Transcript Document 7455170

Basel II, SOX & Co.
IT Governance im Überblick
Informationsmanagement SS 2008
Prof. Dr. Schönecker
Referent: Konstantin Kirsch
Datum: 09.06.2008
Gliederung
Motivation durch SOX, Basel II & Co.
 Einführung IT Governance ~ IM
 IT Governance Praktiken,
Frameworks, Standards
 Ausblick - Diskussion

IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Motivation - Überblick
Gesetzliche Regularien wie Sarbanes-Oxley Act, Corporate
Governance Kodex und Basel II verlangen von der IT nicht nur aus
rechtlicher und betriebswirtschaftlicher, sondern auch aus technischer
Sicht Rechenschaftsberichte über die effiziente und effektive Steuerung
und Kontrolle. Dabei gilt es, Transparenz für IT-Service-Management zu
schaffen und dadurch operationelle Risiken signifikant zu reduzieren.
Durch die Etablierung von IT Governance kann dieses Ziel erreicht
werden. International anerkannte Frameworks wie ITIL und COBIT bilden
hierzu eine optimale Grundlage. Ziel muss es jedoch sein, Elemente
dieser Standards in ein unternehmensweites Managementsystem zu
integrieren, welches in das operative Geschäft eingebunden werden
muss. Durch die Zertifizierung nach BS 15000 bzw. ISO 20000 kann
dieses Ziel erreicht und offiziell beglaubigt werden.
Quelle: 1)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Wozu SOX, Basel II & Co.?
Kostentransparenz, Prozessqualität!
Ergebnisse einer empirischen Studie von McKinsey in der
europ. Energiebranche (2007)
Untersucht wurde der Einfluss struktureller Faktoren auf IT cost & business cost.
Signifikante Faktoren für die Kosten sind nicht:





Größe des Unternehmens
Grad des Outsourcing
Organisationsstruktur der IT, Position des CIO
Grad der (De-)zentralisierung
Design der technischen Infrastruktur
Signifikant sind dagegen:




Quelle: 6)
Ausmaß an Kostentransparenz und Wirtschaftlichkeitsanalysen
Qualität der Unternehmensprozesse im Bereich der IT-Infrastruktur
Vereinfachung der Applikationslandschaft
Eng geführtes Sourcing und Lieferantenmanagement
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Beachtung von Regeln, Normen und
Vorschriften (Compliance)
Sarbanes-Oxley Act (SOX)
 Basel II / Solvency II
 KonTraG (Gesetz zur Kontrolle und Transparenz im

Unternehmensbereich)
Deutscher Corporate Governance Kodex
 …

IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Entwicklungspfad: DCG Kodex
Quelle: 7)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Sarbanes-Oxley Act
Finanzskandale, falsche Bilanzen (Enron) => SOX
2 Bestimmungen betreffen die IT eines Unternehmens und deren
korrekte Implementierung =>
Haftung des Managements falls nicht!
1.
Erstellte Bilanzen müssen inhaltlich korrekt sein
gemäß Section 302 => nur autorisierte Personen
dürfen jene Daten warten, die in die Bilanz einfließen.
(Stichwort: IT Security)
2.
Sarbanes-Oxley Section 404: Kontrollbericht
vorlegen (funktionsfähiges internes Kontrollsystem
IKS und dessen Dokumentation), in dem die extern
durchgeführte Kontrolle des Systems zur
Sicherstellung der korrekten Bilanzierung
dokumentiert wird.
Quelle: 17)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
SOX – Original Fassung
Quelle: 5)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
MS Project: Konformität mit SOX und
Technologieoptionen
Quelle: 8)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Basel II Regulierung
Basel II will die Solvenz von Banken und
Sparkassen sicherstellen, insbesondere
durch eine Risikobewertung der
Kreditnehmer (z.B. Kreditwürdigkeit,
Fraud Detection, usw.), dem so
genannten Rating.
=> Auch dafür muss die IT entsprechende
„Rating Data Bases“ bereitstellen und
dies mit höchster Zuverlässigkeit.
Quelle: 17)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Basel II - Überblick
Basel II besteht aus
insgesamt 3 Säulen
Quelle: 7)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
1. Säule: Mindestkapitalanforderungen
Die erste Säule beinhaltet Vorschriften
zur Eigenmittelunterlegung von
Kreditausfall-, Marktpreis- und
operationellen Risiken. Diese Säule ist
sicherlich der am meisten diskutierte
Bereich von Basel II.
Quelle: 10)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
2. Säule: Ausführliche Überprüfungsverfahren
Die zweite Säule gibt eine laufende und regelmäßige Überprüfung der
Banken durch die Bankenaufsicht vor. Hier kann man vier Bereiche unterscheiden:

Interne Aufsicht: laufende Verbesserung der internen Verfahren
der Risikoanalyse. Ausbau des Risikomanagements und der
internen Kontrollmechanismen.

Externe Aufsicht: Berücksichtigung externer Faktoren, wie Trends
etc.

Maßnahmen: Die Bankenaufsicht hat die Möglichkeit Maßnahmen
zu ergreifen, wenn sie dies für notwendig hält.

Dialog zwischen Banken und Aufsichtsbehörden: Ein Ausbau
ist notwendig, da die Banken mehr Verantwortung bei der
Bewertung und Überwachung von Risiken übernehmen.
Quelle: 10)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
3. Säule: Marktdisziplin und Offenlegung
Verpflichtung der Finanzinstitute zur
Offenlegung der Eigenkapitalstruktur und der
eigenen Risikosituation. Die Offenlegungspflichten umfassen vier Bereiche:

Anwendung der Eigenkapitalvorschriften
 Eigenkapitalstruktur
 Eingegangene Risiken
 Angemessenheit der Eigenkapitalausstattung
Quelle: 10)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Informationsmanagement nach Krcmar
Quelle: 16)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
IT Governance

Die Frage, wer welche IT-Entscheidungen im Unternehmen treffen
darf, hat in den letzten Jahren in vielen Unternehmen erheblich an
Bedeutung gewonnen; damit auch der Begriff IT Governance.

IT Governance: Specifying the decision rights and
accountability framework to encourage desirable
behaviour in the use ot IT. (Weill/Woodham)

Hintergrund: Wachsende Komplexität der Systeme in den
Unternehmen, Kostendruck

Viele Unternehmen haben daher eine CIO-Funktion oder
IT-Governance-Funktion ausgeprägt, die klar von der
IT-Dienstleistungsfunktion getrennt ist und sich auf
strategische Fragen sowie eine Richtlinien- und Ordnungsfunktion
konzentriert.
Quelle: 6)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
IT Governance
IT-Governance besteht aus Führung, Organisationsstrukturen und
Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie
und -ziele unterstützt.
Wesentlicher Bestandteil der IT-Governance ist ein erfolgreiches Business
IT-Alignment. Die Umsetzung von IT-Governance wird durch leistungsfähige und
international akzeptierte Verfahren (CobiT, MOF, ISO 20000, ITIL) unterstützt.
Diese Werkzeuge können hierarchisch wie folgt betrachtet werden:
• Standard der Corporate Governance: COSO
• Übergeordnete Verbindung zur Corporate Governance: CobiT
• Umsetzung von IT Service Management: ISO 20000, ITIL
• Informationssicherheit: ISO17799 und IT-Grundschutz-Kataloge
• Projektmanagement: PMBOK und PRINCE2
• Architektur: TOGAF
• System-/Produktentwicklung: TickIT ISO 9001 Zertifikat und
CMMI (Capability Maturity Model Integration) Reifegradmodell
Quellen: 2), 3)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Standards und Best Practices
Kein „Off-the-Shelf-Framework“ für die Umsetzung von IT
Governance vorhanden!
Die zwei anerkanntesten Frameworks sind
ITIL und COBIT.
ITIL (Information Technology Infrastructure Library) stellt ein Set an
Best Practices und Referenzprozessen in Textform zur
Verfügung, um IT-Prozesse zu definieren und deren Betrieb
zu sichern.
Das Service-Management als zentraler Teil des ITILRahmenwerks ist von der nationalen britischen
Standardisierungsorganisation British Standards Institution
(BSI) als BS 15000 standardisiert.
Quellen: 15), 6), 4)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
IT Infrastructure Library - ITIL

Seit einigen Jahren verbreitet sich in IT-Abteilungen der
ITIL Standard (Herkunft: UK Regierung, 80er Jahre)

ITIL ist ein Satz von Büchern, der ein prozessorientiertes IT Service- Management basierend auf
Best Practices beschreibt.

Kernprozesse einer IT-Abteilung bei ITIL:

Service Desk / Incident Management
Problem Management
Change Management
Configuration Management
Release Management
Account Management incl. Service Level Management

etc.





Quelle: 6)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
ITIL V3 – Alle Prozesse im Überblick
Quelle: 18)
Fokus auf Lebenszyklus des
Services:
Strategie (Strategy),
Entwurf (Design),
Betriebsüberleitung (Transition),
Betrieb (Operation) und
Verbesserung (Continual Improvement)
Der itSMF Deutschland e.V. ist
das deutsche Organ des IT
Service Management Forums
(itSMF), welches aus deutscher
Sicht die Prozesse weiterentwickelt und verbessert.
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
COBIT: Controled OBjectives for
Information and related Technology
International anerkannter Standard für IT,
Sicherheit, Qualitätssicherung und
Ordnungsmäßigkeit
 Besitzer: ISACA (www.isaca.org)
 Zertifizierung / Audit:
Reifegradmessungen der Prozesse
durch zertifizierte Auditoren

Quelle: 11)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
COBIT
COBIT wurde von Revisoren aus der Industrie und der ISACA
(Information Systems and Control Association) auf Basis bestehender
Revisionsrichtlinien, Kontrollmodellen sowie branchenspezifischen
Regularien und Richtlinien entwickelt. Dabei stützt sich das Framework
auf die Anforderungen an Informationen aus den definierten Geschäftszielen und den damit notwendigen IT-Ressourcen und –Prozessen.
COBIT liefert 34 kritische IT-Prozesse, strukturiert in die Bereiche
Planung und Organisation, Beschaffung und Implementierung, Betrieb
und Unterstützung und Überwachung.
COBIT stellt dabei die Kontrollaspekte der IT-Prozesse
in den Vordergrund, während ITIL auf den
Servicegedanken fokussiert und idealtypische Abläufe
thematisiert.
Quelle: 1)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Die drei Sichtweisen vom COBIT Framework
Erklärung des Würfels:
IT Ressourcen werden von
IT Prozessen gemanaged um IT
Zielsetzungen zu erreichen die
den Geschäftsanforderungen
entsprechen.
Quelle: 12)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Quelle: 12)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
COBIT - Life Cycle
Quelle: 12)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
COBIT Methodologie:
Control Objectives für SOX
Quelle: 13)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
COBIT Methodologie:
IT Controls identifizieren
Quelle: 13)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
IT Compliance Road Map
Sarbanes-Oxley Compliance
Quelle: 13)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
MOF
Microsoft Operations Framework (MOF)
 Strukturierte Vorgehensweise zum
erfolgreichen Betrieb einer ITInfrastruktur mit Microsoft Produkten
(basierend auf ITIL)
 Besitzer: Microsoft Corporation
 Zertifizierung: keine
Quelle: 11)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
MS Operations Framework 4.0
Quelle: 14)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Weitere Standards und Regelungen

Was gibt es noch außer ITIL, COBIT, MOF?
Verbreitete Standards:
 BS 15000 => ISO 20000 (international anerkannte Standards zum IT-Service-Mgmt )
 SCP (Support Center Practises): Ein Verfahren, das den Schwerpunkt auf die
Qualitätsbeurteilung von Supportleistungen legt
 ISPL (Information Services Procurement Library):
„best practice“ für das Management von Akquise- Prozessen
Weitere Standards:
 SPICE (Internationaler Standard für Software Process Assessment)
 SIX SIGMA (Prozess mit Schwerpunkt auf der Entwicklung und
Auslieferung von „perfekten“ Produkten und Services)
 MSF (Framework zur schnelleren Implementierung von Microsoft IT-Lösungen)
 PRINCE2 (Projekt-Management Methode zur erfolgreichen
Durchführung von Projekten aller Art)
 …
Quelle: 11)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
IT-Experten schwer genervt von SOX

Die Umsetzung des Sarbanes Oxley Acts (SOX) halten ITFachleute aus den USA für die Mutter aller
Zeitverschwendungen. Das hat eine Befragung der IBMAnwendervereinigung Share ergeben. Demnach halten es die
Share-Mitglieder sogar für sinnvoller, sich mit unerprobter
Technik auseinander zu setzen als mit der ComplianceRichtlinie.

Die Anwendervereinigung hatte ihre Mitglieder gefragt, was sie in
zehn Jahren wohl als die größte Zeitverschwendung in den
heutigen IT-Abteilungen bezeichnen würden. Mit 28 % die
häufigste Antwort: die Umsetzung der Compliance-Richtlinie
Sarbanes Oxley Act. "Das kostet eine Menge Zeit, ohne dass der
materielle Nutzen abzusehen ist", sagt der Share-Vorsitzende
Robert Rosen. Mehrere Firmen, so Rosen, erwögen bereits ein
De-Listing, also den Rückzug von der Börse, weil sie die SOXAnforderungen nicht umsetzen können.
Quelle: 9)
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Vielen Dank!
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch
Quellen - Literatur
1) http://www.hs-soft.com/DOCs/whitepapers/IT%20Governance%20(de).pdf
2) http://de.wikipedia.org/wiki/IT-Governance
3) IT-Governance für Geschäftsführer und Vorstände, zweite Ausgabe, S.11, IT-Governance Institut
http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=33261&TEMPLATE=/ContentManagement/ContentDisplay.cfm
4) ITIL und Informationssicherheit: http://www.bsi.bund.de/literat/studien/ITinf/itil.pdf
5) SOX Original: http://www.law.uc.edu/CCL/SOact/soact.pdf
6) IT Strategie/ -Organisation SWM: http://www.e-berger.de/IT-Organisation_Bieberbach_2007-12-19.pdf
7) Was haben 21.000 Meilen Schienen mit IT-Sicherheit zu tun? (Basel II): http://www.ka-it-si.de/events_doc/ka-it-si_040624_skandalvorsorge.pdf
8) Konformität mit SOX: http://office.microsoft.com/de-de/templates/TC012330971031.aspx?pid=CT100649391031
9) Ranking der größten Zeitfresser – IT Experten schwer genervt von SOX: http://www.cio.de/markt/uebersichten/812425/
10) Basel II: http://www.foerderland.de/355.0.html
11) ITIL, ISPL, COBIT, ISO, MOF, SCP – Standards und ihre Beziehungen: http://www.net-it.info/fileadmin/user_upload/standards.pdf
12) Cobit: http://www.isaca.org (http://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/ContentManagement/ContentDisplay.cfm&ContentID=34172)
13) (COBIT) IT Control Objectives for Sarbanes-Oxley, 2nd Edition: http://www.isaca.org/sox
14) MOF 4.0: http://technet.microsoft.com/en-us/library/cc506049.aspx
15) IT Governance - Definition, Standards & Zertifizierung: http://www.ocg.at/ak/governance/files/itgovernance.pdf
16) Informationsmanagement nach Wikipedia: http://de.wikipedia.org/wiki/Informationsmanagement
17) http://www.objentis.com/index.php?id=topicssoxtesting&L=0
18) http://de.wikipedia.org/wiki/IT_Infrastructure_Library
IM SS08 – Prof. Dr. Schönecker
IT Governance im Überblick – Konstantin Kirsch