23
1 01.07.2008 © arxes consulting gmbh COBIT™ Mit COBIT™ Ihre IT businessorientiert und kostentransparent lenken 01.07.2008, Stuttgart Massood Salehi
1 01.07.2008 © arxes consulting gmbh
COBIT™
Mit COBIT™ Ihre IT businessorientiert und kostentransparent lenken
01.07.2008, Stuttgart Massood Salehi
2 01.07.2008 © arxes consulting gmbh
Unternehmerisches Umfeld heute
Stakeholder
Regularien (Gesetze ..)
Shareholder
Markt
§ Kostenvorteile § Dienstleistungsqualität § Umweltverträglichkeit § Arbeitsplatzsicherheit
§ Kosteneffizienz § Leistungssteigerung § Standardisierung § Automatisierung § Qualität
§ Innovationsdruck § Kostendruck § Wettbewerbsfähigkeit
§ SOX, 8. EU Richtlinie § Basel II, KonTraG § …
3 01.07.2008 © arxes consulting gmbh
Unternehmenssteuerung – Enterprise und Corporate Governance
Governance „Kontrolle“, „Beherrschung“, „Steuerung“
§ Bettet Kontrollen und Messverfahren auf Unternehmensebene ein
§ fokussiert auf Kontrolle, Performance und gutes Management
§ fördert Transparenz und Verantwortlichkeit Beispiel: SOX, 8. EU Richtlinie, Basel II usw.
Ziel ist es sicherzustellen, dass § eine strategische Richtung für das
Unternehmen vorhanden ist § die gesetzlichen Ziele erreicht werden § mit Risiken angemessen umgegangen wird § die Unternehmensressourcen verantwortlich
eingesetzt werden
Enterprise Governance
Business Governance Performance
Corporate Governance Conformance
Wertbeitrag Nutzung von Ressourcen
Verantwort-lichkeit
Zusicherung
CIMA (Chartered Institute of Management Accountaints) Framework
4 01.07.2008 © arxes consulting gmbh
§ Controlling § Entwicklung/Ableitung einer IT-Strategie § Investitionsplanung und Überwachung von Kosten/Nutzen, Transparenz
§ Risikomanagement und Frühwarnsystem § Identifikation und Beurteilung von geschäftsgefährdenden Risiken § Präventive Sicherheitsmaßnahmen (z.B. zeitgemäße IT-Infrastruktur)
§ Gemäß Section 302 muss die Unternehmensleitung (CEO und CFO) in Verbindung mit dem quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen.
§ Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation
§ internes Kontrollsystem § Definierte Aufbau- und Ablauforganisation § Festgelegte Rollen und Verantwortlichkeiten § Funktionstrennung und Berechtigungsmanagement § Dokumentierte Prozesslandschaft und Security Policies § Leistungs- und Qualitätsmanagement § Überwachungsmaßnahmen und interne Revision
SOX – Sarbanes-Oxley Act und Auswirkungen auf die IT
5 01.07.2008 © arxes consulting gmbh
SOX vs. EURO-SOX (8. EU-Richtlinie)
§ CEO jährliche Stellungnahme § CFO jährliche Stellungnahme + Prüfungsausschuss + Wirtschaftsprüfer (CPA) Sehr hohe Strafen a.) mehrere Millionen US-Dollar b.) mehrere Jahre Haft (bis 25 Jahre) - Verfahren laufen Sarbanes Oxley Act regelt eindeutig und hart!
§ Geschäftsführer
+ Prüfungsausschuss + Wirtschaftsprüfer § kollektive Vorstandshaftung § persönliche Haftung der Wirtschaftsprüfer Strafen? Länderrecht! In Deutschland Haftung mit Privatvermögen!
Sarbanes Oxley Act 8. EU Richtlinie
Der Sarbanes Oxley Act ist im Strafmaß sehr hart! Die 8.EG-Richtlinie lässt hier dem jeweiligen EU Land Gestaltungsspielraum!
6 01.07.2008 © arxes consulting gmbh
Definition IT Governance
IT Governance § „… ist ein integrierter Teil der Corporate Governance und umfasst Führung, organisatorische Strukturen und Prozesse, die sicher stellen, dass die IT die Strategien und Ziele des Unternehmens unterstützt und verlängert.“ (IT Governance Institute)
IT Governance übernimmt im Kern vier Verantwortungen: • die Ziele des Unternehmens und seine Anforderungen durch die Bereitstellung
bedarfsgerechter IT Services erfüllt werden, • Vorschriften und Gesetze eingehalten werden, • Ressourcen durch eine effiziente und effektive Organisation verantwortungsvoll
eingesetzt werden und • Risiken in angemessener Form kontrolliert und gesteuert werden
Strategische Ausrichtung
der IT
Schaffen von Werten
Risiko- management
Messen der Performance
Stakeholder Value Drivers
Ressourcenmanagement
7 01.07.2008 © arxes consulting gmbh
COBIT (Control Objectives for Information and Related Technology ) liefert das Rahmenwerk für IT Governance
8 01.07.2008 © arxes consulting gmbh
COBIT Framework
Das COBIT Rahmenwerk beschreibt, wie die IT Prozesse die für das Business benötigten Informationen bereitstellen, um das Business in seiner Zielerreichung und Wertschöpfung zu unterstützen.
Info
rmat
ione
n
Anw
endu
ngen
In
fras
truk
tur
Pers
onal
Info
rmat
ione
n
Anw
endu
ngen
In
fras
truk
tur
Pers
onal
Domänen
Geschäftliche Anforderungen
IT P
roze
sse
Prozesse
Aktivitäten
Info
rmat
ione
n
Anw
endu
ngen
In
fras
truk
tur
Pers
onal
Grundprinzipien:
§ Businessfokussiert
§ Prozessorientiert
§ Basierend auf Controls
§ Getrieben durch Messungen
9 01.07.2008 © arxes consulting gmbh
Business Value und Kennzahlen
§ IT Ziele: was das Unternehmen von IT erwartet
§ Prozessziele: Was die IT Prozesse liefern müssen, um die IT Ziele zu erfüllen
§ Kennzahlen betreffen verschiedene Ebenen von Nutzen, die aufeinander aufbauen
§ Das Berichten der Kennzahlen richtet sich nach seiner Anwendung und seiner Zielgruppe
Prozessziele
IT Ziele
Unternehmensziele
• Umsatz § Marktanteil § Gewinn § ROI
Aktivitätsziele
Kennzahlen: Service Desk, Incident, Problem Change, Release …
IT Business Excellence, ISO20000; Six Sigma;
ITIL; COBIT
© Crown Copyright 2007. Reproduced under license from OGC.
Kern-Geschäfts-kennzahlen
Strategische IT-Kennzahlen
Prozesskennzahlen für IT Management
IT-Betriebskennzahlen
Balanced Scorecard
10 01.07.2008 © arxes consulting gmbh
Beispiel – aus Geschäftszielen werden IT-Ziele
Konzernziel aus einer Kundensituation § 1 Mrd. Euro Umsatz in Europa bis Ende 2010
Ziele an das Kerngeschäft § Kostentransparenz § Zuverlässige Forecasts § Geringe Lagerhaltung und § Schneller Warenumschlag § Konzernweite Kommunikation
Ziele an die IT - Wertbeitrag zum Kerngeschäft durch: § Kostentransparenz und –optimierung § Zuverlässige Bestandsführungssysteme (z.B. SAP) § Unterstützung der Lieferantenkette (SCM) § Harmonisierung der Kommunikationssysteme
11 01.07.2008 © arxes consulting gmbh
Praxisbericht – Zielsetzung und Vorgehen
§ Zielsetzung:
§ Definition des IT-Governance Umfangs
§ Feststellung eines sog. IT Governance Reifegrades
§ Erarbeitung eines Fahrplans für die Einführung von IT-Governance
§ Vorgehen:
§ Sammlung von Informationen mittels standardisierter Interviews (u.a. im Rahmen des Value Scans)
§ Reifegradfeststellung basiert auf Themenblöcken: - Planung und Organisation - Beschaffung und Implementierung - Betrieb und Unterstützung - Überwachung und Bewertung
§ Auswertung und Aufbereitung der Informationen
§ Handlungsempfehlungen
Efficiency
ApplicationsInformationInfrastructurePeople
DELIVER AND
SUPPORT
MONITORAND
EVALUATE
ACQUIREAND
IMPLEMENT
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
EffectivenessConfidentiality
Integrity
AvailabilityCompliance
PLANAND
ORGANISE
Reliability
12 01.07.2008 © arxes consulting gmbh
Beispiel-Ergebnis - Gesamtbetrachtung der Kunden IT
0,00
20,00
40,00
60,00
80,00
100,00Business Alignment
Organisation
Service Management
Operations
Service Portfolio
Infrastructure
Asset Management
Project Portfolio
best practice-Ziel
IST-Zustand
13 01.07.2008 © arxes consulting gmbh
Strengths § Gutes Provider Management im Hinblick auf
bestehende Verträge und ausgelagerte Aktivitäten
§ …
Weaknesses § Risiko-Management-Prozess fehlt § SLAs nur für SAP existent § Keine Kennzahlen definiert
Opportunities § Ein IT-Marketing-Programm sollte gestartet
werden, um rasch eine höhere Sichtbarkeit der IT zu erreichen
§ …
Threats § Die Prozesse folgen keinem Industrie-
Standard (z.B. ITIL) und gefährden die Wirksamkeit und Kosteneffizienz der IT
§ Das fehlende Risiko-Management könnte sich unmittelbar auf das operative Geschäft auswirken
§ …
Beispiel-Ergebnis – Auszug SWOT Analyse
14 01.07.2008 © arxes consulting gmbh
IT Prozesse ab-gleitet & unterteilt nach Domänen aus COBIT
Die Resultate aus einem vorher durchgeführten Assessments führen zu den u.g. Ausprägungen im Reifegradmodell
Gewichtung nach „best practice“ und Geschäfts-relevanz
Heatmap-Intensität zeigt die Dringlichkeit und Priorität
Ein Reifegrad von 3,5 genügt bspw. den internationalen Anforderungen an SOX
Der durch-schnittliche Reifegrad der untersuchten Organisation
Heatmap – Prozessreifegrad Cockpit
15 01.07.2008 © arxes consulting gmbh
Bewertung der internen IT-Kontrollen – Reifegradmodell
Reifegrade 0 Nicht existent
1 Initial
2 Wiederholbar, aber intuitiv
3 Definierter Prozess
4 Überwacht
5 Optimiert
10 32 54
Symbole
Aktueller Status
Internationaler Standard
Best practice
Strategisches Ziel
16 01.07.2008 © arxes consulting gmbh
IT Balanced Scorecard
Nr. IT-Ziel KPI1
Finanzen
Nr. IT-Ziel KPI1
Kunden
Nr. IT-Ziel KPI1 IT Compliance
sicherstellenAnzahl Compliance Reviews: - Risiko Mgt. - Revision
Prozesse
Nr. IT-Ziel KPI1
Innvoationen
17 01.07.2008 © arxes consulting gmbh
Organisation
Financial Management
IT Advertisement
May 2008
Risk Management
June 2008 July 2008
Refining KPIs – measurable goals for vision/mission Mission
Infrastructure
Project Management
IT Governance II
Service Management
IT Governance Review
Decision – Central or decentralized IT
RM - Compliance
Architecture
SLA‘s – Service Cataloge – Requirement and Change Management
Customer Satisfaction Analysis
Review
Realization
Governance Review Coaching
1
3
Roadmap IT Governance – 100 Tage Plan
PR
Cost control / -transparency
Defining a standard – business case orientation – „strategic triangle“
2
18 01.07.2008 © arxes consulting gmbh
Regeln: § Im Hinblick auf die EURO-SOX (8. EU Richtlinie) das Unternehmen global betrachten. § Jeder einzelne Bereich ist betroffen, trägt Mitverantwortung und hat folglich einen Beitrag
zur Umsetzung zu leisten § Die Unternehmen müssen vermeiden, die selben Aufgaben an unterschiedlichen Stellen zu
erfüllen
ToDo: § Beschäftigung mit dem Thema Governance § Governance Team einrichten § Risikomanagement und interne Kontrollsysteme einführen
Empfehlung:
Benutzen was vorhanden ist und starten mit dem, was unbedingt erforderlich ist!
Was tun ?
19 01.07.2008 © arxes consulting gmbh
Was bietet arxes an?
§ Übersetzung der Geschäftsziele in IT Ziele
§ Standortbestimmung Ihrer IT (value scan)
§ Einführung von COBIT
§ SWOT Analyse
§ Governance Cockpit
§ Einführung von Balanced Scorecard
§ Herstellung von Kostentransparenz und -optimierung
§ COBIT Training
20 01.07.2008 © arxes consulting gmbh
SOX – Sarbanes-Oxley Act / Section 302 und 404
§ Gemäß Section 302 muss die Unternehmensleitung (CEO und CFO) in Verbindung mit dem quartalsweisen und jährlichen Reporting bestätigen, dass die Angaben in der Berichterstattung vollständig sind und den tatsächlichen wirtschaftlichen Verhältnissen des Unternehmens entsprechen.
§ Darüber hinaus sind sowohl der Jahresabschlussprüfer als auch das Audit Committee über wesentliche Schwachstellen oder Unregelmäßigkeiten in der Finanzberichterstattung zu informieren.
§ Section 404 verlangt die Einrichtung eines funktionsfähigen internen Kontrollsystems (IKS) und dessen Dokumentation
§ Dabei sind sämtliche interne Kontrollen, die im Zusammenhang mit der Rechnungslegung stehen, Gegenstand dieser Regelung
§ Zusammen mit der quartalsweisen und jährlichen Berichterstattung ist die Einschätzung und Bewertung der Zweckmäßigkeit dieses Kontrollsystems durch die Unternehmensleitung zu prüfen und zu veröffentlichen
§ Der Jahresabschlussprüfer bestätigt und berichtet über die regelmäßige Einschätzung der Unternehmensleitung.
21 01.07.2008 © arxes consulting gmbh
Euro SOX
§ Die 8. EU Richtlinie ist in Kraft und muss nun in nationale Regelungen umgesetzt werden
§ Wer ist betroffen? § 8.EG-Richtlinie gilt für alle Kapitalunternehmen, man unterscheidet in „wirtschaftlich
bedeutende Unternehmen“ und Kleinunternehmen
§ S. 6 Z. 13
22 01.07.2008 © arxes consulting gmbh
Corporate Goal
Business Goals → performant financial management
achievement of supply and demand simulation
reliable sales forecast
accurate distrubution and low stock
communication
ERP CRM SCMcollaboration and
eMail harmonisation
Plan and OrganizeDefine a strategic IT plan.Define the information architecture.Determine the technological direction.Define the IT processes, organisation and relationships. Manage the IT investment. Communicate management aims and direction.Manage IT human resources.Manage quality.Assess and manage risks.Manage projects.Acquire and ImplementAcquire and maintain application software. Acquire and maintain technology infrastructure.Enable operation and use.Procure IT resources.Manage changes.Install and accredit solutions and changes.
"achieve 1 Billion euro sales in FY2010"
performant IT applications for:cost control / cost transparency
IT Goals →
Heatmap – Das Kennzahlen Cockpit
23 01.07.2008 © arxes consulting gmbh
IT-Balanced Scorecard
