Michael Schirmbrand 11. Apr 2023
Michael Schirmbrand 11. Apr 2023
BUSINESS ADVISORY SERVICE
IT Advisory
IT- Governance
Unter besonderer Berücksichtung von Compliance / IT Audit
Michael Schirmbrand 11. Apr 2023 2
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IT-Governance AusgangslageIT-Governance Ausgangslage
Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie.
Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium.
Fehlende Ausrichtung an den Geschäftszielen
Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet.
Fehlende Nutzenbewertung von IT-Projekten
Der Nutzen von (IT-)Projekten wird meist nicht gemessen.
Fehlende IT-Prozessorganisation
Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar.
Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder nachvollziehbar.
Beobachtungen in Österreich:
Michael Schirmbrand 11. Apr 2023 3
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Unkenntnis der relevanten RegularienUnkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der PrüferBessere Ausbildung und Kenntnis der Prüfer Event getriebener Ansatz für ComplianceEvent getriebener Ansatz für Compliance
Eine Vervielfachung der Regularien ist in den Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwartenfolgenden Jahren zu erwarten
Warum (IT-) Audits noch immer nicht bestanden werdenWarum (IT-) Audits noch immer nicht bestanden werden
(Siehe auch Information Systems Control Journal 5/2007)
Michael Schirmbrand 11. Apr 2023 4
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Gartner’s Regulations and Related Standards Hype CycleGartner’s Regulations and Related Standards Hype Cycle
Solvency II
Michael Schirmbrand 11. Apr 2023 5
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Stabiler Wert und Vertrauen
IT GovernanceBalance zwischen Risiko und PerformanceIT GovernanceBalance zwischen Risiko und Performance
ProzessVerbesserung
VerbesserteKontrolle
IntegriertesRisiko Management
ProzessTransformation
Performance
Ris
iko
Compliance
Die Die Rechtssprechung Rechtssprechung zieht das Pendel in zieht das Pendel in Richtung RisikoRichtung Risiko
Wettbewerb und Wettbewerb und Marktdruck Marktdruck drücken das drücken das Pendel Richtung Pendel Richtung PerformancePerformance
IT Governance IT Governance managt die managt die Balance zwischen Balance zwischen Risikomanagement Risikomanagement und Performance-und Performance-erfordernis.erfordernis.
Michael Schirmbrand 11. Apr 2023 6
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IT-Governance: Eine DefinitionIT-Governance: Eine Definition
CorporateGovernance
ITGovernance
BusinessInformations-systeme Für IT-Governance sind Vorstand und
Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt.
— IT Governance Institute
Michael Schirmbrand 11. Apr 2023 7
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Strategic AlignmentStrategic Alignment Value DeliveryValue Delivery IT Asset ManagementIT Asset Management Risk ManagementRisk Management Performance MeasurementPerformance Measurement
GartnerGartner CSCCSC CompassCompass GigaGiga AICPA/CICAAICPA/CICA CIO MagazineCIO Magazine Technology Technology
CouncilCouncil
Prioritäten der AnalystenPrioritäten der Analysten
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
Michael Schirmbrand 11. Apr 2023 8
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IT-Governance Focus AreasIT-Governance Focus Areas
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT GovernanceIT Governance
Michael Schirmbrand 11. Apr 2023 9
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IT Governance Focus Areas (1)IT Governance Focus Areas (1)
Strategic Alignment (Strategische Ausrichtung) Strategic Alignment (Strategische Ausrichtung) Sicherstellung des Verbunds von Unternehmens- und IT Sicherstellung des Verbunds von Unternehmens- und IT
ZielenZielen Festlegung, Beibehaltung und Validierung des WertbeitragsFestlegung, Beibehaltung und Validierung des Wertbeitrags Abgleich zwischen operativem Betrieb des Unternehmens Abgleich zwischen operativem Betrieb des Unternehmens
und jenem der ITund jenem der IT Value Delivery (Schaffen von Werten/Nutzen) Value Delivery (Schaffen von Werten/Nutzen)
Realisierung des Wertbeitrags im LeistungszyklusRealisierung des Wertbeitrags im Leistungszyklus Sicherstellung der Generierung des strategisch geplanten Sicherstellung der Generierung des strategisch geplanten
Nutzens Nutzens Kostenoptimierung Kostenoptimierung Erbringung des intrinsischen Nutzens der ITErbringung des intrinsischen Nutzens der IT
Resource Management (Ressourcenmanagement) Resource Management (Ressourcenmanagement) Optimierung von Investitionen in IT-Ressourcen Optimierung von Investitionen in IT-Ressourcen geregeltes Management von IT-Ressourcengeregeltes Management von IT-Ressourcen Optimierung von Wissen und InfrastrukturOptimierung von Wissen und Infrastruktur
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
Michael Schirmbrand 11. Apr 2023 10
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IT Governance Focus Areas (2)IT Governance Focus Areas (2)
Risk Management (Risikomanagement) Risk Management (Risikomanagement) Risiko-Awareness bei der UnternehmensleitungRisiko-Awareness bei der Unternehmensleitung Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis über die Risikobereitschaft (engl: risk appetite) Verständnis für Compliance-ErfordernisseVerständnis für Compliance-Erfordernisse Transparenz über die für das Unternehmen wichtigsten Transparenz über die für das Unternehmen wichtigsten
Risiken Risiken Integration der Verantwortlichkeit für Risikomanagement in Integration der Verantwortlichkeit für Risikomanagement in
der Organisationder Organisation Performance Measurement (Messen von Performance) Performance Measurement (Messen von Performance)
Verfolgen und überwachen der Umsetzung Verfolgen und überwachen der Umsetzung der Strategie und von Projektender Strategie und von Projekten
Verwendung von RessourcenVerwendung von Ressourcen Prozessperformance (Balanced Scorecard)Prozessperformance (Balanced Scorecard) Leistungserbringung (engl: Service Delivery)Leistungserbringung (engl: Service Delivery)
Strategic
Alignment
ValueDelivery
Ris
kM
anag
emen
t
ResourceManagement
Perfo
rman
ce
Measu
remen
t
IT Governance
Michael Schirmbrand 11. Apr 2023 11
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Wesentliche Standards für IT GovernanceWesentliche Standards für IT Governance
forderndfordernd Fachgutachten (IFAC, AICPA, KWT)Fachgutachten (IFAC, AICPA, KWT) SAS 70SAS 70 Sarbanes Oxley ActSarbanes Oxley Act 8. EU-Audit-Richtlinie8. EU-Audit-Richtlinie Sonstige relevante GesetzeSonstige relevante Gesetze
helfendhelfend CobiTCobiT ValITValIT ITILITIL ISO 17799ISO 17799 CMMICMMI ……
12
FachgutachtenFachgutachten
Michael Schirmbrand 11. Apr 2023 13
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Fachgutachten - Verschiedene herausgebende OrganisationenFachgutachten - Verschiedene herausgebende Organisationen
IFAC – International Federation of AccountantsIFAC – International Federation of Accountants ISA (ISA (ISA 402 - Audit Considerations relating to Entities ISA 402 - Audit Considerations relating to Entities
using Service Organizations)using Service Organizations) AICPA – American Institute of CPAsAICPA – American Institute of CPAs
SAS (zB SAS/70 - Reports on the Processing of Transactions SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations)by Service Organizations)
PCAOB – Public Company Accounting Oversight BoardPCAOB – Public Company Accounting Oversight Board Auditing StandardsAuditing Standards
KFS – Kammer der WT - Fachsenat für KFS – Kammer der WT - Fachsenat für DatenverarbeitungDatenverarbeitung KFS/DV1KFS/DV1 KFS/DV2KFS/DV2
IDW – Institut der WirtschaftsprüferIDW – Institut der Wirtschaftsprüfer PS331 (Serviceorganisationen)PS331 (Serviceorganisationen) FAIT (Fachgutachten für die Prüfung von FAIT (Fachgutachten für die Prüfung von
Informationstechnologie)Informationstechnologie)
Michael Schirmbrand 11. Apr 2023 14
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Fachgutachten ÖsterreichFachgutachten Österreich
KFS/DV1 der Kammer der WTKFS/DV1 der Kammer der WT Allgemeine Anforderungen (Belegfunktion, Allgemeine Anforderungen (Belegfunktion,
Journalfunktion, Kontenfunktion,...)Journalfunktion, Kontenfunktion,...) Forderung nach FunktionstrennungForderung nach Funktionstrennung Detaillierte Forderungen an die Detaillierte Forderungen an die
SystemdokumentationSystemdokumentation KFS/DV 2 KFS/DV 2
Richtlinien zur Prüfung der IT im Rahmen Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungenvon Jahresabschlussprüfungen
Michael Schirmbrand 11. Apr 2023 15
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KFS/DV 1 - GrundsätzeKFS/DV 1 - Grundsätze
Allgemeine AnforderungenAllgemeine Anforderungen Unternehmer buchführungspflichtig und Unternehmer buchführungspflichtig und
für Ordnungsmäßigkeit verantwortlich für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren)(auch bei Fremd-SW und Online-Verfahren)
RadierverbotRadierverbot Prüfspur progressiv und retrogradPrüfspur progressiv und retrograd Verbot nachträglicher SchreibvorgängeVerbot nachträglicher Schreibvorgänge
Michael Schirmbrand 11. Apr 2023 16
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Österreich KFS/DV 1 – DokumentationÖsterreich KFS/DV 1 – Dokumentation
VerfahrensdokumentationVerfahrensdokumentation Für Programmentwicklungen, Change Management, Zukäufe von SW Für Programmentwicklungen, Change Management, Zukäufe von SW
(inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein:(inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein:• Anforderung/AufgabenstellungAnforderung/Aufgabenstellung• DatensatzaufbauDatensatzaufbau• Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen)
einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlungeinschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung• DatenausgabeDatenausgabe• DatensicherungDatensicherung• Verfügbare ProgrammeVerfügbare Programme• Art, Inhalt und Umfang der durchgeführten TestsArt, Inhalt und Umfang der durchgeführten Tests • Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)Freigaben (Zeitpunkt, Unterschrift des Auftraggebers)• VersionsmanagementVersionsmanagement
Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,……
Eventuell können Teile davon auch von externen Dritten zur Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werdenVerfügung gestellt werden
Dokumentation der ZugriffsverfahrenDokumentation der Zugriffsverfahren Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)
Michael Schirmbrand 11. Apr 2023 17
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KFS/DV 1 - IKSKFS/DV 1 - IKS
Zusätzlich notwendigZusätzlich notwendig Funktionstrennung Funktionstrennung
(Fachabteilung/Entwickler/Admin)(Fachabteilung/Entwickler/Admin) Zugriffsberechtigungen auf allen SystemebenenZugriffsberechtigungen auf allen Systemebenen DatensicherungenDatensicherungen Schutz vor Sabotage, Missbrauch und Schutz vor Sabotage, Missbrauch und
VernichtungVernichtung KontinuitätsmanagementKontinuitätsmanagement Aufbewahrung sämtlicher Aufbewahrung sämtlicher
Dokumentationsbestandteile für 7 JahreDokumentationsbestandteile für 7 Jahre
Michael Schirmbrand 11. Apr 2023 18
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IDW RS FAIT 2 - DokumentationIDW RS FAIT 2 - Dokumentation
Deutsches Fachgutachten – in einigen Bereichen zur Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1Klarstellung detaillierter als KFS/DV 1
Dokumentation grundsätzlich wie bei FAIT 1, plus Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich:zusätzlich: Doku HW/SW (zB Router, Firewall, Virenscanner,..)Doku HW/SW (zB Router, Firewall, Virenscanner,..) Netzwerkarchitektur (auch Anbindung ISP)Netzwerkarchitektur (auch Anbindung ISP) Verwendete ProtokolleVerwendete Protokolle VerschlüsselungsverfahrenVerschlüsselungsverfahren SignaturverfahrenSignaturverfahren Datenflusspläne, Schnittstellen, relevante KontrollenDatenflusspläne, Schnittstellen, relevante Kontrollen Autorisierungsverfahren, Verfahren zur Generierung von Autorisierungsverfahren, Verfahren zur Generierung von
BuchungenBuchungen
Michael Schirmbrand 11. Apr 2023 19
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IDW RS FAIT 2 - IKSIDW RS FAIT 2 - IKS
Für IKS zusätzlich notwendigFür IKS zusätzlich notwendig Firewall Einstellungen (+Überprüfungen)Firewall Einstellungen (+Überprüfungen) Firewall-Logs (+Überprüfungen)Firewall-Logs (+Überprüfungen) Change Management für die gesamte Change Management für die gesamte
Infrastruktur (Firewalls, Router, Switches,..,)Infrastruktur (Firewalls, Router, Switches,..,) Scanner (IDS, Viren, Kontrollen,..)Scanner (IDS, Viren, Kontrollen,..) Penetration TestsPenetration Tests Überprüfung dieser Themen durch die RevisionÜberprüfung dieser Themen durch die Revision
Dient nur als Beispiel; in Deutschland alles Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahrenfür 10 Jahre aufzubewahren
Michael Schirmbrand 11. Apr 2023 20
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Überblick Fachgutachten KFS/DV 2Überblick Fachgutachten KFS/DV 2
Fachgutachten „Die Prüfung der IT im Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“Rahmen von Abschlussprüfungen“
Erarbeitet durch FS DVErarbeitet durch FS DV Gemeinsame Überarbeitung durch FS DV Gemeinsame Überarbeitung durch FS DV
und FS HRund FS HR Verabschiedet im November 2004Verabschiedet im November 2004
Michael Schirmbrand 11. Apr 2023 21
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Struktur KFS/DV 2Struktur KFS/DV 2
A.A. VorbemerkungenVorbemerkungenA.1.A.1. Anwendungsbereich des FachgutachtensAnwendungsbereich des FachgutachtensA.2.A.2. Einbindung in die AbschlussprüfungEinbindung in die AbschlussprüfungB.B. Ziel und Umfang der Prüfung der InformationstechnikZiel und Umfang der Prüfung der InformationstechnikC.C. Tätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikTätigkeiten des Abschlussprüfers bei der Prüfung der InformationstechnikC.1.C.1. Berücksichtigung der Prüfung der Informationstechnik bei der Berücksichtigung der Prüfung der Informationstechnik bei der
PrüfungsplanungPrüfungsplanungC.2.C.2. Gewinnung eines Überblicks über die Informationstechnik des geprüften Gewinnung eines Überblicks über die Informationstechnik des geprüften
UnternehmensUnternehmensC.3.C.3. Feststellung der wesentlichen aus dem Einsatz der Informationstechnik Feststellung der wesentlichen aus dem Einsatz der Informationstechnik
resultierenden Risikenresultierenden RisikenC.4.C.4. Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung
oder Verminderung der Risikenoder Verminderung der RisikenAnwendungsunabhängige Kontrollen der Informationstechnik-ProzesseAnwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der GeschäftsprozesseAnwendungsabhängige Kontrollen der Geschäftsprozesse
C.5.C.5. Prüfungshandlungen des AbschlussprüfersPrüfungshandlungen des AbschlussprüfersPrüfung der anwendungsunabhängigen KontrollenPrüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen KontrollenPrüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger BuchführungPrüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung
C.6.C.6. Dokumentation der Prüfungshandlungen und Berichterstattung über die Dokumentation der Prüfungshandlungen und Berichterstattung über die PrüfungsfeststellungenPrüfungsfeststellungen
D.D. Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)anderes Unternehmen (IT‑Outsourcing)
Michael Schirmbrand 11. Apr 2023 22
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KFS/DV 2 - GrundsätzeKFS/DV 2 - Grundsätze
Prüfung der IT ist der der Prüfung des Prüfung der IT ist der der Prüfung des Internen KontrollsystemsInternen Kontrollsystems
Geprüft werden die Geprüft werden die IT Qualitätsmerkmale IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz)Wartbarkeit (nicht Effizienz)
Risikoorientierte PrüfungRisikoorientierte Prüfung Prüfung von StichprobenPrüfung von Stichproben Abhängig von Größe und Komplexität des Abhängig von Größe und Komplexität des
Unternehmens und der eingesetzten Unternehmens und der eingesetzten SystemeSysteme
Michael Schirmbrand 11. Apr 2023 23
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KFS/DV 2 – Grobüberblick über IT PrüfungenKFS/DV 2 – Grobüberblick über IT Prüfungen
Gewinnung eines Überblicks über Systeme Gewinnung eines Überblicks über Systeme und Abläufeund Abläufe
Prüfung der IT Prozesse Prüfung der IT Prozesse (anwendungs(anwendungsununabhängige IT Kontrollen), abhängige IT Kontrollen), orientiert zB an CobITorientiert zB an CobIT
Prüfung der Anwendungen Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)(anwendungsabhängige IT Kontrollen)
Michael Schirmbrand 11. Apr 2023 24
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Prüffelder IT-PrüfungPrüffelder IT-Prüfung
allgemeine IT Kontrollen (General IT Controls)allgemeine IT Kontrollen (General IT Controls) AnwendungskontrollenAnwendungskontrollen Sonderthemen (Datenanalysen, Prozess-Erhebung, Sonderthemen (Datenanalysen, Prozess-Erhebung,
Schnittstellen, Datenschutz, Archivierung, Migration)Schnittstellen, Datenschutz, Archivierung, Migration)
IT-Prozess externe Anbindungen
Netzwerk
Betriebssystem(e)
Datenbank 1
Prozess 2Prozess 2Prozess 1Prozess 1 Prozess 3Prozess 3
Telebanking SAPBilling
Datenbank 1 Datenbank 1
Michael Schirmbrand 11. Apr 2023 25
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Zusätzlich eventuell teilweise ISO 17799, Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,...SysTrust,...
Prüfung des IT Überwachungssystems (IT Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT InfrastrukturUmfeld, IT Organisation, IT Infrastruktur IT Governance, IT Controlling, Kontrolle der IT Governance, IT Controlling, Kontrolle der
Verfahren, Spezielle Auswirkungen von Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der KontrollenRevision, Nachvollziehbarkeit der Kontrollen
KFS/DV 2 – Prüfung anwendungsunabhängig (2)
Michael Schirmbrand 11. Apr 2023 26
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KFS/DV 2 – Prüfung anwendungsabhängigKFS/DV 2 – Prüfung anwendungsabhängig
Einholung von Informationen über die relevanten Einholung von Informationen über die relevanten AnwendungenAnwendungen
Prüfung und Beurteilung der Programmfunktionen: Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der PrüfungBestandteil der Prüfung
Prüfung der Anwendungskontrollen: Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.
Michael Schirmbrand 11. Apr 2023 27
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
KFS/DV 2 - OutsourcingKFS/DV 2 - Outsourcing
Sofern Aktivitäten als Dienstleistungsunternehmen Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kanngenügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmeninsbesondere aus Prüfung von Dienstleistungsunternehmen oder Serviceunternehmen nach demoder Serviceunternehmen nach dem Standard ISA Standard ISA 402402 der IFAC herangezogen werden.der IFAC herangezogen werden.
28
SAS 70SAS 70
Michael Schirmbrand 11. Apr 2023 29
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Überblick SAS 70 (siehe auch ISA 402)Überblick SAS 70 (siehe auch ISA 402)
Standard für die Prüfung von Outsourcing-Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld)Dienstleistern (und deren Kontrollumfeld)
Veröffentlichung der AICPAVeröffentlichung der AICPA Gilt grundsätzlich für USA, aber auch bei Gilt grundsätzlich für USA, aber auch bei
Bilanzierung nach US GAAPBilanzierung nach US GAAP Mittlerweile weltweiter De-Facto Standard für Mittlerweile weltweiter De-Facto Standard für
Prüfungen von und für Wirtschaftsprüfern bei (IT ) Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-OrganisationenService-Organisationen
Praktisch inhaltsgleich zu ISA 402 der IFACPraktisch inhaltsgleich zu ISA 402 der IFAC In Deutschland auch Standard PS 331In Deutschland auch Standard PS 331 Achtung: Sarbanes Oxley – vom PCAOB Achtung: Sarbanes Oxley – vom PCAOB
vorgeschriebenvorgeschrieben Auch in Österreich bei (fast) allen RZ in UmsetzungAuch in Österreich bei (fast) allen RZ in Umsetzung In Österreich in Richtlinie IWP-PE14 umgesetztIn Österreich in Richtlinie IWP-PE14 umgesetzt
Michael Schirmbrand 11. Apr 2023 30
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
ISA 402 / SAS 70 Anforderungen an PrüferISA 402 / SAS 70 Anforderungen an Prüfer
Anzuwenden bei (Teil-) Outsourcing der ITAnzuwenden bei (Teil-) Outsourcing der IT Prüfer von RZ-Kunden müssenPrüfer von RZ-Kunden müssen
Report nach SAS 70 / ISA 402 des RZ einholen Report nach SAS 70 / ISA 402 des RZ einholen oderoder
selbst das RZ prüfen oderselbst das RZ prüfen oder jemanden beauftragen, das RZ nach SAS 70 jemanden beauftragen, das RZ nach SAS 70
zu prüfen oderzu prüfen oder Bestätigungsvermerk einschränken oder Bestätigungsvermerk einschränken oder
versagenversagen
Michael Schirmbrand 11. Apr 2023 31
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
SAS 70 - BerichterstattungSAS 70 - Berichterstattung
Standard-Text für Bestätigungsvermerk Standard-Text für Bestätigungsvermerk definiertdefiniert
Bei Typ II Report sind die vorhandenen Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail Ergebnisse der Prüfung im Detail dazustellendazustellen
Die Verantwortungen von Kunde und RZ Die Verantwortungen von Kunde und RZ sind klar abzugrenzensind klar abzugrenzen
Bei wesentlichen Mängeln ist der Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versageneinzuschränken oder zu versagen
32
Sarbanes OxleySarbanes Oxley
Michael Schirmbrand 11. Apr 2023 33
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Sarbanes-Oxley (SOX) Paragraph 404Sarbanes-Oxley (SOX) Paragraph 404Section 404 des Sarbanes-Oxley Act fordert: Section 404 des Sarbanes-Oxley Act fordert:
Unternehmensleitung beurteilt das Interne Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüberFinanzreporting (ICOFR) und berichtet darüber
Der externe, unabhängige Prüfer gibt ein Testat Der externe, unabhängige Prüfer gibt ein Testat über den Management-Testüber den Management-Test
Prüfer berichtet direkt über die Wirksamkeit Prüfer berichtet direkt über die Wirksamkeit des IKSdes IKS
Seit 2004 für US-Unternehmen, die SEC Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlichgelistet sind, erforderlich
Andere Unternehmen (foreign issuers) seit Andere Unternehmen (foreign issuers) seit 20062006
34
8. EU-Audit-Richtlinie(RL 2006/43/EG)
“EuroSox”
8. EU-Audit-Richtlinie(RL 2006/43/EG)
“EuroSox”
Michael Schirmbrand 11. Apr 2023 35
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Ausprägung in ÖsterreichAusprägung in Österreich
Unternehmensrechtsänderungsgesetz (URÄG) 2008Unternehmensrechtsänderungsgesetz (URÄG) 2008 Verabschiedung am 10. April 2008Verabschiedung am 10. April 2008 In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach
31.12.200831.12.2008Unternehmen von öffentlichem Interesse (Betroffene)Unternehmen von öffentlichem Interesse (Betroffene)
Kapitalmarktorientierte UnternehmenKapitalmarktorientierte Unternehmen• Aktien oder Wertpapiere an geregeltem Markt oder Aktien oder Wertpapiere an geregeltem Markt oder
anerkannten, offenen Markt in OECD-Staat notierenanerkannten, offenen Markt in OECD-Staat notieren Versicherungen, BankenVersicherungen, Banken „„Sehr“ große UnternehmenSehr“ große Unternehmen
• >196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme>196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten)
MitgliedernMitgliedern
Michael Schirmbrand 11. Apr 2023 36
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
8. EU-RL / URÄG 2008 – betroffene Parteien8. EU-RL / URÄG 2008 – betroffene Parteien
Vorstand / GFVorstand / GF Verantwortet IKS, interne Revision, RM-SystemVerantwortet IKS, interne Revision, RM-System Stellt Lagebericht und CG-Bericht auf und Stellt Lagebericht und CG-Bericht auf und
unterschreibtunterschreibtPrüfungsausschussPrüfungsausschuss
Überwacht IKS, RM-System, interne RevisionÜberwacht IKS, RM-System, interne Revision Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System)Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System)
AbschlussprüferAbschlussprüfer Prüft Einhaltung relevanter Gesetze (Lagebericht, Prüft Einhaltung relevanter Gesetze (Lagebericht,
Erstellung CG-Bericht, IKS,…)Erstellung CG-Bericht, IKS,…) Berichtet über BeanstandungenBerichtet über Beanstandungen
Michael Schirmbrand 11. Apr 2023 37
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
URÄG 2008Pflichten des PrüfungsausschussesURÄG 2008Pflichten des Prüfungsausschusses
PrüfungsausschussPrüfungsausschuss § 92 AktG, § 30g GmbHG, § 24 GenG§ 92 AktG, § 30g GmbHG, § 24 GenG Pflichten u.a.Pflichten u.a.
•Überwachung der RechnungslegungÜberwachung der Rechnungslegung
•Überwachung der Wirksamkeit des IKSÜberwachung der Wirksamkeit des IKS Schließt interne Revision und RM-System mit einSchließt interne Revision und RM-System mit ein
•Prüfung des Lageberichts und des Corporate Prüfung des Lageberichts und des Corporate Governance BerichtsGovernance Berichts
Michael Schirmbrand 11. Apr 2023 38
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Auswirkungen 8. EU-RLAuswirkungen 8. EU-RL
8. EU-RL wendet sich kaum direkt an Unternehmen, 8. EU-RL wendet sich kaum direkt an Unternehmen, ABERABER
Der Benchmark von SOX bezüglich IKS wird abfärbenDer Benchmark von SOX bezüglich IKS wird abfärben Über den PrüfungsausschussÜber den Prüfungsausschuss
•Überwachungsaufgaben (IKS, Risikomanagement, etc.)Überwachungsaufgaben (IKS, Risikomanagement, etc.) Über den PrüferÜber den Prüfer
•Die Ausbildung von Prüfern greift IKS und Die Ausbildung von Prüfern greift IKS und Risikomanagement aufRisikomanagement auf
•Der Prüfer muss über das IKS berichtenDer Prüfer muss über das IKS berichten Über die Verantwortlichkeiten des VorstandsÜber die Verantwortlichkeiten des Vorstands Über den MarktÜber den Markt
Wie und woher bekommt der Vorstand / Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS?Prüfungsausschuss seine Informationen über das IKS?
Michael Schirmbrand 11. Apr 2023 39
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Auswirkungen von Sarbanes Oxley Act auf die ITAuswirkungen von Sarbanes Oxley Act auf die IT Massive AuswirkungenMassive Auswirkungen Kontrollen müssen dokumentiert und Kontrollen müssen dokumentiert und
geprüft werdengeprüft werden große Teile der Kontrollen in der IT große Teile der Kontrollen in der IT
(oft 50 bis 70 %)(oft 50 bis 70 %) Im Regelfall mehrere hundert KontrollenIm Regelfall mehrere hundert Kontrollen Wesentliche Kontroll-Schwachstellen sind Wesentliche Kontroll-Schwachstellen sind
oft in der IToft in der IT Unterscheidung in Anwendungskontrollen Unterscheidung in Anwendungskontrollen
und General IT Controlsund General IT Controls Cobit als Standard für General IT Controls Cobit als Standard für General IT Controls
anerkanntanerkannt Überleitung von COSO auf CobiT in einer Überleitung von COSO auf CobiT in einer
Veröffentlichung vom IT Governance Veröffentlichung vom IT Governance InstituteInstitute
40
FrameworksFrameworks
Michael Schirmbrand 11. Apr 2023 41
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Frameworks und Standards…Frameworks und Standards…
Source: PINK
IT-BetriebIT
Plan
ung
Anw
endungs-E
ntw
.
Risiko
& S
ecurity
Pro
jektman
agem
ent
Service M
anag
emen
t
Qualitätsm
anag
emen
t
COSO
SarbanesOxley
Basel IISolvency II
8. EU AuditRichtlinie
AktG / GmbHG
COBITValIT
V-Modell
ISO1779927001
BS25999
PMIPRINCE2
ITILISO20000
SixSigmaISO9000
CMMI
Governance
Management
Betrieb
COBIT®
Quelle: Pink Roccade/Elefant
Michael Schirmbrand 11. Apr 2023 42
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht
Gemeinsame Sprache über Kontrollen, Definitionen, Modelle
Unternehmensziele im Rahmen von COSO sind Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung)
Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen)
Compliance (Einhaltung von Gesetzen und Regulationen)
Zielerreichung über die Ausgestaltung der Komponenten des Frameworks Control Environment (Kontrollumfeld)
Risk Assessment (Risikobewertung)
Control Activities (Kontrollaktivitäten)
Information & Communication (Information & Kommunikation)
Monitoring (Überwachung)
Benchmark für interne Kontrollen und Verweis in SOX Weiterentwicklungen:
September 2004: Enterprise Risk Management (COSO II)
Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“
COSO (Internal Control - Integrated Framework)COSO (Internal Control - Integrated Framework)
43
CobiTCobiT
Michael Schirmbrand 11. Apr 2023 44
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Entwicklung von CobiTEntwicklung von CobiT
Governance
Management
Control
Audit
COBIT 1 COBIT 2 COBIT 3 COBIT 4
1996 1998 2000 2005
Michael Schirmbrand 11. Apr 2023 45
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Was ist IT-Governance?Was ist IT-Governance?
IT-GOVERNANCE
IT-MANAGEMENT
• Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt
• Methode: Führungs- und Organisationsstrukturen sowie Prozesse• Verantwortung: Vorstand und Geschäftsführung
Setze die Strategie um•Erhöhe die Automation (mache das Kerngeschäft
wirksam)•Senke Kosten (mache das Unternehmen
wirtschaftlich)•Manage Risiken (Security, Verlässlichkeit und
Compliance)
Setze Ziele •IT arbeitet im Sinne des Kerngeschäfts
(Alignment)•IT ermöglicht das Kerngeschäft (Enablement)
und maximiert den Nutzen (Value Delivery)•IT Ressourcen werden verantwortungsvoll
eingesetzt•IT-bezogene Risiken werden angemessen
gemanagt
Überführe die
Richtung in eine
Strategie
Messe und Berichte
über Performan
ce
Gib die Richtung
vor
Evaluiere Performan
ce
IT-GOVERNANCE
Michael Schirmbrand 11. Apr 2023 46
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Unternehmensziele
IT Ziele
IT Prozesse
Unternehmens Erfordernisse
Governance Erfordernisse
Informations -Services
Information Criteria
erfordern beeinflussen
setzen voraus
Unterstützung durch CobiTUnterstützung durch CobiT
IT Prozesse(mit Verantwortlichen)
liefernInformation
Anwendungen
Infrastrukturund Personal
betreiben
benötigt
CobiT
Michael Schirmbrand 11. Apr 2023 47
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Ausrichtung von IT-Prozessen an UnternehmenszieleAusrichtung von IT-Prozessen an Unternehmensziele
Unternehmensziel IT Ziele
Finanz-perspektive
1 Marktanteil erhöhen 25 282 Erträge erhöhen 25 253 Rendite 244 Kapitalverwertung optimieren 145 Geschäftsrisiken managen 2 14 17 18 19 20 21 22
6 Kunden- und Serviceorientierung erhöhen 3 237 Kostengünstige Produkte und Services anbieten 5 248 Verfügbarkeit von Services 10 16 22 239 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen (time to market) 1 5 25
10 Kostenoptimierung bei Serviceerbringung 7 8 10 24
11 Automatisierung und Integration der Wertschöpfungskette 6 7 8 1112 Geschäftsprozess überarbeiten und verbessern 6 7 8 1113 Prozesskosten reduzieren 7 8 13 15 2414 Compliance mit Gesetzen und Regulativen 2 19 20 21 22 26 2715 Transparenz 2 1816 Compliance mit internen Regelungen 2 1317 Betriebliche- und Mitarbeiterproduktivität steigern 7 8 11 13
18 Produkt-/Geschäftsinnovation 5 25 2819 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen 2 4 12 20 2620 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln 9
Lern- und Wachstums-perspektive
Finanz-perspektive
Kunden-perspektive
Interne Perspektive
Typische Unternehmensziele Referenz zu IT-Ziel
Michael Schirmbrand 11. Apr 2023 48
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Typische IT-ZieleTypische IT-Ziele1 Reagiere auf Geschäftsanforderungen in Übereinstimmung mit der Unternehmensstrategie2 Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungs-vorgaben3 Stelle die Enduser-Zufriedenheit mit den Serviceangeboten und Service Levels sicher4 Optimiere die Verwendung von Information 5 Stelle IT-Agilität her
6Definiere, wie funktionale geschäftliche und Steuerungsanforderungen in wirksame und wirtschaftliche automatisierte Lösungen überführt werden.
7 Beschaffe und unterhalte integrierte und standardisierte Anwendungssysteme8 Beschaffe und warte integrierte und standardisierte IT-Infrastruktur9 Beschaffe und erhalte IT-Skills, die der IT-Strategie entsprechen
10 Stelle die gegenseitig zufriedenstellenden Lieferantenbeziehungen sicher11 Integriere die Anwendungen und Technologielösungen nahtlos in Geschäftsprozesse12 Stelle Transparenz und Verständnis von IT -Kosten, Nutzen, Strategie, Richtlinien und Service Levels sicher13 Stelle die angemessene Verwendung und Performance der Anwendungen und technischen Lösungen sicher14 Übernimm die Verantwortung für und schütze alle IT-Anlagen15 Optimiere IT-Infrastruktur, Ressourcen und Fähigkeiten16 Reduziere Mängel und Nacharbeit bei Lösungen und dem Servicebetrieb17 Schütze die Erreichung der IT-Ziele18 Schaffe Klarheit über die Geschäftsauswirkungen der Risiken von IT-Zielen und -Ressourcen 19 Stelle den Schutz von kritischen und vertraulichen Informationen vor unberechtigtem Zugriff sicher20 Stelle sicher, dass automatischen Transaktionen und Informationsaustausch vertraut werden kann
21Stelle sicher, dass IT-Services und Infrastruktur Ausfällen auf Grund von Fehlern, bewussten Angriffen oder Katastrophen standhalten können und ihre Wiederherstellung gewährleistet ist
22 Stelle sicher, dass der Einfluss einer IT-Service-Störung oder -Änderung auf das Geschäft minimiert ist23 Stelle die Verfügbarkeit der IT-Services gemäß den Anforderungen sicher24 Verbessere die Kosteneffizienz der IT und ihren Beitrag zum Unternehmenserfolg25 Setze Projekte pünktlich und im Budgetrahmen und unter Einhaltung der Qualitätsstandards um26 Erhalte die Integrität der Informationen und die diese Informationen verarbeitende Infrastruktur27 Stelle die IT-Compliance mit Gesetzen und Vorschriften sicher
28Stelle sicher, dass die IT eine kosteneffiziente Servicequalität, eine kontinuierliche Verbesserung und Bereitschaft für zukünftige Veränderung zeigt
Michael Schirmbrand 11. Apr 2023 49
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
CobiT IT-ProzesseCobiT IT-Prozesse
INFORMATION
Monitor and Evaluate
Deliver and Support Acquire and
Implement
Plan and Organise
PO1 Define a strategic IT plan PO2 Define the information architecturePO3 Determine technological direction PO4 Define the IT processes, organisation and
relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects
AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes
DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations
ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance
• Efficiency• Effectiveness• Confidentiality• Integrity• Availability• Compliance• Reliability
• Applications• Information• Infrastructure• People
IT RESSOURCES
Monitor and Evaluate
Plan and Organise
Acquire and Implement
Deliver and Support
Michael Schirmbrand 11. Apr 2023 50
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Bestandteile von Prozessen (1/3)Bestandteile von Prozessen (1/3)
Prozessbeschreibung
Domäne und Information-Criteria
IT Ziele
Prozessziele
wichtige Aktivitäten
wichtige Metriken
IT Governance& IT Resources
Michael Schirmbrand 11. Apr 2023 51
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Bestandteile von Prozessen (2/3)Bestandteile von Prozessen (2/3)
RACI-Chart zur Darstellung der Verantwortlichkeiten, RACI-Chart zur Darstellung der Verantwortlichkeiten, zBzB
Inputs und Outputs, zBInputs und Outputs, zB
Michael Schirmbrand 11. Apr 2023 52
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Bestandteile von Prozessen (3/3)Bestandteile von Prozessen (3/3)
Messgrößen auf unterschiedlichen Ebenen und deren Messgrößen auf unterschiedlichen Ebenen und deren Verbindung zu IT Zielen, zBVerbindung zu IT Zielen, zB
Michael Schirmbrand 11. Apr 2023 53
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Reifegradmodell (Maturity Model)Reifegradmodell (Maturity Model)
0 .. Nicht existent1 .. Initial2 .. Wiederholbar3 .. Definiert4 .. Monitoringfunktionen5 .. Optimiert und Automatisiert
Derzeitiger Status
Internationaler Standard
Strategisches Ziel
Symbole Reifegrade
0 1 2 3 4 5
Non-existent(nicht existent)
Initial(initial)
Repeatable(wiederholbar)
Defined(definiert)
Managed(gemanagt)
Optimised(optimiert)
Michael Schirmbrand 11. Apr 2023 54
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Reifegradmodell – (Rising-Star-Model)Reifegradmodell – (Rising-Star-Model)
Strategisches Ziel
Handlungsbedarf
Derzeitiger Status
Bewusstsein und Kommunikation
Policies, Standards und Verfahren
Werkzeuge und Automatisierung
Skills und ExpertiseZuständigkeit und Verantwortlichkeit
Zielsetzung und Messung
5
4
3
2
1
Michael Schirmbrand 11. Apr 2023 55
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Ergebnisse einer Reifegradbeurteilung (zB)Ergebnisse einer Reifegradbeurteilung (zB)
Plan and Organize
0
1
2
3
4
5PO 1
PO 2a
PO 2b
PO 3
PO 4
PO 5
PO 6
PO 7
PO 8
PO 9
PO 10
PO 11
Acquire and Implement
012
34
5AI 1
AI 2
AI 2
AI 3
AI 4a
AI 4b
AI 5
AI 6a
AI 6b
AI 7
Deliver and Support
012
34
5DS 1a
DS 1bDS 2
DS 3
DS 4
DS 5a
DS 5b
DS 5c
DS 5dDS 5e
DS 5fDS 6DS 7
DS 8
DS 9
DS 10
DS 11a
DS 11b
DS 12
DS 13aDS 13b
Monitor and Evaluate
012
34
5ME 1
ME 2
ME 3
ME 4
56
ValITA value lense into CobiT
ValITA value lense into CobiT
Michael Schirmbrand 11. Apr 2023 57
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
ValIT - PrinciplesValIT - Principles
IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of a portfolio of investments.investments.
IT-enabled investments will include the IT-enabled investments will include the full scope of full scope of activitiesactivities that are required to achieve business value that are required to achieve business value..
IT-enabled investments will be managed through their IT-enabled investments will be managed through their full full economic life cycle.economic life cycle.
Value delivery practices will recognize that there are Value delivery practices will recognize that there are different categories of investmentsdifferent categories of investments that will be that will be evaluated and managed differentlyevaluated and managed differently..
Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will respond quickly to any changes or deviationsand will respond quickly to any changes or deviations..
Value delivery practices will engage all stakeholders and Value delivery practices will engage all stakeholders and assign assign appropriate accountabilityappropriate accountability for the delivery of for the delivery of capabilities and the realization of business benefitscapabilities and the realization of business benefits..
Value delivery practices will be Value delivery practices will be continually monitored, continually monitored, evaluated and improved.evaluated and improved.
Michael Schirmbrand 11. Apr 2023 58
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Val IT – ProcessesVal IT – Processes
Investment Management (IM)
Portfolio Management (PM)
Value Governance (VG)
Michael Schirmbrand 11. Apr 2023 59
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
ValITProcesses & Key Management Practices
VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted
accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category
PM1 Maintain human resource inventory
PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements
and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme
concept business casePM8 Evaluate & assign relative score to
programme business casePM9 Create overall portfolio viewPM10 Make and communicate
investment decisionPM11 Stage-gate (and fund) selected
programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio
performance
IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme
ValueGovernance
(VG)
PortfolioManagement
(PM)Investment
Management(IM)
VG1 Ensure informed and committed leadershipVG2 Define and implement processesVG3 Define roles & responsibilitiesVG4 Ensure appropriate and accepted
accountabilityVG5 Define information requirementsVG6 Establish reporting requirementsVG7 Establish organisational structuresVG8 Establish Strategic DirectionVG9 Define investment categoriesVG10 Determine target portfolio mixVG11 Define evaluation criteria by category
PM1 Maintain human resource inventory
PM2 Identify resource requirementsPM3 Perform gap analysisPM4 Develop resourcing planPM5 Monitor resource requirements
and utilisationPM6 Establish investment thresholdPM7 Evaluate initial programme
concept business casePM8 Evaluate & assign relative score to
programme business casePM9 Create overall portfolio viewPM10 Make and communicate
investment decisionPM11 Stage-gate (and fund) selected
programmesPM12 Optimize portfolio performancePM13 Re-prioritise portfolioPM14 Monitor and report on portfolio
performance
IM1 Develop a high-level definition of investment opportunityIM2 Develop initial programme concept business caseIM3 Develop clear understanding of candidate programmesIM4 Perform Alternatives AnalysisIM5 Develop Programme planIM6 Develop Benefits Realisation planIM7 Identify Full life cycle costs & benefitsIM8 Develop detailed programme business caseIM9 Assign clear accountability & ownershipIM10 Initiate, plan and launch the programmeIM11 Manage programmeIM12 Manage/track benefitsIM13 Update business caseIM14 Monitor and report on programme performanceIM15 Retire programme
ValueGovernance
(VG)
PortfolioManagement
(PM)Investment
Management(IM)
Michael Schirmbrand 11. Apr 2023 60
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Val IT Framework - DetailVal IT Framework - Detail
Domain: Value Governance (VG)Process CobiT RACI Chart
Description Key Management Practices Cross Ref. Exec Bus IT
CRAPrimary: PO1.1, ME3.1-3, ME3.3Secondary:ME3.2
VG4 Ensure appropriate and accepted accountability Establish a supporting and appropriate control framework that isconsistent with the overall enterprise control environment, and generally accepted control principles. The framework should provide for unambiguousaccount-abilities and practices to avoid breakdown in internal control and oversight. Accountability for achieving the benefits, delivering required capabilities and controlling the costs should be clearly assigned and monitored.
CRAPrimary: PO4.6, PO4.15Secondary:PO4.8, PO4.9
VG3 Define roles & responsibilitiesDefine and communicate roles and responsibilities for all personnel in the enterprise in relation to the portfolio of IT-enabled business investment programmes, individual investment programmes and other IT assetsand services to allow sufficient authority to exercise the role and responsibility assigned to them. These roles should include, but not necessarily be limited to: an investment decision body; programme sponsorship;programme management; project management; and associated supportroles. Provide business with procedures, techniques, and tools enabling them to address their responsibilities. Establish and maintain an optimal coordination, communication and liaison structure between the ITfunction and other stakeholders inside and outside the enterprise.
CRAPrimary: PO4.1, ME1.1, ME1.3, ME3.1Secondary:PO5.2-5, PO10.2
VG2 Define and implement processesDefine, implement and consistently follow processes that providefor clear and active linkage between the enterprise strategy, the portfolio of IT-enabled investment programmes that execute the strategy, the individual investment programmes, and the business and IT projects that make up the programmes. The processes should include: planning and budgeting; prioritisation of planned and current work within the overall budget; resource allocation consis- tent with the priorities; stage-gating of invest-ment programmes; monitoring and communicating performance; taking appropriate remedial action; and benefits management such that there is an optimal return on the portfolio and on all IT assets and services.
CCA,RPrimary: PO1.2, PO4.4, ME3.1, ME3.2
VG1 Ensure informed and committed leadershipThe reporting line of the CIO should be commensurate with the importance of IT within the enterprise. All executives should have a sound understand-ing of strategic IT issues such as dependence on IT, technology insights and capabilities, in order that there is a common and agreed understanding between the business and IT of the potential impact of IT on thebusiness strategy. The business and IT strategy should be integrated clearly linking enterprise goals and IT goals and should be broadly communicated.
•Establish governance, monitoring and control framework
•Establish Strategic Direction
•Establish portfolio characteristics
Michael Schirmbrand 11. Apr 2023 61
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
ValIT – Principles(CIO questionnaire results)ValIT – Principles(CIO questionnaire results)
IT-enabled investments will be managed as IT-enabled investments will be managed as a portfolio of a portfolio of investments.investments.
IT-enabled investments will include the IT-enabled investments will include the full scope of full scope of activitiesactivities that are required to achieve business value that are required to achieve business value..
IT-enabled investments will be managed through their IT-enabled investments will be managed through their full full economic life cycle.economic life cycle.
Value delivery practices will recognize that there are Value delivery practices will recognize that there are different categories of investmentsdifferent categories of investments that will be that will be evaluated and managed differentlyevaluated and managed differently..
Value delivery practices will define and monitor Value delivery practices will define and monitor key metricskey metrics and will respond quickly to any changes or deviationsand will respond quickly to any changes or deviations..
Value delivery practices will engage all stakeholders and Value delivery practices will engage all stakeholders and assign assign appropriate accountabilityappropriate accountability for the delivery of for the delivery of capabilities and the realization of business benefitscapabilities and the realization of business benefits..
Value delivery practices will be Value delivery practices will be continually monitored, continually monitored, evaluated and improved.evaluated and improved.
Michael Schirmbrand 11. Apr 2023 62
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Started in 2003Started in 2003 Integration of StandardsIntegration of Standards Update of CobiTUpdate of CobiT
CobiT Mapping ProjektCobiT Mapping Projekt
Künftige mappingsKünftige mappings In UmsetzungIn Umsetzung
• TOGAF (Architektur)TOGAF (Architektur)• COSO ERMCOSO ERM• GBPMGBPM
GeplantGeplant• ITIL v3ITIL v3• FFEIC (US banking)FFEIC (US banking)• NIAC (Insurance)NIAC (Insurance)• NIST SP800-53NIST SP800-53• FISMA FISMA • IAIS Framework (Solvency II)IAIS Framework (Solvency II)• HIPAA (Health Insurance)HIPAA (Health Insurance)• GLBA (Privacy)GLBA (Privacy)• ISO19770-1 (SW Asset Mgmt)ISO19770-1 (SW Asset Mgmt)• ISO 20000 (Service Mgmt)ISO 20000 (Service Mgmt)• ISO 27005 (Risk Mgmt)ISO 27005 (Risk Mgmt)• ISO 27002 (ISO17799)ISO 27002 (ISO17799)
Michael Schirmbrand 11. Apr 2023 63
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
CobiT & ITILCobiT & ITIL
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and I m
p lement
Deliver and Support
Mon
itor
and
Ev a
luat
e
Acq
uire an
d M
aintain
M
on
ito
r an
d E
valu
ate
Deliver and Support
Plan and Organize
1 2 3 4 5 6 7 8 9 10 11 12 13
12
34
12
34
56
1 2 3 4 5 6 7 8 9 10 11
CobiT and ITIL by Jimmy Heschl
1 11 Good coverage Partly addressed No or weak coverage on Process-Level
Coverage of CobiT Processes by ITIL Processes
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Su
pp
ort
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Del
iver
y
Ser
vice
Des
k
Inci
dent
M
anag
emen
t
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
M
anag
emen
t
Con
figur
atio
n M
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
M
anag
emen
t
Fin
anci
al
Man
agem
ent
Con
tinui
ty
Man
agem
ent
Michael Schirmbrand 11. Apr 2023 64
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
CobiT und ITILCobiT und ITIL
Stakeholder StakeholderIT
Governance(CobiT, ValIT)
CFO
OPs AD SD
CIO CMO CxO
CEO
ITILIT xyz
Management
Michael Schirmbrand 11. Apr 2023 65
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Die Stimme der anderen …Die Stimme der anderen …
Establish frameworks to ease Governance Establish frameworks to ease Governance ImplementationImplementation First CobiT for overall governanceFirst CobiT for overall governance Then ITIL for service delivery and managementThen ITIL for service delivery and management Then ISO 17799 for information securityThen ISO 17799 for information security Balanced Scorecard for measurement and communicationBalanced Scorecard for measurement and communication
Quelle: Forrester Helping Business Thrive On Technology ChangeA Road Map To Comprehensive IT Governance by Craig Symons, Jan 2006
Michael Schirmbrand 11. Apr 2023 66
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Die Stimme der anderen …Die Stimme der anderen …
Combine CobiT and ITIL for Powerful IT GovernanceCombine CobiT and ITIL for Powerful IT Governance Strong framework tools are essential for ensuring IT Strong framework tools are essential for ensuring IT
resources are aligned with an enterprise‘s business resources are aligned with an enterprise‘s business objectives, and that services and information meet quality, objectives, and that services and information meet quality, fiduciary and security needs.fiduciary and security needs.
Bottom Line: Bottom Line: CobiT and ITIL are not mutually exclusive and can be CobiT and ITIL are not mutually exclusive and can be
combined to provide a powerful IT governance, control and combined to provide a powerful IT governance, control and best-practice framework in IT service management. best-practice framework in IT service management.
Enterprises that want to put their ITIL program into the Enterprises that want to put their ITIL program into the context of a wider control and governance framework context of a wider control and governance framework should use CobiT.should use CobiT.
Quelle: Gartner Technical Guidelines, TG-16-1849, S.Mingay, S. BittingerQuelle: Gartner Technical Guidelines, TG-16-1849, S.Mingay, S. Bittinger
Michael Schirmbrand 11. Apr 2023 67
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
AusblickAusblick
Die Zeit ist reifDie Zeit ist reif Für nachvollziehbare und messbare IT ProzesseFür nachvollziehbare und messbare IT Prozesse Nutzen durch die ITNutzen durch die IT Einhaltung internationaler StandardsEinhaltung internationaler Standards Interne Kontrollsysteme auch in der ITInterne Kontrollsysteme auch in der IT
Die Umsetzung erfordert (hohen) AufwandDie Umsetzung erfordert (hohen) Aufwand Nutzen ist auch kurzfristig zu erzielen (ROI hoch)Nutzen ist auch kurzfristig zu erzielen (ROI hoch) Professionelle Unterstützung ist empfehlenswert – Professionelle Unterstützung ist empfehlenswert –
besonders auch mit Prüfungs- und Kontroll – Know besonders auch mit Prüfungs- und Kontroll – Know HowHow
Michael Schirmbrand 11. Apr 2023 68
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
IT – Governance – Services der KPMGIT – Governance – Services der KPMG
Quick AssessmentsQuick Assessments DetailbeurteilungenDetailbeurteilungen Gesamthafte Einführung von IT GovernanceGesamthafte Einführung von IT Governance Definition und Umsetzung von Verantwortlichkeiten und Definition und Umsetzung von Verantwortlichkeiten und
RollenRollen Erarbeitung von IT-StrategienErarbeitung von IT-Strategien Nachweisbare, nutzenorientierte Ausrichtung der IT an Nachweisbare, nutzenorientierte Ausrichtung der IT an
den Unternehmenszielenden Unternehmenszielen Gestaltung der IT- Prozesse unter Umsetzung von CobiT Gestaltung der IT- Prozesse unter Umsetzung von CobiT
und Gestaltung des Internen Kontrollsystems in der ITund Gestaltung des Internen Kontrollsystems in der IT Erhöhung des Reifegrades der IT-ProzesseErhöhung des Reifegrades der IT-Prozesse Integration von ITIL, CMM, ISO 17799,…Integration von ITIL, CMM, ISO 17799,… BenchmarkingBenchmarking IT Due DiligenceIT Due Diligence
Michael Schirmbrand 11. Apr 2023 69
© 2007 KPMG Austria GmbH, österreichisches Mitglied von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten.
KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Kontakt – Dr. Michael SchirmbrandKontakt – Dr. Michael Schirmbrand
Partner of KPMG AustriaPartner of KPMG Austria Head of the service line Head of the service line
“IT Advisory” “IT Advisory” of KPMG Austriaof KPMG Austria
CPA / PhDCPA / PhD Board Member of ISACA AustriaBoard Member of ISACA Austria CISA - Certified Information Systems CISA - Certified Information Systems
AuditorAuditor CISM – Certified Information Security CISM – Certified Information Security
ManagerManager Chairman of the IT committee of the Chairman of the IT committee of the
Austrian Chamber of Public AccountantsAustrian Chamber of Public Accountants Member of the worldwide CobiT Steering Member of the worldwide CobiT Steering
CommitteeCommittee Member of the Steering Committee of the Member of the Steering Committee of the
IT Governance InstituteIT Governance Institute Author of publications about IT Author of publications about IT
Governance, IT Security und IT Audits as Governance, IT Security und IT Audits as well as several professional articles. well as several professional articles. Lecturer at Austrian Universities.Lecturer at Austrian Universities.
[email protected] +43 1 31332-656