BDO Visura IT-Audit & -Security Wodurch zeichnen sich Unternehmen und Organisationen aus, die ihre Informatik "im Griff" haben? Im Artikel werden Schlüsselbereiche identifiziert und aufgezeigt, mit welchen Werkzeugen die Führung und Kontrolle der Informatik aufgebaut und gewährleistet werden können. Was heisst: Die Informatik "im Griff" haben? Praktisch in allen Unternehmen und Organisationen ist die Informatik ein wichtiges Rückgrat der Prozessabwicklung, der Buchführung und der Berichterstattung – entsprechend stehen Fragen zur Führung und Kontrolle der Informatik weit oben auf den Traktanden-, aber oft auch auf den Problemlisten, der Verantwortlichen. Die Informatik "im Griff" haben heisst, die Erreichung der Unternehmensziele durch einen geziel-ten und wirtschaftlichen Informatikeinsatz zu unterstützen sowie die mit dem Informatikeinsatz verbundenen Risiken minimieren und kontrollieren. Die Kernfragen zur Beurteilung der Informatik sind: • unterstützt sie die Geschäftsabwicklung in optimaler Weise? • liefert sie die notwendigen Informationen zeitgerecht und präzis? • gewährleistet sie die Einhaltung aller relevanten rechtlichen und regulatorischen Vorgaben? Das Ziel: Eine angemessene IT-Governance Die Informatik "im Griff" zu haben und (Neu-Deutsch) eine angemessene IT-Governance zu ge-währleisten, ist eine Aufgabe der Unternehmensführung: Diese besteht aus Führung, Organisati-onsstrukturen und Prozessen die sicherstellen, dass ...
Wodurch zeichnen sich Unternehmen und Organisationen aus, die ihre Informatik "im Griff" haben? Im Artikel werden Schlüsselbereiche identifiziert und aufgezeigt, mit welchen Werkzeugen die Führung und Kontrolle der Informatik aufgebaut und gewährleistet werden können.
Was heisst: Die Informatik "im Griff" haben? Praktisch in allen Unternehmen und Organisationen ist die Informatik ein wichtiges Rückgrat der Prozessabwicklung, der Buchführung und der Berichterstattung – entsprechend stehen Fragen zur Führung und Kontrolle der Informatik weit oben auf den Traktanden, aber oft auch auf den Problemlisten, der Verantwortlichen. Die Informatik "im Griff" haben heisst, die Erreichung der Unternehmensziele durch einen geziel ten und wirtschaftlichen Informatikeinsatz zu unterstützen sowie die mit dem Informatikeinsatz verbundenen Risiken minimieren und kontrollieren. Die Kernfragen zur Beurteilung der Informatik sind: •unterstützt sie die Geschäftsabwicklung in optimaler Weise? •liefert sie die notwendigen Informationen zeitgerecht und präzis? •gewährleistet sie die Einhaltung aller relevanten rechtlichen und regulatorischen Vorgaben?
Das Ziel: Eine angemessene ITGovernance
Die Informatik "im Griff" zu haben und (NeuDeutsch) eine angemessene ITGovernance zu ge währleisten, ist eine Aufgabe der Unternehmensführung: Diese besteht aus Führung, Organisati onsstrukturen und Prozessen die sicherstellen, dass die Informatik die Unternehmensstrategie und deren Ziele unterstützt.
In einer umfassenderen Betrachtung von ITGovernance kommt neben der Ausrichtung der In formatik auf die wirksame und wirtschaftliche Unterstützung der Unternehmensziele, insbesonde re dem RisikoManagement eine zentrale Bedeutung zu. Es geht darum, Gefährdungen zu er kennen und zu bewerten, Massnahmen und Kontrollen um und durchzusetzen sowie das verbleibende, selbst zu tragende Restrisiko zu dokumentieren.
Mitglied der TreuhandKammer
peter.steuri@bdo.ch
BDO Visura,ITAudit & Security
Seite 2
Die besondere Situation von kleineren und mittleren Unternehmen und Organisationen
Während in grossen Unternehmen und Organisationen die notwendigen Kenntnisse und Res sourcen in der Regel in genügendem Ausmass vorhanden sind, stellt das Etablieren einer ange messenen ITGovernance in kleineren Verhältnissen oft eine grosse Herausforderung dar: Die vorhandenen Ressourcen sind mit dem "Tagesgeschäft" ausgelastet, zudem fehlen Kenntnisse und Werkzeuge, die den Aufbau einer angemessenen ITGovernance mit vertretbarem Zeit und Kostenrahmen ermöglichen.
Wege zum Ziel
1. Geeignete Werkzeuge
In der Praxis haben sich verschiedene Werkzeuge und Methoden durchgesetzt, die hilfreich sind um die Informatik "im Griff" zu halten resp. in den Griff zu bekommen:
COBIT Control Objectives for Information an related Technologyvon ISACA; ein Werkzeug, das rund 300 Detailziele zu 34 generischen Informatikprozessen vorgibt und erlaubt, den Umgang mit der Informatik unter führungsbezogenen, operativen und technischen Aspekten zu beurteilen und zu verbessern. COBIT hat weltweite Verwendung und Anerkennung gefunden. Wegen der im neuen Revisionsgesetz vom Prüfer verlangten Bestätigung, dass ein Unternehmen resp. eine Organisa tionen über ein Internes KontrollSystem verfügt, wird die Umsetzung der in COBIT stipulierten Kontrollziele für die Informatik in der Schweiz weiter an Bedeutung gewinnen.
Themen * Regelmässige Beurteilung aller IT Prozesse * Einhaltung und Qualität der Kontrollen Überwachung
Betrieb & Unterstützung Themen * Effektive Ablieferung benötigter Dienstleistungen * Wirklich sicherer Betrieb inkl. Training * Aufstellung von Unterstützungsprozessen * Effektive Datenverarbeitung durch Anwendungen
Them en * Strategie und Taktik für die IT Unterstützung * Erfüllung der Geschäftsanforderungen * Ausreichend geplant, kommuniziert und “gemanaged” * Korrekte organisatorische und technische Infrastruktur Planung & Organisation
Beschaffung & Implementation Them en * Realisierung der ITStrategie * Lösungen identifiziert, entwickelt oder beschafft und implementiert * Lösungen in den Geschäftsprozess integriert * Änderung und Unterhalt von Systemen
BDO Visura,ITAudit & Security
Seite 3
ISO/IECStandards 17799 und 27001 In den letzten Jahren wurden aus dem British Standard 7799, Code of Practice for Information Security Management, zwei ISO/IECStandards abgeleitet: •27001 Gestaltung eines InformationsSicherheitsManagementSystems •17799 Kontrollziele im Bereich der Informations und InformatikSicherheit(wird 2007 voraussichtlich zu ISO 27002) Diese Standards decken primär die konzeptionellen und organisatorischen Aspekte der Informa tionsSicherheit ab. Als Ergänzung und für die Umsetzung konkreter Massnahmen bietet sich dasGrundschutzHandbuch des Bundesamtes für Sicherheit in der Informationstechnologie(BSI Köln) an.
BDO Visura, 2006
BDO Visura,ITAudit & Security
Seite 4
ITIL ITIL ist die Abkürzung für den durch die OGC (Office of Governance Commerce) in Norwich (England) im Auftrage der britischen Regierung entwickelte LeitfadenIT Infrastructure Library.ITIL ist heute der weltweite DefactoStandard im Bereich Service Management und beinhaltet eine umfassende und öffentlich verfügbare fachliche Dokumentation zur Planung, Erbringung und Unterstützung von ITServiceleistungen.
2. Knowhow und Erfahrung
Die "richtigen" Werkzeuge zu kennen ist eine wichtige Voraussetzung, um die ITGovernance zu verbessern und die Informatik in den Griff zu bekommen – es kann aber nicht darum gehen, die Vorgaben eines Werkzeuges "blind" umzusetzen: Gefragt ist eine auf die Grösse und Organisa tion der Unternehmung sowie auf die Bedeutung (oder besser: die Risiken) der Informatik für das Unternehmen ausgerichtete Umsetzung derjenigen Vorgaben und Massnahmen, die sich in an deren erfolgreichen Unternehmen in der Praxis bewährt haben resp. die angesichts der spezifi schen Risiken zu treffen sind.
3. MinimalStandard umsetzen Folgende Empfehlungen helfen Ihnen, Ihre Informatik besser zu führen und zu steuern: •InformatikAusschussschaffen, der sich periodisch mit der Gestaltung des Informatikeinsat zes sowie dem ProjektPortefeuille und dessen Priorisierung befasst; dadurch können Ent scheide breiter abgestützt und auch von den Anwendern getragen werden
BDO Visura, 2006
BDO Visura,ITAudit & Security
Seite 5
•Prozess zur periodischen RisikoBeurteilung und Optimierung der SicherheitsMassnahmenim Informatikbereich etablieren; die Ausrichtung der Massnahmen am Grundschutz Gedanken (diejenigen Massnahmen auf breiter Front umsetzen, die sich bei Anderen in der Praxis bewährt haben) hilft, aufwendige Risikoanalysen und grobe Lücken in den Massnah men zu vermeiden •Erwartungen und Anforderungen an InformatikDienstleistungen(auch von Dritten) schriftlich definieren; dies unterstützt eine von einem gemeinsamen Aufgabenverständnis getragene sowie bezüglich Qualität und Zielerreichung kontrollierbare Zusammenarbeit zwischen der Informatik und dem Unternehmen •Vorgehens und ManagementModell für InformatikProjekteeinführen; dadurch wird eine zielgerichtete und kontrollierbare Projektarbeit erleichtert sowie der Einbezug der Anwender sichergestellt •ArbeitsProzesse innerhalb der Informatik und gegenüber den Anwendern, insbesondere im Bereich ServiceManagement d.h. den Service und SupportDienstleistungen, definieren und Aktivitäten systematisch dokumentieren
4. Unterstützung beiziehen Eine nachhaltige Verbesserung der ITGovernance kann mit eigenen Ressourcen oftmals kaum effizient erreicht werden, sondern bedingt den Beizug von Dritten. Die Experten von BDO Visura können eine gegebene Situation rasch beurteilen und mit vertretbarem Aufwand konkrete Mass nahmen zu wesentlichen Verbesserungen aufzeigen! Peter Steuri Certified Information Systems Auditor dipl. Wirtschaftsinformatiker BDO Visura 4501 Solothurn 032 624 65 52 peter.steuri@bdo.ch