Upload
nguyendieu
View
213
Download
0
Embed Size (px)
Citation preview
Prozessmanagement, IKS und Risikomanagement –
einfaches Zusammenspiel!
Prozessorientierung in der Verwaltung
BPM@ÖV2014 - Swiss Day
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 2
Im Schweizer eGovernment herrscht
neu der Imperativ vor. Der elektronische
Behördenschalter «muss» Realität
werden, Einzellösungen «sind» durch
flächendeckende Angebote «zu
ersetzen».
Auftrag
eGovernment: mit den Bürgern Schritt halten
«eGovernment wird eine
echte ePartizipation der
Bürger am Staat möglich
machen.
Zugleich werden die
elektronischen Prozesse
dabei helfen, Bürokratie
abzubauen» Vision laut Bundesrätin Leuthard (2012)
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 3
Agenda
Einleitung und Vorstellung BPM-Plattform für Gemeinden
IKS von der Theorie in die Praxis
Workshop – IKS in der Verwaltung
Round-up
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 4
«Vernetzte Verwaltung» - Elemente zur Beschreibung aus: eCH-0138 Rahmenkonzept zur Beschreibung von Aufgaben, Leistungen, Prozessen und Zugangsstrukturen der öffentlichen Verwaltung der Schweiz
Betrachtungsebenen
Netcetera | 5
Mit Prozessmanagement den Herausforderungen von
heute begegnen
Fit sein für die Zukunft:
eGovernment / Vernetzte Verwaltung, regionale Zusammenarbeit, Kundenorientierung
Qualitätssicherung und –Verbesserung (Bsp. QMS und IKS)
Sicherstellung einer ordentlichen Geschäftsführung (GEVER, ECM, Langzeitarchivierung)
Sicherstellung von Nachfolgeregelung, Stellvertretungen (Wissensmanagement)
Prozessoptimierung vor Beschaffung neuer Applikationen
Bewältigung der wachsenden Herausforderungen mit gleichbleibenden Ressourcen
(Effizienz- und Kostenoptimierung)
Kein reines IT-Thema deshalb ist der Lead bei der Organisation
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 6
Der Reifegrad der Gemeinde wird berücksichtigt
Awareness (Auftrag): Themen wie QMS,
IKS, HRM2 und Wissensmanagement
erfordern dokumentierte Prozesse
Readiness: Gemeinsam werden erste
Musterprozesse erarbeitet, nach eCH-
Standards überprüft und in das Prozess-
Repository hochgeladen.
Es werden die notwendigen Grundlagen
geschaffen, damit die Gemeinde selbständig
weitere Prozesse modellieren kann
Readiness+: Auf Wunsch der Gemeinde wird
weitere Unterstützung bei der Prozess-
modellierung oder der Abbildung von
weiterführenden Themen wie z.B. IKS
geboten.
Fitness: Gemeinden partizipieren am
Prozessportal. Sie modellieren Prozesse
nach den eCH-Standards und stellen diese
den anderen beteiligten Stellen zur
Verfügung. Gleichzeitig kann von Best
Practices anderer Gemeinden profitiert
werden.
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 7
Prozess-Kreislauf BPM-Prozessportal
Schweizweit harmonisiert & integriert
Referenzdienste
B2.13
Prozessplatt-form B1.13
BPM- Prozessportal für Gemeinden
Referenzdienste B2.13 verfügt über sämtliche auf eCH-Basis
vereinbarten Referenzdaten wie Leistungskatalog,
Leistungsbeschreibung, Behördenverzeichnis, etc. und dient
der Veredelung/Anreicherung von eGovernment-Prozessen.
Prozessplattform B1.13 ist «Schaufenster» und Dialog-
plattform für alle prozessorientierten Verwaltungen mit dem
Ziel, einheitliche Dokumentationsstandards zu leben, Best-
Practice zu erlernen und eGovernment zu harmonisieren.
BPM Prozessportal für Gemeinden vereint Modellierungs-,
Dokumentations- und Auswertungs-Dienst aus der Cloud für
Gemeinden und Kantone. Ergänzt durch Qualitätssicherungs-
Prozesse (eCH), Organisations-Handbuch (eCH-0143) und
eine direkte Integration in die Prozessplattform. Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 8
Unser Ansatz
5. Gemeinden modifizieren
veröffentlichte Prozesse
auf eigene Bedürfnisse
1. Gemeinden nutzen Modellierungs-
tool und erstellen Prozesse
4. Gemeinden und Kantone
greifen auf die untereinander
veröffentlichten Prozesse zu
2. Prozesse werden überprüft
und publiziert
3. Gemeinden im Verbund sowie
Kantone gestalten und unterhalten
ihr ganz individuelles Repository
Prozesse,
Standards
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 9
BPM-Prozessportal für Gemeinden
Ein Kooperationsprojekt
BPM-Prozessportal für Gemeinden ist ein Kooperations-
Projekt von Netcetera, Abraxas und BOC.
Das BPM-Prozessportal bietet ein ausgereiftes Tool
(Adonis), Expertise der Partner und einen Rundum-Sorglos-
Service (Cloud).
Im Einsatz für IG ICT wird die Verbreitung und Nutzung
unterstützt von VZGV und VZF (Patronatspartner).
Es bietet direkten bidirektionalen Zugang zur nationalen
Austauschplattform (B1.13).
Es ist unterstützt alle relevanten eCH-Standards
Im «Starterpaket» ist eine Kurzschulung und das Setup mit
allen relevanten Prozesslandkarten und Musterprozessen
enthalten.
BPM-
Prozessportal
für Gemeinden
Gemeinsam zum Ziel – eGovernment funktioniert nur mit dem Einbezug der Gemeinden!
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 10
eCH Fachgruppe Geschäftsprozesse –
Arbeitsgruppe IKS-BPM
Die Themen IKS und Prozessmanagement lassen sich nicht unabhängig
voneinander betrachten. Vielerorts sind die gesetzlichen IKS-Vorgaben der
Grund, warum sich Verwaltungen überhaupt mit Prozessmanagement/-
dokumentation beschäftigen. Die gesetzlichen Grundlagen zu IKS bilden eine
unverrückbare Grundlage.
Ziel der Arbeitsgruppe ist die Erarbeitung von Standards und Hilfsmittel zur
Umsetzung eines integrierten IKS auf Basis von BPM.
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 11
eCH Fachgruppe Geschäftsprozesse –
Arbeitsgruppe IKS-BPM
Es wurden 3 Arbeitsteams gebildet, welche unterschiedliche Themen
bearbeiten:
Arbeitsteam IKS-relevante Musterprozesse
Beschreibung von IKS-relevanten Musterprozessen nach eCH-0158 à Publikation
von Prozessen auf eCH-BPM)
Arbeitsteam Best Practices
praxisnahes Rezept für die Einführung eines IKS entwickeln, mit dem ein einfaches
IKS in vernünftiger Zeit eingeführt werden kann
Arbeitsteam Modellierungskonvention
Standardisierte BPMN-Beschreibung für IKS-Risiken und –Kontrollen)
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 12
Agenda
Einleitung und Vorstellung BPM-Plattform für Gemeinden
IKS von der Theorie in die Praxis
Workshop – IKS in der Verwaltung
Round-up
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 13
IKS – von der Theorie zur Praxis Schach dem operationellen Risiko
Dr. Christian Lichka 09.04.2014
Netcetera | 14
Begriffe des IKS
Risikomanagement Unternehmensweites Risikomanagement ist ein Prozess, ausgeführt durch Überwachungs- und Leitungsorgane, Führungskräfte und Mitarbeiter einer Organisation, angewandt bei der Strategiefestlegung sowie innerhalb der Gesamtorganisation, gestaltet um die die Organisation beeinflussenden, möglichen Ereignisse zu erkennen, und
um hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu gewährleisten.
Internes Kontrollsystem Ist ein Prozess zur Sicherstellung der Erreichung der Geschäftsziele unter Einhaltung von Vorgaben hinsichtlich Effektivität und Effizienz, Korrektheit der Finanzberichterstattung und in Übereinstimmung mit gesetzlichen Rahmenbedingungen.
Risiko Interne und externe Ereignisse, die das Erreichen der Ziele einer Organisation beeinflussen
Kontrolle Instrumente zur Risikosteuerung - Vermeiden, Annehmen, Verringern oder Teilen von Risiken
Massnahme Laufende Anpassung der Kontrollen an die veränderliche Risikolandschaft des Unternehmens. (Kontrollen ändern, austauschen, …)
Quelle: vgl. RM BOC Whitepaper
Netcetera | 15
Die Zielsetzungen eines IKS
Der Kern des IKS
Zuverlässigkeit und Vollständigkeit von finanziellen
und operationellen Informationen
Effektivität und Effizienz von Geschäftsprozessen
Einhaltung von Gesetzen, Bestimmungen und Verträgen
Sicherung des Betriebsvermögens
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 16
Operationelle Risiken sind bekannt …
0 0.2 0.4 0.6 0.8 1 1.2 1.4 1.6 1.8 2
Daiwa Bank
Barings
Sumitomo
Societe GeneralNicht genehmigte Termingeschäfte
Fehlende Trennung von Front- und Backoffice
Unerlaubte Transaktionen am Kupfermarkt
Vorschriftswidrige Geschäfte
Mrd
EUR
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 17
Verteilung der Risikostruktur –
Ist– und Sollzustand
Auswirkung (T€)
Wahrs
chein
lichkeit 1
Kapitalbedarf (T€)
Ist - Risikostruktur
Soll - Risikostruktur
Vgl. ONR 49002 S 26ff
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 18
IKS im öffentlichen Sektor
Die Einführung und der Betrieb eines IKS ist bei der Bundesverwaltung bereits Pflicht.
Der Gemeinderat sorgt für eine zweckmässige Organisation des Finanzhaushaltes und ein
wirksames internes Kontrollsystem (Kanton Bern, BSG 170.111)
Betrachtet man das IKS nicht aus dem „Müssen“ sondern aus dem „Können“:
Für die meisten Gemeinden und Städte, die ein IKS eingeführt haben stehen vor allem der
Transparenzgewinn über
Prozesse,
potenzielle Fehler- und Risikoquellen sowie die
Ergänzung und Verbesserung von Kontrollelementen im Vordergrund
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 19
Ziele und Chancen eines IKS – umfassender gesehen
Stärkung des Vertrauens in die Organisation und die Zielerfüllung durch
erhöhte Sicherheit und Transparenz
Erhöhung der Effizienz der Organisation sowie
des eingesetzten Kapitals
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 20
Risiken und Kontrollen haben mit
Prozessmanagement nichts zu tun.
Das sind bei uns zwei
Bereiche…
Netcetera | 21
Externen Ereignissen
Operationelle Risiken im Kontext von…
Personen
Prozessen Systemen
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 23
IKS und Risikomanagement als Prozess
„Risikomanagement – Life Cycle“
Risiko-Strategie
Risiko-Analyse
Kontrolldefinition und
Risikooptimierung
Implementierung der
Kontrollen
Ausführung der Kontrollen
Evaluierung der Risiken und Kontrollen
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 24
COSO II ISO 31000
Str. Management
Op. Management
Leistungsprozesse
Top Down
Bottom Up
ONR 49000
Verpflichtung der
obersten Führung
Unabhängigkeit von Rahmenwerken und Standards
ISO 27000 sowie weitere
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 25
Wo treten die Risiken auf?
Aktivitäts-/Asset-
bezogenes Risiko
Ermittlung der Risiken basierend auf einzelnen Prozessaktivitäten / Assets
Jede Aktivitätsausprägung ist einzeln und gesondert betreffend möglicher Risiken zu analysieren
Ausprägungen in unterschiedlichen Business Units sind jeweils gesondert zu bewerten
Jedem Risiko ist eine spezifisch adaptierte Kontrolle zuzuordnen
Prozessbezogenes
Risiko
Risiken werden für die Gesamtheit eines Prozesses ermittelt
Analyse erfolgt gemäß der Inputs, Outputs sowie der Prozessdurchführung
Risiken, die nicht ursächlich innerhalb des Prozesses entstehen / beeinflusst werden können sind nicht
aufzunehmen
Jede den Prozess nutzende Business Unit ist gesondert zu analysieren
Kontrollen sind spezifisch für jedes Risiko zu erheben
Alleinstehendes Risiko Bestimmen der Risiken, die eine definierte Business Unit betreffen
Analyse jener Risiken, die das Geschäfts- und Tätigkeitsfeld der Business Unit unmittelbar tangieren
Alleinstehende Risiken sind nicht innerhalb des Workflows darzustellen, können jedoch mittels des
Modellviewers eingesehen werden
Erhobene Risiken müssen die Business Unit direkt betreffen (Ursprung des Risikos) sowie direkt
beeinflussbar sein
Jedem Risiko ist eine geeignete Kontrolle zu definieren und zuzuweisen
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 26
Die Sicherstellung der korrekten Jahresrechnung
Scoping: Bsp. Retrograde Prozessanalyse
Jahresabschluss
Pos A
Pos B
Pos C
…
Pos A
Pos B
Pos C
…
bspw.:
Vollständigkeit (z.B. Überleitung)
Richtigkeit (Berechnung), etc.
COSO II Assertions, Information Processing
Objectives, etc.
Abschlussprozesse
(Rechnungslegungs-Prozesse) Vorgelagerte Prozesse
(Kern- und Supportprozesse)
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 27
Abbildung der Prozessorganisation in ADONIS
Ebenen der Prozessmodellierung
Struktur-Ebenen
Detailprozess-
Ebenen
Pool-Ebenen
Prozesslandkarten Produktmodelle / Leistungskatalog
IT-Systemmodell Dokumentenmodell Arbeitsumgebungsmodell
Geschäftsprozessdiagramme
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 28
Risiken & Kontrollen ADONIS: Erweiterung GPM-Sicht
Risikopool
Pool-Ebenen (Erweiterung zu
Dokumenten, IT-
Systemen etc.)
Struktur-Ebenen
Detailprozess-
Ebenen
Kontrollpool
Geschäftsprozessdiagramme
ggf. Konten
Ebenen der Prozessmodellierung
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Prozesslandkarten Produktmodelle / Leistungskatalog
Netcetera | 29
Ein Kreislauf: Prozessbasiertes IKS und Risikomanagement
Geschäftsprozess
Kontrollprozess
Risiken
Kontrollen
Aktivitätsbezogene
Risiko/Kontrollzuordnung
Alternativ:
Prozessbezogen
Prozess-/Aktivitätsunabhängig
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 30
Die Ergebnisse…
Die Prozesse dienen nicht nur zur Identifikation der Risiken
Sie stossen zumeist auch eine
Prozessoptimierung an!
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 31 Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Risikoidentifikation: Erstellung Risiko-Katalog
Aufbau oder Übernahme eines einheitlichen Risikokatalogs
Level 1 Level 2 Level 3 ……
Netcetera | 32 Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Generierung von Reports aus ADONIS
Individuelle, revisions- und prüfungskonforme Berichtsmöglichkeiten
Reporting
Netcetera | 33
Ein exemplarischer ADONIS IKS Bericht
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 34
IKS auf einen Blick – die Kernbestandteile des Betriebs
Prozesslandkarte,
Prozesse,
Systeme, Daten,
Dokumente etc.
als Identifikations-
objekte für Risiken
Risikolandkarte,
Kataloge
Kontrollkataloge
Risiken– ggf. mit
unterschiedlichen
Attributausprägungen
Klasse Kontrolle – Als
„Gegenstück“ zum Risiko
Klasse Massnahme –
typischerweise zur
Optimierung von Kontrollen,
Umsetzung von Änderungen
Kontrollziele zur
Evaluation der
Risiken und
Kontrollen
Kontrollziele Assets Kataloge
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 35
Kollaboration im Fokus – der Mehrwert
Höhere Qualität und geringe Zentralisierung durch Einbezug aller Rollen
Prozess-Verantwortlicher/
Prozess-Owner
Prozess-Experte/
Prozess-Analyst
Risiko-Verantwortlicher/
Risiko-Owner/
Risiko-Freigabe
Risiko-Experte/
Risiko-Manager
Risiko-Supervisor
Risiko-Bewerter
Chief Process
Officer
Kontrollen-Verantwortlicher/
Kontroll-Freigabe
Kontrollen-Experte/
Kontrollen-Manager
Kontrollen-Supervisor
Kontrollen-Bewerter
Kontrollen-
Durchführender
Prüfungsausschuss
Wirtschaftsprüfer
Interne Revision
Risiko-Management
....
Prozess-Berater
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 36
Prozess-Sicht
Rollenbasierter Zugang: Jeder Rolle ihre Sicht
Risiko-Sicht
Kontrollen-
Sicht
Prozessmanager-/ Leser
Risiko-Bewerter
Risiko-Freigeber
Risiko-Leser
Kontroll-Bewerter
Kontroll-Freigeber
Kontroll-Durchführender
Kontroll-Leser
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 37
ADONIS: Das Management Cockpit
ADONIS Prozessportal mit IKS Sichten
Meine Risiken auf einen Blick
Verbesserungsvorschläge
Aktuelle Geschäftsfälle
Status meiner Prozesse
Anstehende Prozessfreigaben
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 38
ADONIS Risiko- und Kontrollüberwachung
Massgeschneiderte Dashboards für rollenspezifische Informationen
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 39
ADONIS: eine Plattform für BPM, IKS und mehr
Klein beginnen – modular wachsen
myViews – meine persönlichen Dashboards
Vorschläge
Netcetera | 40
Umsetzung von IKS und RM mit ADONIS und dem APP
Umfassende Unterstützung aller Szenarien
Direkte Integration von Prozessen, Risiken, Kontrollen und Massnahmen, Audits, u.v.m.
Vollständig auf eCH/BPMN aufbauend
Workflowunterstützung für die regelmässige Risikobewertung und
das Kontrolltesting.
Direkte Erstellung der Prüfungsberichte. Audit- und revisionskonform.
Management- und persönliche Cockpits.
Einfach einzusetzen. Integriert. Erweiterbar und zukunftssicher.
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 41
Informieren Sie sich weiter…
Bilden Sie sich weiter…
IKS und Risikomanagement Whitepaper
IKS Vorgehensmodell und Best Practise – Poster
Testzugang
Persönliche Demonstration
GPM Foundation Kurse
CBPP Zertifizierung
IKS Grundlagenseminar
IKS Praxisworkshop
IKS in der öffentlichen Verwaltung
Fachlichkeit. Software. Training.
Alles aus einer Hand.
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 42
Agenda
Einleitung und Vorstellung BPM-Plattform für Gemeinden
IKS von der Theorie in die Praxis
Workshop – IKS in der Verwaltung
Round-up
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 43
Workshop – IKS in Ihrer Verwaltung
Ziel
Aufbereitung Anforderungen, Nutzen & Handlungsfelder
Fragestellung
Wie -> Methoden
Warum -> Nutzen
Wer -> Organisation, Rollen und Aufgaben
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 44
Workshop – IKS in Ihrer Verwaltung
Vorgehen
Chancen und Gefahren von IKS
Welche möchten Sie gerne vertieft diskutieren
Gruppenarbeiten (kurz)
Themen-Cluster vertiefen
Kurze Präsentation
Fachliche dokumentierte Würdigung (ca. Ende April) Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 45
Agenda
Einleitung und Vorstellung BPM-Plattform für Gemeinden
IKS von der Theorie in die Praxis
Workshop – IKS in der Verwaltung
Round-up
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH
Netcetera | 47
Round-up
Wie weiter?
Auswertung Workshop
Seminare BOC zum Thema IKS
Präsentation vor Ort
Verlosung Buch BPM in der Praxis
Herzlichen Dank für Ihre Mitarbeit
Copyright 2014 by Abraxas, Netcetera, BOC Information Technologies Consulting GmbH