IT Governance Implementation mit COBIT und ITIL am Beispiel von ...

About ISACAFounded in 1969; non-profit, independent association that helps membersachieve greater trust in, and value from, their information systems Has more than 95,000 constituents in 160 countries and more than 190chapters worldwideSponsors international conferences and educationPublishes original researchDevelops international IS audit and control standardsOffers CISA, CISM, CGEIT and CRISC certificationsDeveloped and continually updates the COBIT, Val ITand Risk IT frameworks, as well as the IT Assurance Framework andBusiness Model for Information Security

Urs Fischer• CPA (Swiss) by origin, CISA & CIA• 5 year external auditor• Switch to IT Audit – In IT Audit for 13 years incl. Head of IT Audit• 6 years Head IT Governance & Risk Mgmt at Swiss Life• Since October 2010 Independent IT Governance, Risk & Compliance Consultant2010 Receiver of the John W. Lainhart IV – Common Body of Knowledge Award• Board member of ISACA CH Chapter for about 8 years• Co-Author of CobiT4 and Co-Developer of CobiT Control Practices• Member of the CobiT Steering Committee for 3 years• Member and Chair of ISACA’s EuroCACS Conference Programme Committee for 6years• Chairman of ITGI’s 'Risk IT' Task Force that was charged to develop “Risk IT”• Since 2006 Member of ISACA Audit Committee (since 2008 Chairman)• Since 2009 Member of ISACA’s Credentialing Board• Since 2009 Chair of ISACA’s CRISC Committee• Since 2010 Member of ISACA0’s Guidance & Practice Committee

The world is getting a little bit cloudy!Where is technology going?

Key IT Business ZieleFokus Kosten-ReduktionSource: Everything Channel, State of Technology Data Center 4-6-09

What is the Cloud ?Es existieren eine Reihe von pragmatischen Definitionsansätzen:„Cloud Computing“ steht für einen Pool aus abstrahierter, hochskalierbarer undverwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und fallserforderlich nach Gebrauch abgerechnet werden kann.“(Quelle: Forrester Research)„Cloud Computing“ umfasst On-Demand-Infrastruktur (Rechner, Speicher,Netze) und On-Demand-Software (Betriebssysteme, Anwendungen,Middleware, Management- und Entwicklungs-Tools), die jeweils dynamisch andie Erfordernisse von Geschäftsprozessen angepasst werden. Dazu gehörtauch die Fähigkeit, komplette Prozesse zu betreiben und zu managen.“(Quelle: Saugatuck Technology)

What is the Cloud ?2009 veröffentlichte das National Institute for Standards and Technology(NIST) eine Definition, die auf weitgehende Akzeptanz stieß und verschiedeneDefinitionsansätze bündelt. Sie enthält die drei verschiedenen Servicemodelle(IaaS, PaaS und SaaS), vier Liefermodelle (private clouds, public clouds,hybrid clouds und community clouds) und listet fünf essenzielle Charakteristikafür Cloud Computing.(Quelle: NIST)Demzufolge geht „Cloud Computing“ über andere gegenwärtig diskutierteAnsätze (Software-as-a-Service, „Organic Computing“) und Konzepte(Virtualisierung) hinaus. Unter der Bedingung einer öffentlichen Verfügbarkeit,ähnlich beispielsweise dem öffentlichen Telefonnetz, kann man „CloudComputing“ je nach Architektur auch als Summe von SaaS und „UtilityComputing“ ansehen.(Quelle: Berkeley)

Die Versprechungen von Cloud• Tiefe Hürden für den Eintritt• Geringerer Kapital- bzw. Investitions-Aufwand• Weniger Fachkenntnisse notwendig• Weniger Gemeinkosten• Zahle für das was benötigt wird• Tiefer jährlicher Unterhalt• Weniger ungeplante Breaks/Fixes• Besseres Ausrichten der IT auf das Business• Fokussierung auf die Notwendigkeiten des Business

Wohin geht die Reise ?

CIO/CTO Veränderte Aufgaben• Die Rolle des CIO befindet sich in einem Wechsel vomManagement von Operations hin zum Management derIT als eine ‚Service Value Chain‘• Bisher: Der CIO führte eine interne „IT Fabrik“• Neu: Sowohl interne wie auch externe Service-Provider werdenzu Hersteller und Benutzer von Services• Der CIO muss diese ‚Value Chain‘ verweben undoptimieren um die diversen Kunden zu unterstützen unddas Geschäft der Unternehmung zu ermöglichen

Service Value Chain

Herausforderungen

Wer hilft ?

Governance in einer sich schnellwandelnden Zeit• Governance ist entscheidender denn je:• Immer grösser werdende Risiken – inkl. Sicherheit,Compliance, Projekte und Partner• Kontinuität von kritischen Business-Prozessen betrifftmehr als nur das Rechenzentrum• Wegen der immer grösseren Abhängigkeit von Drittenmüssen die organisatorische Ziele klar definiert sein• Effektive und effiziente, flexible und abgestimmteGovernance ist eine Notwendigkeit

Governance ist ein MussAber wie?Kubernán (gr): to steer aship – the process ofcontinually orienting andadjusting

IT governanceIT Governance liegt in derVerantwortung des Vorstandsund des Managements und istein wesentlicher Bestandteil derUnternehmensführung. ITGovernance besteht ausFührung, Organisationsstrukturenund Prozessen, diesicherstellen, dass die IT1 dieUnternehmensstrategie und -ziele unterstützt.

Was soll IT Governance bringen?Beschäftigt sichmit zweiResultaten:• Schaffen von Wert• Reduzierung vonRisikenAuf 5 Bereichefokussiert

Risiken und Opportunitäten

Risiko und Opportunitäten

Positionierung von IT Governance

Einführung von IT Governance7 Phasen:1. Was sind die Treiber?2. Wo stehen wir?3. Wo wollen wir hin?4. Was müssen wir tun?5. Wie kommen wir dorthin?6. Haben wir es erreicht?7. Wie halten wir das ganzein Schwung?21

COBIT TM the roadmap• Weltweit anerkanntes Werkzeug zur Sicherstellung,dass die IT effektiv arbeitet• Stellt eine gemeinsame Sprache zur Kommunikationvon Zweck, Zielen und erwarteten Resultate zurVerfügung• Basiert auf Industrie-Standards und Good-Practices:• in der Strategische Ausrichtungder IT mit Geschäftszielen• im Schaffen von Werten/Nutzen von Services undProjekten• im Ressourcenmanagement• im Risikomanagement• im Messen von Performance

RACI – Wer macht was ?

Ziele und Metriken

Reifegrad-Model

ITIL Version 3

Beziehung zwischen COBIT und ITIL(Synergien)• COBIT ist ein IT Governance und Kontroll Rahmenwerk welchesfokussiert ist auf das WAS muss unternommen werden um einegute Governance aller IT Prozesse (inkl. der Service ManagementProzesse) zu gewährleisten.• COBIT bietet Unterstützung, Rahmenwerk und Werkzeuge um diegewünschte Konformität und Leistung der IT Prozessesicherzustellen, welche zur Erfüllung der Business Anforderungennotwendig ist.• ITIL bietet ‚Best Practices‘ (WIE) zur Planung, Design undEinführung effektiver Service Management Prozesse.• Durch wirksamen Einsatz von COBIT kann eine Unternehmungsicherstellen, dass ihr Service Management in Übereinstimmungmit dem Business, der Governance und dem Internen KontrollSystem ist.

Gemeinsame Nutzung vonRahmenwerken

COBIT User Guide für Service Managers• Definiert die Anforderungen für Governance und das Muss für ‚goodpractices‘• Bietet eine Übersicht der spezifischen Rollen eines Service Manager• Erklärt den Zusammenhang zwischen COBIT undden ‚best practices‘ für die Funktion (ITIL)• Erklärt wie COBIT und ITIL zur Unterstützung derGovernance der IT Services verwendet werdenkönnen• Stellt eine ‚Roadmap‘ für den Einstieg/Start zurVerfügung• Enthält eine Übersicht der Schlüssel-Aktivitäten vonService Managern (Basierend auf ITIL V3 und referenziert zu COBITund ISO20000)

Mapping

Schlüssel Prozesse im Service LifecycleBeispiel ‚Service Operation‘

Conclusion – Reifegrad-ZyklusSource: 451 Group

Conclusion – Gute Governance oderfehlerfreies Management

Fragen ? / Besten Dank !Urs Fischer,dipl. Wirtschaftsprüfer, CRISC, CISAMail: fiur@bluewin.chXing: https://www.xing.com/profile/Urs_Fischer12Linkedin: http://www.linkedin.com/profile?viewProfile=&key=43663087&trk=tab_proThank you!ISACA3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USAPhone: +1.847.253.1545Fax: +1.847.253.1443info@isaca.orgwww.isaca.org/riskit

Back-Up

Verbindung von Unternehmenszielen undIT Zielen

Verbindung von IT Zielen mit ITProzessen

Verbindung von IT und Business

1 What Are the Driver?Need for new or improved IT governance organisation is usuallyrecognised by organisation pain points and/or trigger eventsPain points should be identified by management, audit, and riskand compliance processesBoard and executive management personnel should:– Analyse pain points to identify root cause– Look for opportunities during trigger eventsCombination of realised trigger events and existing pain pointsprovide the business case for improved or new IT governanceinitiativesThe goal of this phase of the life cycle includes:– Outlining the business case– Identification of stakeholders and roles and responsibilities– IT governance programme ‘wake-up call’ and kick-offcommunications

2 Where are We Now?Define the problems and opportunities– Understand the pain points that have been identified as governanceproblems– Take advantage of trigger events that provide opportunity forimprovementForm a powerful guiding team– Knowledge of the business environment– Insight into influencing factorsAssess the current state– Identify the IT goals with respect to enterprise goals– Identify the most important processes– Understand management risk appetite– Understand the maturity of existing governance and relatedprocesses

3 Where Do We Want to Be?Define the road map– Describe the high level change enablement plan and objectivesCommunicate desired vision– Develop a communication strategy– Communicate the vision– Articulate the rationale and benefits of the change– Set the ‘tone at the top’Define target state and perform gapanalysis– Define the target for improvement– Analyse the gaps– Identify potential improvements

4 What Needs to Be Done?Develop programme plan– Prioritise potential initiatives– Develop formal and justifiable projects– Use plans that include contribution and programme objectivesEmpower role players and identify quickwins– High-benefit, easy implementations should come first– Obtain buy-in by key stakeholders affected by the change– Identify strengths in existing processes and leverage accordinglyDesign and build improvements– Plot improvements onto a grid to assist with prioritisation– Consider approach, deliverables, resources needed, costs, estimatedtime scales, project dependencies and risks

5 How Do We Get There?Execute the plan– Execute projects according to an integrated programme plan– Provide regular update reports to stakeholders– Document and monitor the contribution of projects while managingrisks identifiedEnable operation and use– Build on the momentum and credibility of quick wins– Plan cultural and behavioral aspects of the broader transition– Define ‘measures of success’Implement improvements– Adopt and adapt best practices to suit the organisation’s approach topolicies and process changes

6 Did We Get There?Realise benefits– Monitor the overall performance of the programme against businesscase objectives– Monitor and measure the investment performanceEmbed new approaches– Provide transition from project mode to ‘business as usual’– Monitor whether new roles and responsibilities have been taken on– Track and assess objectives of the change response plans– Maintain communication and ensure communication betweenappropriate stakeholders continuesOperate and measure– Set targets for each metric– Measure metrics against targets– Communicate results and adjust targets as necessary

7 How Do We Keep Momentum?Continual improvements – keeping themomentum is critical to sustainment ofthe life cycleReview the programme benefits– Review programme effectiveness through a programme review gateSustain– Conscious reinforcement (reward achievers)– Ongoing communication campaign (feedback on performance)– Continuous top management commitmentMonitor and evaluate– Identify new governance objectives based on programme experience– Communicate lessons learned and further improvementrequirements for the next iteration of the cycle