 1 - IKS
Zusätzlich notwendig
Funktionstrennung
(Fachabteilung/Entwickler/Admin)
Zugriffsberechtigungen auf allen Systemebenen
Datensicherungen
Schutz vor Sabotage, Missbrauch und Vernichtung
Kontinuitätsmanagement
Aufbewahrung sämtlicher
Dokumentationsbestandteile für 7 Jahre
19
Michael Schirmbrand
Mai 2007
IDW RS FAIT 2 - Dokumentation
Deutsches Fachgutachten – in einigen Bereichen
zur Klarstellung detaillierter als KFS/DV 1
Dokumentation grundsätzlich wie bei FAIT 1, plus
zusätzlich:
Doku HW/SW (zB Router, Firewall, Virenscanner,..)
Netzwerkarchitektur (auch Anbindung ISP)
Verwendete Protokolle
Verschlüsselungsverfahren
Signaturverfahren
Datenflusspläne, Schnittstellen, relevante Kontrollen
Autorisierungsverfahren, Verfahren zur Generierung
von Buchungen
Michael Schirmbrand
20
Mai 2007
IDW RS FAIT 2 - IKS
Für IKS zusätzlich notwendig
Firewall Einstellungen (+Überprüfungen)
Firewall-Logs (+Überprüfungen)
Change Management für die gesamte Infrastruktur
(Firewalls, Router, Switches,..,)
Scanner (IDS, Viren, Kontrollen,..)
Penetration Tests
Überprüfung dieser Themen durch die Revision
Dient nur als Beispiel; in Deutschland alles für 10
Jahre aufzubewahren
21
Michael Schirmbrand
Mai 2007
Überblick Fachgutachten KFS/DV 2
Fachgutachten „Die Prüfung der IT im Rahmen von
Abschlussprüfungen“
Erarbeitet durch FS DV
Gemeinsame Überarbeitung durch FS DV und FS
HR
Verabschiedet im November 2004
22
Michael Schirmbrand
Mai 2007
Struktur KFS/DV 2
A. Vorbemerkungen
A.1. Anwendungsbereich des Fachgutachtens
A.2. Einbindung in die Abschlussprüfung
B. Ziel und Umfang der Prüfung der Informationstechnik
C. Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik
C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung
C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens
C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken
C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der
Risiken
Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse
Anwendungsabhängige Kontrollen der Geschäftsprozesse
C.5.Prüfungshandlungen des Abschlussprüfers
Prüfung der anwendungsunabhängigen Kontrollen
Prüfung der anwendungsabhängigen Kontrollen
Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung
C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen
D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes
Unternehmen (IT-Outsourcing)
23
Michael Schirmbrand
Mai 2007
KFS/DV 2 - Grundsätze
Prüfung der IT ist der der Prüfung des Internen
Kontrollsystems
Geprüft werden die IT Qualitätsmerkmale der
Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität,
Konformität und Wartbarkeit (nicht Effizienz)
Risikoorientierte Prüfung
Prüfung von Stichproben
Abhängig von Größe und Komplexität des
Unternehmens und der eingesetzten Systeme
24
Michael Schirmbrand
Mai 2007
KFS/DV 2 – Grobüberblick über IT Prüfungen
Gewinnung eines Überblicks über Systeme und
Abläufe
Prüfung der IT Prozesse (anwendungsunabhängige
IT Kontrollen), orientiert zB an CobIT
Prüfung der Anwendungen (anwendungsabhängige
IT Kontrollen)
25
Michael Schirmbrand
Mai 2007
Prüffelder IT-Prüfung
allgemeine IT Kontrollen (General IT Controls)
Anwendungskontrollen
Sonderthemen (Datenanalysen, Prozess-Erhebung,
Schnittstellen, Datenschutz, Archivierung, Migration)
Prozess 1
Billing
Prozess 3
Prozess 2
Telebanking
Datenbank 1
SAP
Datenbank 1
Datenbank 1
Betriebssystem(e)
Netzwerk
IT-Prozess
26
externe Anbindungen
Michael Schirmbrand
Mai 2007
KFS/DV 2 – Prüfung anwendungsunabhängig (2)
Zusätzlich eventuell teilweise ISO 17799, BSI-GSH,
IFAC Guideline on Monitoring, SysTrust,...
Prüfung des IT Überwachungssystems (IT Umfeld,
IT Organisation, IT Infrastruktur
IT Governance, IT Controlling, Kontrolle der
Verfahren, Spezielle Auswirkungen von Outsourcing,
Prüfungen unabhängiger Dritter, Revision,
Nachvollziehbarkeit der Kontrollen
27
Michael Schirmbrand
Mai 2007
KFS/DV 2 – Prüfung anwendungsabhängig
Einholung von Informationen über die relevanten Anwendungen
Prüfung und Beurteilung der Programmfunktionen:
insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und
Tabellenpflege, Journalfunktion, die Vollständigkeit der internen
Belegnummernkreise, die Sicherstellung der Aufbewahrungspflicht und auch der Abgleich von Nebenbüchern mit dem
Hauptbuch Bestandteil der Prüfung
Prüfung der Anwendungskontrollen: hierzu gehören das interne
Steuerungssystem (Einstellungsparameter für Programme) und
das interne Überwachungssystem sowie die Vollständigkeit und
Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und
Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen
und Sicherungsmaßnahmen wie zB Zugriffskontrollen und
Protokolle.
Michael Schirmbrand
28
Mai 2007
KFS/DV 2 - Outsourcing
Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche
Auswirkungen auf die Jahresabschlussprüfung haben, hat der
Abschlussprüfer ausreichende Informationen einzuholen, um
das Interne Kontrollsystem und die Kontrollrisiken des
Unternehmens beurteilen zu können. Gegebenenfalls sind
entsprechende Informationen vom Prüfer des Dienstleistungsunternehmens einzuholen oder Prüfungshandlungen vor dem
Dienstleistungsunternehmen durchzuführen. Unter Umständen
können auch Prüfungsergebnisse des Prüfer, des
Dienstleistungs-unternehmen oder des Sachverständigen
herangezogen werden, wenn diese entsprechenden Qualitätskriterien genügen. Aus derartigen Prüfungsergebnissen kann
insbesondere aus Prüfung von Dienstleistungsunternehmen
oder Serviceunternehmen nach dem Standard ISA 402
der IFAC herangezogen werden.
29
Michael Schirmbrand
Mai 2007
SAS 70
30
Überblick SAS 70 (siehe auch ISA 402)
Standard für die Prüfung von OutsourcingDienstleistern (und deren Kontrollumfeld)
Veröffentlichung der AICPA
Gilt grundsätzlich für USA, aber auch bei
Bilanzierung nach US GAAP
Mittlerweile weltweiter De-Facto Standard für
Prüfungen von und für Wirtschaftsprüfern bei (IT )
Service-Organisationen
Praktisch inhaltsgleich zu ISA 402 der IFAC
In Deutschland auch Standard PS 331
Achtung: Sarbanes Oxley – vom PCAOB
vorgeschrieben
Auch in Österreich bei (fast) allen RZ in Umsetzung
31
Michael Schirmbrand
Mai 2007
ISA 402 / SAS 70 Anforderungen an Prüfer
Anzuwenden bei (Teil-) Outsourcing der IT
Prüfer von RZ-Kunden müssen
Report nach SAS 70 / ISA 402 des RZ einholen oder
selbst das RZ prüfen oder
jemanden beauftragen, das RZ nach SAS 70 zu
prüfen oder
Bestätigungsvermerk einschränken oder versagen
32
Michael Schirmbrand
Mai 2007
SAS 70 – Die Reports (1)
Typ I: ”Report on controls placed in operation”
Die im Service-Unternehmen vorgesehenen internen
Kontrollen, die für einen Kunden relevant sind, werden
auf Ihre Angemessenheit hin überprüft. Der Report
beinhaltet folgende Informationen:
den Fluss der Transaktionen des Kunden innerhalb
des Service-Unternehmens
Kontrollen der relevanten Applikationen im ServiceUnternehmen
ob diese Kontrollen angemessen sind und
angewendet werden
Der Report Typ I umfasst nicht den Test der
eingesetzten Kontrollmaßnahmen.
33
Michael Schirmbrand
Mai 2007
SAS 70 – Die Reports (2)
Typ II: „Reports on controls placed in operation and
tests of operating effectiveness”
Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser
die Effektivität der Kontrollen beurteilt und sich
Wirtschaftprüfer in Teilbereichen darauf verlassen können
und so bei funktionierenden Kontrollen im
Rechenzentrum bei Prüfungen von Kunden mit einer
reduzierten Risikoeinschätzung vorgehen können.
Voraussetzung: Die Kontrollen in Prozessen müssen
definiert und wirksam sein.
34
Michael Schirmbrand
Mai 2007
SAS 70 - Berichterstattung
Standard-Text für Bestätigungsvermerk definiert
Bei Typ II Report sind die vorhandenen Kontrollen,
deren Prüfung und die Ergebnisse der Prüfung im
Detail dazustellen
Die Verantwortungen von Kunde und RZ sind klar
abzugrenzen
Bei wesentlichen Mängeln ist der
Bestätigungsvermerk zu ergänzen, einzuschränken
oder zu versagen
35
Michael Schirmbrand
Mai 2007
Würdigung von SAS 70 Reports Typ II
Kritisch zu würdigen und eventuell abstützen
Bei Zweifeln:
Gespräche mit dem Prüfer des RZ
Anforderung von Zusatzprüfungen durch den Prüfer
des RZ
Eventuell selbst Zusatzprüfungshandlungen (nicht
nach ISA 402)
Verweis auf SAS 70 Report unzulässig
36
Michael Schirmbrand
Mai 2007
ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen
bei Rechenzentrumskunden
Bei Vorliegen von SAS 70/ISA 402 – Reports:
Klares Aufzeigen der Serviceverantwortungen von
Kunde und Rechenzentrum
Die IT Prozesse und -Systeme, die in der
Verantwortung des Kunden liegen, sind auch von
dessen Wirtschaftsprüfer zu prüfen
37
Michael Schirmbrand
Mai 2007
Sarbanes Oxley
38
Sarbanes-Oxley (SOX) Paragraph 404
Section 404 des Sarbanes-Oxley Act fordert:
Unternehmensleitung beurteilt das Interne
Kontrollsystem (IKS) im Unternehmen für
Finanzreporting (ICOFR) und berichtet darüber
Der externe, unabhängige Prüfer gibt ein Testat
über den Management-Test
Prüfer berichtet direkt über die Wirksamkeit des
IKS
Seit 2004 für US-Unternehmen, die SEC gelistet
sind, erforderlich
Andere Unternehmen (foreign issuers) ab 2006
39
Michael Schirmbrand
Mai 2007
PCAOB, Auditing Standard No. 2
Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting
Oversight Board)
Anforderungen für die SOX-Prüfungen und Anleitung zur
Durchführung
Management Tests
Jahresabschlussprüfung
Grundsätzlich am Internal Control framework COSO ausgerichtet
Umfeld (control environment)
Risikobewertung (risk assessment)
Kontrollen (control activities)
Information und Kommunikation (information and communication)
Überwachung (monitoring)
40
Michael Schirmbrand
Mai 2007
Verantwortung des Management
Übername der Verantwortung für die Wirksamkeit des
IKS
Beurteilung der Wirksamkeit an Hand entsprechender
Kriterien (Management-Assessment)
Bereitstellung von Evidence und Dokumentation
Erstellung einer schriftlichen Erklärung über die
Wirksamkeit des IKS
41
Michael Schirmbrand
Mai 2007
Verantwortung des Auditors
Der Auditor muss die Vorgehensweise des ManagementAssessments verstehen und die Beurteilung des Managements
evaluieren
Der Auditor muss hierbei
bestimmen, welche Kontrollaktivitäten wesentlich sind
die Kontrollaktivitäten dokumentieren
Design und Wirksamkeit beurteilen
Kontrolle dazu geeignet, das Prozessziel zu erreichen
Kontrollen sind den Risiken entsprechend festgelegt
Kontrollschwächen bestimmen und deren Auswirkung bewerten
(Significant Deficiencies oder Material Weaknesses)
Findings und Auswirkungen kommunizieren
42
Michael Schirmbrand
Mai 2007
IT Controls – gemäß PCAOB
IT controls in drei Ebenen
IT Überlegungen im Kontrollumfeld (Planung,
Organisation, Personal, …)
Anwendungskontrollen (Application Controls)
IT General Controls
Management ist für Definition und Test von IT
Kontrollen auf allen drei Ebenen verantwortlich
Einsatz eines Control Frameworks, das sich an COSO
orientiert, empfohlen
43
Michael Schirmbrand
Mai 2007
Auswirkungen von Sarbanes Oxley Act auf
die IT
Massive Auswirkungen
Kontrollen müssen dokumentiert und geprüft
werden
große Teile der Kontrollen in der IT
(oft 50 bis 70 %)
Im Regelfall mehrere hundert Kontrollen
Wesentliche Kontroll-Schwachstellen sind oft in
der IT
Unterscheidung in Anwendungskontrollen und
General IT Controls
CobiT als Standard für General IT Controls
anerkannt
Überleitung von COSO auf CobiT in einer
Veröffentlichung vom IT Governance Institute
44
Michael Schirmbrand
Mai 2007
IT General Controls – gemäß PCAOB
IT General Controls sind Kontrollen, die zur Steuerung
von IT Systemen und IT Prozessen im Einsatz sind.
ITGCs sind für Risiken der folgenden Bereiche
umzusetzen
Zugriff zu Programmen und Daten
Änderung von Programmen
Entwicklung von Programmen
Betrieb von IT
End User Computing *
* End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken
45
Michael Schirmbrand
Mai 2007
ITGC und Anwendungskontrollen
Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen,
die durch IT Systeme und Applikationen unterstützt werden
Der Kernprozess ist üblicherweise für die Identifikation und
Dokumentation der Kontrollen zuständig
Beispiele für derartige Kontrollen
Autorisierung
Konfigurationen (zB Kontenpläne)
Ausnahmereports (zB über erfolgte Bearbeitungen)
Schnittstellen
Systemzugriff
Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die
Wirksamkeit von Anwendungskontrollen
Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC
automatisch unwirksam!
46
Michael Schirmbrand
Mai 2007
SOX Zusammenfassung
Fokussiert auf Finanzberichte
Festlegung des IKS durch das Management
Identifikation von Risiken und Prozessen
Identifikation oder Neudefinition von entsprechenden Kontrollen
Dokumentation der Prozesse und Kontrollen
Regelmäßige Tests der Kontrollen durch das Management
Design: Art der Kontrolle, Anordnung im Prozess
Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die
Nachvollziehbarkeit der Durchführung von Kontrollen
Einleitung und Umsetzung von Verbesserungsmaßnahmen
47
Michael Schirmbrand
Mai 2007
„Euro-SOX“
8. EU-Audit Richtlinie wurde im Juni 2006 vom
europäischen Parlament beschlossen
Ist bis Juni 2008 in lokales Recht umzusetzen (dann
keine Übergangsfrist)
Das Funktionieren des Internen Kontrollsystems ist
danach (jährlich) vom Prüfungsausschuss des
Aufsichtsrates zu prüfen
48
Michael Schirmbrand
Mai 2007
Gesetze
49
Gesetzestexte
§ 189 UGB:
(2) Lesbarkeit
(3) Inhaltsgleiche, vollständige, geordnete
Wiedergabe (volle Aufbewahrungsfrist)
§ 131 BAO:
(2) Zusammenhang zw. Buchungen und Belegen
nachweisbar; Nachweis der Vollständigkeit und
Richtigkeit
(3) Datenträger können verwendet werden
50
Michael Schirmbrand
Mai 2007
Aktiengesetz (AktG)
Viele Bestimmungen, die zu Corporate Governance
beitragen,
zB § 81 Quartalsberichte und Jahresberichte an den
Aufsichtsrat
§ 92 Ausschüsse für Jahresabschlusserstellung
Vorstandsverantwortung für Corporate Governance
wird derzeit in § 82 subsummiert:
„Der Vorstand hat dafür zu sorgen [...] dass ein
internes Kontrollsystem geführt wird, das den
Anforderungen des Unternehmens entspricht“.
51
Michael Schirmbrand
Mai 2007
GmbHG
Bei großen GmbHs gelten die Bestimmungen des
AktG über Aufsichtsräte sinngemäß.
Die Verantwortung der Geschäftsführer für
Corporate Governance wird in § 22 subsummiert:
„Die Geschäftsführer haben dafür zu sorgen...dass
ein internes Kontrollsystem geführt wird, das den
Anforderungen des Unternehmens entspricht“.
52
Michael Schirmbrand
Mai 2007
IT Compliance nahe Gesetze
Datenschutzgesetz
Fernabsatzgesetz
Telekommunikationsgesetz
Signaturgesetz, Signaturverordnung
eCommerce Gesetz
eGovernment Gesetz
Informationssicherheitsgesetz
Emittenten Compliance Verordnung
…
53
Michael Schirmbrand
Mai 2007
DSG - Datensicherheit §14 (1/2)
Maßnahmen zur Gewährleistung der Datensicherheit
Schutz vor zufälliger oder unrechtmäßiger Zerstörung
und vor Verlust
ordnungsgemäße Verwendung
Daten Unbefugten nicht zugänglich
54
Michael Schirmbrand
Mai 2007
DSG Datensicherheit §14 (2/2)
Aufgabenverteilung - Funktionstrennung im Unternehmen
Gültige Aufträge vorhanden (Dokumentation!)
Pflichtbelehrung der Mitarbeiter (Datenschutzvorschriften)
Physische Zugriffssicherheit
Logische Zugriffssicherheit
Absicherung der Geräte gegen unbefugte Inbetriebnahme
Protokollierung der Verwendungsvorgänge
Dokumentation über die bisher aufgezählten Punkte:
Richtlinien/Auditing/Maßnahmen
55
Michael Schirmbrand
Mai 2007
Standards für IT Governance
56
ITIL
IT Infrastructure Library
57
ITIL - IT Infrastructure Library
Security Management
Service Level
Management
Incident
Management
Financial
Management
Capacity
Management
Problem
Management
Configuration
Management
Change
Management
Release
Management
Availability
Management
Continuity
Management
58
Michael Schirmbrand
Mai 2007
ITIL – Komponenten (1/2)
Planning to Implement Service Management
Wesentliche Aufgaben in der Planung und Umsetzung von IT Service
Management
ICT Infrastructure Management
Netzwerkmanagement
Betriebsmanagement
Installation von Systemen
Application Management
Softwareentwicklung mit Hilfe eines Lify-Cycle Ansatzes
ITIL Security Management
Notwendige Maßnahmen im Bereich Security mit klarem Fokus auf IT
Securit
The Business Perspective
Beziehungsmanagement zum Business
Outsourcing
Kontinuierliche Verbesserung
59
Michael Schirmbrand
Mai 2007
ITIL – Komponenten (2/2)
Service Support
Service Desk
Configuration Management
Incident Management
Problem Management
Release Management
Change Management
Service Delivery
Service Level Management
Financial Management
Capacity Management
Availability Management
IT Continuity Management
60
Michael Schirmbrand
Mai 2007
CobiT
61
CobiT
CobiT = Control Objectives for Information and Related
Technology
Prozessorientiertes Framework für die Steuerung von IT
Prozessen
Herausgegeben vom IT Governance Institute, früher ISACA
Inhalt wird vom CobiT Steering Committee gesteuert und von
Universitäten, Experten aus den Bereichen IT Management,
Governance, Consulting und Audit entwickelt
Orientiert sich an Unternehmenszielen und
Unternehmenserfordernissen
Werkzeug für Geschäftsführung, IT Management und IT
Prozessmanager
Basiert auf einer Vielzahl internationaler Standards
Dokumente auf www.isaca.org zum Download und als Bücher
verfügbar
62
Michael Schirmbrand
Mai 2007
Entwicklung von CobiT
Governance
Management
Control
Audit
COBIT 1
COBIT 2
COBIT 3
COBIT 4
1996
1998
2000
2005
63
Michael Schirmbrand
Mai 2007
CobiT – Bestandteile
Kerngeschäft
Anforderungen
Information
IT Prozesse
Control
Objectives
Activity Goals
Key Performance
Indicators
Key Goal
Indicators
Audit
Guidelines
Control
Practices
Maturity Modelle
64
Michael Schirmbrand
Mai 2007
Vom Ziel zur Architektur
Unternehmens- und
GovernanceErfordernisse
Unternehmensziele
für IT
messen
bestimmen
IT Ziele
messen
Unternehmensarchitektur für IT
65
IT Scorecard
bestimmen
Michael Schirmbrand
Mai 2007
Unterstützung durch CobiT
Unternehmensziele für IT
Unternehmens
Erfordernisse
erfordern
Governance
Erfordernisse
Informations Services
setzen
voraus
beeinflussen
Information Criteria
IT Ziele
IT Prozesse
liefern
IT Prozesse
betreiben
(mit Verantwortlichen)
benötigt
66
Information
Anwendungen
Infrastruktur
und Personal
Michael Schirmbrand
Mai 2007
Reifegradmodell (Maturity Model)
Non-existent
(nicht existent)
Initial
(initial)
Repeatable
(wiederholbar)
Defined
(definiert)
Managed
(gemanagt)
Optimised
(optimiert)
0
1
2
3
4
5
Symbole
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
Reifegrade
0 .. Nicht existent
1 .. Initial
2 .. Wiederholbar
3 .. Definiert
4 .. Monitoringfunktionen
5 .. Optimiert und Automatisiert
67
Michael Schirmbrand
Mai 2007
Der IT Prozess nach CobiT
INFORMATION
•
•
•
•
•
•
•
Monitor and
Evaluate
Effizienz
Effektivität
Vertraulichkeit
Integrität
Verfügbarkeit
Compliance
Verlässlichkeit
IT RESSOURCEN
•
•
•
•
Plan and
Organise
Anwendungen
Information
Infrastruktur
Personal
Deliver and
Support
Acquire and
Implement
68
Michael Schirmbrand
Mai 2007
IT-Prozesse nach CobiT
PO1
PO2
PO3
PO4
PO5
PO6
Information
ME1
ME2
ME3
ME4
Monitor and evaluate IT performance.
Monitor and evaluate internal control.
Ensure regulatory compliance.
Provide IT governance.
PO7
PO8
PO9
PO10
Monitor and
Evaluate
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Define and manage service levels.
Manage third-party services.
Manage performance and capacity.
Ensure continuous service.
Ensure systems security.
Identify and allocate costs.
Educate and train users.
Manage service desk and incidents.
Manage the configuration.
Manage problems.
Manage data.
Manage the physical environment.
Manage operations.
Define a strategic IT plan.
Define the information architecture.
Determine technological direction.
Define the IT processes, organisation
and relationships.
Manage the IT investment.
Communicate management aims and
direction.
Manage IT human resources.
Manage quality.
Assess and manage IT risks.
Manage projects.
Plan and
Organise
Deliver and
Support
Acquire and
Implement
69
AI1
AI2
AI3
AI4
AI5
AI6
AI7
Identify automated solutions.
Acquire and maintain application software.
Acquire and maintain technology infrastructure.
Enable operation and use.
Procure IT resources.
Manage changes.
Install and accredit solutions and changes.
Michael Schirmbrand
Mai 2007
Bestandteile von Prozessen
Prozessbeschreibung
Domäne und
Information
Resources
IT Ziele
Prozessziele
wichtige Aktivitäten
wichtige Metriken
IT Governance
& IT Resources
70
Michael Schirmbrand
Mai 2007
Bestandteile von Prozessen
RACI-Chart zur Darstellung der Verantwortlichkeiten, zB
Inputs und Outputs, zB
71
Michael Schirmbrand
Mai 2007
Bestandteile von Prozessen
Messgrößen auf unterschiedlichen Ebenen und deren Verbindung
zu IT Zielen, zB
72
Michael Schirmbrand
Mai 2007
Bestandteile von Prozessen
Prozessspezifisches Reifegradmodell, zB
73
Michael Schirmbrand
Mai 2007
Bestandteile von Prozessen
214 Detaillierte Control Objectives, zB:
74
Michael Schirmbrand
Mai 2007
CobiT Mapping Project
Further mappings
In progress
Started in 2003
Integration of Standards
Update of CobiT
TOGAF (Architecture)
COSO ERM
GBPM
On our radar
ITIL v3
FFEIC (US banking)
NIAC (Insurance)
NIST SP800-53
FISMA
IAIS Framework (Solvency II)
HIPAA (Health Insurance)
GLBA (Privacy)
ISO19770-1 (SW Asset Mgmt)
ISO 20000 (Service Mgmt)
ISO 27005 (Risk Mgmt)
ISO 27002 (ISO17799)
75
Michael Schirmbrand
Mai 2007
ValIT
76
The Fundamental Question
Are we managing our investments
in IT such that:
 we are getting optimal value;
 at an affordable cost; and
 with an acceptable level of risk?
77
Michael Schirmbrand
Mai 2007
The Four “Ares” - continually asking…
The strategic question. Is the investment:
In line with our vision?
Consistent with our business principles?
Contributing to our strategic objectives?
Providing optimal value, at affordable cost, at an
acceptable level of risk?
Some fundamental
questions
In the value question. Do we have:
A clear and shared understanding of the expected
benefits?
Clear accountability for realising the benefits?
Relevant metrics?
An effective benefits realisation process?
Are we
doing
the right
things?
Are we
getting
the
benefits?
Are we
doing them
the right
way?
Are we
getting
them done
well?
about the
value delivered
by IT
The delivery question. Do we have:
Effective and disciplined delivery and change
management processes?
Competent and available technical and business
resources t deliver:
The architecture question. Is the investment:
In line with our architecture?
Consistent with our architectural principles?
Contributing to the population of our
architecture?
In line with other initiatives?
the required capabilities; and
the organisational changes required to leverage the
capabilities.
78
Michael Schirmbrand
Mai 2007
A New Perspective
IT Investments
Investments in
IT-enabled Change
79
Michael Schirmbrand
Mai 2007
Projects, Programmes and Portfolios
Portfolio – a suite of business
programmes managed to optimise
overall enterprise value
Portfolio
Management
Programme – a structured
grouping of projects designed to
produce clearly identified
business value
Programme
Management
Project
Management
Project – a structured set of
activities concerned with delivering
a defined capability based on an
agreed schedule and budget
80
Michael Schirmbrand
Mai 2007
Val IT Principles
 IT-enabled investments will be managed as a portfolio of investments.
 IT-enabled investments will include the full scope of activities that are
required to achieve business value.
 IT-enabled investments will be managed through their full economic life
cycle.
 Value delivery practices will recognise that there are different categories
of investments that will be evaluated and managed differently.
 Value delivery practices will define and monitor key metrics and will
respond quickly to any changes or deviations.
 Value delivery practices will engage all stakeholders and assign
appropriate accountability for the delivery of capabilities and the
realisation of business benefits.
 Value delivery practices will be continually monitored, evaluated and
improved.
81
Michael Schirmbrand
Mai 2007
ValIT
Processes & Key Management Practices
VG1
VG2
VG3
VG4
Ensure informed and committed leadership
Define and implement processes
Define roles & responsibilities
Ensure appropriate and accepted
accountability
VG5 Define information requirements
VG6 Establish reporting requirements
VG7 Establish organisational structures
VG8 Establish Strategic Direction
VG9 Define investment categories
VG10 Determine target portfolio mix
VG11 Define evaluation criteria by category
Value
Governance
(VG)
Portfolio
Management
(PM)
Investment
Management
(IM)
IM1 Develop a high-level definition of investment opportunity
IM2 Develop initial programme concept business case
IM3 Develop clear understanding of candidate programmes
IM4 Perform Alternatives Analysis
IM5 Develop Programme plan
IM6 Develop Benefits Realisation plan
IM7 Identify Full life cycle costs & benefits
IM8 Develop detailed programme business case
IM9 Assign clear accountability & ownership
IM10 Initiate, plan and launch the programme
IM11 Manage programme
IM12 Manage/track benefits
IM13 Update business case
IM14 Monitor and report on programme performance
IM15 Retire programme
82
PM1 Maintain human resource
inventory
PM2 Identify resource requirements
PM3 Perform gap analysis
PM4 Develop resourcing plan
PM5 Monitor resource requirements
and utilisation
PM6 Establish investment threshold
PM7 Evaluate initial programme
concept business case
PM8 Evaluate & assign relative score to
programme business case
PM9 Create overall portfolio view
PM10 Make and communicate
investment decision
PM11 Stage-gate (and fund) selected
programmes
PM12 Optimize portfolio performance
PM13 Re-prioritise portfolio
PM14 Monitor and report on portfolio
performance
Michael Schirmbrand
Mai 2007
Val IT Framework - Detail
Domain: Value Governance (VG)
Process
Description
•Establish
governance,
monitoring and
control
framework
•Establish
Strategic
Direction
•Establish
portfolio
characteristics
Key Management Practices
VG1 Ensure informed and committed leadership
The reporting line of the CIO should be commensurate with the importance
of IT within the enterprise. All executives should have a soundunderstanding of strategic IT issues such as dependence on IT, technology insights
and capabilities, in order that there is a common and agreed understanding
between the business and IT of the potential impact of IT on thebusiness
strategy. The business and IT strategy should be integrated clearly linking
enterprise goals and IT goals and should be broadly communicated.
CobiT
Cross Ref.
Primary:
PO1.2, PO4.4,
ME3.1, ME3.2
RACI Chart
Exec
Bus
A,R
C
IT
C
VG2 Define and implement processes
Primary:
PO4.1, ME1.1,
ME1.3, ME3.1
Secondary:
PO5.2-5,
PO10.2
A
R
C
VG3 Define roles & responsibilities
Primary:
PO4.6, PO4.15
Secondary:
PO4.8, PO4.9
A
R
C
VG4 Ensure appropriate and accepted accountability
Primary:
PO1.1, ME3.13, ME3.3
Secondary:
ME3.2
A
R
C
Define, implement and consistently follow processes that providefor clear
and active linkage between the enterprise strategy, the portfolio of ITenabled investment programmes that execute the strategy, the individual
investment programmes, and the business and IT projects that make up
the programmes. The processes should include: planning and budgeting;
prioritisation of planned and current work within the overall budget;
resource allocation consis-tent with the priorities; stage-gating of investment programmes; monitoring and communicating performance; taking
appropriate remedial action; and benefits management such that h
t ere is
an optimal return on the portfolio and on all IT assets and services.
Define and communicate roles and responsibilities for all personnel in the
enterprise in relation to the portfolio of IT-enabled business investment
programmes, individual investment programmes and other IT assetsand
services to allow sufficient authority to exercise the role and responsibility
assigned to them. These roles should include, but not necessarily be
limited to: an investment decision body; programme sponsorship;
programme management; project management; and associated support
roles. Provide business with procedures, techniques, and tools enabling
them to address their responsibilities. Establish and maintain an optimal
coordination, communication and liaison structure between the ITfunction
and other stakeholders inside and outside the enterprise.
Establish a supporting and appropriate control framework that isconsistent
with the overall enterprise control environment, and generally accepted
control principles. The framework should provide for unambiguousaccountabilities and practices to avoid breakdown in internal control and oversight.
Accountability for achieving the benefits, delivering required capabilities
and controlling the costs should be clearly assigned and monitored.
83
Michael Schirmbrand
Mai 2007
ISO/IEC 17799:2005
84
ISO/IEC 17799:2005
Historie:
CoP for Security Management
BS7799 Part 1
ISO 17799:2000
Zukünftig:
ISO/IEC 2700x-Familie
Best Practice für Informations-Sicherheit
Herausgegeben von der ISO
Zeitweise im Konflikt mit BSI - Grundschutzhandbuch
Zertifizierung nach ISO/IEC 27001:2005 (BS7799 Part 2)
85
Michael Schirmbrand
Mai 2007
Integration von Standards
86
IT Governance Model
IT Governance
Sarbanes
Oxley
COSO
US Securities &
Exchange
Commission
COBIT
Quality System
IT Planning
Project Mgmt.
ITIL
IT Security
App. Dev. (SDLC)
CMM
Service Mgmt.
Quality Systems &
Frameworks
ISO
Six
Sigma
IT OPERATIONS
ASL
BS
7799
Integrating Application Mgmt. & Service Mgmt.
PMI
TSO
IS
Strategy
87
Gartner‘s Advise
Combine CobiT and ITIL for Powerful IT Governance
Strong framework tools are essential for ensuring IT resources are
aligned with an enterprise‘s business objectives, and that services and
information meet quality, fiduciary and security needs.
Bottom Line:
CobiT and ITIL are not mutually exclusive and can be combined to provide
a powerful IT governance, control and best-practice framework in IT
service management.
Enterprises that want to put their ITIL program into the context of a wider
control and governance framework should use CobiT.
Source: Technical Guidelines, TG-16-1849, S.Mingay, S. Bittinger
88
Michael Schirmbrand
Mai 2007
Forrester Quotes (Jan 5 2006)
Establish frameworks to ease Governance
Implementation
First CobiT for overall governance
Then ITIL for service delivery and management
Then ISO 17799 for information security
Balanced Scorecard for measurement and
communication
Source: Forrester
Helping Business Thrive On Technology Change
A Road Map To Comprehensive IT Governance
by Craig Symons
89
Michael Schirmbrand
Mai 2007
Potential CobiT & ITIL
Stakeholder
CEO
CobiT
CFO
CIO
CMO
OPs
AD
SD
90
CxO
ITIL
Michael Schirmbrand
Mai 2007
Ausblick
Die Zeit ist reif
Für nachvollziehbare und messbare IT Prozesse
Einhaltung internationaler Standards
Interne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) Aufwand
Nutzen ist auch kurzfristig zu erzielen (ROI hoch)
Professionelle Unterstützung empfehlenswert –
besonders auch mit Prüfungs- und Kontroll – Know
How
91
Michael Schirmbrand
Mai 2007
IT – Governance – Services der KPMG
Quick Assessments
Detailbeurteilungen
Gesamthafte Einführung von IT Governance
Definition und Umsetzung von Verantwortlichkeiten und Rollen
Erarbeitung von IT-Strategien
Nachweisbare, nutzenorientierte Ausrichtung der IT an den
Unternehmenszielen
Gestaltung der IT- Prozesse unter Umsetzung von CobiT und
Gestaltung des Internen Kontrollsystems in der IT
Erhöhung des Reifegrades der IT-Prozesse
Integration von ITIL, CMM, ISO 17799,…
Benchmarking
IT Due Diligence
92
Michael Schirmbrand
Mai 2007
Kontakt – Dr. Michael Schirmbrand
 [email protected]
 +43 1 31332-656
Partner of KPMG Austria
Head of the service line
“Information Risk Management”
of KPMG Austria
CPA / PhD
Chairman of the board of ISACA Austria
CISA - Certified Information Systems Auditor
CISM – Certified Information Security Manager
Chairman of the IT committee of the Austrian
Chamber of Public Accountants
Member of the worldwide CobiT Steering
Committee
Member of the Steering Committee of the IT
Governance Institute
Author of publications about IT Governance, IT
Security und IT Audits as well as several
professional articles. Lecturer at Austrian
Universities.
93
Michael Schirmbrand
Mai 2007

wu0507standardsitaudit