View
214
Download
0
Category
Preview:
Citation preview
COBIT Einführung
Geschäftsprozesse
IT-Ressourcen
Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltung r.E.
Überwachun g
Betrieb &Unterstützun g
Beschaffung &Implementation
Planung &Organisation
• Daten• Anwendungen• Technologien• Anlagen• Personal
COBIT-FrameworkEine Einführung in das IT-Governance Modell
�Corporate Governance & IT Governance
�COBIT-Framework� Komponenten� Inhalte� Beispiele
�Schlussfolgerungen
© Peter R. Bitterli
Diese Powerpoint-Folien sind frei verwendbar. Sie dürfen sie in eigene Folien undDarstellungen integrieren oder an andere Personen weitergeben; auch ohne einenentsprechenden Urheberrechts-Hinweis aufzuführen.
www.bitterli-consulting.chprb@bitterli-consulting.ch
COBIT Einführung
Committee for Sponsoring Organisations (COSO)In order to discharge management’s responsibilities as wellas to achieve its objectives, they must establish an adequatesystem of internal control. This control system or frameworkmust be in place to support business requirements foreffectiveness and efficiency of operations, reliability ofinformation and compliance with laws and regulations.
Committee for Sponsoring Organisations (COSO)In order to discharge management’s responsibilities as wellas to achieve its objectives, they must establish an adequatesystem of internal control. This control system or frameworkmust be in place to support business requirements foreffectiveness and efficiency of operations, reliability ofinformation and compliance with laws and regulations.
Verantwortlichkeit für IKSgemäss COSO
COBIT Einführung
Que
lle: C
ontr
ol O
bjec
tives
for
Ent
erpr
ise
Gov
erna
nce;
IT G
over
nanc
e In
stitu
te: 1
999
ww
w.it
gove
rnan
ce.o
rg
Aktivitäten für IT-Ressourcen
Aktivitäten fürnetzgestützteTechnologien
Unternehmens-Aktivitäten
Kern -Geschäftsaktivitäten
Aktivitäten fürWissensmanagement
Planungs-Aktivitäten
Organisation
Monitoring-Aktivitäten
Transaktion
Geschäftstätigkeit Organisation/Kommunikation IT/netzgestützte Technologien
Kontrollziele für Geschäftstätigkeiten• Kern-Geschäftsaktivitäten (Produkte,
Dienstleistungen, usw.)• Unternehmensressourcen-Aktivitäten
(Personal, Einrichtungen, usw.)
IT-Kontrollziele• Verbindung zu COBIT (IT-Ressourcen)
Kontrollziele für netzgestützte Technologien• Intranet/Extranet/Internet-Aktivitäten• Data Warehouse-Aktivitäten• Transaktionsverarbeitungs-Aktivitäten
Kontrollziele für Organisationund Kommunikation• Planungsaktivitäten (Ziele teilen)• Überwachungsaktivitäten (Status teilen)• Wissensmanagement-Aktivitäten (Wissen
teilen)
Enterprise Governance ModelWert des Corporate Governance für das Unternehmen
COBIT Einführung
IT-Governance“Definition”
IT-Governance bedeutet:� Die IT ist ausgerichtet auf die
Geschäftstätigkeit, ermöglicht dieseund maximiert dabei den Nutzen
� IT-Ressourcen werden vernünftig(wirtschaftlich) verwendet
� IT-bezogene Risiken werden angemessen“gemanaged”
IT-Governance bedeutet:� Die IT ist ausgerichtet auf die
Geschäftstätigkeit, ermöglicht dieseund maximiert dabei den Nutzen
� IT-Ressourcen werden vernünftig(wirtschaftlich) verwendet
� IT-bezogene Risiken werden angemessen“gemanaged”
IT-Governance ist ein umfassenderBegriff, enthaltend:
� Technologien und Kommunikationfür Informationssysteme
� geschäftliche, rechtliche und andereThemen
� alle betroffenen Stakeholder wieDirektoren, das obere Management,die Eigner von Prozessen,Anwender, IT-Lieferanten,Revisoren, …
IT-Governance ist ein umfassenderBegriff, enthaltend:
� Technologien und Kommunikationfür Informationssysteme
� geschäftliche, rechtliche und andereThemen
� alle betroffenen Stakeholder wieDirektoren, das obere Management,die Eigner von Prozessen,Anwender, IT-Lieferanten,Revisoren, …
COBIT Einführung
Elemente von COBIT (3rd ed)6 Module plus CD-ROM
Implementation Tool Set
Executive Summary
Framework
Control Objectives
Audit Guidelines
Management Guidelines
Critical Success FactorKey Goal Indicator Key
Performance Indicator Maturity Model
Senior Executives (CEO, CIO)
“There is a Method...”
Senior Operational Management
“The Method Is...”
Middle M anagement “Minimum Controls Are...”
Line Management, Controls Practitioner “Here’s How You Audit...”
Director, Middle Management
“Here’s How You Measure...”
Director, Middle Management
“Here’s How You Implement...”
COBIT Einführung
In COBIT integrierte Quelleninsgesamt 41 nationale und internationale Standards
� Technische Standards vonISO, EDIFACT , usw.
� Codes of conductherausgegeben durch EU,OECD, ISACA, usw.
� Qualifikationskriterien für IT-Systeme und -Prozesse:ITSEC, TCSEC, ISO 9000,SPICE, TickIT , ITIL ,Common Criteria, usw.
� Berufsstandards in internerKontrolle und Revision:COSO Report, IFAC , AICPA ,IIA , ISACA, PCIE, GAOStandards, usw.
� Industrie-Praktiken undAnforderungen von Industrie-gremien (ESF, I4) undstaatlich-gesponsortenPlattformen (IBAG , NIST,DTI ), usw.
� Neue industrie-spezifischeAnforderungen aus denUmfeld Banken, ElectronicCommerce und IT-Herstellern
COBIT Einführung
Themen* Strategie und Taktik für die IT-
Unterstützung* Erfüllung der Geschäftsanforderungen* Ausreichend geplant, kommuniziert und
“gemanaged”* Korrekte organisatorische und technische
Infrastruktur
Themen* Realisierung der IT-Strategie* Lösungen identifiziert, entwickelt oder beschafft
und implementiert* Lösungen in den Geschäftsprozess integriert* Änderung und Unterhalt von Systemen
Themen
* Effektive Ablieferung benötigter
Dienstleistungen
* Wirklich sicherer Betrieb inkl. Training
* Aufstellung von Unterstützungsprozessen
* Effektive Datenverarbeitung durch
Anwendungen
Themen* Regelmässige Beurteilung aller IT-Prozesse* Einhaltung und Qualität der Kontrollen
Geschäfts prozesse
IT-Ressourcen
Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltun g r.E.
Überwachun g
Betrieb &Unterstützun g
Beschaffung &Implementation
Planung &Organisation
• Daten• Anwendungen• Technologien• Anlagen• Personal
COBIT-Framework Geschäftsprozesse <> IT-Ressourcen
COBIT Einführung
Unterschiedliche
Prozessebenen
Geschäftsprozesse
EingabeVerarbeitung
Rein applikat ionsabhängige Betrachtung
Ausgabe
Einbezug applikat ionsunabhängiger Themen
IT-Prozesse
IT-Ressourcen
Geschäfts prozesse
IT-Ressourcen
Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltung r.E.
Überwachun g
Betrieb &Unterstützun g
Beschaffung &Implementation
Planung &Organisation
• Daten• Anwendungen• Technologien• Anlagen• Personal
COBIT Einführung
Themen* Strategie und Taktik für die IT-Unterstützung* Erfüllung der Geschäftsanforderungen* Ausreichend geplant, kommuniziert und “gemanaged”* Korrekte organisatorische und technische Infrastruktur
IT-Domain
Planung & Organisation
PO1 Definition eines strategischen Plans für ITPO2 Definition der InformationsarchitekturPO3 Bestimmung der technologischen RichtungPO4 Definition der IT-Organisation und ihrer BeziehungenPO5 Verwaltung der IT-InvestitionenPO6 Kommunikation von Unternehmenszielen und -richtungPO7 PersonalwesenPO8 Sicherstellung der Einhaltung von externen AnforderungenPO9 RisikobeurteilungPO10 ProjektmanagementPO11 Qualitätsmanagement
COBIT Einführung
Themen* Realisierung der IT-Strategie* Lösungen identifiziert, entwickelt oder beschafft undimplementiert
* Lösungen in den Geschäftsprozess integriert* Änderung und Unterhalt von Systemen
IT-Domain
Beschaffung & Implementation
BE1 Identifikation von automatisierten LösungenBE2 Beschaffung und Unterhalt von AnwendungssoftwareBE3 Beschaffung und Unterhalt der technischen ArchitekturBE4 Entwicklung und Unterhalt von IT-VerfahrenBE5 Installation und Akkreditierung von SystemenBE6 Änderungswesen
COBIT Einführung
Themen* Effektive Ablieferung benötigter Dienstleistungen* Wirklich sicherer Betrieb inkl. Training* Aufstellung von Unterstützungsprozessen* Effektive Datenverarbeitung durchAnwendungen
IT-Domain
Auslieferung & Unterstützung
AU1 Definition und Management von DienstleistungsgradenAU2 Handhabung der Dienste von DrittparteienAU3 Leistungs- und KapazitätsmanagementAU4 Sicherstellen der kontinuierlichen DienstleistungAU5 Sicherstellen der SystemsicherheitAU6 Identifizierung und Zuordnung von KostenAU7 Aus- und Weiterbildung von BenutzernAU8 Unterstützung und Beratung von IT-KundenAU9 KonfigurationsmanagementAU10 Umgang mit Problemen und VorfällenAU11 Verwaltung von DatenAU12 Verwaltung von EinrichtungenAU13 Management der Produktion
COBIT Einführung
Themen* Regelmässige Beurteilung aller IT-Prozesse* Einhaltung und Qualität der Kontrollen
IT-Domain
Überwachung
Ü1 Überwachung der ProzesseÜ2 Beurteilung der Angemessenheit der internen KontrollenÜ3 Erlangen einer unabhängigen BestätigungÜ4 Für eine unabhängige Revision sorgen
COBIT Einführung
Informationskriterien IT-Ressourcenx Effektivität
x Effizienz
x Vertraulichkeit
x Integrität
x Verfügbarkeit
x Einhaltung rechtlicher Erfordernisse
x Zuverlässigkeit
x Personal
x Anwendungen
x Technologie
x Anlagen
IT-Prozesse x Daten
PO1 Definition eines strategischen Plans für IT P S ���� ���� ���� ���� ����
PO2 Definition der Informationsarchitektur P S S S ���� ����
PO3 Bestimmung der technologischen Richtung P S ���� ����
PO4 Definition der IT-Organisation und ihrer Beziehungen P S ����
PO5 Verwaltung der IT-Investitionen P P S ���� ���� ���� ����
PO6 Kommunikation von Unternehmenszielen und -richtung P S ����
PO7 Personalwesen P P ����
PO8Sicherstellung der Einhaltung von externenAnforderungen
P P S ���� ���� ����
PO9 Risikobeurteilung S S P P P S S ���� ���� ���� ���� ����
PO10 Projektmanagement P P ���� ���� ���� ����
PO11 Qualitätsmanagement P P P S ���� ���� ���� ����
BE1 Identifikation von automatisierten Lösungen P S ���� ���� ����
BE2 Beschaffung und Unterhalt von Anwendungssoftware P P S S S ����
BE3 Beschaffung und Unterhalt der technischen Architektur P P S ����
BE4 Entwicklung und Unterhalt von IT-Verfahren P P S S S ���� ���� ���� ����
BE5 Installation und Akkreditierung von Systemen P S S ���� ���� ���� ���� ����
BE6 Änderungswesen P P P P S ���� ���� ���� ���� ����
AU1 Definition und Management von Dienstleistungsgraden P P S S S S S ���� ���� ���� ���� ����
AU2 Handhabung der Dienste von Drittparteien P P S S S S S ���� ���� ���� ���� ����
AU3 Leistungs- und Kapazitätsmanagement P P S ���� ���� ����
AU4 Sicherstellen der kontinuierlichen Dienstleistung P S P ���� ���� ���� ���� ����
AU5 Sicherstellen der Systemsicherheit P P S S S ���� ���� ���� ���� ����
AU6 Identifizierung und Zuordnung von Kosten P P ���� ���� ���� ���� ����
AU7 Aus- und Weiterbildung von Benutzern P S ����
AU8 Unterstützung und Beratung von IT-Kunden P P ���� ����
AU9 Konfigurationsmanagement P S S ���� ���� ����
AU10 Umgang mit Problemen und Vorfällen P P S ���� ���� ���� ���� ����
AU11 Verwaltung von Daten P P ����
AU12 Verwaltung von Einrichtungen P P ����
AU13 Management der Produktion P P S S ���� ���� ���� ����
Ü1 Überwachung der Prozesse P P S S S S S ���� ���� ���� ���� ����
Ü2 Beurteilung der Angemessenheit der internen Kontrollen P P S S S P S ���� ���� ���� ���� ����
Ü3 Erlangen einer unabhängigen Bestätigung P P S S S P S ���� ���� ���� ���� ����
Ü4 Für eine unabhängige Revision sorgen P P S S S P S ���� ���� ���� ���� ����
P = primäre KriterienS = sekundäre Kriterien
� = anwendbar
IT-R
esso
urce
n
Quali tät
Rechn ungsle gung
Sicherheit
Informationskriterien
IT-P
roze
sse
Per
sona
lA
nwen
dung
en
Dat
en
Tec
hnol
ogie
nA
nlag
en
Domain
Prozesse
Aktivitäten
IT-ProzesseEinbettung im COBIT-Würfel
34 IT-Prozesse� 4 Domains� 34 Prozesse� 318 Aktivitäten
7 Informationskriterien� Effektivität� Effizienz� Verlässlichkeit� Einhaltung r.E.� Vertraulichkeit� Verfügbarkeit� Integrität
5 IT-Ressourcen� Personal� Anwendungen� Technologie� Anlagen� Daten
COBIT Einführung
Kontrollen & KontrollzieleDefinition
Kontrollen“Kontrollen sind die Konzepte, Verfahren,Praktiken und Organisationsstrukturen,welche eine angemessene Gewissheitverschaffen, dass die Geschäftsziele erreichtwerden und dass unerwünschte Ereignisseverhindert oder erkannt und korrigiertwerden.”
Kontrollen“Kontrollen sind die Konzepte, Verfahren,Praktiken und Organisationsstrukturen,welche eine angemessene Gewissheitverschaffen, dass die Geschäftsziele erreichtwerden und dass unerwünschte Ereignisseverhindert oder erkannt und korrigiertwerden.”
Kontrollziel“Aussage zum gewünschten Resultat (Zweck),das mit der Implementierung von Kontrollen ineiner bestimmten Aktivität erreicht werden soll.”
Kontrollziel“Aussage zum gewünschten Resultat (Zweck),das mit der Implementierung von Kontrollen ineiner bestimmten Aktivität erreicht werden soll.”
COBIT Einführung
Kontrolle über den IT-ProzessSicherstellen der Systemsicherheit (AU-5 )
zur Erfüllung der GeschäftsanforderungenSchutz von Informationen vor unberechtigter Verwendung,Aufdeckung oder Änderung, Beschädigung oder Verlust
wird ermöglicht durchlogische Zugriffskontrollen, die sicherstellen, dass ein Zugriffauf Systeme, Daten und Programme auf berechtigte Personenbeschränkt ist
unter Berücksichtigung von:- Vertraulichkeits- und Datenschutzanforderungen- Berechtigung, Authentisierung und Zugriffsschutz- Benutzeridentifikation und Berechtigungsprofile- Need-to-have und Need-to-do- Verwaltung kryptographischer Schlüssel- Problemmeldewesen, Berichterstattung, Folgeaktivitäten- Entdeckung von Viren- Firewalls- zentralisierte Sicherheitsadministration- Benutzerausbildung- Werkzeuge für die Überwachung der Einhaltung rechtlicher Erfordernisse, Einbruchsversuche und Berichterstattung
COBIT-KontrollzieleBeispiel: Übergeordnetes Kontrollziel des IT-Prozesses AU5
effectiveness
efficiency
confidentiality
integrity
availability
compliance
reliability
SS PP
people
applications
technology
facilities
data
� �
COBIT Einführung
PO10 Projektmanagement10.1 Projektmanagement-Rahmen10.2 Beteiligung der Fachbereiche bei
der Projektinitiïerung10.3 Projektteam-Mitgliedschaft und
Verantwortlichkeiten10.4 Projektdefinition10.5 Projektfreigabe10.6 Freigabe der Projektphasen10.7 Projektmasterplan10.8 System-Qualitätssicherungsplan10.9 Planung von QS-Methoden10.10 Formelles Projektrisikomanagement10.11 Testplan10.12 Schulungsplan10.13 Prüfung nach der Einführung
Zwei typische KontrollzielePO 10.9 Planung von QS-MethodenQualitätssicherungsaufgaben müssen während derPlanungsphase der Projektmanagementmethodeidentifiziert werden. QS-Aufgaben sollten dieZulassung von neuen oder geänderten Systemenunterstützen und gewährleisten, dass interneKontrollen und Sicherheitseinrichtungen den damitverbundenen Anforderungen entsprechen.PO 10.10 Formelles ProjektrisikomanagementDas Management sollte ein formelles Projektrisiko-managementprogramm einführen, um die mit deneinzelnen Projekten verbundenen Risiken zueliminieren oder zu minimieren (d.h. Identifikationund Kontrolle derjenigen Bereiche oder Ereignisse,die über das Potential verfügen, unerwünschteÄnderungen zu verursachen).
COBIT KontrollzieleBeispiel: detaillierte Kontrollziele der IT-Prozesse PO 10.9 und 10.10
COBIT Einführung
AU5 Sicherstellen der Systemsicherheit5.1 Handhabung von Sicherheitsmassnahmen5.2 Identifikation, Authentisierung und Zugriff5.3 Sicherheit des Direktzugriffs auf Daten5.4 Verwaltung der Benutzerkonten5.5 Überprüfung Benutzerkonten durch Management5.6 Überprüfung Benutzerkonten durch Benutzer5.7 Sicherheitsüberwachung5.8 Datenklassifikation5.9 Zentr. Verwaltung von Identifikation/Rechten5.10 Rapportierung von Verstössen/Sich.aktivitäten5.11 Umgang mit Zwischenfällen5.12 Re-Akkreditierung5.13 Vertrauenswürdigkeit der Gegenpartei5.14 Genehmigung von Transaktionen5.15 Nicht-Abstreitbarkeit5.16 Vertrauenswürdiger Pfad5.17 Schutz von Sicherheitsfunktionen5.18 Verwaltung kryptographischer Schlüssel5.19 Prävention, Aufdeckung und Korrektur bei
bösartiger Software5.20 Firewall-Architekturen und Verbindungen mit
öffentlichen Netzwerken5.21 Schutz von elektronischen Werten
AU 5.10 Rapportierung von Verstössen undSicherheitsaktivitäten� Die IT-Sicherheitsadministration sollte
gewährleisten, dass regelmässig Verstösse undSicherheitsaktivitäten protokolliert, gemeldet,überprüft und geeignet eskaliert werden, umVorfälle mit unberechtigten Aktivitäten zuidentifizieren und abzuklären.
� Der logische Zugriff auf Nachvollziehbarkeits-informationen der Rechnerressourcen(Sicherheits- und andere Protokolle) solltebasierend auf dem Prinzip des “least privilege”oder “need-to-know” gewährt werden.
Typisches Kontrollziel
COBIT KontrollzieleBeispiel: detailliertes Kontrollziel des IT-Prozesses AU 5.10
COBIT Einführung
COBIT Management GuidelinesMit klaren Zielen und einem Maturitätsmodell z.B. für Benchmarking
Für alle 34 IT-Prozesse
� Kernziele(key goal indicators)
� Leistungsindikatoren(performance indicators)
� kritischeErfolgsfaktoren(critical success factors)
Maturitätsmodell mit 6 Stufenz.B. für Control Self Assessment:
Stufen� nicht-existent (0)� initial/ad hoc (1)� wiederholbar aber intuitiv (2)� definierter Prozess (3)� “gemanaged” und messbar (4)� optimiert (5)
COBIT Einführung
Gemessen durch die Kernziele:� Die Zahl der pünktlich und innerhalb des Budgets
fertiggestellten Projekte steigt� Genaue Projektpläne und Budgetinformationen sind
verfügbar� Systematische und übliche Projektprobleme nehmen ab� Die Identifikation der Projektrisiken erfolgt zeitgerecht� Die Zufriedenheit der Auftraggeber über die
abgelieferten Ergebnisse steigt� Notwendige Projektmanagemententscheide werden
innert kurzer Frist gefällt
Bestimmt durch kritische Erfolgsfaktoren, primär:� Erfahrene und geschickte Projektleiter verfügbar� Akzeptierter und standardisierter Projektmanagementprozess vorhanden� Geschäftsleitung unterstützt die Projekte, und Auftraggeber wie Projektmitarbeiter
teilen sich in der Definition, Implementation und der Führung der Projekte� Grundverständnis über die Fähigkeiten und Grenzen im Projektmanagement vorhanden� Unternehmensweite Projektrisiko-Beurteilungsmethode definiert und durchgesetzt� Projekte verfügen über Detailplan der Projekttätigkeiten, Schätzungen, Mitarbeiter-
Anforderungsprofile, Pendenzenliste, Qualitätsplan und einen transparentenÄnderungsprozess
� Übergang von Entwicklung zu Betrieb ist geordneter Prozess� Eine Systementwicklungsmethode definiert und in Praxis angewandt
Gemessen durch die Leistungsindikatoren� Grössere Zahl von Projekten, welche in Übereinstimmung mit
einer definierten Methodologie abgeliefert werden� Prozentualer Anteil der Teilnahme von Stakeholdern in
Projekten� Anzahl von Tagen mit Projektmanagement-Ausbildung für
Mitglieder des Projektteams� Anzahl von überprüften Projektmeilensteinen und -budgets� Prozentualer Anteil von Projekten mit Projektnachkontrollen� Durchschnittliche Erfahrung (in Jahren) der Projektleiter
COBIT Management Guidelinesz.B. für den IT-Prozess PO10 Projektmanagement
COBIT Einführung
COBIT Management GuidelinesDas Maturitätsmodell (z.B. IT-Prozess PO 10 Projektmanagement)
� Nicht existent (0): Projektmanagement-Techniken werden nicht verwendet und die Unternehmung betrachtet Geschäftsauswirkungen nicht imZusammenhang mit schlechtem Management oder Entwicklungsfehlern.
� Ad hoc (1): Die Unternehmen ist sich generell bewusst, dass Projektrisiken bestehen und das Projekte strukturiert werden müssen. Die Entscheidung für dieVerwendung von Projektmanagement-Techniken und -vorgehen wird den einzelnen Projektleitern überlassen. Projekte werden generell schlecht definiert undenthalten keine geschäftlichen und technischen Ziele der Unternehmen oder der verantwortlichen Fachbereiche. Das Management fühlt sich kaum denProjekten verpflichtet und kritische Entscheide werden ohne Fachbereichsvertreter gefällt. Es gibt keine klare Projektorganisation und Rollen wieVerantwortlichkeiten sind nicht definiert. Projektpläne und Meilensteine sind ungenügend definiert. Der Arbeitsaufwand und andere Kosten werden nichtüberwacht und mit dem Budget verglichen.
� Wiederholbar aber intuitiv (2): Die Geschäftsleitung hat die Notwendigkeit für ein IT-Projektmanagement formuliert. Die Unternehmung ist daran, vonProjekt zu Projekt bestimmte Techniken und Methoden zu lernen. IT-Projekte beinhalten informelle geschäftlichen und technischen Ziele. Es bestehenRichtlinien für die meisten Aspekte des Projektmanagement, doch ihre Anwendung bleibt den einzelnen Projektleitern überlassen.
� Definierter Prozess (3): IT-Projektmanagementprozess und –methodologie wurden formal etabliert und kommuniziert. IT-Projekte werden mitangemessenen geschäftlichen und technischen Zielen definiert. Stakeholder sind im Projektmanagement involviert. Die IT-Projektorganisation und einzelneRollen und Verantwortlichkeiten sind definiert. IT-Projekte verfügen über definierte und aktualisierte Projektmeilensteine, Pläne, Budget undLeistungsmessung. Qualitätssicherungsverfahren wurden definiert, aber durch die Projektleiter noch nicht umfassend angewandt. Richtlinien für dieausgewogene Verwendung von internen und externen Ressourcen wurden aufgestellt.
� “Gemanaged” und messbar (4): Die Geschäftsleitung verlangt formale und standardisierte Projektmetriken und Lernprozesse nach Projektabschluss. DasProjektmanagement wird gemessen und beurteilt über die gesamte Unternehmung und nicht nur innerhalb der Informatikabteilung. Verbesserungen amProjektmanagementprozess werden formalisiert und kommuniziert, und das Projektteam wird bezüglich sämtlicher Verbesserungen ausgebildet.Risikomanagement wird als Teil des Projektmanagementprozesses betrieben. Stakeholders sind aktiv in den Projekten involviert oder leiten sie.Projektmeilensteine, wie auch die Kriterien zur Beurteilung der Ergebnisse bei jedem Meilenstein, wurden aufgestellt. Werte und Risiken werden gemessenund vor, während sowie nach den Projekten gemanaged. Projekte werden vermehrt definiert, mit Mitarbeitern unterstützt und betrieben, um dieUnternehmensziele und nicht nur diejenigen der Informatik zu erreichen.
� Optimiert (5): Eine bewährte Projektentwicklungsmethodologie ist implementiert, welche den gesamten Systemlebenszyklus umfasst. Sie wird durchgesetztund ist in die Kultur des gesamten Unternehmens integriert. Ein permanentes Programm zur Identifikation und Integration von bewährten Praktiken wurdeaufgestellt. Es besteht eine starke und aktive Unterstützung der Sponsoren sowie der Stakeholder. Die Informatikleitung hat eine Projektorganisationsstrukturimplementiert mit dokumentierten Rollen, Verantwortlichkeiten und Zielerreichungskriterien. Eine langfristige Informatikstrategie besteht, welcheOutsourcing-Entscheidungen für Entwicklung und Betrieb unterstützt. Ein integriertes Projektbüro ist für alle Projekte von ihrem Start bis nach derInbetriebnahme zuständig. Dieses Büro wird durch die Geschäftsbereiche geführt und beantragt und verteilt Informatik-Ressourcen zur Beendigung derProjekte. Unternehmensweite Planung von Projekten stellt sicher, dass Benutzer- und IT-Ressourcen optimal verwendet werden zur Unterstützung derstrategischen Initiativen.
COBIT Einführung
Geschäftsprozesse
IT-Ressourcen
InformationenKriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltung r.E.
Überwachun g
Betrieb &Unterstützun g
Beschaffung &Implementatio n
Planung &Organisation
• Daten• Anwendungen• Technologien• Anlagen• Personal
Generic Audit Guidelinesowie 1 Audit Guideline für jeden IT-Prozess
1 Verständnis erlangen� Geschäftsanforderungen
und Risiken� Organisationstruktur� Konzepte und Verfahren� Gesetze, Richtlinien� implementierte Kontrollen
2 Beurteilung derKontrollen� Verfahren vorhanden� Ergebnisse angemessen� Verantwortlichkeiten klar� kompensierende Kontrollen
3 Beurteilung derEinhaltung der Kontrollen� Sicherstellen, dass
Verfahren wirksam waren� Überprüfung der
Ergebnisse (deliverables)der Prozesse
4 Aufzeigen der Risiken� Kontrollschwächen� resultierende Bedrohungen� Auswirkungen
COBIT Einführung
Obtaining an understanding by:Interviewing:• Chief Executive Officer• Chief Operations Officer• Chief Financial Officer• Chief Information Officer• IT planning/steering committee members• IT senior management and human services
staffObtaining:• Policies and procedures relating to the
planning process• Senior management steering roles and
responsibilities• Organisation objectives and long- and short-
range plans• IT objectives and long- and short-range plans• Status reports and minutes of
planning/steering committee meetings
COBIT Audit GuidelineBeispiel: Prüfleitfaden für IT-Prozess PO1 “Define A Strategic Plan”
Evaluating the controls by considering whether:
• IT function or business enterprise policies and procedures address astructured planning approach.
• A methodology is in place to formulate and modify the plans and ata minimum, they cover: [...]
• Organisational changes, technology evolution, regulatoryrequirements, business process re-engineering, staffing, in- and out-sourcing, etc. are taken into account and adequately addressed in theplanning process
• Long- and short-range IT plans exist, are current, adequately addressoverall enterprise, its mission, and key business functions
• IT projects are supported by the appropriate documentation asidentified in the information technology planning methodology
• Checkpoints exist to ensure that IT objectives and long- and short-range plans continue to meet organisational objectives and long- andshort-range plans
• Review and sign-off occurs by process owners and seniormanagement of IT plans
• The IT plan assesses the existing information systems in terms ofdegree of business automation, stability, functionality, complexity,costs, strengths and weaknesses.
COBIT Einführung
Assessing the compliance by testing that:• Minutes from IT planning/steering committee meetings reflect the
planning process• Planning methodology deliverables exist and are as prescribed• Relevant IT initiatives are in the long- and short-range plans (i.e.,
hardware changes, capacity planning, informationarchitecture,new system development or procurement, disasterrecovery planning, installation of new processing platforms, etc.)
• IT initiatives support long- and short-range plans and considerrequirements for research, training, staffing, facilities, hardwareand software
• Technical implications of IT initiatives have been identified• Consideration has been given to optimising current and future IT
investments• IT long- and short-range plans are consistent with the
organisation’s long- and short-range plans and organisationrequirements
• Plans have been changed to reflect changing conditions• IT long-range plans are periodically translated into short-range
plans• Tasks exist to implement the plans
COBIT Audit GuidelineBeispiel: Prüfleitfaden für IT-Prozess PO1 “Define A Strategic Plan”
Substantiating the risk of control objectivesnot being met by performing:
• Benchmarking of strategic IT plans againstsimilar organisations or appropriateinternational standards/recognised industrybest practices
• Detailed review of IT plans to ensure that ITinitiatives reflect the organisation’s missionand goals
• Detailed review of the IT plans to determineif known areas of weakness within theorganisation are being identified forimprovement as part of the IT solutionscontained in the plans
COBIT Einführung
Geschäfts prozesse
IT-Ressourcen
Kriterien (Ziele)• Vertraulichkeit• Verfügbarkeit• Integrität• Verlässlichkeit• Effektivität• Effizienz• Einhaltun g r.E.
Überwachun g
Betrieb &Unterstützun g
Beschaffung &Implementation
Planung &Organisation
• Daten• Anwendungen• Technologien• Anlagen• Personal
Schlussfolgerungen
� keine Konzentration aufEinzelthemen
� keine “sexy” Gadgets� keine handgestrickten
Massnahmen
sondern
eine umfassend geregeltePlanung, Beschaffung,Betrieb und Überwachungaller IT-Ressourcen
Recommended