Post on 05-Apr-2015
transcript
Basel II, SOX & Co.IT Governance im Überblick
Informationsmanagement SS 2008Prof. Dr. Schönecker
Referent: Konstantin KirschDatum: 09.06.2008
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Gliederung
Motivation durch SOX, Basel II & Co.Einführung IT Governance ~ IMIT Governance Praktiken,
Frameworks, StandardsAusblick - Diskussion
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Motivation - Überblick
Gesetzliche Regularien wie Sarbanes-Oxley Act, Corporate Governance Kodex und Basel II verlangen von der IT nicht nur aus rechtlicher und betriebswirtschaftlicher, sondern auch aus technischer Sicht Rechenschaftsberichte über die effiziente und effektive Steuerung und Kontrolle. Dabei gilt es, Transparenz für IT-Service-Management zu schaffen und dadurch operationelle Risiken signifikant zu reduzieren. Durch die Etablierung von IT Governance kann dieses Ziel erreicht werden. International anerkannte Frameworks wie ITIL und COBIT bilden hierzu eine optimale Grundlage. Ziel muss es jedoch sein, Elemente dieser Standards in ein unternehmensweites Managementsystem zu integrieren, welches in das operative Geschäft eingebunden werden muss. Durch die Zertifizierung nach BS 15000 bzw. ISO 20000 kann dieses Ziel erreicht und offiziell beglaubigt werden.
Quelle: 1)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Wozu SOX, Basel II & Co.? Kostentransparenz, Prozessqualität!
Ergebnisse einer empirischen Studie von McKinsey in der europ. Energiebranche (2007)
Untersucht wurde der Einfluss struktureller Faktoren auf IT cost & business cost.
Signifikante Faktoren für die Kosten sind nicht: Größe des Unternehmens Grad des Outsourcing Organisationsstruktur der IT, Position des CIO Grad der (De-)zentralisierung Design der technischen Infrastruktur
Signifikant sind dagegen: Ausmaß an Kostentransparenz und Wirtschaftlichkeitsanalysen Qualität der Unternehmensprozesse im Bereich der IT-Infrastruktur Vereinfachung der Applikationslandschaft Eng geführtes Sourcing und Lieferantenmanagement
Quelle: 6)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Beachtung von Regeln, Normen und Vorschriften (Compliance)
Sarbanes-Oxley Act (SOX)Basel II / Solvency IIKonTraG (Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich)
Deutscher Corporate Governance Kodex …
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Entwicklungspfad: DCG Kodex
Quelle: 7)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Sarbanes-Oxley Act
Finanzskandale, falsche Bilanzen (Enron) => SOX2 Bestimmungen betreffen die IT eines Unternehmens und derenkorrekte Implementierung => Haftung des Managements falls nicht!
1. Erstellte Bilanzen müssen inhaltlich korrekt sein gemäß Section 302 => nur autorisierte Personen dürfen jene Daten warten, die in die Bilanz einfließen. (Stichwort: IT Security)
2. Sarbanes-Oxley Section 404: Kontrollbericht vorlegen (funktionsfähiges internes Kontrollsystem IKS und dessen Dokumentation), in dem die extern durchgeführte Kontrolle des Systems zur Sicherstellung der korrekten Bilanzierung dokumentiert wird.
Quelle: 17)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
SOX – Original Fassung
Quelle: 5)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
MS Project: Konformität mit SOX und Technologieoptionen
Quelle: 8)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Basel II Regulierung
Basel II will die Solvenz von Banken und Sparkassen sicherstellen, insbesondere durch eine Risikobewertung der Kreditnehmer (z.B. Kreditwürdigkeit, Fraud Detection, usw.), dem so genannten Rating.
=> Auch dafür muss die IT entsprechende „Rating Data Bases“ bereitstellen und dies mit höchster Zuverlässigkeit.
Quelle: 17)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Basel II - Überblick
Basel II besteht aus insgesamt 3 Säulen
Quelle: 7)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
1. Säule: Mindestkapitalanforderungen
Die erste Säule beinhaltet Vorschriften zur Eigenmittelunterlegung von Kreditausfall-, Marktpreis- und operationellen Risiken. Diese Säule ist sicherlich der am meisten diskutierte Bereich von Basel II.
Quelle: 10)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
2. Säule: Ausführliche Überprüfungsverfahren
Die zweite Säule gibt eine laufende und regelmäßige Überprüfung der Banken durch die Bankenaufsicht vor. Hier kann man vier Bereiche unterscheiden:
Interne Aufsicht: laufende Verbesserung der internen Verfahren der Risikoanalyse. Ausbau des Risikomanagements und der internen Kontrollmechanismen.
Externe Aufsicht: Berücksichtigung externer Faktoren, wie Trends etc.
Maßnahmen: Die Bankenaufsicht hat die Möglichkeit Maßnahmen zu ergreifen, wenn sie dies für notwendig hält.
Dialog zwischen Banken und Aufsichtsbehörden: Ein Ausbau
ist notwendig, da die Banken mehr Verantwortung bei der Bewertung und Überwachung von Risiken übernehmen.
Quelle: 10)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
3. Säule: Marktdisziplin und Offenlegung
Verpflichtung der Finanzinstitute zur Offenlegung der Eigenkapitalstruktur und der eigenen Risikosituation. Die Offenlegungs-pflichten umfassen vier Bereiche:
Anwendung der Eigenkapitalvorschriften Eigenkapitalstruktur Eingegangene Risiken Angemessenheit der Eigenkapitalausstattung
Quelle: 10)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Informationsmanagement nach Krcmar
Quelle: 16)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
IT Governance
Die Frage, wer welche IT-Entscheidungen im Unternehmen treffendarf, hat in den letzten Jahren in vielen Unternehmen erheblich anBedeutung gewonnen; damit auch der Begriff IT Governance.
IT Governance: Specifying the decision rights and accountability framework to encourage desirable behaviour in the use ot IT. (Weill/Woodham)
Hintergrund: Wachsende Komplexität der Systeme in den Unternehmen, Kostendruck
Viele Unternehmen haben daher eine CIO-Funktion oder IT-Governance-Funktion ausgeprägt, die klar von der IT-Dienstleistungsfunktion getrennt ist und sich auf strategische Fragen sowie eine Richtlinien- und Ordnungsfunktionkonzentriert.
Quelle: 6)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
IT Governance
IT-Governance besteht aus Führung, Organisationsstrukturen undProzessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt.
Wesentlicher Bestandteil der IT-Governance ist ein erfolgreiches Business IT-Alignment. Die Umsetzung von IT-Governance wird durch leistungsfähige undinternational akzeptierte Verfahren (CobiT, MOF, ISO 20000, ITIL) unterstützt.Diese Werkzeuge können hierarchisch wie folgt betrachtet werden:
• Standard der Corporate Governance: COSO • Übergeordnete Verbindung zur Corporate Governance: CobiT • Umsetzung von IT Service Management: ISO 20000, ITIL• Informationssicherheit: ISO17799 und IT-Grundschutz-Kataloge • Projektmanagement: PMBOK und PRINCE2 • Architektur: TOGAF • System-/Produktentwicklung: TickIT ISO 9001 Zertifikat und CMMI (Capability Maturity Model Integration) Reifegradmodell
Quellen: 2), 3)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Standards und Best Practices
Kein „Off-the-Shelf-Framework“ für die Umsetzung von IT Governance vorhanden!
Die zwei anerkanntesten Frameworks sind ITIL und COBIT.
ITIL (Information Technology Infrastructure Library) stellt ein Set an Best Practices und Referenzprozessen in Textform zur Verfügung, um IT-Prozesse zu definieren und deren Betrieb zu sichern. Das Service-Management als zentraler Teil des ITIL-Rahmenwerks ist von der nationalen britischen Standardisierungsorganisation British Standards Institution (BSI) als BS 15000 standardisiert.
Quellen: 15), 6), 4)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
IT Infrastructure Library - ITIL
Seit einigen Jahren verbreitet sich in IT-Abteilungen der ITIL Standard (Herkunft: UK Regierung, 80er Jahre)
ITIL ist ein Satz von Büchern, der ein prozess-orientiertes IT Service- Management basierend auf Best Practices beschreibt.
Kernprozesse einer IT-Abteilung bei ITIL: Service Desk / Incident Management Problem Management Change Management Configuration Management Release Management Account Management incl. Service Level Management etc.
Quelle: 6)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
ITIL V3 – Alle Prozesse im Überblick
Fokus auf Lebenszyklus des Services:Strategie (Strategy), Entwurf (Design), Betriebsüberleitung (Transition), Betrieb (Operation) und Verbesserung (Continual Improvement)
Der itSMF Deutschland e.V. ist das deutsche Organ des IT Service Management Forums (itSMF), welches aus deutscher Sicht die Prozesse weiter-entwickelt und verbessert.
Quelle: 18)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
COBIT: Controled OBjectives for Information and related Technology
International anerkannter Standard für IT, Sicherheit, Qualitätssicherung und Ordnungsmäßigkeit
Besitzer: ISACA (www.isaca.org)Zertifizierung / Audit:
Reifegradmessungen der Prozesse durch zertifizierte Auditoren
Quelle: 11)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
COBIT
COBIT wurde von Revisoren aus der Industrie und der ISACA(Information Systems and Control Association) auf Basis bestehenderRevisionsrichtlinien, Kontrollmodellen sowie branchenspezifischenRegularien und Richtlinien entwickelt. Dabei stützt sich das Frameworkauf die Anforderungen an Informationen aus den definierten Geschäfts-zielen und den damit notwendigen IT-Ressourcen und –Prozessen.COBIT liefert 34 kritische IT-Prozesse, strukturiert in die BereichePlanung und Organisation, Beschaffung und Implementierung, Betriebund Unterstützung und Überwachung.
COBIT stellt dabei die Kontrollaspekte der IT-Prozessein den Vordergrund, während ITIL auf denServicegedanken fokussiert und idealtypische Abläufethematisiert.
Quelle: 1)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Die drei Sichtweisen vom COBIT Framework
Erklärung des Würfels:
IT Ressourcen werden von IT Prozessen gemanaged um IT Zielsetzungen zu erreichen die den Geschäftsanforderungen entsprechen.
Quelle: 12)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Quelle: 12)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
COBIT - Life Cycle
Quelle: 12)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
COBIT Methodologie:Control Objectives für SOX
Quelle: 13)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
COBIT Methodologie:IT Controls identifizieren
Quelle: 13)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
IT Compliance Road MapSarbanes-Oxley Compliance
Quelle: 13)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
MOF
Microsoft Operations Framework (MOF)Strukturierte Vorgehensweise zum
erfolgreichen Betrieb einer IT-Infrastruktur mit Microsoft Produkten (basierend auf ITIL)
Besitzer: Microsoft CorporationZertifizierung: keine
Quelle: 11)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
MS Operations Framework 4.0
Quelle: 14)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Weitere Standards und Regelungen
Was gibt es noch außer ITIL, COBIT, MOF?
Verbreitete Standards: BS 15000 => ISO 20000 (international anerkannte Standards zum IT-Service-Mgmt ) SCP (Support Center Practises): Ein Verfahren, das den Schwerpunkt auf die
Qualitätsbeurteilung von Supportleistungen legt ISPL (Information Services Procurement Library):
„best practice“ für das Management von Akquise- Prozessen
Weitere Standards: SPICE (Internationaler Standard für Software Process Assessment) SIX SIGMA (Prozess mit Schwerpunkt auf der Entwicklung undAuslieferung von „perfekten“ Produkten und Services) MSF (Framework zur schnelleren Implementierung von Microsoft IT-Lösungen) PRINCE2 (Projekt-Management Methode zur erfolgreichen
Durchführung von Projekten aller Art) …
Quelle: 11)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
IT-Experten schwer genervt von SOX
Die Umsetzung des Sarbanes Oxley Acts (SOX) halten IT-Fachleute aus den USA für die Mutter aller Zeitverschwendungen. Das hat eine Befragung der IBM-Anwendervereinigung Share ergeben. Demnach halten es die Share-Mitglieder sogar für sinnvoller, sich mit unerprobter Technik auseinander zu setzen als mit der Compliance-Richtlinie.
Die Anwendervereinigung hatte ihre Mitglieder gefragt, was sie in zehn Jahren wohl als die größte Zeitverschwendung in den heutigen IT-Abteilungen bezeichnen würden. Mit 28 % die häufigste Antwort: die Umsetzung der Compliance-Richtlinie Sarbanes Oxley Act. "Das kostet eine Menge Zeit, ohne dass der materielle Nutzen abzusehen ist", sagt der Share-Vorsitzende Robert Rosen. Mehrere Firmen, so Rosen, erwögen bereits ein De-Listing, also den Rückzug von der Börse, weil sie die SOX-Anforderungen nicht umsetzen können.
Quelle: 9)
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
Vielen Dank!
IM SS08 – Prof. Dr. SchöneckerIT Governance im Überblick – Konstantin Kirsch
1) http://www.hs-soft.com/DOCs/whitepapers/IT%20Governance%20(de).pdf
2) http://de.wikipedia.org/wiki/IT-Governance
3) IT-Governance für Geschäftsführer und Vorstände, zweite Ausgabe, S.11, IT-Governance Institut http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=33261&TEMPLATE=/ContentManagement/ContentDisplay.cfm
4) ITIL und Informationssicherheit: http://www.bsi.bund.de/literat/studien/ITinf/itil.pdf
5) SOX Original: http://www.law.uc.edu/CCL/SOact/soact.pdf
6) IT Strategie/ -Organisation SWM: http://www.e-berger.de/IT-Organisation_Bieberbach_2007-12-19.pdf
7) Was haben 21.000 Meilen Schienen mit IT-Sicherheit zu tun? (Basel II): http://www.ka-it-si.de/events_doc/ka-it-si_040624_skandalvorsorge.pdf
8) Konformität mit SOX: http://office.microsoft.com/de-de/templates/TC012330971031.aspx?pid=CT100649391031
9) Ranking der größten Zeitfresser – IT Experten schwer genervt von SOX: http://www.cio.de/markt/uebersichten/812425/
10) Basel II: http://www.foerderland.de/355.0.html
11) ITIL, ISPL, COBIT, ISO, MOF, SCP – Standards und ihre Beziehungen: http://www.net-it.info/fileadmin/user_upload/standards.pdf
12) Cobit: http://www.isaca.org (http://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/ContentManagement/ContentDisplay.cfm&ContentID=34172)
13) (COBIT) IT Control Objectives for Sarbanes-Oxley, 2nd Edition: http://www.isaca.org/sox
14) MOF 4.0: http://technet.microsoft.com/en-us/library/cc506049.aspx
15) IT Governance - Definition, Standards & Zertifizierung: http://www.ocg.at/ak/governance/files/itgovernance.pdf
16) Informationsmanagement nach Wikipedia: http://de.wikipedia.org/wiki/Informationsmanagement
17) http://www.objentis.com/index.php?id=topicssoxtesting&L=0
18) http://de.wikipedia.org/wiki/IT_Infrastructure_Library
Quellen - Literatur