3 Vorgehensmodell IT-Risikoanalyse - Bitterli Consulting AG
3 Vorgehensmodell IT-Risikoanalyse - Bitterli Consulting AG
3 Vorgehensmodell IT-Risikoanalyse - Bitterli Consulting AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Vorgehensmodell</strong> <strong>IT</strong>-<strong>Risikoanalyse</strong><br />
Arbeitshilfe für KMU-Prüfer<br />
© <strong>IT</strong>ACS Training<br />
6.10.2010<br />
Geschäftsprozesse<br />
<strong>IT</strong>-Anwendungen<br />
<strong>IT</strong>-Basissysteme<br />
<strong>IT</strong>-Infrastruktur
Inhaltsverzeichnis<br />
autoren:<br />
Fachstab für Informatik der Treuhand-kammer<br />
Projektleitung:<br />
Peter r. <strong>Bitterli</strong> und Peter steuri<br />
grafiken und layout: Felice lutz, <strong>IT</strong>aCs Training ag<br />
1<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Inhaltsverzeichnis 1<br />
Übersicht und abgrenzung 2<br />
einführung 4<br />
<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse 6<br />
Phase 1: grobe abhängigkeits-einschätzung 8<br />
Phase 2: erhebung Informatikeinsatz 15<br />
<strong>IT</strong>-Check als «kombination» der Phasen 1 und 2 19<br />
hinweise zu umfassenderen Informatikrevisionen 21<br />
schlusswort 24<br />
Fragebogen Phase I (anhang 1) 25<br />
Fragebogen Phase II (anhang 2) 27
Im <strong>Vorgehensmodell</strong><br />
abgedeckt<br />
Im Vorgehensmodel<br />
nicht abgedeckt<br />
1 Übersicht und Abgrenzung<br />
Abgrenzung des <strong>Vorgehensmodell</strong>s<br />
ein integrierter Prüfansatz von Wirtschaftsprüfer und <strong>IT</strong>-Prüfer stellt sicher, dass alle wichtigen gebiete mit anwendungs-<br />
abhängigen verfahrens- oder ergebnisorientierten Prüfungen ausreichend abgedeckt werden und gleichzeitig diejenigen<br />
<strong>IT</strong>-spezifischen gebiete geprüft werden, die ebenfalls einen primären einfluss auf das Prüfziel des Wirtschaftsprüfer haben.<br />
ohne ein aufeinander angestimmtes Vorgehen von Wirtschaftsprüfer und <strong>IT</strong>-Prüfer besteht hier ein erhöhtes Prüfungsrisiko.<br />
Um diesem Prüfungsrisiko zu entgegnen, haben mitglieder des Fachstabs Informatik der Treuhand-kammer zwei Vorge-<br />
hensmodelle geschaffen. diese basieren auf einem vierstufigen schichtenmodell, welches die wesentlichen Zusammen-<br />
hänge vereinfacht und generisch darstellt. In der realität können die Zusammenhänge wesentlich komplexer sein, doch ist<br />
diese abstraktion für das Verständnis der beiden <strong>Vorgehensmodell</strong>e zweckdienlich.<br />
Generelle <strong>IT</strong>-Kontrollen<br />
• Kontrollumgebung<br />
(Richtlinien, Direktiven)<br />
• Softwareentwicklung<br />
• <strong>IT</strong>-Änderungen<br />
• <strong>IT</strong>-Betrieb<br />
• Zugriffskontrolle<br />
• Systemsicherheit<br />
• Datensicherheit<br />
• Überwachung<br />
Geschäftsprozesse<br />
<strong>IT</strong>-Anwendungen<br />
<strong>IT</strong>-Basissysteme<br />
<strong>IT</strong>-Infrastruktur<br />
die obige abbildung zeigt vereinfacht das in den beiden vom Fachstab Informatik entwickelten <strong>Vorgehensmodell</strong>en ver-<br />
wendete schichtenmodell. Jede der vier schichten steht für eine art von Prozessen und ressourcen:<br />
• In der obersten (blauen) schicht finden wir alle wesentlichen (manuellen) geschäftsprozesse – typischerweise aufgeteilt<br />
nach verantwortlichen Fachbereichen und in sub-Prozesse und einzelne aktivitäten;<br />
• In der zweiten (roten) schicht finden wir die automatisierten Teile der geschäftsprozesse, die eigentlichen (<strong>IT</strong>-) anwendungen.<br />
mit ausnahme der wirklich kleinen kmU wird bei praktisch allen Unternehmen der grösste Teil der geschäftsfälle<br />
mit hilfe solcher anwendungen verarbeitet.<br />
• In der dritten (gelben) schicht finden wir die <strong>IT</strong>-Basissysteme. dieser Begriff umfasst eine grosse Vielfalt möglicher Plattformen,<br />
auf denen die eigentlichen anwendungen der zweiten schicht laufen. Beispiele sind datenbank-Verwaltungssysteme<br />
(z.B. sQl, oracle), die Basiskomponenten integrierter anwendungen (z.B. saP-Basis) oder auch eher technische<br />
Verarbeitungssysteme (z.B. middleware).<br />
• In der untersten (grünen) schicht finden wir die Informatik-Infrastruktur. Im Wesentlichen umfasst diese die eigentliche<br />
hardware (midrange-systeme, server) wie auch die zugehörigen netzwerk-komponenten und technischen Überwachungssysteme.<br />
2<br />
<strong>IT</strong>-Anwendungskontrollen<br />
• Vollständigkeit<br />
• Genauigkeit<br />
• Gültigkeit<br />
• Berechtigung<br />
• Rollentrennung<br />
Vierstufiges schichtenmodell
<strong>Vorgehensmodell</strong> Anwendungsprüfung<br />
3<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
das «<strong>Vorgehensmodell</strong> anwendungsprüfung» wurde 2008 veröffentlicht und ist heute auf deutsch (www.treuhand-kam-<br />
mer.ch), auf Französisch (www.afai.fr) und englisch (www.isaca.ch) erhältlich. es beschäftigt sich primär mit den oberen<br />
beiden schichten, also den anwendungsabhängigen kontrollen in den geschäftsprozessen und den sie unterstützenden<br />
anwendungen.<br />
der aufgezeigte ansatz soll den abschlussprüfer in der entwicklung eines integrierten Prüfungsansatzes unterstützen und<br />
durch den einbezug der Prüfung der relevanten geschäftsprozesse und entsprechenden anwendungen zu einem effizi-<br />
enten und besser auf die risiken ausgerichteten Prüfungsvorgehen führen. der ansatz beginnt deshalb mit der analyse<br />
der finanziellen rechnung des Unternehmens und resultiert in der Betrachtung der auswirkungen der erlangten Prüfungs-<br />
ergebnisse auf diese rechnung.<br />
In dieser analyse der finanziellen rechnung des Unternehmens erfolgt eine Zuordnung der wesentlichen rechnungsposi-<br />
tionen zu den relevanten geschäftsprozessen resp. eine klärung der Fragen: aus welchen datenflüssen werden die wesent-<br />
lichen rechnungspositionen «produziert» und welche kern-anwendungen verwalten diese datenflüsse?<br />
Bei den identifizierten kern-anwendungen interessiert sich der Prüfer in der Folge für die Qualität des kontrollsystems.<br />
dabei beurteilt er zuerst, ob die konzeption des kontrollsystems eine angemessene antwort auf die bestehende risikositu-<br />
ation der geschäftsprozesse darstellt und danach, ob die vorgesehenen kontrollen implementiert und wirksam sind.<br />
mit der Beurteilung des kontrollsystems der im Prüfungsumfang berücksichtigten geschäftsprozesse erlangt der Prüfer<br />
hinweise, in wie weit er auf die Verfahren und kern-anwendungen, aus welchen die wesentlichen rechnungspositionen<br />
entstehen, abstützen kann, und in welchem masse er allenfalls ergebnisorientierte Prüfungshandlungen zusätzlich durch-<br />
führt.<br />
<strong>Vorgehensmodell</strong> <strong>IT</strong>-<strong>Risikoanalyse</strong><br />
das vorliegende «<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse» beschäftigt sich primär mit den unteren beiden schichten, also der<br />
<strong>IT</strong>-Infrastruktur mit den sie unterstützenden <strong>IT</strong>-Prozessen, aber auch mit den generellen <strong>IT</strong>-Prozessen für Wartung und<br />
entwicklung der <strong>IT</strong>-geschäftsanwendungen in der zweiten schicht. das <strong>Vorgehensmodell</strong> analysiert zusätzlich einige Frage-<br />
stellungen in den oberen beiden schichten, um eine gesamtheitliche Beurteilung der risikolage vornehmen zu können.<br />
mit dem «<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse» wird ein standardisiertes Vorgehen geschaffen für:<br />
• die erkennung der risiken, die sich aus dem <strong>IT</strong>-einsatz eines Unternehmens ergeben;<br />
• für die erhebung und Beurteilung der «generellen <strong>IT</strong>-kontrollen» und des <strong>IT</strong>-einsatzes insgesamt in kleineren und mittleren<br />
Unternehmen und organisationen.<br />
das «<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse» liefert damit dem Wirtschaftsprüfer als unverbindliche arbeitshilfe die für die<br />
strategische Prüfungsplanung notwendigen Informationen über den einsatz der Informatik (<strong>IT</strong>).
2 Einführung<br />
Bedeutung der Informatik für das IKS<br />
gemäss art. 728a or hat die revisionsstelle von wirtschaftlich bedeutenden Unternehmen, die der ordentlichen revision<br />
unterliegen, ab dem geschäftsjahr 2008 die existenz eines Internen kontroll-systems (Iks) zu prüfen und zu bestätigen.<br />
Beobachtungen zeigen, dass in vielen mittleren und kleineren Unternehmen noch Unsicherheit und Fragen über Umfang<br />
und Inhalt sowie insbesondere den konkreten nutzen des Iks bestehen. dies gilt für das Iks auf Unternehmens- und<br />
Prozessebene sowie, in noch stärkerem mass, auch für die kontrollen im Informatikbereich.<br />
der schweizer Prüfungsstandard «Prüfung der existenz des Internen kontrollsystems» (Ps 890) definiert die Bedeutung der<br />
Informatik für das Interne kontroll-system wie folgt:<br />
«Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungs-<br />
Prozess von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von<br />
und Umgang mit Informatik-Systemen haben könnten.»<br />
Informatikeinsatz in KMU<br />
die anforderungen an die Informatik weichen in kmU nicht wesentlich von denjenigen in grösseren Unternehmungen ab:<br />
anwendungen mit breitem Funktionsumfang sowie hohe Verfügbarkeit und sicherheit sind oftmals wesentliche Vorausset-<br />
zungen für die effiziente und zuverlässige abwicklung der geschäftsprozesse.<br />
gegenüber grösseren Unternehmen mit bezüglich knowhow und kapazität gut dotierten Informatikabteilungen ist die<br />
situation in kmU, obwohl deren Informatik-systeme und -Infrastruktur im normalfall «überschaubar» sind und im Bereich<br />
der kern-anwendungen standard-software eingesetzt wird, oft von folgenden «typischen» risiken geprägt:<br />
• fehlendes knowhow zu Informatik-anwendungen sowie daten- und Werteflüssen (schnittstellen); daraus resultieren eine<br />
fehleranfällige, ineffiziente nutzung der software, schwachstellen in der internen kontrolle und eine hohe abhängigkeit<br />
von externen Partnern (lieferanten);<br />
• starke konzentration des knowhow auf einzelne, sehr oft einher gehend mit wenig strukturierten und kaum dokumentierten<br />
Prozessen im Informatikbereich; daraus ergibt sich eine hohe abhängigkeit von solchen schlüsselpersonen;<br />
• fehlende Funktionen-Trennung zwischen rechnungswesen und Informatik weil v.a. in kleineren Unternehmen die Verantwortung<br />
und z.T. auch die ausführung in rechnungswesen und Informatik bei derselben Person liegen;<br />
• angemessener Zugriffsschutz auf ebene von netzwerk und Betriebssystem, aber innerhalb der einzelnen anwendungen<br />
kaum differenzierte Zugriffsberechtigungen sowie «schwache» Passwörter und Verzicht auf periodische Passwort-Wechsel;<br />
• Individual-lösungen und -auswertungen in excel oder access, die von einzelnen anwendern auf ihrem PC erstellt und<br />
kaum dokumentiert werden; deren Weiterentwicklung, Test und Funktionsfähigkeit sowie oft auch deren nutzung (v.a.<br />
im Bereich kennzahlen und mIs) sind vollumfänglich von dieser einen Person abhängig;<br />
• schwachstellen im Bereich der physischen sicherheit (Zutritt, rauch- und Branderkennung, klimatisierung und stromversorgung)<br />
von rechenzentrum resp. serverraum;<br />
• regelmässige erstellung von datensicherungen, aber oftmals schwachstellen in deren aufbewahrung (kein datenträgersafe)<br />
sowie ungenügende auslagerung und fehlende restore-Tests (als grundlage für Wiederherstellung nach einem<br />
gravierenden ereignis);<br />
• fehlende Vorsorge und Vorbereitung für die Bewältigung von gravierenden ereignissen (bspw. Zerstörung des rechenzentrums<br />
resp. des serverraumes), obwohl die geschäftsprozesse in hohem mass von der Verfügbarkeit der Informatikmittel<br />
abhängig sind.<br />
4
Das IKS im Informatikbereich<br />
5<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
ein umfassendes Iks im Informatikbereich beinhaltet kontrollziele und kontrollen auf verschiedenen ebenen:<br />
• Unternehmen:<br />
Informatik-strategie, -organisation und -Personal, risiko- und sicherheits-management sowie steuerung und management<br />
von Informatikprojekten;<br />
• geschäftsprozesse:<br />
aufbau- und ablauforganisation sowie kontrollen primär in denjenigen geschäftsprozessen, die einen einfluss auf den<br />
daten- und Wertefluss sowie auf die rechnungslegung und Berichterstattung haben;<br />
• Informatik-anwendungen:<br />
kontrollen bei der erfassung, eingabe, Verarbeitung und ausgabe von Transaktionen und daten sowie kontrollen an den<br />
schnittstellen zwischen Informatik-anwendungen;<br />
• Informatik-Betrieb:<br />
kontrollen bei Programm-entwicklung und -Änderungen, bei Betrieb und konfiguration der Informatikmittel, der systemund<br />
datensicherheit sowie der Überwachung der Informatik.
3 <strong>Vorgehensmodell</strong> <strong>IT</strong>-<strong>Risikoanalyse</strong><br />
Grundsätzliche Überlegungen<br />
das «<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse» unterstützt den Wirtschaftsprüfer in mittleren und kleineren Unter nehmen<br />
und organisationen bei der erkennung und Bewertung von möglichen risiken, die vom Informatikeinsatz aus-<br />
gehen. der Wirtschaftsprüfer kann daraus erkenntnisse gewinnen für seine eigene Prüfungsplanung und -tätigkeit sowie<br />
auch für seinen entscheid über den einbezug eines spezialisierten Informatikprüfers.<br />
das <strong>Vorgehensmodell</strong> deckt die im schweizer Prüfungsstandard Ps 890 «Prüfung der existenz des internen kontroll systems»<br />
angesprochenen «generellen Informatik- (<strong>IT</strong>-) kontrollen» ab. es fokussiert auf diejenigen Bereiche, welche für die Buch-<br />
führung und rechnungslegung direkt und indirekt relevant sind, und es geht in einigen Bereichen darüber hinaus.<br />
das <strong>Vorgehensmodell</strong> ist unabhängig von der art der revision (ordentlich oder eingeschränkt); es orientiert sich an der<br />
Bedeutung der Informatik für das Unternehmen sowie dessen Buchführung und rechnungslegung.<br />
rechtliche und regulatorische anforderungen hinsichtlich des <strong>IT</strong>-einsatzes und dessen kontrolle werden im «Vorgehens-<br />
modell <strong>IT</strong>-risikoanalyse» nicht berücksichtigt – sie können aber sehr wohl ein wesentlicher grund sein, den <strong>IT</strong>-einsatz von<br />
einem spezialisierten <strong>IT</strong>-Prüfer beurteilen zu lassen.<br />
Inhalts-Übersicht<br />
Phase 1: Grobe Risikoeinschätzung ➔ siehe Kapitel 4<br />
Bei der Phase 1 handelt es sich um eine einschätzung der risiken und abhängigkeiten im Zusammenhang mit dem Informa-<br />
tikeinsatz. sie erhebt keinen anspruch auf Vollständigkeit und Präzision in allen details, sondern soll den Bedarf nach einer<br />
weiteren – und dann auch detaillierteren – erhebung und Beurteilung des Informatikeinsatzes aufzeigen.<br />
nach abschluss der Phase 1 kann der Wirtschaftsprüfer aufgrund dieser ersteinschätzung der risiken entscheiden, ob das<br />
durchführen der Phase 2 notwendig ist.<br />
Phase 2: Erhebung Informatikeinsatz ➔ siehe Kapitel 5<br />
Bei der Phase 2 handelt es sich um eine breit angelegte und angemessen detaillierte erhebung der stark- und schwach-<br />
stellen im Zusammenhang mit dem Informatikeinsatz. die Bearbeitung der Fragen resp. des Fragebogens von Phase 2 kann<br />
im rahmen der strategischen Prüfungsplanung oder auch im rahmen der (Zwischen-) revision erfolgen.<br />
nach abschluss der Phase 2 kann aufgrund der erhaltenen erkenntnisse entschieden werden, ob und in welchen Prüf-<br />
feldern eine umfassenden Informatikrevision durchzuführen ist.<br />
Fragebogen als Erhebungs- und Beurteilungsgrundlage<br />
Für beide Phasen wurde je ein Fragebogen entwickelt. deren Umfang und Inhalt sind den Zielen der jeweiligen Phase an-<br />
gepasst und ermöglichen eine zielgerichtete und effiziente Bearbeitung.<br />
die «antworten» zu den einzelnen Fragen basieren auf einem 4-stufigen maturitätsmodell; sie erlauben (und verlangen)<br />
dadurch eine eindeutige Bewertung eines sachverhaltes sowie auch einen Vergleich mit anderen Unternehmen.<br />
6
<strong>IT</strong>-Check als «Kombination» der Phasen 1 und 2 ➔ siehe Kapitel 6<br />
7<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
die Inhalte der beiden Phasen 1 und 2 können, insbesondere wenn die erhebungen beider Phasen gleichzeitig von dem-<br />
selben Prüfer durchgeführt werden, zu einem <strong>IT</strong>-Check zusammengefasst werden.<br />
Was das «<strong>Vorgehensmodell</strong> <strong>IT</strong>-<strong>Risikoanalyse</strong>» nicht ist<br />
das «<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse» ist keine allumfassende <strong>Risikoanalyse</strong> – es ist vielmehr ein arbeits instrument primär<br />
für die strategische Prüfungsplanung des Wirtschaftsprüfers, das effizient eingesetzt werden kann sowie eine vernünftige<br />
erkennung und Beurteilung der im Zusammen hang mit dem Informatikeinsatz stehenden risiken erlaubt.<br />
das «<strong>Vorgehensmodell</strong> <strong>IT</strong>-risikoanalyse» ist kein Leitfaden für eine umfassende Informatikrevision; diese erachten die<br />
autoren als domäne von spezialisierten <strong>IT</strong>-Prüfern. Zudem sind allgemein anerkannte Prüfungsansätze wie bspw. das <strong>IT</strong><br />
audit Framework von IsaCa oder dem auf Co b iT basierenden <strong>IT</strong> governance assurance guide verfügbar resp. werden von<br />
grossen Prüfungsgesellschaften unternehmensspezifische <strong>Vorgehensmodell</strong>e und arbeitspapiere eingesetzt.
4 Phase 1: Grobe Risikoeinschätzung<br />
Positionierung<br />
die Bearbeitung der Fragen resp. des Fragebogens von Phase 1 soll im rahmen der strategischen Prüfungsplanung erfolgen.<br />
damit ist gewähr geboten, dass die sich aus dem <strong>IT</strong>-einsatz ergebenden risiken frühzeitig erkannt werden und die erkennt-<br />
nisse in die Prüfungsplanung einfliessen können.<br />
Bei der Phase 1 handelt es sich um eine einschätzung der risiken und abhängigkeiten im Zusammenhang mit dem Informa-<br />
tikeinsatz. sie erhebt keinen anspruch auf Vollständigkeit und Präzision in allen details, sondern soll den Bedarf nach einer<br />
weiteren – und dann auch detaillierteren – erhebung und Beurteilung des Informatikeinsatzes aufzeigen.<br />
Vorgehen und Beteiligte<br />
durch die erhebung der Phase 1 soll erkannt werden, welche Bedeutung der Informatik im Unternehmen zukommt. aus<br />
den antworten zu den 16 Fragen lässt sich ableiten, ob aus dem Informatikeinsatz erhöhte risiken für das Unternehmen<br />
resultieren, welche für die strategische Prüfungsplanung des Wirtschaftsprüfers wichtig sind.<br />
der Fragebogen der Phase 1 wird dem kunden vorgängig zugestellt und von den für das rechnungswesen und die Informa-<br />
tik verantwortlichen Personen ausgefüllt. Für den nachfolgenden review des Fragebogens gemeinsam mit Vertretern des<br />
Unternehmens rechnen wir für den Wirtschaftsprüfer mit einem aufwand von rund einer stunde.<br />
mit vernünftigem aufwand kann so aufgrund von nachvollziehbaren Fakten beurteilt werden, ob eine vertiefte risiko-<br />
erhebung im <strong>IT</strong>-Bereich, d.h. das auslösen der Phase 2, angezeigt ist.<br />
Fragebogen / Kriterien<br />
der Fragebogen beinhaltet fünf Themenkreise; jeder Themenkreis beinhaltet eine bis fünf Fragen.<br />
Geschäft und <strong>IT</strong><br />
• Geschäftsstrategie und Informatikeinsatz<br />
• Innovationsgrad beim<br />
Informatikeinsatz<br />
• Abhängigkeit von Verfügbarkeit<br />
der Informatikmittel<br />
Für jede Frage resp. jedes Kriterium werden «antworten» in vier unterschiedlichen Ausprägungen (maturitätsstufen) vor-<br />
geschlagen.<br />
Letzte <strong>IT</strong>-Prüfung<br />
• Zeitpunkt der letzten unabhängigen<br />
Beurteilung Informatik<br />
Interne Organisation<br />
und Kontrolle<br />
• Risikomanagement<br />
• Internes Kontroll-System<br />
• Awareness für Informationssicherheit<br />
• Funktionentrennung<br />
• Stellvertretung und Anwendungs-<br />
Knowhow im Rechnungswesen<br />
8<br />
<strong>IT</strong>-Betrieb<br />
• Betriebssicherheit der Informatikmittel<br />
• Stellvertretung in der Informatikabteilung<br />
• Abhängigkeit von externem Personal<br />
(inkl. Outsourcing)<br />
<strong>IT</strong>-Anwendungen<br />
• Software für das Rechnungswesen<br />
• Änderungen in Kern-Anwendungen<br />
• Integration Wertefluss im<br />
Rechnungswesen<br />
• Programmfehler in Kern-Anwendungen
Geschäft und <strong>IT</strong><br />
9<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
In diesem Themenkreis wird die Bedeutung der Informatik für das Unternehmen ermittelt. es soll erkannt werden, wie weit<br />
die geschäftsstrategie auf die nutzung von Informatikmitteln setzt und in welchem masse die Primärprozesse des Unter-<br />
nehmens von der Verfügbarkeit der Informatikmittel abhängig sind.<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4<br />
Geschäftsstrategie und<br />
Informatikeinsatz<br />
Innovationsgrad beim<br />
Informatikeinsatz<br />
Abhängigkeit von<br />
Verfügbarkeit der<br />
Informatikmittel<br />
die geschäftsstrategie<br />
basiert wesentlich auf der<br />
nutzung des Internets<br />
bzw. von neuen Technologien<br />
sowie aktivem<br />
Informationsaustausch<br />
über datennetze.<br />
das Unternehmen nutzt<br />
eine moderne und komplexe<br />
<strong>IT</strong>-Infrastruktur und<br />
adaptiert aufkommende<br />
Technologien deutlich vor<br />
der Branche.<br />
die <strong>IT</strong>-Verfügbarkeit<br />
ist für das geschäft<br />
(Front geschäft resp.<br />
Primärprozesse) ein<br />
kritischer Faktor; die<br />
akzeptable ausfallzeit<br />
liegt unter 4 stunden.<br />
die geschäftsstrategie<br />
basiert teilweise auf der<br />
nutzung des Internets<br />
bzw. von neuen<br />
Techno logien; wichtige<br />
geschäftsprozesse<br />
basieren auf Informationsaustausch<br />
über datennetze.<br />
das Unternehmen nutzt<br />
eine komplexe <strong>IT</strong>-Infrastruktur<br />
und adaptiert<br />
neue Technologien ohne<br />
Verzögerung.<br />
die <strong>IT</strong>-Verfügbarkeit<br />
ist für das geschäft<br />
(Frontgeschäft resp.<br />
Primärprozesse) wichtig;<br />
die akzeptable ausfallzeit<br />
liegt zwischen 4 stunden<br />
und 2 Tagen.<br />
die geschäftsstrategie<br />
ist kaum von neuen<br />
Technologien abhängig;<br />
wichtige geschäftsprozesse<br />
nutzen diese<br />
Technologien aber bereits.<br />
die geschäftsstrategie ist<br />
nicht von neuen Technologien<br />
(z.B. Internet oder<br />
e-commerce) abhängig.<br />
das Unternehmen nutzt das Unternehmen nutzt<br />
eine umfangreiche, vor- eine unkomplizierte<br />
wiegend aus standard- <strong>IT</strong>-Infrastruktur, die vorkomponenten<br />
bestehende wiegend aus standard-<br />
<strong>IT</strong>-Infrastruktur und adapkomponenten besteht; die<br />
tiert neue Technologien <strong>IT</strong>-Infrastruktur bleibt eher<br />
mit Verzögerung. hinter techno logi schen<br />
entwicklungen zurück.<br />
die <strong>IT</strong>-Verfügbarkeit die <strong>IT</strong>-Verfügbarkeit ist für<br />
ist für das geschäft den operativen Betrieb<br />
(Frontgeschäft resp. (Frontgeschäft) und die<br />
Primärprozesse) bedingt internen Primärprozesse<br />
wichtig; die akzeptable unkritisch; ein ausfall von<br />
ausfallzeit liegt zwischen mehr als einer Woche<br />
2 Tagen und einer Woche. scheint akzeptabel.
Interne Organisation und Kontrolle<br />
In diesem Themenkreis werden das risikomanagement und das Interne kontrollsystem, die sensibilisierung bezüglich<br />
Informationssicherheit, die Funktionentrennung zwischen Informatik und Fachabteilungen sowie das knowhow und die<br />
stellvertretung im rechnungswesen bewertet.<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4<br />
Risikomanagement es besteht kein erkennbares<br />
risikomanagement;<br />
zur risikominderung<br />
werden ad hoc-massnahmen<br />
eingesetzt.<br />
Internes Kontrollaystem<br />
Awareness für<br />
Informationssicherheit<br />
ein Internes kontrollsystem<br />
(Iks) ist kaum<br />
erkennbar oder ist nicht<br />
vorhanden.<br />
die mitarbeiter sind über<br />
ihre Verantwortung zur<br />
einhaltung interner und<br />
externer anforderungen<br />
zur Informationssicherheit<br />
nicht informiert.<br />
Funktionentrennung es besteht nur eine<br />
rudimentäre, informelle<br />
Funktionentrennung;<br />
es bestehen (auch im<br />
hinblick auf die <strong>IT</strong>)<br />
abteilungs übergreifende<br />
Funktionen.<br />
Stellvertretung<br />
und Anwendungs-<br />
Knowhow im<br />
Rechnungswesen<br />
Im Unternehmen besteht<br />
nur eine rudimentäre<br />
stellvertretung; der ausfall<br />
von einzelpersonen<br />
führt bereits im normalen<br />
Tagesgeschäft zu<br />
Problemen.<br />
es besteht ein punktuelles,<br />
anwendungsspezifisches<br />
risikomanagement, das<br />
teilweise dokumentiert<br />
ist; daraus hervorgehende<br />
massnahmen zur risikominderung<br />
sind nicht<br />
(einfach) erkennbar.<br />
es besteht ein punktuelles,<br />
fachbereichsspezifisches<br />
Iks; der dokumentationsund<br />
aktualitätsgrad ist<br />
aber unklar.<br />
die mitarbeiter sind über<br />
ihre Verantwortung zur<br />
einhaltung interner und<br />
externer anforderungen<br />
zur Informationssicherheit<br />
informiert.<br />
es besteht eine Funktionentrennung<br />
zwischen<br />
<strong>IT</strong> und Fachbereich;<br />
Funktionen innerhalb der<br />
Fachabteilungen werden<br />
unter Umständen nicht<br />
getrennt.<br />
Für wichtige Positionen<br />
sind stellvertretungen<br />
definiert aber kaum<br />
geschult; ein ausfall von<br />
Personen wirkt sich nach<br />
einigen Tagen auf das<br />
normale Tagesgeschäft<br />
aus; die Bewältigung von<br />
Problemen und Zwischenfällen<br />
ist bei einem ausfall<br />
nicht möglich.<br />
10<br />
es besteht ein formalisiertes,<br />
firmenumfassendes<br />
risikomanagement; es ist<br />
dokumentiert und wird<br />
periodisch aktualisiert<br />
und die daraus hervorgehenden<br />
massnahmen<br />
zur risikominderung sind<br />
klar erkennbar.<br />
es besteht ein formalisiertes,<br />
firmenumfassendes<br />
Iks; es ist dokumentiert<br />
und wird periodisch<br />
aktualisiert.<br />
die mitarbeiter werden<br />
wiederholt auf ihre<br />
Verantwortung zur<br />
einhaltung interner und<br />
externer anforderungen<br />
zur Informationssicherheit<br />
hingewiesen und<br />
angemessen geschult.<br />
es wird innerhalb<br />
der Fachbereiche<br />
auf eine funktionale<br />
Funktionentrennung<br />
geachtet; diese ist in den<br />
aufgabenbeschreibungen<br />
dokumentiert, wird<br />
jedoch nicht kontrolliert.<br />
es besteht ein formalisiertes,<br />
firmenumfassendes<br />
risikomanagement; es ist<br />
dokumentiert und wird<br />
jährlich aktualisiert und<br />
die risiken werden nachvollziehbar<br />
gemindert.<br />
das risikomanagement<br />
wird durch ein Control<br />
self assessment ergänzt.<br />
es besteht ein formalisiertes,<br />
firmenumfassendes<br />
Iks; es ist dokumentiert<br />
und wird jährlich aktualisiert.<br />
das Iks wird durch<br />
ein Control self assessment<br />
ergänzt.<br />
die mitarbeiter werden<br />
systematisch geschult<br />
und die einhaltung<br />
interner und externer<br />
anforderungen zur<br />
Informationssicherheit<br />
wird regelmässig geprüft.<br />
es wird innerhalb der<br />
Fachbereiche konsequent<br />
auf eine funktionale<br />
Funktionentrennung<br />
geachtet; diese ist in den<br />
aufgabenbeschreibungen<br />
dokumentiert und wird<br />
ständig kontrolliert.<br />
Für alle wesentlichen Für alle wesentlichen<br />
Positionen sind stell- Positionen sind stellvertretungen<br />
vorhanden vertretungen vorhanden<br />
und geschult; das normale und geschult, es<br />
Tagesgeschäft ist sicher- bestehen entsprechende<br />
gestellt, die Bewältigung dokumen tationen; das<br />
von Problemen und normale Tagesgeschäft<br />
Zwischenfällen jedoch und sowie eine effektive<br />
schwierig und führt zu Problembewältigung sind<br />
Verzögerungen. sichergestellt.
<strong>IT</strong>-Anwendungen<br />
11<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
In diesem Themenkreis werden die software für das rechnungswesen und die kern-anwendungen sowie deren Integrations-<br />
grad und Qualität bewertet.<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4<br />
Software für das<br />
Rechnungswesen<br />
Änderungen in<br />
Kern-Anwendungen<br />
Integration Wertefluss<br />
im Rechnungswesen<br />
Programmfehler in<br />
Kern-Anwendungen<br />
die rechnungswesenanwendung<br />
ist eine<br />
eigenentwicklung.<br />
die kern-anwendungen<br />
wurden im letzten oder<br />
aktuellen geschäftsjahr<br />
ersetzt und die «alten»<br />
datenbestände migriert.<br />
Für kern-anwendungen<br />
sind integrierte<br />
lösungen mit hohem<br />
automatisierungsgrad<br />
implementiert; der<br />
nachvollzug von Werte-<br />
und datenflüssen bedingt<br />
spezialistenwissen.<br />
Bei den kern-anwendungen<br />
treten häufig<br />
Probleme auf, die mit<br />
grossem Zeitaufwand<br />
gelöst werden müssen.<br />
Fehler und ausfallgründe<br />
wiederholen sich häufig.<br />
Für das rechnungswesen<br />
wird parametrisierbare<br />
standardsoftware mit<br />
möglichkeiten zur Individualprogrammierung<br />
eingesetzt.<br />
Wesentliche Teile der<br />
kern-anwendungen<br />
wurden im letzten oder<br />
aktuellen geschäftsjahr<br />
ersetzt und datenbestände<br />
migriert.<br />
Für kern-anwendungen<br />
sind integrierte lösungen<br />
mit automatisierten<br />
schnittstellen im einsatz;<br />
Werte- und datenflüsse<br />
sind nachvollziehbar.<br />
Fehler in kern-anwendungen<br />
sind selten, müssen<br />
aber mit grossem Zeitaufwand<br />
gelöst werden.<br />
störungs- und ausfallgründe<br />
wiederholen sich<br />
kaum.<br />
Für das rechnungswesen<br />
wird standardsoftware<br />
eingesetzt, welche nur<br />
über eingeschränkte<br />
möglichkeiten für Parametrisierung<br />
und Individualprogrammierung<br />
verfügt.<br />
Wesentliche Teile der<br />
kern-anwendungen<br />
wurden im letzten oder<br />
aktuellen geschäftsjahr<br />
geändert (bspw. release-<br />
Wechsel) oder erweitert.<br />
Für kern-anwendungen<br />
sind verschiedene<br />
Insellösungen mit (Batch-)<br />
schnittstellen im einsatz;<br />
Werte- und datenflüsse<br />
sind gut nachvollziehbar.<br />
Fehler in kernanwendun<br />
gen sind<br />
selten und können<br />
zeitnah gelöst werden.<br />
Fehler und mängel sind<br />
dokumentiert.<br />
Für das rechnungswesen<br />
wird standardsoftware<br />
ohne jegliche Parametrisierung<br />
und ohne<br />
möglichkeiten für Individualprogrammierung<br />
eingesetzt.<br />
die kern-anwendungen<br />
wurden im letzten und<br />
aktuellen geschäftsjahr<br />
nur geringfügig geändert<br />
oder erweitert<br />
es sind mehrere<br />
funktionsspezifische<br />
Insellösungen mit<br />
einzelnen (Batch-)<br />
schnittstellen im einsatz;<br />
Werte- und datenflüsse<br />
in anwendungen und an<br />
schnittstellen sind anhand<br />
von auswertungen und<br />
schnittstellenprotokollen<br />
nachvollziehbar dokumentiert.<br />
Fehler in kernanwendun<br />
gen sind sehr<br />
selten; Fehler und mängel<br />
werden systematisch,<br />
zeitnah und nachhaltig<br />
gelöst sowie nachvollziehbar<br />
dokumentiert.
<strong>IT</strong>-Betrieb<br />
In diesem Themenkreis werden die Betriebssicherheit der Informatikmittel sowie die personelle situation (stellvertretung /<br />
abhängigkeit von externen) im Informatikbereich bewertet.<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4<br />
Betriebssicherheit der<br />
Informatikmittel<br />
Stellvertretung in der<br />
Informatikabteilung<br />
Abhängigkeit von<br />
externem Personal<br />
(inkl. Outsourcing-<br />
Partnern)<br />
die <strong>IT</strong>-mittel (server,<br />
Clients, netzwerk und<br />
Peripherie) sind häufigen<br />
störungen und ausfällen<br />
ausgesetzt; diese wirken<br />
sich auf den gesamten<br />
geschäftsbetrieb aus.<br />
es besteht innerhalb der<br />
<strong>IT</strong> nur eine rudimentäre<br />
stellvertretungsregelung;<br />
der ausfall von einzelpersonen<br />
führt bereits im<br />
normalen <strong>IT</strong>-Betrieb zu<br />
Problemen.<br />
das Unternehmen<br />
ist beim Betrieb der<br />
<strong>IT</strong> weitgehend von<br />
externer Unterstützung<br />
abhängig; insbesondere<br />
bei Proble men ist eine<br />
externe Unterstützung<br />
unabdingbar.<br />
die <strong>IT</strong>-mittel sind wiederholt<br />
störungen und ausfällen<br />
ausgesetzt; diese<br />
wirken sich auf den gesamten<br />
geschäftsbetrieb<br />
aus.<br />
Für die wichtigsten<br />
Positionen innerhalb der<br />
<strong>IT</strong> sind stellvertretungen<br />
definiert aber kaum<br />
geschult; der ausfall von<br />
einzelpersonen wirkt sich<br />
nach einigen Tagen auf<br />
den <strong>IT</strong>-Betrieb aus und<br />
die Bewältigung von<br />
<strong>IT</strong>-Problemen ist nicht<br />
möglich.<br />
der normalbetrieb<br />
der <strong>IT</strong> ist ohne externe<br />
Unterstützung<br />
weitgehend möglich;<br />
Fehler oder Probleme<br />
sind ohne externe<br />
Unterstützung kaum<br />
lösbar.<br />
12<br />
die <strong>IT</strong>-mittel sind kaum<br />
störungen und ausfällen<br />
ausgesetzt; diese wirken<br />
sich nur bedingt auf den<br />
geschäftsbetrieb aus.<br />
Für alle wesentlichen<br />
Positionen innerhalb der<br />
<strong>IT</strong> sind stellvertretungen<br />
vorhanden und geschult,<br />
aber nicht dokumentiert;<br />
der <strong>IT</strong>-Betrieb ist sichergestellt,<br />
die Bewältigung<br />
von <strong>IT</strong>-Problemen ohne<br />
diese Personen jedoch<br />
schwierig.<br />
der normalbetrieb<br />
der <strong>IT</strong> ist auch ohne<br />
externe Unterstützung<br />
sichergestellt; bei<br />
Fehlern oder Problemen<br />
muss teilweise auf<br />
externe Unterstützung<br />
zurückgegriffen werden.<br />
die <strong>IT</strong>-mittel sind nur<br />
selten störungen und<br />
ausfällen ausgesetzt;<br />
diese wirken sich nur<br />
auf Teile des geschäftsbetriebs<br />
aus.<br />
Für alle wesentlichen<br />
Positionen innerhalb der<br />
<strong>IT</strong> sind stellvertretungen<br />
vorhanden und<br />
geschult, es bestehen<br />
ent sprechende dokumen<br />
tationen; der<br />
<strong>IT</strong>-Betrieb und eine<br />
effektive Bewältigung<br />
von <strong>IT</strong>-Problemen sind<br />
sichergestellt.<br />
der normalbetrieb und<br />
die Problemhandhabung<br />
sind jederzeit ohne<br />
externe Unterstützung<br />
gewährleistet; eine<br />
externe Unterstützung ist<br />
nur in krisensituationen<br />
erforderlich.<br />
Letzte <strong>IT</strong>-Prüfung (Zeitrisiko)<br />
dieses kriterium zeigt, zu welchem Zeitpunkt der Informatikeinsatz im Unternehmen letztmals von einem unabhängigen<br />
experten beurteilt wurde.<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4<br />
Letzte <strong>IT</strong>-Prüfung es wurde noch nie eine <strong>IT</strong>-<br />
Prüfung durchgeführt.<br />
Ausfüllen des Fragebogens<br />
eine <strong>IT</strong>-Prüfung wurde<br />
letztmals vor mehr als 5<br />
Jahren durchgeführt.<br />
eine <strong>IT</strong>-Prüfung wurde<br />
letztmals vor einigen<br />
Jahren durchgeführt.<br />
eine <strong>IT</strong>-Prüfung wurde im<br />
vergangenen geschäftsjahr<br />
durchgeführt.<br />
Für jedes der 16 kriterien wird aus den vier «antworten» diejenige bestimmt, die den aktuellen gegebenheiten im Unternehmen<br />
am besten entspricht.<br />
Bewertungen «zwischen» den maturitätsstufen (1 – 2, 2 – 3 und 3 – 4) sollten nicht vorgenommen werden, da sie kaum<br />
einen nutzen bieten. Im Zweifelsfall sollte die niedrigere stufe gewählt werden, da dies das Prüfungsrisiko reduziert.
Interpretation der Erkenntnisse / Bewertung<br />
13<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
die Interpretation des Fragebogens erfolgt anhand der maturitätsstufen. eine maturitätsstufe entspricht bei der Bewertung<br />
der Phase I nicht unbedingt einem technischen oder organisatorischen reifegrad sondern einem potentiellen risikofaktor.<br />
Bspw. setzt sich ein Unternehmen mit einem Innovationsgrad (Frage 2) der stufe 1 (d.h. mit sehr früher adaption neuer<br />
<strong>IT</strong>-Technologien) sicher einem höheren risiko aus als eines mit stufe 4 (d.h. mit konservativer adaption, standardisierter und<br />
wenig moderner <strong>IT</strong>).<br />
die autoren des «<strong>Vorgehensmodell</strong>s <strong>IT</strong>-risikoanalyse» gehen aufgrund ihrer kenntnisse und erfahrungen davon aus, dass<br />
einstufungen im Bereich der maturitätsstufen 4 und 3 auf geringe risiken hinweisen; demgegenüber weisen einstufungen<br />
im Bereich der maturitätsstufen 2 und 1 auf erhebliche bis hohe risiken hin.<br />
Berichterstattung<br />
Für die Berichterstattung über die Phase 1 besteht eine effiziente und gut visualisierbare lösung darin, die Bewertung<br />
(stufe) direkt im Fragebogen durch einfärben der zutreffenden «antwort» in entsprechenden Farben (z.B. 1 = rot, 2 = gelb,<br />
3 = hellgrün und 4 = dunkelgrün) zu dokumentieren.<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4<br />
Geschäftsstrategie und<br />
Informatikeinsatz<br />
die geschäftsstrategie basiert wesentlich auf der<br />
nutzung des Internets bzw. von neuen Technologien<br />
sowie aktivem Infor mations austausch über<br />
daten netze.<br />
die geschäftsstrategie basiert teilweise auf der nutzung<br />
des Internets bzw. von neuen Techno logien; wichtige<br />
geschäfts prozesse basieren auf Informationsaustausch<br />
über datennetze.<br />
die geschäftsstrategie ist kaum von neuen Technologien<br />
abhängig; wichtige geschäfts prozesse nutzen diese<br />
Techno logien aber bereits.<br />
die geschäftsstrategie ist nicht von neuen Technologien (z.B.<br />
Internet oder e-commerce) abhängig.<br />
Innovationsgrad beim das Unternehmen nutzt eine moderne und komplexe das Unternehmen nutzt eine komplexe <strong>IT</strong>-Infrastruktur und das Unternehmen nutzt eine umfangreiche, vorwiegend das Unternehmen nutzt eine unkomplizierte <strong>IT</strong>-Infrastruktur, die<br />
Informatikeinsatz<br />
<strong>IT</strong>-Infrastruktur und adaptiert aufkommende adaptiert neue Technologien ohne Verzögerung. aus standardkompo nenten bestehende <strong>IT</strong>-Infrastruktur vorwiegend aus standard komponenten besteht; die <strong>IT</strong>-Infra-<br />
Technologien deutlich vor der Branche.<br />
und adaptiert neue Technologien mit Verzögerung. struktur bleibt hinter technologischen entwicklungen zurück.<br />
Abhängigkeit von<br />
die <strong>IT</strong>-Verfügbarkeit ist für das geschäft (Front- die <strong>IT</strong>-Verfügbarkeit ist für das geschäft (Frontgeschäft die <strong>IT</strong>-Verfügbarkeit ist für das geschäft (Frontgeschäft die <strong>IT</strong>-Verfügbarkeit ist für den operativen Betrieb (Frontgeschäft)<br />
Verfügbarkeit der<br />
geschäft resp. Primärprozesse) ein kritischer Faktor; resp. Primärprozesse) wichtig; die akzeptable ausfallzeit resp. Primärprozesse) bedingt wichtig; die akzeptable und die internen Primärprozesse unkritisch; ein ausfall von mehr<br />
Informatikmittel<br />
die akzeptable ausfall zeit liegt unter 4 stunden. liegt zwischen 4 stunden und 2 Tagen.<br />
ausfallzeit liegt zwischen 2 Tagen und einer Woche. als einer Wochen scheint akzeptabel.<br />
Risikomanagement es besteht kein erkennbares risikomana gement; es besteht ein punktuelles, anwendungs spezifisches es besteht ein formalisiertes, firmenum fassendes es besteht ein formalisiertes, firmenumfassen des risikomana-<br />
zur risikominderung werden ad hoc-massnahmen risikomanagement, das teilweise dokumentiert ist; daraus risikomanagement; es ist doku mentiert und wird ge ment; es ist dokumentiert und wird jährlich aktualisiert und<br />
eingesetzt.<br />
hervor gehende massnahmen zur risiko minderung sind periodisch aktualisiert und die daraus hervorgehenden die risiken werden nachvollziehbar gemindert. das risikomana-<br />
nicht (einfach) erkennbar.<br />
mass nahmen zur risikominderung sind klar erkennbar. gement wird durch ein Control self assessment ergänzt.<br />
Internes Kontrollsystem ein internes kontrollsystem (Iks) ist kaum erkennbar es besteht ein punktuelles, fachbereichs-spezifisches Iks; es besteht ein formalisiertes, firmenum fassendes Iks; es es besteht ein formalisiertes, firmenumfassendes Iks; es ist<br />
oder ist nicht vorhanden.<br />
der dokumentations- und aktualitätsgrad ist aber unklar. ist dokumentiert und wird periodisch aktualisiert. dokumentiert und wird jährlich aktualisiert. das Iks wird durch<br />
ein Control self assessment ergänzt.<br />
Awareness für<br />
die mitarbeiter sind über ihre Verantwortung zur die mitarbeiter sind über ihre Verantwortung zur die mitarbeiter werden wiederholt auf ihre Verant- die mitarbeiter werden systematisch geschult und die einhaltung<br />
Informationssicherheit einhaltung interner und externer anforderungen zur einhaltung interner und externer anforderungen zur wor tung zur einhaltung interner und externer<br />
interner und externer anforderungen zur Informationssicherheit<br />
Informationssicherheit nicht informiert.<br />
Informationssicherheit informiert.<br />
anforderungen zur Informations sicherheit hingewiesen<br />
und angemessen geschult.<br />
wird regelmässig geprüft.<br />
Funktionentrennung es besteht nur eine rudimentäre, infor melle es besteht eine Funktionentrennung zwischen <strong>IT</strong> und es wird innerhalb der Fachbereiche auf eine funktionale es wird innerhalb der Fachbereiche konsequent auf eine<br />
Funktionentrennung; es bestehen (auch im hinblick Fachbereich; Funktionen innerhalb der Fachabteilungen Funktionentrennung geachtet; diese ist in den<br />
funktionale Funktionentrennung geachtet; diese ist in den<br />
auf die <strong>IT</strong>) abteilungs übergreifende Funktionen. werden unter Umständen nicht getrennt.<br />
aufgabenbe schreibungen dokumentiert, wird jedoch aufgabenbeschreibungen dokumentiert und wird ständig<br />
nicht kontrolliert.<br />
kontrolliert.<br />
Stellvertretung und<br />
Im Unternehmen besteht nur eine rudimentäre Für wichtige Positionen sind stellvertre tungen definiert Für alle wesentlichen Positionen sind stellvertretungen Für alle wesentlichen Positionen sind stellvertretungen vor-<br />
Anwendungs-Knowhow stellvertretung; der ausfall von einzelpersonen führt aber kaum geschult; ein ausfall von Personen wirkt sich vorhanden und geschult; das normale Tagesgeschäft handen und geschult, es bestehen entsprechende dokumen-<br />
im Rechnungswesen<br />
bereits im normalen Tagesgeschäft zu Problemen. nach einigen Tagen auf das normale Tagesgeschäft aus; ist sichergestellt, die Bewältigung von Problemen tationen; das normale Tagesgeschäft und sowie eine effektive<br />
die Bewältigung von Problemen und Zwischenfällen ist bei und Zwischenfällen jedoch schwierig und führt zu Problembewältigung sind sichergestellt.<br />
einem ausfall nicht möglich.<br />
Verzögerungen.<br />
Software für das<br />
die rechnungswesen-anwendung ist eine<br />
Für das rechnungswesen wird parametrisierbare Für das rechnungswesen wird standardsoftware einge- Für das rechnungswesen wird standard software ohne jegliche<br />
Rechnungswesen<br />
eigenentwicklung.<br />
standardsoftware mit möglich keiten zur Individualprosetzt, welche nur über eingeschränkte möglichkeiten für Parametrisierung und ohne möglichkeiten für Individualprogrammierung<br />
eingesetzt.<br />
Parametrisierung und Individualprogrammie rung verfügt. grammierung eingesetzt.<br />
Änderungen in<br />
die kern-anwendungen wurden im letzten oder Wesentliche Teile der kern-anwendungen wurden im Wesentliche Teile der kern-anwendungen wurden im die kern-anwendungen wurden im letzten und aktuellen<br />
Kern-Anwendungen<br />
aktuellen geschäftsjahr ersetzt und die «alten» letzten oder aktuellen geschäftsjahr ersetzt und die letzten oder aktuellen geschäftsjahr geändert (bspw. geschäftsjahr nur geringfügig geändert oder erweitert<br />
datenbestände migriert.<br />
datenbestände migriert.<br />
release-Wechsel) oder erweitert.<br />
Integration Wertefluss Für kern-anwendungen sind integrierte lösungen Für kern-anwendungen sind integrierte lösungen mit Für kern-anwendungen sind verschiedene Insellösungen es sind mehrere funktionsspezifische Insellösungen mit einzelnen<br />
im Rechnungswesen<br />
mit hohem automatisierungs grad implementiert; der automatisierten schnitt stellen im einsatz; Werte- und mit (Batch-) schnittstellen im einsatz; Werte- und (Batch-) schnittstellen im einsatz; Werte- und datenflüsse<br />
nachvollzug von Werte- und datenflüssen bedingt datenflüsse sind nachvollziehbar.<br />
datenflüsse sind gut nachvollziehbar.<br />
in an wendungen und an schnittstellen sind anhand von<br />
spezia listenwissen.<br />
aus wer tungen und schnittstellenprotokollen nachvollziehbar<br />
dokumentiert.<br />
Programmfehler in<br />
Bei den kern-anwendungen treten häufig Probleme Fehler in kern-anwendungen sind selten, müssen aber Fehler in kern-anwendungen sind selten und können Fehler in kern-anwendungen sind sehr selten; Fehler und<br />
Kern-Anwendungen<br />
auf, die mit grossem Zeitauf wand gelöst werden mit grossem Zeitaufwand gelöst werden. störungs- und zeitnah gelöst werden. Fehler und mängel sind mängel werden syste matisch, zeitnah und nachhaltig gelöst<br />
müssen. Fehler und ausfallgründe wiederholen<br />
sich häufig.<br />
ausfallgründe wiederholen sich kaum.<br />
dokumentiert.<br />
sowie nachvollziehbar dokumentiert.<br />
Betriebssicherheit der die <strong>IT</strong>-mittel (server, Clients, netzwerk und<br />
die <strong>IT</strong>-mittel sind wiederholt störungen und ausfällen die <strong>IT</strong>-mittel sind kaum störungen und ausfällen aus- die <strong>IT</strong>-mittel sind nur selten störungen und aus fällen ausgesetzt;<br />
Informatikmittel<br />
Peripherie) sind häufigen störungen und ausfällen ausgesetzt; diese wirken sich auf den gesamten<br />
gesetzt; diese wirken sich nur bedingt auf den<br />
diese wirken sich nur auf Teile des geschäftsbetriebs aus.<br />
ausgesetzt; diese wirken sich auf den gesamten<br />
geschäftsbetrieb aus.<br />
geschäftsbetrieb aus.<br />
geschäftsbetrieb aus.<br />
Stellvertretung in der es besteht innerhalb der <strong>IT</strong> nur eine rudimentäre stell- Für die wichtigsten Positionen innerhalb der <strong>IT</strong> sind Für alle wesentlichen Positionen innerhalb der <strong>IT</strong> sind Für alle wesentlichen Positionen innerhalb der <strong>IT</strong> sind<br />
Informatikabteilung<br />
vertretungsregelung; der ausfall von einzelpersonen stell vertretungen definiert aber kaum geschult; der ausfall stellvertretungen vorhanden und geschult, aber nicht stell vertretungen vorhanden und geschult, es bestehen<br />
führt bereits im normalen <strong>IT</strong>-Betrieb zu Problemen. von einzel personen wirkt sich nach einigen Tagen auf dokumentiert; der <strong>IT</strong>-Betrieb ist sichergestellt, die entsprechende dokumentationen; der <strong>IT</strong>-Betrieb und eine<br />
den <strong>IT</strong>-Betrieb aus und die Bewältigung von <strong>IT</strong>-Problemen Bewältigung von <strong>IT</strong>-Problemen ohne diese Personen effektive Bewältigung von <strong>IT</strong>-Problemen sind sichergestellt.<br />
ist nicht möglich.<br />
jedoch schwierig.<br />
Abhängigkeit von externem das Unternehmen ist beim Betrieb der <strong>IT</strong> weitgehend der normalbetrieb der <strong>IT</strong> ist ohne externe Unterstützung der normalbetrieb der <strong>IT</strong> ist auch ohne externe der normalbetrieb und die Problemhand habung sind jederzeit<br />
Personal (inkl. Outsourcing- von externer Unterstützung abhängig; insbesondere weitgehend möglich; Fehler oder Probleme sind ohne Unterstützung sichergestellt; bei Fehlern oder<br />
ohne externe Unterstützung gewährleistet; eine externe<br />
Partnern)<br />
bei Problemen ist eine externe Unterstützung externe Unterstützung kaum lösbar.<br />
Problemen muss teilweise auf externe Unterstützung Unterstützung ist nur in krisensituationen erforderlich.<br />
unabdingbar.<br />
zurückgegriffen werden.<br />
Zeitpunkt der letzten es wurde noch nie eine <strong>IT</strong>-Prüfung durchgeführt. eine <strong>IT</strong>-Prüfung wurde letztmals vor mehr als 5 Jahren eine <strong>IT</strong>-Prüfung wurde letztmals vor einigen Jahren eine <strong>IT</strong>-Prüfung wurde im vergangenen geschäftsjahr<br />
unabhängigen Beurteilung<br />
Informatik<br />
durchgeführt.<br />
durchgeführt.<br />
durchgeführt.<br />
die erkenntnisse aus der Phase 1 können so auf einer einzigen seite zusammenfassend dokumentiert werden. da bei dieser<br />
darstellungsart die Beschreibungen aller vier maturitätsstufen ersichtlich sind, ist auch ein rascher Vergleich der eigenen<br />
Verhältnisse mit denjenigen der benachbarten (höheren / tieferen) maturitätsstufen möglich.
neben der umseitigen tabellarischen darstellung der ergebnisse eignet sich für die erkennung der abhängigkeit des<br />
Unternehmens von seiner <strong>IT</strong> auch sehr gut ein sogenanntes «spinnendiagramm» – nachfolgend je einmal für ein einzel-<br />
unternehmen (links) sowie für vier verschiedene Unternehmen (rechts):<br />
Stellvertretung <strong>IT</strong><br />
Betriebssicherheit<br />
<strong>IT</strong><br />
Programmfehler<br />
Zeitrisiko <strong>IT</strong>-Prüfung<br />
Abhängigkeit extern<br />
REWE-Integrationsgrad<br />
Kern-Anwendungen<br />
abb: darstellung aller 16 kriterien abb: Zusammenfassende darstellung der 5 Themenkreise<br />
Empfehlungen zum weiteren Vorgehen<br />
Wenn ein oder mehrere kriterien im Bereich der maturitätsstufen 2 und 1 liegen resp. in den Farben gelb und rot eingestuft<br />
werden, erachten die autoren das einleiten der Phase 2 und damit eine vertiefe erhebung und Beurteilung des Informatik-<br />
einsatzes als angezeigt.<br />
Strategie und <strong>IT</strong><br />
4<br />
3.5<br />
3<br />
2.5<br />
2<br />
1.5<br />
1<br />
0.5<br />
0<br />
REWE-SW<br />
Innovation <strong>IT</strong><br />
Awareness<br />
Abhängigkeit <strong>IT</strong><br />
letztlich obliegt es dem Wirtschaftsprüfer resp. dessen «Professional Judgement», die in der Phase 1 gewonnenen<br />
erkenntnisse zu risiken und abhängigkeiten im Zusammenhang mit dem Informatikeinsatz hinsichtlich deren Bedeutung<br />
für die abschlussprüfung zu bewerten. dazu kann es sinnvoll sein, die erkenntnisse und die notwendigkeit einer vertiefen<br />
erhebung und Beurteilung des Informatikeinsatzes mit einem erfahrenen <strong>IT</strong>-Prüfer zu besprechen.<br />
IKS<br />
Risikomanagement<br />
Funktionentrennung<br />
Stellvertretung<br />
14<br />
Zeitrisiko<br />
Interne Organisation<br />
und Kontrolle<br />
Geschäft und <strong>IT</strong><br />
3.0<br />
2.5<br />
2.0<br />
1.5<br />
1.0<br />
0.5<br />
0.0<br />
<strong>IT</strong>-Betrieb<br />
<strong>IT</strong>-Anwendungen<br />
Bank Treuhand Spital Industrie
5 Phase 2: Erhebung Informatikeinsatz<br />
Positionierung<br />
15<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Bei der Phase 2 handelt es sich um eine breit angelegte und angemessen detaillierte erhebung der stark- und schwach-<br />
stellen im Zusammenhang mit dem Informatikeinsatz. die Bearbeitung der Fragen resp. des Fragebogens von Phase 2 kann<br />
im rahmen der strategischen Prüfungsplanung oder auch im rahmen der (Zwischen-) revision erfolgen.<br />
die erkenntnisse aus der Phase 2 können bezüglich den im Ps 890 angesprochenen «generellen Informatik- (<strong>IT</strong>-)<br />
kontrollen» zur abschliessenden Beurteilung dienen – sie können aber auch die notwendigkeit einer umfassenden und/<br />
oder tief gehenden erhebung und Beurteilung des Informatikeinsatzes insgesamt oder von spezifischen Prüffeldern mit<br />
Fakten belegen.<br />
Vorgehen und Beteiligte<br />
die erhebungen zur Phase 2 sollten von einem mit Informatikprüfungen vertrauten Wirtschaftsprüfer oder von einem <strong>IT</strong>-<br />
Prüfer vorgenommen werden. sie umfassen, neben einer Besichtigung der <strong>IT</strong>-Infrastruktur und dem einblick in vorhandene<br />
Unterlagen, vertiefende gespräche mit Vertretern aus dem Informatikbereich des Unternehmens.<br />
Für die erhebungen «vor ort» inkl. Bearbeiten des Fragebogens rechnen wir mit einem aufwand von ca. 1 Tag; der<br />
aufwand ist stark abhängig vom Umfang des Informatikeinsatzes und der anzahl einzubeziehender gesprächspartner.<br />
nach abschluss der Phase 2 können verlässliche aussagen zu vorhandenen risiken im Informatikbereich und konkreten<br />
schwachstellen gemacht werden. darauf basierend kann beurteilt werden, ob und in welchen Prüffeldern eine umfassende<br />
Informatikrevision angezeigt ist.<br />
Fragebogen / Kriterien (➔ Details siehe Anhang 2)<br />
der Fragebogen der Phase 2 umfasst 20 Themenbereiche mit durchschnittlich 4 Prüfpunkten; er deckt nach einschätzung<br />
der autoren die im schweizer Prüfungsstandard Ps 890 «Prüfung der existenz des internen kontrollsystems» angespro-<br />
chenen «generellen <strong>IT</strong>-kontrollen» vollumfänglich ab resp. geht in einzelnen Bereichen zur reduktion des Prüfungsrisikos<br />
bewusst darüber hinaus.<br />
der Fragebogen beinhaltet insgesamt rund 90 Kriterien (Prüfpunkte) zu folgenden Themenbereichen:<br />
• <strong>IT</strong>-relevante dokumentation<br />
• Zugriffsschutz<br />
• organisation der <strong>IT</strong><br />
• <strong>IT</strong>-sicherheit<br />
• <strong>IT</strong>-governance<br />
• Physische sicherheit<br />
• <strong>IT</strong>-risikomanagement<br />
• <strong>IT</strong>-Betrieb<br />
• Compliance<br />
• Problem-management<br />
• <strong>IT</strong>-Projektmanagement<br />
• datensicherung<br />
• software-entwicklung und -Änderungen<br />
• outsourcing (falls relevant)<br />
• Testen von <strong>IT</strong>-anwendungen<br />
• rechnungswesen<br />
• anwender-richtlinien<br />
• direkte anwendungskontrollen<br />
• anwender-ausbildung<br />
• Unterstützende anwendungskontrollen)
Bei einem grossen Teil der aufgeführten Themenbereiche handelt es sich um generelle <strong>IT</strong>-kontrollen; zusätzlich werden<br />
weitere Bereiche erhoben, welche für den Wirtschaftsprüfer wichtig sind und eine genauere erkennung von ggf. vorhan-<br />
denen schwachstellen und risiken ermöglichen.<br />
Ausfüllen des Fragebogens<br />
Für jedes kriterium wird aus den vier «antworten» diejenige bestimmt, die den aktuellen gegebenheiten im Unternehmen<br />
am besten entspricht. die Bewertung (stufe) wird in der spalte «stufe» des Fragebogens festgehalten oder direkt durch<br />
ankreuzen der entsprechenden «antwort» festgehalten.<br />
Für die Beurteilung und die Berichterstattung ist es sinnvoll, in der spalte «Feststellung / Beurteilung / empfehlung» ergän-<br />
zende hinweise zu machen; solche hinweise werden idealerweise mit einem «F» für Feststellung, «B» für Beurteilung und<br />
«e» für empfehlung gekennzeichnet.<br />
Bewertungen «zwischen» den maturitätsstufen (1 – 2, 2 – 3 und 3 – 4) sollten nicht vorgenommen werden; die autoren<br />
empfehlen, zur reduktion des Prüfungsrisikos im Zweifelsfall die tiefere stufe zu wählen (also z.B. statt 1 – 2 die 1).<br />
Wenn ein kriterium nicht relevant ist für das Unternehmen (bspw. die Fragen zum outsourcing), kann in der spalte «stufe»<br />
des Fragebogens der Wert «n.a.» (nicht anwendbar) eingetragen werden.<br />
Interpretation der Erkenntnisse / Bewertung<br />
die Interpretation des Fragebogens erfolgt anhand der maturitätsstufen; diese entsprechen aber – im gegensatz zur Phase 1<br />
– eher einem technischen oder organisatorischen reifegrad und nicht unbedingt einem potentiellen risikofaktor. es besteht<br />
aber nachweislich ein Zusammenhang zwischen der Prozess-maturität und dem jeweiligen risiko.<br />
die autoren des <strong>Vorgehensmodell</strong>s <strong>IT</strong>-risikoanalyse gehen aufgrund ihrer kenntnisse und erfahrungen davon aus, dass<br />
einstufungen im Bereich der maturitätsstufen 4 und 3 auf einen guten reifegrad und geringe risiken hinweisen. demge-<br />
genüber weisen einstufungen im Bereich der maturitätsstufen 2 und 1 auf einen ungenügenden reifegrad resp. erhebliche<br />
bis hohe risiken hin.<br />
16
Berichterstattung<br />
17<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
angesichts des Umfanges des Fragebogens sehen wir verschiedene ansätze zur Berichterstattung über die Phase 2; im<br />
Folgenden beschreiben wir zwei von uns mehrfach erprobte Varianten.<br />
Fokus auf detaillierte Darstellung IST-Zustand<br />
eine umfassende Berichterstattung ist durch einfärben der pro kriterium zutreffenden antwort oder der spalte «stufe» in<br />
der passenden Farbe (1 = rot, 2 = gelb, 3 = hellgrün und 4 = dunkelgrün) möglich.<br />
<strong>IT</strong>-relevante Dokumentation<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Übersicht <strong>IT</strong>-<br />
Infrastruktur<br />
Hardware-<br />
Inventare<br />
Software-<br />
Inventare<br />
Verträge und<br />
Dienstleistungsvereinbarungen<br />
es besteht keine Übersicht<br />
über die Informatik-Infrastruktur.<br />
es besteht kein hardware-<br />
Inventar.<br />
es besteht kein software-<br />
Inventar.<br />
es bestehen kaum Verträge<br />
zwischen dem Informatikbereich<br />
und dritten,<br />
obwohl leistungen bezogen<br />
werden.<br />
die erkenntnisse aus der Phase 2 können so d.h. pro kriterium mit stark- und schwachstellen auf ca. 10 seiten (Format a4)<br />
umfassend visualisiert werden. eine «inhaltliche» Beurteilung ist anhand der Beschreibungen zu den einzelnen stufen sowie<br />
zusätzlich über die spalte «Feststellung / Beurteilung / empfehlung» gegeben.<br />
Fokus auf Darstellung Handlungsbedarf<br />
es besteht eine veraltete<br />
(älter als 1 jahr) Übersicht<br />
über die Informatik-Infrastruktur.<br />
es besteht ein veraltetes<br />
(älter als 1 Jahr) hardware-<br />
Inventar.<br />
es besteht ein veraltetes<br />
(älter als 1 Jahr) software-<br />
Inventar.<br />
es bestehen eine Übersicht/<br />
Zusammenstellung von im<br />
Informatikbereich relevanten<br />
Verträge mit dritten (lieferanten,<br />
kunden, Partner);<br />
diese ist jedoch unvollständig<br />
und nicht aktuell.<br />
Wenn primär eine aussage zum «handlungsbedarf» gefragt ist, kann der Umfang der Berichterstattung dadurch reduziert<br />
werden, dass alle kriterien mit Bewertungen den stufen 3 und 4 (gute kontrolle / wenig risiko) sowie «n.a.» (nicht anwend-<br />
bar) «unterdrückt» werden. die bestehenden schwachstellen und damit der handlungsbedarf können so, je nach situation,<br />
auf einigen wenigen seiten (Format a4) zusammengefasst werden.<br />
eine aktuelle Übersicht der eine aktuelle Übersicht<br />
wesentlichen komponenten der gesamten Informatikder<br />
Informatik-Infrastruktur Infra struktur (systeme<br />
(systeme und Vernetzung) und Ver netzung) besteht.<br />
besteht. Beschaffungs-, Pro- Beschaffungs-, Projekt- und<br />
jekt- und Änderungsprozes- Änderungsprozesse beinhalse<br />
führen nicht zwangsläufig ten die zwingende aktuali-<br />
zu einer aktualisierung sierung dieser Übersicht.<br />
dieser Übersicht.<br />
ein hardware-Inventar wird<br />
aktuell geführt; Beschaffungsprozesse<br />
stellen jedoch<br />
die zwingende aktualisierung<br />
dieses Inventars nicht<br />
sicher.<br />
ein hardware-Inventar wird<br />
aktuell und vollständig<br />
geführt. Beschaffungs- und<br />
Projektprozesse beinhalten<br />
die zwingende aktualisierung<br />
dieses Inventars sowie<br />
anpassung/abschluss allfälliger<br />
Wartungsverträge.<br />
ein software-Inventar (auch ein software-Inventar (auch<br />
für die lizenzkontrolle) wird für die lizenzkontrolle)<br />
aktuell geführt; Beschaf- wird aktuell und vollständig<br />
fungsprozesse stellen jedoch geführt. Beschaffungs- und<br />
die zwingende aktualisie- Projektprozesse beinhalten<br />
rung dieses Inventars nicht die zwingende aktualisie-<br />
sicher.<br />
rung dieses Inventars sowie<br />
die klärung allfälliger lizenzierungs-<br />
und nachlizenzierungsfragen.<br />
es besteht eine Übersicht/<br />
Zusammenstellung aller im<br />
Informatikbereich relevanten<br />
Verträge mit dritten (lieferanten,<br />
kunden, Partner).<br />
es besteht eine Übersicht/<br />
Zusammenstellung aller im<br />
Informatikbereich relevanten<br />
Verträge mit dritten (lieferanten,<br />
kunden, Partner).<br />
sie wird zentral und aktuell<br />
geführt und beinhaltet alle<br />
Verträge sowie zugehörigen<br />
dokumente wie sla usw.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Grafische Darstellung IST-Zustand<br />
Für die Praxis erscheint den autoren als zweckmässig, wenn eine Zusammenfassung der Bewertungen pro Themenbereich<br />
gemacht und bspw. in einem kreisdiagramm dargestellt wird. durch entsprechende Farbgebung können der IsT-Zustand<br />
(hier grün) und der «potentielle» handlungsbedarf (hier rot) sehr gut visualisiert werden.<br />
<strong>IT</strong>-relevante Dokumentationen<br />
unterstützende Anwendungskontrolle<br />
4<br />
Organisation der <strong>IT</strong><br />
direkte Anwendungskontrolle<br />
Rechnungswesen-Anwendung<br />
Outsourcing<br />
Datensicherung<br />
Problem Management<br />
<strong>IT</strong>-Betrieb<br />
Physische Sicherheit<br />
Ergänzender Kurzbericht<br />
<strong>IT</strong>-Sicherheit<br />
3.5<br />
3<br />
2.5<br />
2<br />
1.5<br />
1<br />
0.5<br />
0<br />
Zugriffschutz<br />
<strong>IT</strong>-Governance<br />
18<br />
Compliance<br />
<strong>IT</strong>-Risikomanagement<br />
<strong>IT</strong>-Projektmanagement<br />
Software-Entwicklung<br />
Testen von <strong>IT</strong>-Anwendungen<br />
Anwender-Richtlinien<br />
Anwender-Ausbildung<br />
es erscheint den autoren als zweckdienlich, wenn die wesentlichen stark- und schwachstellen sowie die wichtigsten<br />
empfehlungen zur optimierung der situation in einem kurzbericht zuhanden von management, Verwaltungsrat und<br />
Wirtschaftsprüfer zusammengefasst werden.<br />
der kurzbericht ist eine wertvolle ergänzung zur oben skizzierten grafischen darstellung des IsT-Zustandes und ermöglicht<br />
es, eine gesamt-Beurteilung zum aktuellen stand und handlungsbedarf abzugeben sowie ggf. die notwendigkeit einer<br />
detaillierten <strong>IT</strong>-Prüfung zu begründen.<br />
Empfehlungen zum weiteren Vorgehen<br />
Wenn eine grössere Zahl von kriterien im Bereich der maturitätsstufen 2 und 1 eingestuft werden, erachten die autoren das<br />
einleiten einer umfassenden Informatikrevision resp. eine weiter gehende Prüfung des Informatikeinsatzes insgesamt oder<br />
von spezifischen Prüffeldern als angezeigt.<br />
letztlich obliegt es dem Wirtschaftsprüfer resp. dessen «Professional Judgement» – bevorzugt im gespräch mit einem<br />
erfahrenen <strong>IT</strong>-Prüfer – die in den Phasen 1 und 2 gewonnenen erkenntnisse zum Informatikeinsatz sowie die damit einher<br />
gehenden schwachstellen und risiken hinsichtlich deren Bedeutung für die abschlussprüfung zu bewerten.
6 <strong>IT</strong>-Check als «Kombination» der Phasen 1 und 2<br />
Grundsätzliche Überlegungen<br />
19<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
die Inhalte der beiden Phasen 1 und 2 können, insbesondere wenn die erhebungen beider Phasen gleichzeitig und von<br />
demselben Prüfer durchgeführt werden, kostengünstig zu einem <strong>IT</strong>-Check zusammengefasst werden.<br />
mit vertretbarem aufwand (oft genügt 1 Tag «vor ort») …<br />
• wird klarheit gewonnen über die Bedeutung der Informatik für das Unternehmen und die mit dem Informatikeinsatz<br />
verbundenen risiken;<br />
• werden stark- und schwachstellen in der Informatik-organisation und den Informatik-Prozessen identifiziert und die<br />
«güte» der Informatik generell sowie die im Ps 890 angesprochenen «generellen Informatik- (<strong>IT</strong>-) kontrollen» abschliessend<br />
beurteilt;<br />
• werden die kern-anwendungen inkl. den wesentlichen Werte- und datenflüsse (<strong>IT</strong>-relevante schnittstellen) sowie die<br />
ansprechpartner für deren nutzung, Pflege und Betrieb dokumentiert und grob beurteilt.<br />
Ablauf<br />
Vorbereitung<br />
• dem kunden den Fragebogen Phase 1 vorgängig schicken und ihn bitten, eine einschätzung der risiken (self assessment)<br />
aus seiner sicht vorzunehmen, die dann bei den erhebungen «vor ort» gemeinsam diskutiert wird.<br />
• dem kunden den Fragebogen Phase 2 ebenfalls vorgängig schicken, damit er die erhebungen «vor ort» vorbereiten<br />
(bspw. Unterlagen bereitstellen oder weitere mitarbeitende beiziehen) kann.<br />
Durchführung<br />
1. eröffnungsgespräch führen<br />
grundlagen zur <strong>IT</strong>-organisation und zum <strong>IT</strong>-einsatz erheben<br />
2. rundgang machen<br />
Überblick zur <strong>IT</strong>-Infrastruktur gewinnen<br />
3. Fragebogen Phase 1 besprechen<br />
Bedeutung der Informatik für das rechnungswesen und das Unternehmen erkennen sowie risiko-einschätzung des<br />
kunden hinterfragen<br />
4. Fragebogen Phase 2 durcharbeiten<br />
stark- und schwachstellen in <strong>IT</strong>-organisation und -Prozessen erkennen; «reife» der Informatik einschätzen<br />
5. kern-anwendungen erheben<br />
Übersicht über kern-anwendungen sowie wesentliche Werte- und datenflüsse (schnittstellen) gewinnen; finanzrelevante<br />
anwendungen kategorisieren (standard-, angepasste standard- oder Individual-software); ansprechpartner für deren<br />
nutzung, Pflege und Betrieb erheben<br />
6. kurzes Feedback (mündlich)<br />
anmerkung: die erhebung der kern-anwendungen (schritt 5) ist ein eigenständiger arbeitsschritt, der in diesem Vor-<br />
gehensmodell nicht vertieft behandelt wird. er ist im «<strong>Vorgehensmodell</strong> anwendungsprüfung» im detail beschrieben.
Berichterstattung / Kurzbericht<br />
• management-summary mit wesentlichen Feststellungen und handlungsbedarf<br />
• Übersicht zu <strong>IT</strong>-organisation und -einsatz sowie den kern-anwendungen<br />
• erkenntnisse (Feststellungen, Beurteilung und ggf. empfehlungen) zu <strong>IT</strong>-organisation und -Prozessen<br />
• erkenntnisse (Feststellungen, Beurteilung und ggf. empfehlungen) zu den kern-anwendungen<br />
• erkenntnisse aus dem self assessment (Fragebogen Phase 1)<br />
In der Praxis hat sich bewährt, pro Themenbereich eine separate darstellung der ergebnisse aufzuführen, wie das am nachfol-<br />
genden Beispiel verdeutlicht wird. eine dermassen detaillierte darstellung kann aber nicht das ergebnis einer eintägigen Bewer-<br />
tung sein: Typischerweise ist für einen kurzbericht mit einem leicht erhöhten aufwand für die eigentliche erhebung der Informa-<br />
tionen und einem deutlich erhöhten aufwand für den kurzbericht zu rechnen. der Wirtschaftsprüfer erhält aber eine präzisere<br />
Basis für seine strategische Prüfungsplanung – und der betroffene kunde erhält eindeutig einen wesentlichen mehrwert.<br />
4.14 Datensicherung<br />
Feststellungen<br />
Es besteht ein schriftliches Sicherungskonzept, datiert vom Januar 200x; dieses wurde nicht formell genehmigt. An Werktagen werden vollständige Sicherungen erstellt,<br />
wobei für den Freitag 4 Tapes vorhanden sind (Woche 1 – 4). Wiederherstellungstests zur Überprüfung der Lesbarkeit werden keine durchgeführt. Die Backup-Bänder<br />
werden nicht ausser Haus gelagert, sondern in einer Schublade des zuständigen <strong>IT</strong>-Verantwortlichen. Ein <strong>IT</strong>-Notfallplan existiert nicht.<br />
Ermittelter Reifegrad<br />
SicherungskonzeptSicherungsprozessWiederherstellungstest<br />
<strong>IT</strong>-Notfallplan<br />
Datenauslagerung<br />
Ein Datensicherungskonzept ist dokumentiert und wird in der Regel<br />
angewendet; es wurde aber nIe formell verabschiedet.<br />
Es werden tägliche Sicherungen durchgeführt, aber nicht auf<br />
Vollständigkeit überprüft.<br />
Es werden keine systematischen Testszum Zurückladen der Sicherungen<br />
durchgeführt.<br />
Es wurden kaum Überlegungen zum Thema <strong>IT</strong>-Notfallplan angestellt.<br />
Es werden keine ausreichend aktuellen Datensicherungen an einem<br />
Standort ausserhalb des Unternehmens aufbewahrt.<br />
abb: detaillierte textliche darstellung der resultate (Beispiel)<br />
Nutzen für den Wirtschaftsprüfer<br />
Bei mandaten resp. kunden, die der ordentlichen Revision unterliegen:<br />
• ist die Beurteilung der <strong>IT</strong>-risiken ein Teil der strategischen Prüfungsplanung;<br />
• können die im Ps 890 angesprochenen «generellen Informatik- (<strong>IT</strong>-) kontrollen» abschliessend beurteilt werden;<br />
• liefert ein <strong>IT</strong>-Check verlässliche und nachprüfbare erkenntnisse für die Bestimmung der in eine umfassende Informatikrevision<br />
einzubeziehenden Prüffelder – oder aber klare argumente für deren Weglassen oder hinausschieben.<br />
Bei mandaten resp. kunden, die der eingeschränkten Revision unterliegen:<br />
• ist die Beurteilung der <strong>IT</strong>-risiken zwar freiwillig aber, angesichts der oftmals erheblichen abhängigkeit von der Informatik,<br />
trotzdem sinnvoll und oft ein Türöffner für vertiefte Untersuchungen (aus optik revision);<br />
• liefert ein <strong>IT</strong>-Check verlässliche und nachprüfbare erkenntnisse für die Bestimmung der in eine umfassende Informatikrevision<br />
einzubeziehenden Prüffelder.<br />
ein <strong>IT</strong>-Check ist zudem immer sinnvoll, wenn eine hohe oder unklare abhängigkeit von der Informatik besteht sowie wenn<br />
wesentliche Teile der Informatik ausgelagert sind.<br />
20<br />
Handlungsbedarf<br />
• formelle Verabschiedung des Backup-Konzeptes<br />
• Durchführung regelmässiger Wiederherstellungstests<br />
• Auslagerung der Bänder ausser Haus<br />
• Definition eines <strong>IT</strong>-Notfallplans<br />
Risiken<br />
• Unvollständige Datenwiederherstellung im Schadenfall<br />
• Datenwiederherstellung nicht in der geforderten Zeit<br />
• Datenverlust im Katastrophenfall<br />
• Gefährdete Fortsetzung des lI-Betriebes
7 Hinweise zu umfassenderen Informatikrevisionen<br />
Ausgangslage<br />
21<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
nach abschluss der Phase 2 können verlässliche aussagen zum technischen oder organisatorischen reifegrad sowie den<br />
vorhandenen risiken im Informatikbereich gemacht und begründet werden.<br />
darauf basierend kann der Wirtschaftsprüfer – bevorzugt im gespräch mit einem erfahrenen <strong>IT</strong>-Prüfer – entscheiden, ob<br />
und für welche Prüffelder eine umfassende Informatikrevision eingeleitet werden soll bzw. ob und welche «informatiknahen»<br />
gebiete im rahmen von schwerpunktprüfungen bspw. in der Zwischenrevision vertieft geprüft werden sollen.<br />
Mögliche Prüffelder<br />
aufgrund ihrer kenntnisse und erfahrungen sehen die autoren für eine umfassende Informatikrevision im anschluss an die<br />
Phase 2 primär die folgenden zwei Prüffelder:<br />
Prüffeld 1: Informatik-Anwendung und IKS bei deren Nutzung<br />
Prüfungsziele<br />
a) Beurteilung der <strong>IT</strong>-Anwendung unter den aspekten<br />
- Vorhandensein der notwendigen Verarbeitungsfunktionen<br />
- richtigkeit der programmierten Verarbeitungsregeln<br />
- differenzierungsmöglichkeiten mittels Zugriffsberechtigungen<br />
- Umfang und Wirksamkeit des softwareunterstützten Internen kontrollsystems (Iks) d.h der programmierten kontrollen<br />
- dokumentation (Vollständigkeit/Verständlichkeit und Übereinstimmung mit Programmen)<br />
- Zweckmässigkeit und ausbaugrad der datenausgaben aus der optik der gesetzlichen Buchführungs- und aufbewahrungsvorschriften<br />
- Prüfpfad d.h. nachweis der aus sicht der Buchführung wichtigen Transaktionen vom Ursprung- bis zur rechnungs -<br />
legung (progressiv) und umgekehrt (retrograd)<br />
b) Beurteilung des IKS bei der Nutzung der <strong>IT</strong>-Anwendung, deren anwender-dokumentation, Installation (Customizing),<br />
Pflege (Programm-Änderungen) sowie ggf. Beurteilung der «generellen <strong>IT</strong>-kontrollen» bei deren Betrieb.<br />
methoden<br />
«<strong>Vorgehensmodell</strong> anwendungsprüfung» der Treuhand-kammer sowie Checklisten unterschiedlichster herkunft für die<br />
erhebung und Beurteilung des Internen kontroll-systems. die auswahl der <strong>IT</strong>-anwendung erfolgt auf der Basis von schritt<br />
5 eines <strong>IT</strong>-Check (siehe kapitel 6), also der erhebung aller kern-anwendungen.<br />
Prüffeld 2: Informatik-Organisation und -Prozesse<br />
Prüfungsziel<br />
Umfassende erhebung und Beurteilung von organisation, Prozessen und kontrollen im Informatikbereich. damit werden<br />
wesentliche Themenbereiche aus der Phase 2 des <strong>Vorgehensmodell</strong>es vertieft und erweitert sowie die «generellen<br />
<strong>IT</strong>-kontrollen» gemäss schweizer Prüfungsstandard «Prüfung der existenz des Internen kontrollsystems» (Ps 890) vollumfänglich<br />
abgedeckt.
methodische grundlage / arbeitspapiere<br />
eine bewährte grundlage bildet Co b iT d.h. die Control objectives for Information and related Technologies; dabei handelt es<br />
sich um einen generell verwendbaren, weltweit akzeptierter standard von IsaCa (➔ www.isaca.ch). das Co b iT-Framework<br />
gliedert die <strong>IT</strong>-aktivitäten und Verantwortlichkeiten in einem generischen Prozessmodell in die vier domänen «Plane und<br />
organisiere», «Beschaffen und implementiere», «erbringen und unterstütze» sowie «Überwache und beurteile».<br />
Co b iT enthält ein Prozessmodell und eine gemeinsame, für alle im Unternehmen gültige sprache, um die <strong>IT</strong>-aktivitäten zu<br />
betrachten und zu managen. die einführung eines operativen modells und einer für alle Beteiligten gemeinsamen sprache<br />
ist einer der wichtigsten und ersten schritte in richtung guter governance. das Prozessmodell unterstützt die eigentümer-<br />
schaft für Prozesse und ermöglicht die definition von aufgaben und Verantwortlichkeiten.<br />
Co b iT enthält außerdem ein Framework, um <strong>IT</strong>-Performance zu messen und zu beurteilen, mit dienstleistern zu kommuni-<br />
zieren und um Best management Practices zu integrieren.<br />
Prüfungsplanung<br />
erfahrungen der autoren zeigen, dass mögliche auftraggeber (Wirtschaftsprüfer / kunde) oft nur unscharfe Vorstellungen<br />
über die Zielsetzungen und möglichkeiten sowie aufwand und nutzen einer «umfassenden Informatikrevision» haben.<br />
damit ein spezialisierter <strong>IT</strong>-Prüfer effizient und zielgerichtet eingesetzt werden kann, kommt der Formulierung des Prüfungsauftrages<br />
eine hohe Bedeutung zu. deshalb ist es nach auffassung der autoren grundsätzlich sinnvoll, den <strong>IT</strong>-Prüfer und<br />
auch den kunden einzubeziehen.<br />
der Prüfungsauftrag des Wirtschaftsprüfers an den <strong>IT</strong>-Prüfer sollte mindestens folgende Punkte beinhalten:<br />
• übergeordnete Ziele / rahmenbedingungen<br />
• detaillierter Prüfungsinhalt und -umfang / abgrenzung<br />
• methodische grundlage / arbeitspapiere<br />
• mögliche ansprechpartner und Informationsquellen<br />
• Berichterstattung inkl. Berichtsstruktur, -inhalt, -umfang und -empfängern<br />
Prüfung<br />
angesichts der bezüglich Prüffeld sowie Prüfungsinhalt und -umfang sehr unterschiedlichen ausprägungen einer umfassenden<br />
Informatikrevision verzichten wir auf detaillierte hinweise zur Prüfung.<br />
als «richtgrösse» ist davon auszugehen, dass für eine umfassendere Informatikrevision in einem kmU 3 – 10 Tage für die<br />
erhebungen «vor ort» sowie zusätzlich 2 – 5 Tage für die Berichterstattung vorzusehen sind.<br />
22
Berichterstattung<br />
23<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
die Berichterstattung orientiert sich grundsätzlich an den in der Prüfungsplanung getroffenen Vereinbarungen (siehe oben).<br />
Wesentliche Punkte sind u.a.:<br />
• struktur, Umfang und Inhalt orientieren sich an Zielsetzung und Zielpublikum.<br />
• der Bericht soll klar strukturiert und empfänger-orientiert geschrieben sein:<br />
- management-summary mit wesentlichen Feststellungen und empfehlungen;<br />
- details (Feststellungen, Beurteilung und empfehlungen) zuhanden des management in verbaler Form;<br />
- details mit Feststellungen, Beurteilung und empfehlungen (inkl. Priorität aus sicht des Prüfers) zuhanden der Fach-<br />
Verantwortlichen in tabellarischer Form;<br />
- rekapitulation der empfehlungen (nach Priorität) und ggf. mit stellungnahme der geprüften sowie Termin und<br />
Zuständigen für Umsetzung der empfehlung.<br />
• der Bericht soll die aktuelle situation und den handlungsbedarf klar benennen.<br />
In unserer Praxis hat es sich bewährt, den entwurf des Berichtes mit den geprüften und ggf. dem management zu besprechen<br />
– dies ermöglicht es, allfällige Unklarheiten und missverständnisse zu klären, bevor der definitive Bericht erstellt<br />
und verschickt wird.<br />
ein derartiger Bericht ähnelt dem kurzbericht für einen <strong>IT</strong>-Check (siehe seite 20), ist aber typischerweise in einigen Punkten<br />
wesentlich konkreter – dies betrifft primär die Priorisierung der empfehlungen und die stellungnahme des geprüften (inkl.<br />
Termin und Zuständigkeiten für die Umsetzung).
8 Schlusswort<br />
Trotz der vorhandenen und eingesetzten hilfsmitteln (<strong>Vorgehensmodell</strong>e, Fragebogen, Co b iT-Framework, Checklisten etc.)<br />
erfordert die ergebnisfindung die professionelle Beurteilung («professional judgement») des Wirtschaftsprüfers, um den<br />
unternehmens-, prozess- und risikospezifischen anforderungen gerecht zu werden.<br />
diese aufgabe erfordert eine intensive diskussion zwischen Wirtschafts- und <strong>IT</strong>-Prüfer, um die erkenntnisse aus Prüfungen<br />
beurteilen und allenfalls notwendige weitere Prüfungshandlungen festlegen zu können. das vorliegende «Vorgehens modell<br />
<strong>IT</strong> risikoanalyse für kmU-Prüfer» soll einen Beitrag zum besseren Verständnis der <strong>IT</strong>-spezifischen gebiete leisten.<br />
24
Anhänge<br />
anhang 1 Fragebogen Phase 1<br />
Geschäft und <strong>IT</strong><br />
Interne Organisation und Kontrolle<br />
25<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Bemerkungen<br />
Geschäftsstrategie<br />
und<br />
Informatikeinsatz<br />
Innovationsgrad<br />
beim Informatikeinsatz<br />
Abhängigkeit von<br />
Verfügbarkeit der<br />
Informatikmittel<br />
Risikomanagement<br />
Internes<br />
Kontrollsystem<br />
Awareness für<br />
Informationssicherheit<br />
Funktionentrennung<br />
Stellvertretung<br />
und Anwendungs-Knowhow<br />
im Rechnungswesen<br />
die geschäftsstrategie basiert<br />
wesentlich auf der nutzung<br />
des Internets bzw. von neuen<br />
Technologien sowie aktivem<br />
Informationsaustausch über<br />
datennetze.<br />
das Unternehmen nutzt<br />
eine moderne und komplexe<br />
<strong>IT</strong>-Infrastruktur und adaptiert<br />
aufkommende Technologien<br />
deutlich vor der Branche.<br />
die <strong>IT</strong>-Verfügbarkeit ist für<br />
das geschäft (Frontgeschäft<br />
resp. Primärprozesse) ein<br />
kritischer Faktor; die akzeptable<br />
ausfallzeit liegt unter 4<br />
stunden.<br />
die geschäftsstrategie basiert<br />
teilweise auf der nutzung<br />
des Internets bzw. von neuen<br />
Technologien; wichtige<br />
geschäftsprozesse basieren<br />
auf Informationsaustausch<br />
über datennetze.<br />
das Unternehmen nutzt eine<br />
komplexe <strong>IT</strong>-Infra struktur und<br />
adaptiert neue Technologien<br />
ohne Verzögerung.<br />
die <strong>IT</strong>-Verfügbarkeit ist für<br />
das geschäft (Frontgeschäft<br />
resp. Primärprozesse)<br />
wichtig; die akzeptable<br />
ausfallzeit liegt zwischen 4<br />
stunden und 2 Tagen.<br />
es besteht kein erkennbares es besteht ein punktuelles,<br />
risikomana gement; zur anwendungsspezifisches<br />
risikominderung werden ad risikomanagement, das<br />
hoc-massnahmen eingesetzt. teilweise dokumentiert<br />
ist; daraus hervorgehende<br />
massnahmen zur risikominderung<br />
sind nicht<br />
(einfach) erkennbar.<br />
ein internes kontrollsystem<br />
(Iks) ist kaum erkennbar<br />
oder ist nicht vorhanden.<br />
die mitarbeiter sind über<br />
ihre Verantwortung zur<br />
einhaltung interner und<br />
externer anforderungen zur<br />
Informationssicherheit nicht<br />
informiert.<br />
es besteht nur eine<br />
rudimentäre, informelle<br />
Funktionentrennung;<br />
es bestehen (auch<br />
im hinblick auf die <strong>IT</strong>)<br />
abteilungsübergreifende<br />
Funktionen.<br />
Im Unternehmen besteht<br />
nur eine rudimentäre stellvertretung;<br />
der ausfall von<br />
einzelpersonen führt bereits<br />
im normalen Tagesgeschäft<br />
zu Problemen.<br />
es besteht ein punktuelles,<br />
fachbereichsspezifisches Iks;<br />
der dokumentations- und<br />
aktualitätsgrad ist aber<br />
unklar.<br />
die mitarbeiter sind über<br />
ihre Verantwortung zur<br />
einhaltung interner und<br />
externer anforderungen<br />
zur Informationssicherheit<br />
informiert.<br />
es besteht eine Funktionentrennung<br />
zwischen <strong>IT</strong> und<br />
Fachbereich; Funktionen<br />
innerhalb der Fachabteilungen<br />
werden unter<br />
Umständen nicht getrennt.<br />
Für wichtige Positionen sind<br />
stellvertretungen definiert<br />
aber kaum geschult; ein<br />
ausfall von Personen wirkt<br />
sich nach einigen Tagen auf<br />
das normale Tagesgeschäft<br />
aus; die Bewältigung von<br />
Problemen und Zwischenfällen<br />
ist bei einem ausfall<br />
nicht möglich.<br />
die geschäftsstrategie<br />
ist kaum von neuen<br />
Technologien abhängig;<br />
wichtige geschäfts prozesse<br />
nutzen diese Techno logien<br />
aber bereits.<br />
das Unternehmen nutzt eine<br />
umfangreiche, vorwiegend<br />
aus standardkomponenten<br />
bestehende <strong>IT</strong>-Infrastruktur<br />
und adaptiert neue Technologien<br />
mit Verzögerung.<br />
die geschäftsstrategie<br />
ist nicht von neuen<br />
Technologien (z.B. Internet<br />
oder e-Commerce) abhängig.<br />
das Unternehmen nutzt<br />
eine unkomplizierte <strong>IT</strong>-Infrastruktur,<br />
die vorwiegend aus<br />
standard kompenten besteht;<br />
die <strong>IT</strong>-Infrastruktur bleibt<br />
eher hinter technologischen<br />
entwicklungen zurück.<br />
die <strong>IT</strong>-Verfügbarkeit ist für die <strong>IT</strong>-Verfügbarkeit ist für<br />
das geschäft (Frontgeschäft den operativen Betrieb<br />
resp. Primärprozesse) bedingt (Frontgeschäft) und die<br />
wichtig; die akzeptable internen Primärprozesse<br />
ausfallzeit liegt zwischen 2 unkritisch; ein ausfall von<br />
Tagen und einer Woche. mehr als einer Wochen<br />
scheint akzeptabel.<br />
es besteht ein formalisiertes, es besteht ein formalisiertes,<br />
firmenumfassendes risiko- firmenumfassen des<br />
management; es ist doku- risikomanagement; es<br />
mentiert und wird periodisch ist dokumentiert und<br />
aktualisiert und die daraus wird jährlich aktualisiert<br />
hervorgehenden mass- und die risiken werden<br />
nahmen zur risikominderung nachvollziehbar gemindert.<br />
sind klar erkennbar. das risikomanagement<br />
wird durch ein Control self<br />
assessment ergänzt.<br />
es besteht ein formalisiertes,<br />
firmenumfassendes Iks; es<br />
ist dokumentiert und wird<br />
periodisch aktualisiert.<br />
die mitarbeiter werden<br />
wiederholt auf ihre<br />
Verantwortung zur einhaltung<br />
interner und<br />
externer anforderungen<br />
zur Informationssicherheit<br />
hingewiesen und<br />
angemessen geschult.<br />
es besteht ein formalisiertes,<br />
firmenumfassendes Iks; es<br />
ist dokumentiert und wird<br />
jährlich aktualisiert. das Iks<br />
wird durch ein Control self<br />
assessment ergänzt.<br />
die mitarbeiter werden<br />
systematisch geschult und<br />
die einhaltung interner und<br />
externer anforderungen zur<br />
Informationssicherheit wird<br />
regelmässig geprüft.<br />
es wird innerhalb der Fach- es wird innerhalb der Fachbereiche<br />
auf eine funktionale bereiche konsequent auf<br />
Funktionentrennung eine funktionale Funktionen-<br />
geachtet; diese ist in den trennung geachtet; diese ist<br />
aufgabenbe schreibungen in den aufgabenbeschrei-<br />
dokumentiert, wird jedoch bungen dokumentiert und<br />
nicht kontrolliert.<br />
wird ständig kontrolliert.<br />
Für alle wesentlichen Für alle wesentlichen<br />
Positionen sind stellvertre- Positionen sind stellvertretungen<br />
vorhanden und tungen vorhanden und<br />
geschult; das normale Tages- geschult, es bestehen<br />
geschäft ist sichergestellt, die entsprechende dokumen-<br />
Bewältigung von Problemen tationen; das normale<br />
und Zwischenfällen jedoch Tages geschäft und<br />
schwierig und führt zu sowie eine effektive<br />
Verzögerungen.<br />
Problembewältigung sind<br />
sichergestellt.
<strong>IT</strong>-Anwendungen<br />
<strong>IT</strong>-Betrieb<br />
Zeit-Risiko<br />
Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Bemerkungen<br />
Software für das<br />
Rechnungswesen<br />
Änderungen<br />
in Kern-<br />
Anwendungen<br />
Integration<br />
Wertefluss im<br />
Rechnungswesen<br />
Programmfehler<br />
in Kern-<br />
Anwendungen<br />
Betriebssicherheit<br />
der Informatikmittel<br />
Stellvertretung in<br />
der Informatikabteilung<br />
Abhängigkeit<br />
von externem<br />
Personal (inkl.<br />
Outsourcing-<br />
Partnern)<br />
Zeitpunkt<br />
der letzten<br />
unabhängigen<br />
Beurteilung<br />
Informatik<br />
die rechnungswesenanwendung<br />
ist eine<br />
eigenentwicklung.<br />
die kern-anwendungen<br />
wurden im letzten oder<br />
aktuellen geschäftsjahr<br />
ersetzt und die «alten»<br />
datenbestände migriert.<br />
Für kern-anwendungen sind<br />
integrierte lösungen mit<br />
hohem automatisierungsgrad<br />
implementiert; der<br />
nachvollzug von Werte-<br />
und datenflüssen bedingt<br />
spezialistenwissen.<br />
Bei den kern-anwendungen<br />
treten häufig Probleme auf,<br />
die mit grossem Zeitaufwand<br />
gelöst werden müssen.<br />
Fehler und ausfallgründe<br />
wiederholen sich häufig.<br />
die <strong>IT</strong>-mittel (server, Clients,<br />
netzwerk und Peripherie)<br />
sind häufigen störungen<br />
und ausfällen ausgesetzt;<br />
diese wirken sich auf den<br />
gesamten geschäftsbetrieb<br />
aus.<br />
es besteht innerhalb der <strong>IT</strong><br />
nur eine rudimentäre stellvertretungsregelung;<br />
der<br />
ausfall von einzelpersonen<br />
führt bereits im normalen<br />
<strong>IT</strong>-Betrieb zu Problemen.<br />
das Unternehmen ist beim<br />
Betrieb der <strong>IT</strong> weitgehend<br />
von externer Unterstützung<br />
abhängig; insbesondere bei<br />
Problemen ist eine externe<br />
Unterstützung unabdingbar.<br />
es wurde noch nie eine <strong>IT</strong>-<br />
Prüfung durchgeführt.<br />
Für das rechnungswesen<br />
wird parametrisierbare<br />
standardsoftware mit<br />
möglichkeiten zur Indivi dualpro<br />
grammierung eingesetzt.<br />
Für das rechnungswesen<br />
wird standardsoftware<br />
eingesetzt, welche nur über<br />
eingeschränkte möglichkeiten<br />
für Parametrisierung<br />
und Individualprogrammierung<br />
verfügt.<br />
Wesentliche Teile der kern- Wesentliche Teile der kernanwendungen<br />
wurden anwendungen wurden<br />
im letzten oder aktuellen im letzten oder aktuellen<br />
geschäftsjahr ersetzt und die geschäftsjahr geändert<br />
datenbestände migriert. (bspw. release-Wechsel)<br />
oder erweitert.<br />
Für kern-anwendungen<br />
sind integrierte lösungen<br />
mit automatisierten schnittstellen<br />
im einsatz; Werte-<br />
und datenflüsse sind nachvollziehbar.<br />
Fehler in kern-anwendungen<br />
sind selten, müssen aber mit<br />
grossem Zeitaufwand gelöst<br />
werden. störungs- und<br />
ausfallgründe wiederholen<br />
sich kaum.<br />
die <strong>IT</strong>-mittel sind wiederholt<br />
störungen und ausfällen<br />
ausgesetzt; diese wirken<br />
sich auf den gesamten<br />
geschäftsbetrieb aus.<br />
Für die wichtigsten<br />
Positionen innerhalb der<br />
<strong>IT</strong> sind stellvertretungen<br />
definiert aber kaum<br />
geschult; der ausfall von<br />
einzel personen wirkt sich<br />
nach einigen Tagen auf<br />
den <strong>IT</strong>-Betrieb aus und<br />
die Bewältigung von <strong>IT</strong>-<br />
Problemen ist nicht möglich.<br />
der normalbetrieb der <strong>IT</strong> ist<br />
ohne externe Unterstützung<br />
weitgehend möglich; Fehler<br />
oder Probleme sind ohne<br />
externe Unterstützung kaum<br />
lösbar.<br />
eine <strong>IT</strong>-Prüfung wurde letztmals<br />
vor mehr als 5 Jahren<br />
durchgeführt.<br />
Für kern-anwendungen sind<br />
verschiedene Insellösungen<br />
mit (Batch-) schnittstellen im<br />
einsatz; Werte- und datenflüsse<br />
sind gut nachvollziehbar.<br />
Fehler in kern-anwendungen<br />
sind selten und können<br />
zeit nah gelöst werden.<br />
Fehler und mängel sind<br />
dokumentiert.<br />
die <strong>IT</strong>-mittel sind kaum<br />
störungen und ausfällen<br />
ausgesetzt; diese wirken<br />
sich nur bedingt auf den<br />
geschäftsbetrieb aus.<br />
Für alle wesentlichen<br />
Positionen innerhalb der<br />
<strong>IT</strong> sind stellvertretungen<br />
vorhanden und geschult,<br />
aber nicht dokumentiert; der<br />
<strong>IT</strong>-Betrieb ist sichergestellt,<br />
die Bewältigung von <strong>IT</strong>-<br />
Problemen ohne diese<br />
Personen jedoch schwierig.<br />
der normalbetrieb der<br />
<strong>IT</strong> ist auch ohne externe<br />
Unterstützung sichergestellt;<br />
bei Fehlern oder Problemen<br />
muss teilweise auf<br />
externe Unterstützung<br />
zurückgegriffen werden.<br />
eine <strong>IT</strong>-Prüfung wurde letztmals<br />
vor einigen Jahren<br />
durchgeführt.<br />
26<br />
Für das rechnungswesen<br />
wird standard software ohne<br />
jegliche Parametrisierung<br />
und ohne möglichkeiten für<br />
Individualprogrammierung<br />
eingesetzt.<br />
die kern-anwendungen<br />
wurden im letzten und<br />
aktuellen geschäftsjahr nur<br />
geringfügig geändert oder<br />
erweitert.<br />
es sind mehrere funktionsspezifische<br />
Insellösungen mit<br />
einzelnen (Batch-) schnittstellen<br />
im einsatz; Werte-<br />
und datenflüsse in anwendungen<br />
und an schnittstellen<br />
sind anhand von<br />
auswertungen und schnittstellenprotokollennachvollziehbar<br />
dokumentiert.<br />
Fehler in kern-anwendungen<br />
sind sehr selten; Fehler und<br />
mängel werden syste matisch,<br />
zeitnah und nachhaltig<br />
gelöst sowie nachvollziehbar<br />
dokumentiert.<br />
die <strong>IT</strong>-mittel sind nur selten<br />
störungen und aus fällen<br />
ausgesetzt; diese wirken<br />
sich nur auf Teile des<br />
geschäftsbetriebs aus.<br />
Für alle wesentlichen<br />
Positionen innerhalb der<br />
<strong>IT</strong> sind stellvertretungen<br />
vorhanden und geschult,<br />
es bestehen entsprechende<br />
dokumentationen; der<br />
<strong>IT</strong>-Betrieb und eine effektive<br />
Bewältigung von <strong>IT</strong>-Problemen<br />
sind sichergestellt.<br />
der normalbetrieb und<br />
die Problemhand habung<br />
sind jederzeit ohne externe<br />
Unterstützung gewährleistet;<br />
eine externe Unterstützung<br />
ist nur in krisensituationen<br />
erforderlich.<br />
eine <strong>IT</strong>-Prüfung wurde im<br />
vergangenen geschäftsjahr<br />
durchgeführt.
anhang 2 Fragebogen Phase 2<br />
<strong>IT</strong>-relevante Dokumentation<br />
Organisation der <strong>IT</strong><br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Übersicht <strong>IT</strong>-<br />
Infrastruktur<br />
Hardware-<br />
I n v e n t a r e<br />
Software-<br />
I n v e n t a r e<br />
Verträge und<br />
Dienstleistungsvereinbarungen<br />
Verantwortlichkeiten<br />
Architektur /<br />
Technologie<br />
Funktionentrennung<br />
es besteht keine Übersicht<br />
über die Informatik-Infrastruktur.<br />
es besteht kein hardware-<br />
Inventar.<br />
es besteht kein software-<br />
Inventar.<br />
es bestehen kaum Verträge<br />
zwischen dem Informatikbereich<br />
und dritten, obwohl<br />
leistungen bezogen werden.<br />
die Verantwortlichkeiten<br />
für einführung, Betrieb,<br />
Unterhalt und schutz von<br />
<strong>IT</strong>-ressourcen sind nicht<br />
geregelt.<br />
neue Technologien werden<br />
umgehend eingeführt, ohne<br />
dass ihr wirtschaftlicher oder<br />
strategischer nutzen und ihr<br />
korrektes Funktionieren in<br />
der bestehenden Umgebung<br />
nachgewiesen ist.<br />
es besteht innerhalb der <strong>IT</strong><br />
keine Funktionentrennung;<br />
kritische Funktionen (z.B.<br />
entwickler/operator) werden<br />
nicht getrennt.<br />
es besteht eine veraltete<br />
(älter als 1 Jahr) Übersicht<br />
über die Informatik-Infrastruktur.<br />
es besteht ein veraltetes<br />
(älter als 1 Jahr) hardware-<br />
Inventar.<br />
es besteht ein veraltetes<br />
(älter als 1 Jahr) software-<br />
Inventar.<br />
es bestehen eine Übersicht/<br />
Zusammenstellung von im<br />
Informatikbereich relevanten<br />
Verträge mit dritten (lieferanten,<br />
kunden, Partner);<br />
diese ist jedoch unvollständig<br />
und nicht aktuell.<br />
die Verantwortlichkeiten<br />
für einführung, Betrieb,<br />
Unterhalt und schutz von<br />
<strong>IT</strong>-ressourcen werden in der<br />
regel informell übertragen.<br />
neue Technologien werden<br />
umgehend eingeführt, wenn<br />
sie einen wirtschaftlichen<br />
oder strategischen Vorteil<br />
versprechen. Vor dem ersten<br />
einsatz werden teilweise<br />
technische abklärungen<br />
durchgeführt.<br />
es besteht innerhalb der <strong>IT</strong><br />
nur eine rudimentäre, informelle<br />
Funktionentrennung;<br />
kritische Funktionen (z.B.<br />
entwickler/operator) werden<br />
nicht getrennt.<br />
27<br />
eine aktuelle Übersicht der eine aktuelle Übersicht<br />
wesentlichen komponenten der gesamten Informatikder<br />
Informatik-Infrastruktur Infra struktur (systeme<br />
(systeme und Vernetzung) und Ver netzung) besteht.<br />
besteht. Beschaffungs-, Pro- Beschaffungs-, Projekt- und<br />
jekt- und Änderungsprozes- Änderungsprozesse beinhalse<br />
führen nicht zwangsläufig ten die zwingende aktuali-<br />
zu einer aktualisierung<br />
dieser Übersicht.<br />
sierung dieser Übersicht.<br />
ein hardware-Inventar wird ein hardware-Inventar wird<br />
aktuell geführt; Beschaf- aktuell und vollständig<br />
fungsprozesse stellen jedoch geführt. Beschaffungs- und<br />
die zwingende aktualisie- Projektprozesse beinhalten<br />
rung dieses Inventars nicht die zwingende aktualisie-<br />
sicher.<br />
rung dieses Inventars sowie<br />
anpassung/abschluss allfälliger<br />
Wartungsverträge.<br />
ein software-Inventar (auch ein software-Inventar (auch<br />
für die lizenzkontrolle) wird für die lizenzkontrolle)<br />
aktuell geführt; Beschaf- wird aktuell und vollständig<br />
fungsprozesse stellen jedoch geführt. Beschaffungs- und<br />
die zwingende aktualisie- Projektprozesse beinhalten<br />
rung dieses Inventars nicht die zwingende aktualisie-<br />
sicher.<br />
rung dieses Inventars sowie<br />
die klärung allfälliger lizenzierungs-<br />
und nachlizenzierungsfragen.<br />
es besteht eine Übersicht/<br />
Zusammenstellung aller im<br />
Informatikbereich relevanten<br />
Verträge mit dritten (lieferanten,<br />
kunden, Partner).<br />
die meisten Verantwortlichkeiten<br />
für einführung, Betrieb,<br />
Unterhalt und schutz<br />
von <strong>IT</strong>-ressourcen sind<br />
schriftlich dokumentiert. die<br />
dokumentation wird jedoch<br />
nicht zentral verwaltet und<br />
ist teilweise veraltet.<br />
neue Technologien werden<br />
erst eingeführt, wenn sie<br />
sich am markt etabliert<br />
haben und referenzen verfügbar<br />
sind. Vor dem ersten<br />
einsatz werden die üblichen<br />
Tests durchgeführt.<br />
es besteht eine Funktionentrennung<br />
für kritische<br />
<strong>IT</strong>-Funktionen; diese ist aber<br />
nicht dokumentiert und wird<br />
nicht weiter überwacht.<br />
es besteht eine Übersicht/<br />
Zusammenstellung aller im<br />
Informatikbereich relevanten<br />
Verträge mit dritten (lieferanten,<br />
kunden, Partner).<br />
sie wird zentral und aktuell<br />
geführt und beinhaltet alle<br />
Verträge sowie zugehörigen<br />
dokumente wie sla usw.<br />
die Verantwortlichkeiten<br />
für einführung, Betrieb,<br />
Unterhalt und schutz von<br />
<strong>IT</strong>-ressourcen sind in stellen-<br />
oder Prozessbeschreibungen<br />
schriftlich dokumentiert.<br />
diese dokumentationen<br />
werden bei Bedarf – aber<br />
mindestens jährlich – überprüft<br />
und angepasst.<br />
neue Technologien werden<br />
systematisch evaluiert und<br />
auf ihre Bedeutung für die<br />
<strong>IT</strong>-strategie geprüft. Vor<br />
dem ersten einsatz werden<br />
neue Produkte auf Funktionalität,<br />
Zuverlässigkeit und<br />
kompatibilität ausserhalb<br />
der produktiven Umgebung<br />
umfassend getestet.<br />
es wird innerhalb des <strong>IT</strong>-<br />
Fachbereichs konsequent<br />
auf eine funktionale Funktionentrennung<br />
geachtet;<br />
diese ist in den aufgabenbeschreibungen<br />
dokumentiert<br />
und deren einhaltung wird<br />
ständig überwacht.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Organisation der <strong>IT</strong><br />
<strong>IT</strong>-Governance<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Stellvertretung es besteht innerhalb der <strong>IT</strong><br />
keine stellvertretungsregelung.<br />
Freigabeverfahren<br />
für<br />
<strong>IT</strong>-Infrastrukturänderungen<br />
Nachvollziehbarkeit<br />
von<br />
Freigaben für<br />
<strong>IT</strong>-Infrastrukturänderungen<br />
es existieren keine Freigabeverfahren<br />
für Änderungen<br />
im <strong>IT</strong>-Infrastrukturbereich.<br />
Freigaben für Änderungen<br />
an der <strong>IT</strong>-Infrastruktur<br />
werden nicht schriftlich<br />
festgehalten.<br />
Kostenkontrolle <strong>IT</strong>-kosten werden in der<br />
Buchhaltung nicht nach<br />
klaren Vorgaben einheitlich<br />
behandelt. die Zurechnung<br />
von kosten und Zeiten zu<br />
<strong>IT</strong>-aktivitäten ist nicht<br />
möglich.<br />
Abgestimmte<br />
<strong>IT</strong>-Infrastruktur<br />
Vorgaben für <strong>IT</strong><br />
(SLA)<br />
es besteht innerhalb der <strong>IT</strong><br />
nur eine rudimentäre stellvertretungsregelung.<br />
es existieren informelle<br />
Freigabeverfahren für Änderungen<br />
im <strong>IT</strong>-Infrastrukturbereich.<br />
es existieren kaum aufzeichnungen<br />
von Freigaben<br />
für Änderungen an der<br />
<strong>IT</strong>-Infrastruktur.<br />
kosten für die <strong>IT</strong> werden<br />
budgetiert und laufend erfasst.<br />
eine aufschlüsselung<br />
zu einzelnen <strong>IT</strong>-aktivitäten<br />
findet jedoch nicht statt.<br />
Bei Projekten erfolgt keine<br />
nachkalkulation.<br />
Beschaffung, Betrieb und Beschaffung, Betrieb und<br />
Wartung der <strong>IT</strong>-Infrastruktur<br />
folgen einer vom Business<br />
unabhängigen strategie.<br />
Zwischen der <strong>IT</strong>-abteilung<br />
und den Fachabteilungen<br />
(Benutzern) bestehen keinerlei<br />
leistungsvereinbarungen<br />
bezüglich servicezeiten, Verfügbarkeit<br />
und Performance<br />
der <strong>IT</strong>-dienstleistungen.<br />
<strong>IT</strong>-Governance es findet keine steuerung<br />
der Informatik-organisation<br />
und <strong>IT</strong>-Prozessen statt.<br />
Wartung der <strong>IT</strong>-Infrastruktur<br />
folgen keiner übergeordneten,<br />
aus den geschäftszielen<br />
abgeleiteten strategie.<br />
orientiert sich im ansatz<br />
aber am Business.<br />
In der <strong>IT</strong>-abteilung bestehen<br />
leistungsziele für die erbringung<br />
ihrer services. diese<br />
sind nicht kommuniziert<br />
oder mit den Fachabteilungen<br />
abgesprochen.<br />
die gestaltung und<br />
steuerung von Informatikorganisation<br />
und -Prozessen<br />
orientieren sich an keinerlei<br />
standards, sondern sind<br />
eigenentwicklungen.<br />
Für die wichtigsten Posi- Für alle wesentlichen Positionen<br />
innerhalb der <strong>IT</strong> sind tio nen innerhalb der <strong>IT</strong> sind<br />
stellvertretungen definiert stellvertretungen vorhanden<br />
aber kaum geschult; ent- und geschult; entspresprechendedokumenchende<br />
aktuelle dokumentationen<br />
sind teilweise tationen ermöglichen de<br />
vorhanden und unterstützen facto die durchführung der<br />
die durchführung der Tätigkeiten durch den/die<br />
Tätigkeiten durch den/die<br />
stellvertreter.<br />
stellvertreter.<br />
Für sämtliche <strong>IT</strong>-Infrastrukturbereiche<br />
sind formelle<br />
Freigabeverfahren für<br />
Änderungen definiert, diese<br />
können jedoch umgangen<br />
oder ausgelassen werden.<br />
28<br />
Für sämtliche <strong>IT</strong>-Infrastrukturbereiche<br />
sind formelle<br />
Freigabeverfahren für Änderungen<br />
definiert. Ihre einhaltung<br />
wird durchgesetzt<br />
und regelmässig überprüft.<br />
Änderungsanträge ohne<br />
die notwendigen Freigaben<br />
werden konsequent zurückgewiesen.<br />
die meisten Freigabevor- alle Freigabevorgänge<br />
gänge für Änderungen an für Änderungen an der<br />
der <strong>IT</strong>-Infrastruktur sowie die <strong>IT</strong>-Infrastruktur sowie die<br />
Änderungen selbst werden Änderungen selbst werden<br />
aufgezeichnet; eine Über- lückenlos aufgezeichnet.<br />
wachung findet hingegen die einhaltung der Freigabe-<br />
nur punktuell statt. prozesse wird laufend<br />
überwacht und regelmässig<br />
kontrolliert.<br />
kosten für die <strong>IT</strong> werden glo- es gibt einen umfassenden<br />
bal budgetiert und laufend Prozess zur finanziellen kon-<br />
erfasst. eine aufschlüsselung trolle aller <strong>IT</strong>-aktivitäten und<br />
zu einzelnen <strong>IT</strong>-aktivitäten <strong>IT</strong>-Projekte inkl. Planung,<br />
findet jedoch nicht statt. Bei Budgetierung, kosten- und<br />
grösseren Projekten erfolgt Zeiterfassung und ergebnis-<br />
eine nachkalkulation, wobei kontrolle. abweichungen<br />
wesentliche Überschreitun- werden systematisch<br />
gen begründet werden. analysiert.<br />
das Unternehmen achtet<br />
darauf, dass die <strong>IT</strong>-Infrastruktur<br />
abgestimmt auf die<br />
geschäftsziele beschafft,<br />
betrieben und gewartet<br />
wird; es existiert hierzu<br />
jedoch kein formalisierter<br />
Prozess.<br />
Zwischen der <strong>IT</strong>-abteilung<br />
und den Fachabteilungen<br />
(Benutzer) bestehen informelleleistungsvereinbarungen<br />
bezüglich servicezeiten,<br />
Verfügbarkeit und Performance<br />
der <strong>IT</strong>-dienstleistungen;<br />
diese sind jedoch nicht<br />
vollständig dokumentiert<br />
und werden nicht periodisch<br />
auf ihre einhaltung geprüft.<br />
die gestaltung und steuerung<br />
von Informatik-organisation<br />
und <strong>IT</strong>-Prozessen<br />
orientieren sich an standards<br />
wie Co b iT (governance), <strong>IT</strong>Il<br />
(service-management) sowie<br />
Iso 2700x (sicherheitsmanagement).<br />
es besteht ein formalisierter<br />
Prozess, der sicherstellt, dass<br />
<strong>IT</strong>-Infrastruktur abgestimmt<br />
auf die geschäftsziele<br />
beschafft, betrieben und<br />
gewartet wird.<br />
Zwischen der <strong>IT</strong>-abteilung<br />
und den Fachabteilungen<br />
(Benutzern) bestehen<br />
formelle leistungsvereinbarungen<br />
bezüglich<br />
servicezeiten, Verfügbarkeit<br />
und Performance der<br />
<strong>IT</strong>-dienstleistungen in Form<br />
von schriftlichen sla. diese<br />
werden periodisch auf ihre<br />
einhaltung geprüft.<br />
die gestaltung und steuerung<br />
von Informatik-organisation<br />
und <strong>IT</strong>-Prozessen<br />
werden gemäss standards<br />
wie Co b iT (governance), <strong>IT</strong>Il<br />
(service-management) sowie<br />
Iso 2700x (sicherheitsmanagement)<br />
konsequent<br />
umgesetzt.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
<strong>IT</strong>-Governance<br />
<strong>IT</strong>-Risikomanagement<br />
Compliance<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Dokumentation<br />
der <strong>IT</strong>-Prozesse<br />
Zugriffsschutzkonzept<br />
Daten<br />
ZugriffsschutzkonzeptAnwendungen<br />
Risiko-<br />
Management<br />
<strong>IT</strong>-Prozesse und zuständige<br />
Verantwortlichkeiten<br />
werden nicht kommuniziert.<br />
einzelpersonen sind frei<br />
in ihrer Tätigkeit. es findet<br />
keinerlei Überwachung und<br />
kontrolle statt.<br />
es besteht kein Zugriffsschutzkonzept,<br />
das die<br />
klassifizierung der daten<br />
und die Zugriffsrechte der<br />
Benutzer regelt.<br />
es besteht kein Zugriffsschutzkonzept,<br />
das die<br />
Zugriffsrechte der Benutzer<br />
auf die applikationen und<br />
die darin verfügbaren applikationsfunktionen<br />
regelt.<br />
<strong>IT</strong>-risiken und sicherheitserfordernisse<br />
werden nicht<br />
erhoben oder geprüft.<br />
Sicherheitspolitik <strong>IT</strong>-sicherheitspolitik und<br />
sicherheitskonzept sind nur<br />
rudimentär vorhanden oder<br />
fehlen vollständig.<br />
Versicherungen es bestehen keine Versicherungen<br />
für <strong>IT</strong>-Infrastrukturen<br />
und -geräte (hardware).<br />
Nichteinhaltung<br />
von Gesetzen /<br />
Normen / Vorschriften<br />
die erkennung der anwendbarkeit<br />
von gesetzen,<br />
normen und Vorschriften<br />
und der einhaltung ist nicht<br />
geregelt.<br />
die <strong>IT</strong>-Prozesse und zuständigen<br />
Verantwortlichkeiten<br />
werden informell kommuniziert<br />
und einzelpersonen<br />
sind weitgehend frei in ihrer<br />
Tätigkeit. es findet keinerlei<br />
Überwachung und kontrolle<br />
statt.<br />
29<br />
nur die wichtigsten <strong>IT</strong>-<br />
Prozesse und zuständigen<br />
Verantwortlichkeiten sind<br />
schriftlich festgehalten;<br />
diese dokumentation ist<br />
nicht zwingend aktuell und<br />
korrekt. die einhaltung<br />
dieser Prozesse wird nur<br />
sporadisch überwacht;<br />
kontrollen finden nur nach<br />
aussergewöhnlichen ereignissen<br />
statt.<br />
alle relevanten <strong>IT</strong>-Prozesse<br />
und zuständigen Verantwortlichkeiten<br />
sind<br />
schriftlich, aktuell und<br />
den Tatsachen entsprechend<br />
doku mentiert; ihre<br />
einhaltung wird laufend<br />
überwacht und regelmässig<br />
kontrolliert.<br />
es besteht ein informelles es besteht ein Zugriffs- es besteht ein Zugriffs-<br />
Zugriffsschutzkonzept, das schutzkonzept, das die klasschutzkonzept, das die klas-<br />
die klassifizierung der daten sifizierung der daten und die sifizierung der daten und die<br />
und die Zugriffsrechte der Zugriffsrechte der Benutzer Zugriffsrechte der Benutzer<br />
Benutzer regelt; jedoch wur- regelt; es wird jedoch nicht regelt. es wird regelmässig<br />
de es den Benutzern nicht regelmässig auf einhaltung auf einhaltung und effektivi-<br />
durchgängig kommuniziert. überprüft und aktualisiert. tät überprüft und bei Bedarf<br />
aktualisiert.<br />
es besteht ein informelles<br />
Zugriffsschutzkonzept, das<br />
die Zugriffsrechte der Benutzer<br />
auf die applikationen<br />
und die darin verfügbaren<br />
applikationsfunktionen<br />
regelt; jedoch wurde es den<br />
Benutzern nicht durchgängig<br />
kommuniziert.<br />
<strong>IT</strong>-risiken und sicherheitserfordernisse<br />
werden nur<br />
nach sicherheitsrelevanten<br />
ereignissen geprüft. die<br />
Umsetzung von geplanten<br />
Verbesserungsmassnahmen<br />
wird nicht überwacht.<br />
<strong>IT</strong>-sicherheitspolitik und<br />
sicherheitskonzept sind<br />
teilweise vorhanden, aber<br />
bereits älter als 1 Jahr.<br />
Für <strong>IT</strong>-Infrastrukturen und<br />
-geräte (hardware) bestehen<br />
teilweise Versicherungen;<br />
jedoch ist unklar, ob<br />
für alle möglichen ereignisse<br />
eine angemessene Versicherungsdeckung<br />
besteht.<br />
es gibt keine Vorkehrungen<br />
zur systematischen erfassung<br />
von für das Unternehmen<br />
relevanten gesetzen,<br />
normen und Vorschriften<br />
und deren einhaltung.<br />
es besteht ein Zugriffsschutzkonzept,<br />
das die<br />
Zugriffsrechte der Benutzer<br />
auf die applikationen und<br />
die darin verfügbaren<br />
applikationsfunktionen<br />
regelt; es wird jedoch nicht<br />
regelmässig auf einhaltung<br />
überprüft und aktualisiert.<br />
neue applikationen werden<br />
nicht oder stark zeitverzögert<br />
berücksichtigt.<br />
<strong>IT</strong>-risiken und sicherheitserfordernisse<br />
werden in<br />
unregelmässigen abständen<br />
oder wenig systematisch<br />
hinterfragt. geplante<br />
Verbesserungsmass nahmen<br />
werden nur teilweise überwacht.<br />
es besteht ein Zugriffsschutzkonzept,<br />
das die<br />
Zugriffsrechte der Benutzer<br />
auf die applikationen und<br />
die darin verfügbaren<br />
applikationsfunktionen<br />
regelt. es wird regelmässig<br />
auf einhaltung und effektivität<br />
überprüft und bei<br />
Bedarf aktualisiert.<br />
<strong>IT</strong>-risiken und sicherheitserfordernisse<br />
werden<br />
periodisch und systematisch<br />
hinterfragt und durch ein<br />
regelmässiges Control self<br />
assessment aktiv bearbeitet.<br />
die vollständige Umsetzung<br />
geplanter Verbesserungsmassnahmen<br />
wird zeitnah<br />
überwacht.<br />
<strong>IT</strong>-sicherheitspolitik und si- <strong>IT</strong>-sicherheitspolitik und<br />
cherheitskonzept werden in sicherheitskonzept werden<br />
unregelmässigen abständen periodisch überprüft und an<br />
überprüft und angepasst. die konkrete Bedrohungslage<br />
sowie die aktuelle(n)<br />
geschäftsstrategie/geschäftsziele<br />
angepasst.<br />
Für <strong>IT</strong>-Infrastrukturen und<br />
-geräte (hardware) besteht<br />
eine sachversicherung; der<br />
Bedarf nach weiteren Versicherungen<br />
(z.B. datenträger/<br />
mehrkosten, Betriebsunterbruch)<br />
ist informell geklärt.<br />
die wichtigsten relevanten<br />
gesetze, normen und<br />
Vorschriften sind in den<br />
verschiedenen Fachabteilungen<br />
bekannt. die einhaltung<br />
wird bereichsweise geregelt.<br />
Für <strong>IT</strong>-Infrastrukturen und<br />
-geräte (hardware) besteht<br />
eine sachversicherung; der<br />
Bedarf nach weiteren Versicherungen<br />
(z.B. datenträger/mehrkosten,Betriebsunterbruch)<br />
ist formell<br />
geklärt. Beschaffungs- und<br />
Projektprozesse beinhalten<br />
die zwingende klärung<br />
zusätzlicher Versicherungsdeckung;<br />
es besteht eine<br />
zentrale aktuelle Übersicht<br />
aller abgeschlossenen Versicherungsleistungen.<br />
es existiert ein definierter<br />
Prozess zur erfassung sämtlicher<br />
relevanten gesetze,<br />
normen und Vorschriften<br />
sowie klare interne kontrollen<br />
zu ihrer einhaltung.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Compliance<br />
<strong>IT</strong>-Projektmanagement<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Unabhängige<br />
Prüfung der <strong>IT</strong><br />
<strong>IT</strong>-Projektmanagement<br />
(Portfolio)<br />
Projektauf teilung<br />
in Phasen<br />
es werden keine unabhängigen<br />
Prüfungen der<br />
<strong>IT</strong>-anwendungen, der<br />
<strong>IT</strong>- Infrastruktur und des <strong>IT</strong>-<br />
Betriebes durchgeführt.<br />
es besteht keine Übersicht<br />
über die informatikrelevanten<br />
Projekte.<br />
Projekte werden kaum in<br />
Phasen unterteilt; lieferobjekte<br />
oder meilensteine<br />
fehlen zum grössten Teil.<br />
Projektteam es werden keine Teams benannt,<br />
mitarbeiter werden<br />
dynamisch und unkoordiniert<br />
eingebunden.<br />
Grad der<br />
Mitwirkung der<br />
Geschäftsleitung<br />
in Projekten<br />
Bedarfsanalyse /<br />
Anwenderbeteiligung<br />
die geschäftsleitung nimmt<br />
ihre entscheidungsgewalt<br />
nicht wahr und hat diese<br />
auch nicht formell an einen<br />
steuerungsausschuss oder<br />
an den <strong>IT</strong>-Verantwortlichen<br />
delegiert.<br />
neue <strong>IT</strong>-systeme werden<br />
ohne einbezug aller relevanten<br />
anwendergruppen<br />
primär auf grund von Wünschen<br />
und Vorstellungen<br />
einzelner kreise konzipiert.<br />
es werden kaum unabhängige<br />
Prüfungen der<br />
<strong>IT</strong>-anwendungen, der<br />
<strong>IT</strong>-Infrastruktur und des<br />
<strong>IT</strong>-Betriebes durchgeführt.<br />
massnahmen zur Behebung<br />
von erkannten schwachstellen<br />
oder lücken werden<br />
nicht umgesetzt.<br />
es werden zwar unabhängige<br />
Prüfungen der <strong>IT</strong>-anwen<br />
dungen, der <strong>IT</strong>-Infrastruktur<br />
und des <strong>IT</strong>-Betriebes<br />
durchgeführt, aber nur<br />
auf grund spezifischer ereignisse<br />
oder anforderungen.<br />
massnahmen zur Behebung<br />
von schwachstellen oder<br />
lücken werden nicht konsequent<br />
umgesetzt.<br />
eine teilweise Übersicht eine aktuelle Übersicht<br />
über laufende <strong>IT</strong>-Projekte<br />
besteht; es gibt jedoch keine<br />
weiterführende dokumentationen.<br />
Projekte werden in lange<br />
einzelphasen ohne klare<br />
liefer objekte und meilensteine<br />
unterteilt.<br />
Projektleiter und Teams werden<br />
informell benannt; es<br />
gibt aber keine klaren aufgabenbeschreibungen.<br />
eine<br />
schulung der Projektteams<br />
in der angewandten Projektmanagementmethode<br />
hat<br />
kaum stattgefunden.<br />
die geschäftsleitung (gl)<br />
delegiert ihre entscheidungsgewalt<br />
z.B. an einen<br />
steuerungsausschuss oder<br />
den <strong>IT</strong>-Verantwortlichen.<br />
die geschäftsleitung wird in<br />
Projekten nur auf anfrage<br />
von Benutzervertretern oder<br />
<strong>IT</strong>-Verantwortlichen tätig.<br />
neue <strong>IT</strong>-systeme werden primär<br />
durch die <strong>IT</strong>-abteilung<br />
auf der Basis von Wünschen<br />
und Vorstellungen von<br />
Fachbereichen konzipiert.<br />
einzelne anwendergruppen<br />
werden zur klärung von<br />
detailfragen zugezogen.<br />
aller informatikrelevanten<br />
Projekte besteht; es besteht<br />
jedoch keine zwingende<br />
abstimmung mit einem unternehmensweiten<br />
Portfolio<br />
sämtlicher Projekte.<br />
Projekte werden in wenige<br />
Phasen mit lieferobjekten<br />
unterteilt; die frühen Planungsphasen<br />
(Pflichtenheft<br />
/ spezifikationen) werden<br />
typischerweise zugunsten<br />
der durchführungsphase<br />
verkürzt. eine Projektfortschrittskontrolle<br />
findet nur<br />
teilweise statt.<br />
es werden zwar Projektleiter<br />
und Projektteams benannt,<br />
doch deren konkrete aufgaben<br />
wie auch der damit<br />
verbundene Zeitaufwand<br />
wurde nicht konsequent<br />
eingeplant. eine schulung<br />
der angewandten Projektmanagementmethode<br />
hat<br />
nur teilweise stattgefunden.<br />
die geschäftsleitung (gl)<br />
wird durch regelmässige<br />
Protokolle über den Projektfortschritt<br />
informiert; sie<br />
nimmt jedoch kaum an<br />
Projekt(steurungs)sitzungen<br />
oder Treffen mit Projektleitern<br />
teil.<br />
entwicklung/Beschaffung<br />
von neuen <strong>IT</strong>-systemen ist<br />
zum Teil formal geregelt.<br />
neue systeme werden<br />
primär von der <strong>IT</strong>-abteilung<br />
konzipiert, wobei die<br />
ver schiedenen anwendergruppen<br />
frühzeitig zur<br />
Bedarfsabklärung und<br />
-steuerung einbezogen<br />
werden.<br />
30<br />
es werden regelmässig<br />
unabhängige Prüfungen<br />
der <strong>IT</strong>-anwendungen, der<br />
<strong>IT</strong>-Infrastruktur und des<br />
<strong>IT</strong>-Betriebes durchgeführt.<br />
angemessene massnahmen<br />
werden konsequent und<br />
zeitnah umgesetzt, die<br />
dazu notwendigen arbeiten<br />
werden kontrolliert.<br />
es wird ein unternehmensweites<br />
Projekt-Portfolio<br />
gepflegt, dass auch alle<br />
informatikrelevanten<br />
Projekte einschliesst. der<br />
Projektprozess beinhaltet die<br />
zwingende abstimmung mit<br />
diesem Portfolie und dessen<br />
aktualisierung.<br />
Projekte werden eindeutig<br />
in meilensteine sowie<br />
verschiedene haupt- und<br />
Unteraktivitäten mit klaren<br />
lieferobjekten unterteilt<br />
(z.B. Pflichtenheft / spezifikationen<br />
/ durchführung /<br />
Test / abnahme / einsatz);<br />
es finden regelmässige<br />
sitzungen zum Projektfortschritt<br />
statt.<br />
es werden Projektleiter<br />
und Projektteams benannt<br />
und es wird klar festgelegt,<br />
wer für welche aufgaben<br />
mit wie viel Prozent seiner<br />
arbeitszeit im Projekt engangiert.<br />
Projektleiter wie<br />
sämtliche Projektmitarbeiter<br />
sind in der angewandten<br />
Projektmanagementmethode<br />
ausreichend geschult.<br />
die geschäftsleitung (gl)<br />
wird regelmässig über<br />
den Projektfortschritt und<br />
aufgetretende Probleme<br />
informiert und in wichtige<br />
Projektentscheide<br />
einbezogen; dazu trifft sie<br />
die Projektleiter oder nimmt<br />
aktiv an den Projektfortschrittssitzungen<br />
teil.<br />
es existiert ein umfassender<br />
formaler entwicklungs-/<br />
Beschaffungsprozess für<br />
<strong>IT</strong>-systeme. Vertreter aller<br />
anwendergruppen sind von<br />
anfang an in den Prozess<br />
involviert und verantwortlich<br />
für die Vollständigkeit der<br />
spezifikation. Bedarfs-/spezifikationsänderungenwerden<br />
durch die anwendervertreter<br />
proaktiv gesteuert.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
<strong>IT</strong>-Projektmanagement<br />
Software-Entwicklung und -Änderungen<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Kosten- / Nutzenanalyse<br />
Entwicklungs- /<br />
Konfigurationsverfahren<br />
Vollständigkeit<br />
der Spezifikation<br />
Abhängigkeit<br />
von externen<br />
Entwicklern /<br />
Lieferanten<br />
Verfügbarkeit<br />
des Source-Code<br />
Projekte werden initiiert,<br />
ohne dass kosten-/nutzenanalysen<br />
durchgeführt<br />
werden.<br />
es bestehen keine speziellen<br />
Verfahren für entwicklung,<br />
Test und konfiguration von<br />
anwendungen.<br />
eine dokumentation der<br />
spezifikation von neuen<br />
anwendungen ist nur in ansätzen<br />
vorhanden. Wichtige<br />
betroffene organisa tionseinheiten<br />
werden nicht<br />
einbezogen.<br />
abhängigkeiten und stellvertretungen<br />
bei externen<br />
entwicklern/lieferante sind<br />
nicht geregelt, überwacht<br />
oder kontrolliert.<br />
der source-Code von<br />
installierten Programmen<br />
oder Programmversionen ist<br />
kaum dokumentiert.<br />
Projekte werden ad-hoc auf<br />
grund von aktuellen anforderungen<br />
von Fachbereichen<br />
oder der geschäftsleitung<br />
initiiert, wobei kosten-/<br />
nutzenschätzungen auf<br />
optimistischen Wunschvorstellungen<br />
ohne belegbares<br />
Zahlenmaterial basieren.<br />
erforderliche anpassungen<br />
bei anderen Projekten<br />
werden kaum erkannt und<br />
ausgewiesen.<br />
die Verfahren für entwicklungs-,<br />
Test und konfiguration<br />
von anwendungen sind<br />
informell; der Zugang zu<br />
entwicklungs- und Testumgebungen<br />
ist nicht<br />
speziell abgeschottet.<br />
die dokumentation der<br />
spezifikation für neue anwendung<br />
ist unvollständig,<br />
zumal wichtige betroffene<br />
organisationseinheiten nicht<br />
konsequent einbezogen<br />
werden. eine Freigabe der<br />
spezifikation erfolgt nicht.<br />
stellvertretungen bei<br />
externen entwicklern/lieferanten<br />
werden informell<br />
und ad-hoc geregelt. es gibt<br />
keine Verträge, welche die<br />
Verfügbarkeit von kritischem<br />
knowhow sicherstellen.<br />
der source-Code von<br />
installierten Programmen<br />
und Programmversionen<br />
sowie deren konfigurationen<br />
sind lückenhaft<br />
dokumentiert. der Zugriff<br />
auf den source-Code ist bei<br />
eingekaufter software in<br />
vielen Fällen nicht möglich<br />
31<br />
Projekte werden auf der<br />
Basis von nachgewiesenen<br />
Bedürfnissen initiiert.<br />
kosten werden quantitativ,<br />
der nutzen eher qualitativ<br />
geschätzt. die auswirkungen<br />
des Projekts auf<br />
offensichtlich betroffene andere<br />
anwendungen werden<br />
analysiert und Folgekosten<br />
werden berücksichtigt.<br />
Projekte entstehen auf der<br />
Basis der strategischen <strong>IT</strong>-<br />
Planung des Unternehmens<br />
und einer vollständigen<br />
kosten-/nutzenanalyse<br />
(Business Case). die Zielerreichung<br />
wird nach Projektabschluss<br />
systematisch<br />
gemessen und ausgewertet.<br />
die Verfahren für entwick- es bestehen schriftlich<br />
lung, Test und konfiguration festgehaltene Verfahren<br />
von anwendungen sowie<br />
der Zugang zu den entwicklungs-<br />
und Testumgebungen<br />
sind dokumentiert und<br />
mehrheitlich bekannt; ihre<br />
einhaltung wird aber nur<br />
fallweise überprüft.<br />
die spezifikationen für neue<br />
anwendungen werden<br />
ausreichend dokumentiert,<br />
wobei die anforderungen<br />
der meisten betroffenen<br />
organisationseinheiten<br />
berücksichtigt werden. die<br />
Freigabe erfolgt informell.<br />
spezifikations-Änderungen/<br />
ergänzungen erfolgen<br />
häufig auch noch nach der<br />
Freigabe.<br />
Wo externe entwickler/lieferanten<br />
beigezogen werden,<br />
bestehen für wichtige Funktionen<br />
beim dienstleister<br />
formale stellvertretungen,<br />
was jedoch nicht systematisch<br />
überwacht und geprüft<br />
wird. kritisches knowhow<br />
wird informell weitergegeben<br />
oder muss im<br />
notfall kurzfristig aufgebaut<br />
werden.<br />
der source-Code von<br />
installierten Programmen<br />
und Programmversionen<br />
sowie die jeweiligen<br />
konfigurationen sind zum<br />
grössten Teil und aktuell<br />
dokumentiert. der Zugriff<br />
auf den source-Code bei<br />
eingekaufter software ist<br />
teilweise mit vertraglichen<br />
regelungen (escrow agreement)<br />
sichergestellt.<br />
für entwicklung, Test und<br />
konfiguration von anwendungen,<br />
inkl. dem Zugang<br />
zu den entwicklungs- und<br />
Testumgebungen und der<br />
Bereitstellung der produktiven<br />
Betriebsverfahren. Ihre<br />
einhaltung wird permanent<br />
überwacht und periodisch<br />
kontrolliert.<br />
es existiert ein umfassendes<br />
formales spezifikationsverfahren<br />
für neue anwendungen.<br />
anforderungen<br />
aller betroffenen organisationseinheiten<br />
werden<br />
systematisch erhoben und<br />
analysiert. Vor Beginn der<br />
entwicklung/Beschaffung<br />
wird die spezifikation<br />
formell abgeschlossen und<br />
freigegeben. nachfolgende<br />
spezifikationsänderungen<br />
werden strikt kontrolliert.<br />
Wo externe entwickler/lieferanten<br />
beigezogen werden,<br />
sichern vertragliche regelungen<br />
die Verfügbarkeit von<br />
kompetenten mitarbeitern<br />
ab. kritisches knowhow<br />
wird beim dienstleister<br />
nachweislich durch gezieltes<br />
Training, stellvertretung<br />
und Job-rotation breit<br />
abgestützt.<br />
der source-Code von<br />
sämtlichen installierten<br />
Programmen und Programmversionen<br />
sowie die<br />
jeweiligen konfigurationen<br />
sind umfassend, aktuell und<br />
rekonstruierbar dokumentiert.<br />
der Zugriff auf den<br />
source-Code bei eingekaufter<br />
software ist nachweislich<br />
wirksam sichergestellt<br />
(escrow agreement).<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Software-Entwicklung und -Änderungen<br />
Testen von <strong>IT</strong>-Anwendungen<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Dokumentation<br />
für Anwendungen<br />
es stehen keine schriftliche<br />
dokumentationen über anwendungen<br />
und ihr Betrieb<br />
zur Verfügung.<br />
Datenmigration Bei der einführung neuer<br />
applikationen werden<br />
die notwendigen daten<br />
migriert. Vor der Betriebsaufnahme<br />
finden jedoch<br />
kaum Prüfungen hinsichtlich<br />
Vollständigkeit, richtigkeit<br />
und kompatibilität der<br />
datenmigration statt.<br />
Änderungsverfahren<br />
Trennung<br />
Entwicklung /<br />
Produktion<br />
Kennzeichnung<br />
von Systemumgebungen<br />
es gibt keine Verfahren zur<br />
kontrolle von Änderungen.<br />
entwickler können uneingeschränkt<br />
Änderungen<br />
vornehmen; Änderungen<br />
sind zudem nicht nachvollziehbar.<br />
es existiert keine Testumgebung.<br />
anwendungen<br />
werden direkt in die Produktionsumgebung<br />
eingespielt<br />
und live getestet.<br />
die verfügbaren systemumgebungen<br />
sind weder<br />
physisch noch logisch<br />
getrennt.<br />
es stehen nur informelle<br />
dokumentationen über<br />
die anwendungen und ihr<br />
Betrieb zur Verfügung; in<br />
zahlreichen Fällen sind die<br />
vorhandenen dokumentationen<br />
unvollständig oder<br />
nicht aktuell.<br />
Bei der einführung neuer<br />
applikationen werden<br />
die daten mit standardtools<br />
migriert. Vor der<br />
Betriebs aufnahme wird mit<br />
stichproben geprüft, ob<br />
die datenstruktur richtig<br />
übernommen wurde.<br />
es bestehen wenig formelle<br />
Änderungsverfahren.<br />
entwickler können auch<br />
unberechtigt Änderungen<br />
in den produktiven Betrieb<br />
überführen oder konfigurationen<br />
ändern. Änderungen<br />
– speziell bei notfällen – sind<br />
kaum rekonstruierbar.<br />
es existiert keine von der<br />
produktiven Umgebung<br />
ausreichend getrennte Umgebung<br />
für entwicklung und<br />
Test von anwendungen.<br />
die verfügbaren systemumgebungen<br />
(entwicklung/<br />
Test/Produktion) sind<br />
nicht dokumentiert und<br />
weder physisch noch logisch<br />
als dedizierte systemumgebungen<br />
erkennbar.<br />
es stehen ausführliche doku- es besteht ein umfassenmentationen<br />
von sämtlichen des formales Verfahren<br />
anwendungen (inkl. Betrieb) für die dokumentation<br />
zur Verfügung; deren aktua- von anwendungen (inkl.<br />
lität und Vollständigkeit Betrieb), mit Beschreibungen<br />
kann jedoch nicht immer aller anwendungen und<br />
sichergestellt werden. ihrer wichtigsten spezifikationen,<br />
inkl. der nachvollziehbarkeit<br />
der zentralen<br />
Projektdokumente sowie der<br />
durchgeführten Tests. die<br />
dokumentationen werden<br />
zwingend bereitgehalten<br />
und aktuell nachgeführt.<br />
Vor dem produktiven Betrieb Vor dem produktiven Betrieb<br />
neuer applikationen werden neuer applikationen werden<br />
die zu übernehmenden die zu übernehmenden<br />
daten teilweise migriert und daten vollständig migriert<br />
die applikation wird mit den und die applikation wird<br />
migrierten daten getestet. im Parallelbetrieb mit den<br />
Bei Betriebsaufnahme wer- migrierten daten umfassend<br />
den nochmals alle aktuellen auf Vollständigkeit, richtig-<br />
daten migriert.<br />
keit und kompatibilität mit<br />
neuen Funktionen durch<br />
eine gruppe von Benutzern<br />
aus den entsprechenden<br />
Fachbereichen getestet.<br />
Bei Betriebsaufnahme wird<br />
nochmals der gesamte aktuelle<br />
datenbestand migriert.<br />
Änderungsverfahren sind für es gibt starke formelle<br />
die meisten systeme weitgehend<br />
geregelt, wobei auch<br />
notfalländerungen abgedeckt<br />
werden. Änderungen<br />
sind nachvollziehbar und nur<br />
durch Berechtigte möglich;<br />
sie werden grösstenteils vor<br />
ihrer Installation getestet<br />
und explizit freigegeben; die<br />
einhaltung der Verfahren<br />
wird aber nur fallweise<br />
überprüft.<br />
Für einzelne wichtige anwendungen<br />
existieren von<br />
der Produktion getrennte<br />
entwicklungs- und Testumgebungen.<br />
die verfügbaren systemumgebungen<br />
(entwicklung/<br />
Test/Produktion) sind<br />
zwar dokumentiert, aber<br />
weder physisch noch logisch<br />
als dedizierte systemumgebungen<br />
erkennbar.<br />
32<br />
regeln für Änderungen an<br />
Programmen und konfigurationen,<br />
welche auch notfalländerungen<br />
abdecken.<br />
Änderungen sind lückenlos<br />
nachvollziehbar, können nur<br />
von Berechtigten vorgenommen<br />
werden und müssen<br />
vor der Installation getestet<br />
und explizit freigegeben<br />
werden. alle Änderungen<br />
werden laufend überwacht<br />
und nachvollziehbar dokumentiert.<br />
neben der entwicklungs-<br />
existiert eine separate<br />
Testumgebung, die von<br />
der Produktionsumgebung<br />
vollständig getrennt ist.<br />
sämtliche anwendungen<br />
können dort vor ihrer<br />
Produktionseinführung<br />
gefahrlos getestet werden.<br />
die verfügbaren systemumgebungen<br />
(entwicklung/<br />
Test/Produktion) sind<br />
dokumentiert. sie sind<br />
sowohl physisch (z.B. mittels<br />
Beschriftung) als auch<br />
logisch (z.B. Bildschirmhintergrund-<br />
oder Textfarbe)<br />
klar erkennbar einem<br />
bestimmten Typ von systemumgebung<br />
zugeordnet.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Testen von Anwendungen<br />
Anwender-Richtlinien<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Vollständigkeit<br />
von Tests<br />
Tests beim Produktivstart<br />
der<br />
neuen Anwendung<br />
bzw. der<br />
neuen Version<br />
Verträglichkeitstests<br />
Benutzer-<br />
Richtlinien<br />
Virenschutz<br />
Testplanung, -durchführung<br />
und -dokumentation werden<br />
kaum durchgeführt.<br />
In dieser Projektphase finden es werden zwar Tests<br />
keinerlei Tests statt. eine<br />
definitive aufnahme des<br />
Produktivbetriebs kann auch<br />
ohne bei unvollständigen<br />
Tests und nicht-zufriedenstellenden<br />
resultaten<br />
geschehen.<br />
Vor Produktionseinführung<br />
von neuen oder geänderten<br />
anwendungen werden<br />
keine Tests hinsichtlich<br />
der Verträglichkeit für die<br />
Umgebung durchgeführt.<br />
es gibt keine anwenderrichtlinien<br />
zur Viren-<br />
Prävention. es gibt keine<br />
spezifische ausbildung für<br />
anwender z.B. zum Umgang<br />
mit externen datenträgern,<br />
mail-anhängen, Internet-<br />
Zugriff und unbekannten<br />
downloads.<br />
Tests sind nicht formalisiert; Tests sind formalisiert;<br />
Testplanung, -durchführung<br />
und -dokumentation folgen<br />
keinen konkreten richtlinien.<br />
durch geführt, diese sind<br />
allerdings nicht formalisiert<br />
oder standardisiert. es<br />
erfolgt keine archivierung<br />
der Testergebnisse nach<br />
deren Umsetzung. eine<br />
definitive Freigabe für den<br />
Produktivbetrieb kann auch<br />
ohne erfolgreiche Testdurchführung<br />
erfolgen.<br />
Vor Produktionseinführung<br />
von neuen und geänderten<br />
anwendungen werden nur<br />
rudimentäre Tests hinsichtlich<br />
der Verträglichkeit für<br />
die bestehende Umgebung<br />
durchgeführt.<br />
33<br />
Testplanung, -durchführung<br />
und -dokumentation folgen<br />
rudimentären richtlinien.<br />
Test werden in der regel<br />
in den meisten (späten)<br />
Projektphasen durchgeführt;<br />
dies wird jedoch nicht<br />
zwingend durchgesetzt und<br />
überwacht.<br />
es werden zwar standardisierte<br />
Tests durchgeführt,<br />
diese sind allerdings nicht<br />
formalisiert. es erfolgt<br />
keine archivierung der<br />
Testergebnisse nach deren<br />
Umsetzung. die definitive<br />
Freigabe für den Produktivbetrieb<br />
der anwendung<br />
erfolgt in der regel nach der<br />
korrekten durchführung der<br />
Tests; dies wird jedoch nicht<br />
zwingend durchgesetzt und<br />
überwacht.<br />
es gibt informelle anwen- es bestehen formelle<br />
der-richtlinien zur Viren-<br />
Prävention. die Benutzer<br />
sind zwar informiert, dass<br />
z.B. externe datenträger,<br />
mail-anhänge, Zugriffe auf<br />
zweifelhafte Internet-seiten<br />
und unbekannte downloads<br />
eine gefahr darstellen; es ist<br />
aber kein nachweis möglich,<br />
dass die mitarbeitenden die<br />
richtlinien auch wirklich<br />
einhalten.<br />
Tests sind formalisiert;<br />
Testplanung, -durchführung<br />
und -dokumentation folgen<br />
in allen entwicklungsphasen<br />
klaren richtlinien bezüglich<br />
Umfang und Vollständigkeit<br />
und beziehen sämtliche<br />
Fachstellen inkl. anwenderbereich<br />
mit ein. ausreichend<br />
umfangreiche einzel- und<br />
kettentests werden vollständig<br />
und korrekt durchgeführt,<br />
was permanent<br />
überwacht und regelmässig<br />
überprüft wird.<br />
Während und nach der<br />
In stallation (Produktivsetzung)<br />
werden zahlreiche<br />
Tests mithilfe von<br />
anwenderbefragungen oder<br />
durch die Bereitstellung<br />
der anwendung für eine<br />
repräsentative Test-anwendergruppe<br />
durchgeführt.<br />
die definitive Freigabe für<br />
den Produktivbetrieb erfolgt<br />
ausschliesslich bei der erfüllung<br />
sämtlicher, im Vorfeld<br />
festgehaltenen abnahmekriterien.<br />
die Testdurchführung<br />
(inkl. Testergebnisse) wird<br />
nachvollziehbar festgehalten,<br />
was permanent<br />
überwacht und regelmässig<br />
überprüft wird.<br />
die wichtigsten schnittstel- es bestehen formalisierte<br />
len von neuen und geänder- Prozesse für die durchfühten<br />
anwendungen zu den rung von Verträglichkeitstest<br />
Umsystemen werden Tests neuer oder geänderter<br />
unterzogen. die ergebnisse anwendungen für die beste-<br />
dieser Tests werden jedoch henden Umgebungen (u.a.<br />
nicht immer systematisch schnittstellen). die ergebnis-<br />
dokumentiert und archiviert. se, die aufgetretenen Fehler<br />
und die entsprechenden<br />
lösungen/korrekturmassnahmen<br />
werden systematisch<br />
dokumentiert und<br />
archiviert, was permanent<br />
überwacht und regelmässig<br />
überprüft wird.<br />
anwender-richtlinien zur<br />
Viren-Prävention. die Benutzer<br />
sind informiert, dass<br />
z.B. externe datenträger,<br />
mail-anhänge, Zugriffe auf<br />
zweifelhafte Internet-seiten<br />
und unbekannte downloads<br />
eine gefahr darstellen; eine<br />
eigentliche ausbildung hat<br />
aber in den letzten drei<br />
Jahren nicht stattgefunden.<br />
die einhaltung der<br />
richtlinien wird nur fallweise<br />
überwacht.<br />
es bestehen formelle<br />
anwender-richtlinien zur<br />
Viren-Prävention. die Benutzer<br />
werden im rahmen von<br />
ausbildungsveranstaltungen<br />
instruiert, wie z.B. mit datenträgern,<br />
mail-anhängen<br />
und unbekannten downloads<br />
umzugehen ist. die<br />
einhaltung der richtlinien<br />
wird permanent überwacht<br />
und periodisch kontrolliert.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Anwender-Richtlinien<br />
Anwender-Ausbildung<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Verwendung von<br />
Internet / E-Mail<br />
es bestehen keine anwender-richtlinien<br />
hinsichtlich<br />
der nutzung von Internet<br />
und e-mail. die mitarbeitenden<br />
werden bezüglich der<br />
risiken bei der nutzung des<br />
Internets und e-mails nicht<br />
sensibilisiert. Internet- und<br />
e-mail-aktivitäten werden<br />
nicht protokolliert und nicht<br />
überwacht.<br />
Archivierung es gibt keine anwenderrichtlinien<br />
zur regelung von<br />
aufbewahrung, archivierung<br />
und Vernichtung von<br />
Unterlagen.<br />
Anwender-<br />
Handbuch und<br />
Dokumentation<br />
Informatikschulungen<br />
Schulung bei<br />
Änderung und<br />
Neuentwicklung<br />
es bestehen hinweise<br />
hinsichtlich der nutzung von<br />
Internet und e-mail, und<br />
die mitarbeitenden werden<br />
bezüglich der risiken bei der<br />
nutzung des Internets und<br />
e-mails sensibilisiert. Internet-<br />
und e-mail-aktivitäten<br />
werden weder protokolliert<br />
noch anderweitig überwacht<br />
und analysiert.<br />
es bestehen informelle<br />
anwender-richtlinien und<br />
Verfahren zur regelung von<br />
aufbewahrung, archivierung<br />
und Vernichtung von<br />
Unterlagen. es ist aber kein<br />
nachweis möglich, dass die<br />
mitarbeitenden die richtlinien<br />
auch wirklich einhalten.<br />
die Benutzer verfügen über es stehen nur informelle<br />
keine Benutzer-handbücher Benutzer-handbücher<br />
für die verwendeten anwen- einiger anwendungen zur<br />
dungen.<br />
Verfügung; in zahlreichen<br />
Fällen sind die vorhandenen<br />
dokumentationen aber<br />
unvollständig oder nicht<br />
aktuell.<br />
die anwender erhalten<br />
keinerlei schulung.<br />
Bei grösseren Änderungen<br />
von anwendungen erfolgt<br />
keinerlei Information oder<br />
schulung für die Benutzer.<br />
die anwender werden<br />
nach dem Prinzip "learning<br />
by doing" geschult; für<br />
einzelnen anwendungen<br />
bestehen eigentliche<br />
schulungen.<br />
Bei grösseren Änderungen<br />
von anwendungen werden<br />
keine schulungen angeboten.<br />
die Benutzer werden<br />
nach dem Prinzip "learning<br />
by doing" geschult.<br />
es bestehen anwender- es bestehen formelle<br />
richtlinien hinsichtlich der anwender-richtlinien<br />
nutzung von Internet und<br />
e-mail. die mitarbeitenden<br />
werden bezüglich der<br />
risiken bei der nutzung des<br />
Internets und e-mails nachhaltig<br />
sensibilisiert. die Internet-<br />
und e-mail-aktivitäten<br />
werden zwar protokolliert,<br />
aber nicht weiter überwacht<br />
und analysiert.<br />
34<br />
hinsichtlich der nutzung von<br />
Internet und e-mail sowie<br />
formelle Verfahren für die<br />
regelmässige sensibilisierung<br />
sämtlicher mitarbeitenden<br />
mit Zugang zu Computern<br />
bezüglich der risiken bei<br />
der nutzung des Internets<br />
und e-mails. das e-mail<br />
und Internet-Verhalten wird<br />
permanent aufgezeichnet<br />
und bezüglich unlauterer<br />
oder risikobehafteter<br />
aktivitäten (und einhaltung<br />
des Persönlichkeitsschutzes)<br />
analysiert.<br />
es bestehen anwender- es bestehen formelle<br />
richtlinien und Verfahren für<br />
die aufbewahrung, archivierung<br />
und Vernichtung von<br />
Unterlagen. die einhaltung<br />
der richtlinien wird aber nur<br />
fallweise überwacht.<br />
es stehen ausführliche<br />
Benutzer-handbücher von<br />
relevanten anwendungen<br />
zur Verfügung; deren aktualität<br />
und Vollständigkeit<br />
kann jedoch nicht immer<br />
sichergestellt werden.<br />
anwender-richtlinien sowie<br />
formelle Verfahren für die<br />
aufbewahrung, archivierung<br />
und Vernichtung von<br />
Unterlagen; deren einhaltung<br />
wird überwacht und<br />
periodisch kontrolliert.<br />
es besteht ein umfassendes<br />
formelles Verfahren für die<br />
Benutzer-handbücher und<br />
dokumentation von sämtlichen<br />
anwendungen. die<br />
dokumentationen werden<br />
zwingend bereitgehalten<br />
und aktuell nachgeführt.<br />
es besteht ein schulungspro- ein formelles schulungsprogramm,<br />
um mitarbeitende in gramm und entsprechende<br />
der korrekten und sicheren Verfahren stellen sicher, dass<br />
Benutzung einer anwen- sämtliche anwender gemäss<br />
dung zu schulen; diese ihren spezifischen Bedürf-<br />
ausbildung erfolgt jedoch nissen, ihrem kenntnisstand<br />
nicht zwingend vor der erst- sowie den sicherheitsanmaligen<br />
Verwendung dieser forderungen des Unter-<br />
anwendung und ist nicht an nehmens systematisch in<br />
die spezifischen Bedürfnisse der korrekten und sicheren<br />
der anwender und sicher- Benutzung der anwenheitsanforderungen<br />
des dungen geschult werden,<br />
Unternehmens angepasst. bevor sie damit eigenständig<br />
arbeiten.<br />
die mitarbeitenden werden ein formelles Verfahren stellt<br />
über die grössere Änderun- sicher, dass bei grösseren<br />
gen im Zusammenhang mit Änderungen und neuent-<br />
anwendungen informiert. wicklungen mitarbeitende<br />
schulungen werden angebo- über den (nach-)schulungsten,<br />
jedoch nicht zwingend bedarf informiert werden<br />
von sämtlichen Benutzern und innert nützlicher Frist<br />
besucht.<br />
diese schulungen auch absolvieren.<br />
Zur Beantwortung<br />
typischer Fragen seitens<br />
der anwender wurde eine<br />
anlaufstelle eingerichtet. die<br />
einhaltung wird überwacht<br />
und periodisch kontrolliert.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Zugriffsschutz<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Anwenderprofile es bestehen keine auf rollen<br />
basierenden Berechtigungsprofile.<br />
Verwaltung der<br />
Zugangsberechtigungen<br />
Unpersönliche<br />
Benutzerkonten<br />
es bestehen keine eigentlichen<br />
Verfahren, welche<br />
sicherstellen, dass Berechtigungen<br />
korrekt erfasst<br />
und aktualisiert werden und<br />
insbesondere die Berechtigungen<br />
von austretenden<br />
mitarbeitern zeitnah<br />
gelöscht werden.<br />
Unpersönliche Benutzerkonten<br />
werden auch für<br />
alltägliche geschäfts- oder<br />
<strong>IT</strong>-aktivitäten verwendet,<br />
ohne dass dies speziell<br />
überwacht wird.<br />
Authentisierung Für die Verwendung von<br />
(mit Passwörtern) Passwörtern bestehen keinerlei(technische/konzeptionelle)<br />
Vorgaben. Wichtige<br />
oder besonders exponierte<br />
systeme sind nicht mit Zwei-<br />
Faktor-authentisierungen<br />
geschützt.<br />
es bestehen vereinzelte anwendungen<br />
mit auf rollen<br />
basierenden Berechtigungsprofile.<br />
35<br />
es besteht ein Berechtigungskonzept<br />
mit klaren<br />
rollen und auf rollen basierende<br />
Berechtigungsprofile;<br />
umgesetzt ist dieses jedoch<br />
nur für bestimmte anwendungen<br />
und Funktionen.<br />
die Verfahren für die Ver- die Verfahren für die<br />
waltung von Berechtigungen<br />
sind informell; Benutzeridentifikationen<br />
und Zugriffsrechte<br />
werden ad hoc<br />
beim system-administrator<br />
bestellt.<br />
Unpersönliche Benutzerkonten<br />
werden fallweise<br />
eingesetzt, ohne dass<br />
sie systematisch auf ihre<br />
notwendigkeit überprüft<br />
werden.<br />
der Zugriff auf systeme und<br />
anwendungen ist grundsätzlich<br />
mit Passwörtern<br />
geschützt, für einzelne<br />
besonders exponierte<br />
systeme gibt es Zwei-Faktor<br />
authentisierungen. der periodische<br />
Passwort-Wechsel<br />
wird mindestens 1x pro Jahr<br />
erzwungen, jedoch können<br />
Benutzer beliebige Passwörter<br />
wählen.<br />
Verwaltung von Berechtigungen<br />
sind dokumentiert<br />
und mehrheitlich bekannt,<br />
so dass die Zugriffsberechtigungen<br />
eines mitarbeiters<br />
bei eintritt gemäss seiner<br />
Funktion erstellt und bei<br />
dessen austritt wieder<br />
gelöscht werden; der Zugriff<br />
auf die Berechtigungsverwaltung<br />
ist auf wenige<br />
Personen eingeschränkt. es<br />
finden jedoch keine weiteren<br />
Überprüfungen statt,<br />
um sicherzustellen, dass<br />
unbenutzte konten gelöscht<br />
und nicht mehr benötigte<br />
Zugriffsrechte entfernt<br />
werden.<br />
es ist dokumentiert, in welchen<br />
Fällen unpersönliche<br />
Benutzerkonten verwendet<br />
werden dürfen. der<br />
Zugang dazu ist auf wenige<br />
Personen beschränkt; die<br />
rückverfolgung auf die<br />
jeweilige Person ist jedoch<br />
nicht möglich. eine periodische<br />
Überprüfung auf ihre<br />
notwendigkeit findet nicht<br />
statt.<br />
die Verfahren für die authentisierung<br />
von Benutzerkennungen<br />
sind dokumentiert<br />
sowie grundsätzlich<br />
sicher aufgesetzt. Für<br />
wichtige oder besonders exponierte<br />
systeme sind Zwei-<br />
Faktor-authentisierungen<br />
vorhanden. der periodische<br />
Passwort-Wechsel (mindestens<br />
2x pro Jahr) sowie eine<br />
minimale Passwort-syntax<br />
wird erzwungen.<br />
es besteht ein generelles<br />
Berechtigungskonzept mit<br />
klaren rollen und auf den<br />
rollen basierende Berechtigungsprofile.mitarbeitenden<br />
werden entsprechend<br />
ihrer Funktion und/oder<br />
stellenbeschreibung 1-n Profile<br />
zugeordnet; die Vergabe<br />
von einzelberechtigungen<br />
ist nur in ausnahmefällen<br />
notwendig.<br />
es bestehen schriftlich<br />
festgehaltene Verfahren für<br />
Verwaltung von Berechtigungen,<br />
der sicherstellt,<br />
dass die Zugriffsberechtigungen<br />
eines mitarbeiters<br />
bei eintritt gemäss seiner<br />
Funktion erstellt, periodisch<br />
aktualisiert und bei<br />
dessen austritt gelöscht<br />
werden. der Zugriff auf die<br />
Berechtigungsverwaltung<br />
ist organisatorisch wie<br />
technisch strikt auf wenige<br />
Personen eingeschränkt. die<br />
einhaltung der Verfahren<br />
wird permanent überwacht<br />
und periodisch kontrolliert;<br />
Berechtigungen selbst werden<br />
regelmässig überprüft,<br />
um sicherzustellen, dass<br />
unbenutzte konten nicht<br />
mehr aktiv sind und nicht<br />
mehr benötigte Zugriffsrechte<br />
entfernt wurden.<br />
ein formelles Verfahren stellt<br />
sicher, dass unpersönliche<br />
Benutzerkonten nur in<br />
ausnahmefällen und mit<br />
vorgängigem einverständnis<br />
einer dafür zuständigen stelle<br />
verwendet werden. Unpersönliche<br />
Benutzerkonten<br />
können von mitarbeitenden<br />
nur über eine vorgängige<br />
persönliche authentifizierung<br />
verwendet werden, so<br />
dass die nachvollziehbarkeit<br />
sichergestellt ist. Unpersönliche<br />
Benutzerkonten werden<br />
periodisch auf ihre notwendigkeit<br />
überprüft.<br />
ein schriftlich festgehaltenes<br />
Verfahren stellt sicher, dass<br />
für die authentisierung von<br />
Benutzerkennungen ausreichend<br />
sichere Verfahren<br />
verwendet werden; wichtige<br />
oder besonders exponierte<br />
systeme werden mit einer<br />
Zwei-Faktor-authentisierung<br />
geschützt. Bei der Verwendung<br />
von Passwörtern wird<br />
von den systemen eine starke<br />
Passwort-syntax sowie<br />
der periodische Wechsel von<br />
Passwörtern erzwungen.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Zugriffsschutz<br />
<strong>IT</strong>-Sicherheit<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Sensibilisierung<br />
zum Umgang mit<br />
Passwörtern<br />
Umgang mit<br />
vertraulichen<br />
Daten<br />
Anwendersensibilisierung<br />
Virenschutzprogramme<br />
Administrationsrechte<br />
am<br />
Arbeitsplatzrechner<br />
es findet keine sensibilisierung<br />
der mitarbeitenden<br />
bezüglich dem sicheren<br />
Umgang mit Passwörtern<br />
statt. Passwörter werden<br />
kaum geändert und häufiger<br />
an andere Personen weitergegeben.<br />
es gibt keine richtlinien für<br />
den Umgang mit vertraulichen<br />
daten. server und<br />
daten sind nicht geschützt.<br />
Unerlaubte Zugriffe können<br />
nicht erkannt werden.<br />
es findet keinerlei sensibilisierung<br />
bzw. schulung<br />
der anwender hinsichtlich<br />
der Informations- und <strong>IT</strong>sicherheit<br />
statt.<br />
server und arbeitsplätze<br />
(Clients) verfügen über<br />
keinerlei Virenschutzprogramme.<br />
es besteht kein konzept für<br />
die Vergabe von admini stratorberechtigungen;<br />
einzelne<br />
Benutzer in Fachbereichen<br />
verfügen an ihren arbeitsplätzen<br />
über administratorberechtigungen,<br />
wodurch<br />
software ohne genehmigung<br />
eines Verantwortlichen<br />
installiert werden kann.<br />
die mitarbeitenden wurden<br />
mindestens einmal (z.B.<br />
anlässlich ihrer einstellung)<br />
bezüglich dem sicheren Umgang<br />
mit Passwörtern sensibilisiert.<br />
es werden einfach<br />
zu erratende Passwörter<br />
benutzt, Passwörter werden<br />
nicht regelmässig geändert<br />
oder werden anderen Benutzern<br />
bekannt gegeben.<br />
die mitarbeitenden werden<br />
ab und zu hinsichtlich<br />
der Wahl von starken<br />
Passwörtern und dem<br />
sicheren Umgang mit ihnen<br />
sensibilisiert, jedoch wird ihr<br />
ausbildungsstand nicht in<br />
irgendeiner Form ermittelt<br />
und festgehalten. Verstösse<br />
gegen entsprechende<br />
anweisungen werden nicht<br />
zwingend disziplinarisch<br />
verfolgt.<br />
es bestehen informelle es bestehen Benutzer-<br />
Benutzer-richtlinien für den<br />
Umgang mit vertraulichen<br />
daten; es ist aber kein<br />
nachweis möglich, dass die<br />
mitarbeitenden diese richtlinien<br />
auch einhalten. server<br />
und daten sind nicht speziell<br />
geschützt. Unerlaubte Zugriffe<br />
können nicht erkannt<br />
werden.<br />
richtlinien für den Umgang<br />
mit vertraulichen daten. die<br />
einhaltung der richtlinien<br />
wird aber nur fallweise überwacht.Verschlüsselungsverfahren<br />
für vertrauliche daten<br />
und speziell geschützte server<br />
existieren, werden aber<br />
nicht konsequent eingesetzt.<br />
Unerlaubte Zugriffe auf<br />
vertrauliche daten können<br />
teilweise erkannt und rückverfolgt<br />
werden.<br />
eine informelle anleitung es bestehen klare und<br />
zur korrekten nutzung<br />
der Informationssysteme<br />
und zur Informations- und<br />
<strong>IT</strong>-sicherheit ist vorhanden;<br />
sie wird allerdings nicht<br />
konsequent kommuniziert.<br />
eine schulung der anwender<br />
findet nicht statt.<br />
server und arbeitsplätze<br />
(Clients) verfügen teilweise<br />
über ein Virenschutzprogramm;<br />
dieses wird<br />
aber nicht regelmässig<br />
aktualisiert.<br />
es besteht ein informelles<br />
konzept für die Vergabe von<br />
administrator-Berechtigungen.<br />
einzelne registrierte<br />
Benutzer verfügen an<br />
ihren arbeitsplätzen über<br />
administratorberechtigungen,<br />
wodurch software<br />
ohne genehmigung eines<br />
Verantwortlichen installiert<br />
werden kann.<br />
verbindliche anleitungen<br />
zur korrekten nutzung<br />
der Informationssysteme<br />
und zur Informations- und<br />
<strong>IT</strong>-sicherheit, welche den<br />
mitarbeitenden bei eintritt in<br />
das Unternehmen ausgehändigt<br />
werden. eine schulung<br />
gibt es zum grössten Teil für<br />
neu-eintretende; andere<br />
mitarbeiter werden nicht<br />
systematisch geschult.<br />
server und arbeitsplätze<br />
(Clients) verfügen über ein<br />
Virenschutzprogramm; dieses<br />
wird aber nicht täglich<br />
aktualisiert.<br />
36<br />
ein schriftlich festgehaltenes<br />
Verfahren stellt sicher, dass<br />
alle mitarbeitenden regelmässig<br />
hinsichtlich der Wahl<br />
von starken Passwörtern und<br />
dem sicheren Umgang mit<br />
ihnen sensibilisiert werden.<br />
alle Benutzer kennen ihre<br />
Verantwortung beim Umgang<br />
mit Passwörtern; ihr<br />
ausbildungsstand sowie die<br />
einhaltung wird kontrolliert;<br />
Verstösse werden disziplinarisch<br />
verfolgt.<br />
es bestehen formelle<br />
Benutzer-richtlinien für den<br />
Umgang mit vertraulichen<br />
daten und die Benutzer sind<br />
dementsprechend ausgebildet.<br />
Vertrauliche daten sind<br />
verschlüsselt oder befinden<br />
sich auf speziell geschützten<br />
servern. Zugriffe auf<br />
vertrauliche daten werden<br />
vollständig protokolliert und<br />
periodisch kontrolliert.<br />
eine formelle anleitung<br />
zur korrekten nutzung der<br />
Informationssysteme und<br />
zur Informations- und <strong>IT</strong>sicherheit<br />
besteht und wird<br />
aktiv an sämtliche Benutzer<br />
verteilt. systematische<br />
schulungen finden zielgruppen-<br />
und funktionsgerecht<br />
in regelmässigen abständen<br />
statt und werden nachweislich<br />
vom grössten Teil der<br />
mitarbeitenden besucht.<br />
ergänzende sensibilisierungs-massnahmen<br />
werden<br />
geplant umgesetzt.<br />
das Unternehmen verfügt<br />
über ein täglich online<br />
aktualisiertes Virenschutzprogramm,<br />
das auf allen<br />
servern und arbeitsplätzen<br />
installiert ist und von den<br />
Benutzern nicht deaktiviert<br />
werden kann.<br />
es besteht ein formelles es besteht ein formelles<br />
konzept für die Vergabe von<br />
administrator-Berechtigungen.<br />
einzelne registrierte<br />
Benutzer verfügen an ihren<br />
arbeitsplätzen über administratorberechtigungen,<br />
wodurch softwareinstallationen<br />
ohne genehmigung<br />
eines Verantwortlichen<br />
möglich sind. die Benutzer<br />
sind jedoch verpflichtet, die<br />
software vor der Installation<br />
genehmigen und prüfen zu<br />
lassen.<br />
konzept für die Vergabe von<br />
administrator-Berechtigungen.<br />
kein Benutzer verfügt<br />
über administrationsberechtigungen<br />
am arbeitsplatz.<br />
eine softwareinstallation<br />
muss durch ein formelles<br />
antragswesen von verantwortlicher<br />
stelle bewilligt<br />
werden. die software wird<br />
nach vorgängiger Prüfung<br />
von den zuständigen und<br />
berechtigten Fachspezialisten<br />
auf den entsprechenden<br />
arbeitsplätzen installiert.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
<strong>IT</strong>-Sicherheit<br />
Physische Sicherheit<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Netzwerkschutz es besteht kein konzept, das<br />
den netzwerk-Perimeterschutz<br />
regelt; das netzwerk<br />
verfügt über keine erkennbaren<br />
schutzmassnahmen;<br />
ein- und ausgehende<br />
daten ströme werden weder<br />
registiert noch weiter überwacht.<br />
Remote Access es besteht kein konzept für<br />
die Vergabe von Fernzugriff;<br />
es bestehen Fernzugriffskonten,<br />
von denen bisher<br />
niemand etwas wusste.<br />
Brandschutz die <strong>IT</strong>-Infrastruktur ist nicht<br />
vor Bränden geschützt und<br />
es existieren keine mittel zur<br />
Brandlöschung. In räumen<br />
der <strong>IT</strong>-Infrastruktur oder in<br />
deren unmittelbaren Umgebung<br />
befinden sich grosse<br />
Brandlasten.<br />
Absicherung der das Unternehmen verfügt<br />
Stromversorgung über keinerlei schutzmassnahmen<br />
vor stromausfällen<br />
und spannungsschwankungen.<br />
Zugang zu den<br />
Räumlichkeiten<br />
es bestehen grundlegende<br />
sicherheitsmassnahmen zum<br />
schutz der Verbindungen<br />
zwischen dem internen<br />
netzwerk und der aussenwelt.<br />
ein- und ausgehende<br />
datenströme werden weder<br />
registriert noch weiter<br />
überwacht.<br />
es besteht ein informelles<br />
konzept für die Vergabe<br />
von Fernzugriff; jedoch<br />
wird es nicht systematisch<br />
umgesetzt. Fernzugriffe aus<br />
externen netzen auf die <strong>IT</strong>-<br />
Infrastruktur (z.B. Fernwartung,<br />
Bereitschaftsdienst)<br />
werden nicht auf auftretenshäufigkeit,<br />
herkunft und<br />
notwendigkeit geprüft.<br />
die <strong>IT</strong>-Infrastruktur ist<br />
nicht speziell vor Bränden<br />
geschützt und es existieren<br />
nur rudimentäre mittel<br />
zur Brandlöschung. In den<br />
räumen der <strong>IT</strong>-Infrastruktur<br />
oder in deren unmittelbaren<br />
Umgebung befinden sich<br />
teilweise grosse Brandlasten.<br />
das Unternehmen verfügt<br />
über einen schutz vor<br />
spannungsschwankungen<br />
für die wichtigsten <strong>IT</strong>einrichtungen<br />
(z.B. server,<br />
rechenzentrum), aber nur<br />
ausnahmsweise über eine<br />
unterbrechungsfreie stromversorgung.<br />
Personen können die Personen können die<br />
Firmen räumlichkeiten Firmenräumlichkeiten<br />
ungehindert betreten und<br />
sich frei bewegen, ohne sich<br />
am empfang anzumelden.<br />
die Informatikräume sind<br />
unverschlossen und werden<br />
nicht überwacht. ausserhalb<br />
der arbeitszeit sind die<br />
räumlichkeiten nicht durch<br />
ein einbruchmeldesystem<br />
abgesichert.<br />
ungehindert betreten und<br />
sich frei bewegen, ohne sich<br />
am empfang anzumelden.<br />
die Informatikräume sind<br />
verschlossen, werden aber<br />
nicht überwacht. ausserhalb<br />
der arbeitszeit sind die<br />
räumlichkeiten nicht durch<br />
ein einbruchmeldesystem<br />
abgesichert.<br />
37<br />
alle netzwerkverbindungen<br />
zwischen dem internen<br />
netzwerk und der aussenwelt<br />
werden basierend<br />
auf einem klaren konzept<br />
geschützt; ein- und ausgehende<br />
datenströme werden<br />
registriert und permanent<br />
überwacht.<br />
es besteht ein formelles<br />
konzept für die Vergabe<br />
von Fernzugriff. Fernzugriffe<br />
aus externen netzen auf<br />
die <strong>IT</strong>-Infrastruktur (z.B.<br />
Fernwartung, Bereitschaftdienst)<br />
werden teilweise<br />
protokolliert, jedoch nicht<br />
systematisch auf auftretenshäufigkeit,<br />
herkunft und<br />
notwendigkeit geprüft.<br />
die <strong>IT</strong>-Infrastruktur wird<br />
trotz der einhaltung der geltendenBrandschutzbestimmungen<br />
nur unzureichend<br />
geschützt; <strong>IT</strong>-spezifische<br />
anforderungen wie spezielle<br />
löschmittel oder die Vermeidung<br />
von Brandlasten in der<br />
unmittelbaren Umgebung<br />
werden nur teilweise erfüllt.<br />
das Unternehmen verfügt<br />
über eine unterbrechungsfreie<br />
stromversorgung und<br />
schutz vor spannungsschwankungen<br />
für die<br />
wichtigsten server und<br />
einrichtungen. Für die<br />
arbeitsplätze selbst gibt es<br />
allerdings keine unterbrechungsfreiestromversorgung.<br />
das Unternehmen verfügt<br />
über einen empfang, jedoch<br />
nicht über schleusen oder<br />
durchgangssperren für die<br />
Zugangskontrolle zu den<br />
Innenräumen. Besucher<br />
werden nicht systematisch<br />
in internen Zonen begleitet,<br />
aber die Informatikräume<br />
sind über eine Zugangskontrollsystem<br />
abgesichert. Versuchte<br />
oder erfolgte Zutritte<br />
sind nachvollziehbar.<br />
alle netzwerkverbindungen<br />
zwischen dem internen<br />
netzwerk und der aussenwelt<br />
werden basierend<br />
auf einem klaren konzept<br />
geschützt; die anwenderverbindungen<br />
werden<br />
über wacht. die netzwerkverbindungen<br />
werden periodisch<br />
durch unabhängige<br />
experten auf schwachstellen<br />
und Verwundbarkeiten<br />
untersucht.<br />
es besteht ein formelles<br />
konzept für die Vergabe<br />
von Fernzugriff. die Zugriffe<br />
werden systematisch<br />
proto kolliert und periodisch<br />
ausgewertet. Fernzugriffe<br />
werden regelmässig,<br />
mindestens einmal jährlich,<br />
von unabhängiger stelle<br />
auf auftretenshäufigkeit,<br />
herkunft und notwendigkeit<br />
geprüft.<br />
die <strong>IT</strong>-Infrastruktur ist durch<br />
die einrichtung von Brandschutzzonen,Brandmeldesystemen<br />
und angemessenen<br />
löscheinrichtungen vor<br />
den auswirkungen eines<br />
Brandes geschützt. Brennbare<br />
materialien werden weder<br />
in den Informatikräumen<br />
noch in deren unmittelbaren<br />
Umgebung aufbewahrt.<br />
das Unternehmen verfügt<br />
für die gesamte <strong>IT</strong>-Infrastruktur<br />
(inkl. der wichtigsten<br />
arbeitsplätze) über eine<br />
unterbruchsfreie stromversorgung<br />
zur Vermeidung<br />
von schäden infolge von<br />
stromausfällen oder spannungsschwankungen.<br />
alle räumlichkeiten werden<br />
überwacht, Zutritte werden<br />
protokolliert. Besucher<br />
müssen sich am empfang<br />
anmelden und werden<br />
während ihres gesamten<br />
aufenthalts in den Unternehmensräumlichkeitenbegleitet.<br />
die Informatikräume<br />
sind gesichert; der Zutritt für<br />
firmenfremde Personen (Besucher,<br />
Wartungstechniker<br />
etc.) muss explizit beantragt<br />
werden. Fremde Personen<br />
werden in sicherheitszonen<br />
permanent überwacht.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
<strong>IT</strong>-Betrieb<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Aufgaben in<br />
Anwendungen<br />
die Zuständigkeiten und<br />
Verantwortlichkeiten im<br />
Zusammenhang mit der nutzung,<br />
der Pflege und dem<br />
Betrieb der anwendungen<br />
sind nicht festgelegt. es wird<br />
keine gewaltentrennung auf<br />
technischer und organisatorischer<br />
ebene durchgesetzt.<br />
Betrieb Für die Funktion des<br />
administrators wurde keine<br />
Person abgestellt; netzwerk<br />
und systeme werden nicht<br />
überwacht und gepflegt.<br />
Konfigurationsmanagement<br />
Systemüberwachung<br />
& Wartung<br />
der Zugriff auf die konfigurationsdaten<br />
von systemen<br />
ist de facto weder durch<br />
Verfahren geregelt noch<br />
auf berechtigte Personen<br />
eingeschränkt.<br />
system-komponenten werden<br />
kaum überwacht und<br />
nur bei grösseren störungen<br />
ausgewechselt.<br />
Einsatz von Tools Für den Betrieb der <strong>IT</strong> werden<br />
kaum Tools eingesetzt.<br />
Netzwerküberwachung<br />
das netzwerk wird kaum<br />
überwacht und es besteht<br />
keine klare Verantwortlichkeit<br />
für die netzwerküberwachung.<br />
die Zuständigkeiten und<br />
Verantwortlichkeiten im<br />
Zusammenhang mit der<br />
nutzung, der Pflege und<br />
dem Betrieb der anwendungen<br />
sind den mitarbeitern<br />
grundsätzlich bekannt, aber<br />
nicht dokumentiert. die<br />
technische oder organisatorische<br />
gewaltentrennung<br />
kann von den mitarbeitern<br />
umgangen werden.<br />
es wurde ein administrator<br />
bestimmt; dieser hat jedoch<br />
noch weitere Funktionen im<br />
Betrieb inne und kann sich<br />
somit nicht immer um die<br />
systempflege- und Überwachungsaufgaben<br />
kümmern.<br />
die Zuständigkeiten und<br />
Verantwortlichkeiten im<br />
Zusammenhang mit der<br />
nutzung, der Pflege und<br />
dem Betrieb der anwendungen<br />
sind festgelegt<br />
und dokumentiert; die<br />
technische gewaltentrennung<br />
kann jedoch von<br />
den mitarbeitern umgangen<br />
werden.<br />
es wurde ein administrator<br />
und/oder ein Betriebsteam*<br />
bestimmt, welche für netz-<br />
und systempflege zuständig<br />
ist/sind. eine Überwachung<br />
findet sporadisch aber nicht<br />
täglich statt.<br />
* abhängig von grösse<br />
die Verfahren für die die Verfahren für Ände-<br />
Änderung der konfiguration run gen an der konfigura-<br />
von systemen sind informell; tion von systemen<br />
Änderungen an der konfigu- sind dokumentiert und<br />
ration von systemen werden mehrheitlich bekannt und<br />
nicht aufgezeichnet. der Zugriff auf berechtigte<br />
Personen eingeschränkt.<br />
konfigurations änderungen<br />
werden protokolliert; diese<br />
werden aber nur fallweise<br />
überprüft.<br />
es bestehen informelle<br />
Verfahren für die systemüberwachung;<br />
eine<br />
technische Überwachung<br />
wird teilweise durchgeführt<br />
und system-komponenten<br />
werden bei Bedarf (reaktiv)<br />
ausgewechselt.<br />
Für den Betrieb der Informatik<br />
werden vereinzelte Tools<br />
eingesetzt; deren einsatz<br />
erfolgt aber primär reaktiv<br />
und isoliert.<br />
einzelne Verbindungs- und<br />
Fehlerstatistiken über das<br />
netzwerk und die netzwerkkompenenten<br />
sind verfügbar,<br />
werden aber nicht<br />
systematisch analysiert.<br />
es bestehen formelle<br />
Verfahren für die systemüberwachung;<br />
eine technische<br />
Überwachung wird<br />
durchgeführt und systemkomponenten<br />
werden<br />
nach einem vordefinierten<br />
Plan ausgewechselt. die<br />
relevanten daten werden<br />
teilweise protokolliert und<br />
ausgewertet; teilweise werden<br />
Benutzerbefragungen<br />
durchgeführt.<br />
Für den Betrieb der Informatik<br />
werden Tools eingesetzt;<br />
deren einsatz ist aber wenig<br />
aufeinander abgestimmt<br />
und erfolgt häufig reaktiv.<br />
Verbindungs- und Fehlerstatistiken<br />
des netzwerks<br />
und der netzwerk-komponenten<br />
werden systematisch<br />
protokolliert; diese werden<br />
jedoch eher situativ (z.B.<br />
nach Vorkommnissen)<br />
analysiert.<br />
38<br />
die Zuständigkeiten und<br />
Verantwortlichkeiten im<br />
Zusammenhang mit der<br />
nutzung, der Pflege und<br />
dem Betrieb der anwendungen<br />
sind formal festgelegt<br />
und dokumentiert. die<br />
technische gewaltentrennung<br />
wird regelmässig<br />
auf erfüllung der anforderungen<br />
geprüft.<br />
es wurde ein administrator<br />
und/oder ein Betriebsteam*<br />
bestimmt. netz- und<br />
system pflege- und -überwachungsaufgaben<br />
werden<br />
täglich und systematisch<br />
durchgeführt.<br />
* abhängig von grösse<br />
es besteht ein formelles<br />
Verfahren für Änderungen<br />
an der konfiguration von<br />
systemen; alle Änderungen<br />
werden vor ihrer durchführung<br />
verifiziert und dauerhaft<br />
dokumentiert. erfolgte<br />
konfigurationsänderungen<br />
werden automatisch erkannt,<br />
rapportiert und auf<br />
Übereinstimmung mit einem<br />
entsprechenden Änderungsauftrag<br />
überprüft.<br />
es bestehen formelle Verfahren<br />
für die systemüberwachung,<br />
die konsequent<br />
umgesetzt werden. die<br />
leistung der wichtigen<br />
system-komponenten wird<br />
permanent aufgezeichnet<br />
und regelmässig vom für<br />
systemüberwachung zuständigen<br />
<strong>IT</strong>-Verantwortlichen<br />
kontrolliert (ausfälle, störungen,<br />
reaktionszeit usw.).<br />
Befragungen der Benutzer<br />
dienen zur Bedarfsermittlung.<br />
Für den Betrieb der Informatik<br />
werden basierend auf<br />
einem klaren konzept Tools<br />
eingesetzt. die verschiedenen<br />
Werkzeuge sind klar<br />
aufeinander abgestimmt; ihr<br />
einsatz erfolgt geplant und<br />
nach klaren Vorgaben.<br />
Verbindungs- und Fehlerstatistiken<br />
des netzwerks<br />
und von netzwerk-komponenten<br />
werden basierend<br />
auf einem klaren konzept<br />
systematisch und vollständig<br />
protokolliert; diese werden<br />
regelmässig überprüft und<br />
aufgetretene Zwischenfälle<br />
systematisch untersucht.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
<strong>IT</strong>-Betrieb<br />
Problem-Management<br />
Datensicherung<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Kontrolle der<br />
Systemleistung<br />
Umgang mit<br />
Fehlern<br />
es erfolgt keinerlei kontrolle<br />
der systemleistungen innerhalb<br />
des Betriebs.<br />
es bestehen informelle Verfahren<br />
für die kontrolle der<br />
effektiven systemleistung.<br />
die Beobachtungen werden<br />
nicht festgehalten.<br />
es gibt keine Verfahren zum es bestehen wenig formelle<br />
Umgang mit störungen oder Verfahren zum Umgang<br />
Fehlern.<br />
mit störungen und Fehlern.<br />
Fehler werden nicht systematisch<br />
aufgezeichnet und<br />
sind kaum rekonstruierbar.<br />
Problem-Berichte werden<br />
erstellt.<br />
Help-Desk es besteht kein helpdesk.<br />
Benutzer gehen direkt<br />
auf mitarbeiter der <strong>IT</strong> zu<br />
und melden ihre Probleme<br />
informell.<br />
Systemverfügbarkeit<br />
Sicherungskonzept<br />
Sicherungsprozess<br />
systemausfälle werden nicht<br />
überwacht und dokumentiert.<br />
es existiert kein datensicherungskonzept.<br />
es werden keine datensicherungen<br />
durchgeführt.<br />
es besteht ein helpdesk; dieser<br />
ist aber aus unterschiedlichen<br />
gründen (ressourcen,<br />
knowhow, etc.) nicht in<br />
der lage, alle mitarbeiteranfragen<br />
zu bewältigen.<br />
Informelle kontakte<br />
zwischen Benutzern und <strong>IT</strong><br />
werden als alternative zum<br />
help desk genutzt.<br />
39<br />
es bestehen formelle Verfahren<br />
für die kontrolle der<br />
effektiven systemleistung;<br />
die aufzeichnung erfolgt<br />
auto matisch. eine auswertung<br />
wird nur fallweise<br />
erstellt.<br />
Verfahren für den Umgang<br />
mit störungen und Fehlern<br />
sind für die meisten systeme<br />
weitgehend geregelt; die<br />
einhaltung der Verfahren<br />
wird aber nur fallweise überprüft.<br />
störungen werden<br />
aufgezeichnet, aber nur<br />
fallweise ausgewertet.<br />
ein spezieller Benutzerhelpdesk<br />
steht während<br />
der gesamten arbeitszeit<br />
zur Verfügung und ist in<br />
der lage, die mitarbeiteranfragen<br />
zu bewältigen.<br />
Informelle kontakte<br />
zwischen Benutzern und <strong>IT</strong><br />
werden auf den help desk<br />
weiter vermittelt.<br />
Verfügbarkeitsanforderun- es besteht ein konzept<br />
gen werden nur nach sicherheitsrelevanten<br />
ereignissen<br />
geprüft. systemausfälle<br />
werden teilweise dokumentiert.<br />
es besteht ein informelles<br />
datensicherungskonzept; es<br />
ist jedoch nicht schriftlich<br />
festgehalten.<br />
zur aufrechterhaltung der<br />
Verfügbarkeit; es ist aber<br />
nicht vollständig umgesetzt.<br />
die Verfügbarkeit wichtiger<br />
systeme wird automatisch<br />
erfasst. systemausfälle<br />
werden systematisch dokumentiert<br />
und in der regel<br />
auf ihre Ursachen analysiert.<br />
es besteht ein schriftlich<br />
fest gehaltenes datensicherungskonzept,<br />
das klar<br />
regelt, welche daten zu welchem<br />
Zeitpunkt, in welchem<br />
Umfang und in welcher Zahl<br />
generationen gespeichert<br />
werden; aufbewahrungsort<br />
und -dauer sind teilweise<br />
spezifiziert. die einhaltung<br />
des konzepts wird nur<br />
fallweise geprüft.<br />
es werden keine regelmäs- es werden täglich (oder<br />
si gen datensicherungen häufiger) sicherungen<br />
durchgeführt und die er- gemäss dem datensichestellten<br />
sicherungen werden rungskonzept durchgeführt.<br />
nicht kontrolliert.<br />
die durchführung wird<br />
protokolliert, aber die Protokolle<br />
werden nur fallweise<br />
überprüft.<br />
es bestehen formelle<br />
Verfahren für die kontrolle<br />
der effektiven systemleistung;<br />
störungen, ausfälle<br />
und reaktionszeiten der<br />
anwendungen und systeme<br />
werden automatisch erkannt<br />
und konsequent abgeklärt.<br />
eine Zusammenfassung der<br />
Fehler und der eingeleiteten<br />
störungsbehebungsmassnahmen<br />
ist verfügbar.<br />
es gibt formelle Verfahren<br />
für den Umgang mit<br />
störungen und Fehlern.<br />
ereignisse sind lückenlos<br />
nachvollziehbar und werden<br />
systematisch abgeklärt.<br />
die Fehlerberichte werden<br />
systematisch archiviert.<br />
ein spezieller Benutzerhelpdesk<br />
ist während<br />
der gesamten arbeitszeit<br />
verfügbar und ist quantitativ<br />
wie qualitativ in der lage,<br />
die mitarbeiteranfragen zu<br />
bewältigen. anfragen, die<br />
erkannten Probleme wie<br />
die gemachten lösungen<br />
werden in einem system<br />
systematisch erfasst und zur<br />
proaktiven Verbesserung<br />
eingesetzt.<br />
es bestehen formelle<br />
Verfahren zur aufrechterhaltung<br />
der Verfügbarkeit,<br />
das vollständig umgesetzt<br />
ist. die Verfügbarkeit der<br />
systeme wird automatisch<br />
erfasst und periodisch<br />
analysiert. die Ursachen für<br />
ausfälle werden systematisch<br />
abgeklärt, korrigierende<br />
massnahmen proaktiv<br />
implementiert.<br />
es besteht ein schriftlich<br />
festgehaltenes datensicherungskonzept,<br />
das klar<br />
regelt, welche daten zu welchem<br />
Zeitpunkt, in welchem<br />
Umfang und in welcher Zahl<br />
generationen gespeichert<br />
werden. die einhaltung des<br />
konzepts wird regelmässig<br />
geprüft.<br />
es werden täglich (oder<br />
häufiger) sicherungen<br />
gemäss dem datensicherungskonzept<br />
durchgeführt.<br />
die durchführung wird<br />
protokolliert, und die Protokolle<br />
werden nach jeder<br />
sicherung überprüft.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Datensicherung<br />
Outsourcing<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Wiederherstellungstest<br />
es werden keine Tests zum<br />
Zurückladen der sicherungen<br />
durchgeführt.<br />
<strong>IT</strong>-Notfallplan es wurden keine Überlegungen<br />
zu einem <strong>IT</strong>-notfallplan<br />
angestellt.<br />
Datenauslagerung<br />
Outsourcing-<br />
Vereinbarungen<br />
Auswahlverfahren<br />
für<br />
Outsourcing-<br />
Partner<br />
datensicherungen werden<br />
nicht ausserhalb des Unternehmens<br />
aufbewahrt.<br />
es bestehen keine outsourcing-Vereinbarungen<br />
mit<br />
den externen dienstleistern.<br />
das Unternehmen ver fügt<br />
über keinerlei auswahlverfahren<br />
für outsourcing-<br />
Partner, das die Berücksichtigung<br />
wichtiger<br />
aus wahl kriterien sicherstellt.<br />
es werden informelle aber<br />
keine systematischen Tests<br />
zum Zurückladen der sicherungen<br />
durchgeführt (z.B.<br />
auf Initiative der Fachabteilungen).<br />
Überlegungen zur Bestimmung<br />
der wichtigsten<br />
daten und der elemente des<br />
Informationssystems, ohne<br />
die das Unternehmen seine<br />
geschäftstätigkeit nicht<br />
fortführen kann, wurden<br />
angestellt. ein <strong>IT</strong>-Plan zur<br />
Unterstützung der Wiederaufnahme<br />
der geschäftstätigkeit<br />
im schadensfall<br />
wurde nicht erstellt.<br />
datensicherungen werden<br />
ausgelagert, der Prozess ist<br />
aber nicht geregelt und nicht<br />
dokumentiert. der Zugriff<br />
auf die speichermedien ist<br />
für das Unternehmen nicht<br />
jederzeit gewährleistet (z.B.<br />
bei auslagerung in den privaten<br />
räumlichkeiten eines<br />
mitarbeiters).<br />
leistungen von externen<br />
dienstleistern basieren<br />
auf standardverträgen der<br />
dienstleister und enthalten<br />
nur vage oder lückenhafte<br />
angaben zu Qualität, sicherheit<br />
und Verfügbarkeit der<br />
leistung. modalitäten zur<br />
Vertragsauflösung fehlen.<br />
das Unternehmen verfügt<br />
über informelle auswahlverfahren.<br />
die auswahlkriterien<br />
sind jedoch unvollständig,<br />
projektspezifische anfor derungen<br />
sind teilweise vorhanden.<br />
ausschreibungen<br />
werden nicht konsequent<br />
bei allen outsourcing-Vorhaben<br />
durchgeführt.<br />
Tests zum Zurückladen der<br />
daten werden periodisch<br />
durchgeführt; ihre resultate<br />
werden protokolliert, aber<br />
nur fallweise kontrolliert.<br />
Überlegungen zur Bestimmung<br />
der wichtigsten<br />
daten und der elemente<br />
des Informationssystems,<br />
ohne die das Unternehmen<br />
seine geschäftstätigkeit<br />
nicht fortführen kann,<br />
wurden angestellt. ein <strong>IT</strong>-<br />
Plan zur Wiederaufnahme<br />
der geschäftstätigkeit im<br />
schadensfall wurde erstellt,<br />
aber es wurden noch keine<br />
konkreten technischen und<br />
personellen Vorkehrungen<br />
getroffen.<br />
es besteht ein schriftlich<br />
festgehaltenes konzept<br />
für die auslagerung von<br />
datensicherungen, das<br />
vollständig umgesetzt<br />
ist. die auslagerung wird<br />
protokolliert, das Protokoll<br />
aber nur fallweise überprüft.<br />
der Zugriff auf die speichermedien<br />
innerhalb der<br />
defi nierten Zeitspanne ist für<br />
das Unternehmen aber nicht<br />
immer gewährleistet (z.B.<br />
bei auslagerung in privaten<br />
räumlichkeiten eines mitarbeiters).<br />
leistungen von externen<br />
dienstleistern basieren auf<br />
schriftlichen Vereinbarungen,<br />
welche die vereinbarten<br />
leistungen beschreiben.<br />
Qualität, sicherheit und<br />
Verfügbarkeit sind jedoch<br />
nicht umfassend geregelt. es<br />
gibt informelle Verfahren zur<br />
Überwachung der leistung<br />
und zu deren Verbesserung<br />
bei nichteinhaltung der Vereinbarungen;<br />
modalitäten<br />
zur Vertragsauflösung sind<br />
teilweise festgelegt.<br />
das Unternehmen verfügt<br />
über ein formalisiertes<br />
auswahlverfahren für<br />
out sourcing-Partner, das<br />
mehrheitlich angewandt<br />
wird. die wesentlichen auswahlkriterien<br />
(inkl. Bonität<br />
und leistungsfähigkeit) sind<br />
vorhanden, werden aber<br />
nicht zwingend konsequent<br />
bewertet.<br />
40<br />
systematische Tests zum<br />
Zurückladen der sicherungen<br />
aller kernanwendungen<br />
werden regelmässig (nicht<br />
seltener als 1x pro monat)<br />
durchgeführt; die resultate<br />
werden protokolliert und<br />
systematisch kontrolliert.<br />
es wurden Vorkehrungen für<br />
die Umsetzung des <strong>IT</strong>-notfallplans<br />
(z.B. Bereitstellung<br />
eines ausweichstandorts für<br />
notfälle bzw. die aufbewahrung<br />
von ersatz-hardware<br />
für störungsfälle) getroffen.<br />
ein <strong>IT</strong>-Plan zur Wiederaufnahme<br />
der geschäftstätigkeit<br />
wurde formalisiert<br />
und enthält die rollen der<br />
Beteiligten und die prioritär<br />
wiederherzustellenden<br />
systeme. der Plan wird<br />
regelmässig getestet und ist<br />
einsatzbereit.<br />
es besteht ein schriftlich<br />
festgehaltenes konzept<br />
für die auslagerung von<br />
datensicherungen, das<br />
vollständig umgesetzt ist.<br />
die auslagerung wird protokolliert,<br />
und das Protokoll<br />
wird systematisch überprüft.<br />
der Zugriff auf die speichermedien<br />
innerhalb der<br />
definierten Zeitspanne ist für<br />
das Unternehmen jederzeit<br />
gewährleistet, durch einen<br />
Prozess sichergestellt und<br />
dokumentiert.<br />
leistungen von externen<br />
dienstleistern basieren auf<br />
service level agreements<br />
und klaren Verträgen, die<br />
die Qualität der leistungen,<br />
die Verfügbarkeit sowie<br />
sicherheit und Verfügbarkeit<br />
sicherstellen. die einhaltung<br />
der Vereinbarung wird<br />
laufend überwacht. Bei<br />
abweichungen werden gezielt<br />
massnahmen getroffen;<br />
modalitäten zur Vertragsauflösung<br />
sind klar festgelegt.<br />
das Unternehmen besitzt ein<br />
formalisiertes auswahlverfahren<br />
für outsourcing-Partner.<br />
das auswahlverfahren<br />
berücksichtigt alle wesentlichen<br />
auswahlkriterien<br />
(z.B. referenzen, Unternehmensgrösse,spezialkenntnisse,<br />
projektspezifische<br />
anforderungen, Bonität)<br />
und ist einem formalisierten<br />
Freigabeprozess unterstellt,<br />
der alle betroffenen stellen<br />
des Unternehmens miteinbezieht.<br />
es werden grundsätzlich<br />
immer ausschreibungen<br />
durchgeführt.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Outsourcing<br />
Rechnungswesen<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Abhängigkeit /<br />
Knowhow-<br />
Verlust<br />
Kontrollmöglichkeit<br />
beim<br />
Outsourcing-<br />
Partner<br />
Überwachung<br />
der Support-<br />
Tätigkeiten<br />
Aufbewahrung<br />
& Archivierung<br />
es gibt keine Vorgaben,<br />
welche Unternehmenstätigkeiten<br />
(unkritische,<br />
kritische, strategische) an<br />
externe dienstleister vergeben<br />
werden dürfen und<br />
welche nicht. es gibt keinen<br />
Verantwortlichen für die<br />
koordination mit externen<br />
dienstleistern.<br />
es besteht keine kontrollmöglichkeit<br />
beim outsourcing-Provider.sicherheitsmassnahmen<br />
auf seite des<br />
outsourcing-Partner sind<br />
nicht bekannt.<br />
die Wartungs- und supporteinsätze<br />
der externen<br />
dienstleister werden nicht<br />
überwacht, das ergebnis<br />
ihrer leistungen wird nicht<br />
mit dem erwarteten ergebnis<br />
verglichen.<br />
es findet keine eigentliche<br />
archivierung statt.<br />
es gibt informelle Überlegun<br />
gen, welche Unternehmenstätigkeiten<br />
(unkritische,<br />
kritische, strategische) an<br />
externe dienstleister vergeben<br />
werden dürfen und<br />
welche nicht. ausgelagerte<br />
Tätigkeiten werden teilweise<br />
schriftlich dokumentiert.<br />
die leistungen sowie die<br />
sicherheitsmassnahmen sind<br />
nur in der dokumentation<br />
des externen dienstleisters<br />
beschrieben. massnahmen<br />
zur kontrolle der leistungen<br />
und einhaltung von sicherheitsanforderungen<br />
sind in<br />
den Verträgen nicht formal<br />
definiert.<br />
die Wartungs- und supporteinsätze<br />
der externen<br />
dienst leister werden<br />
spora disch protokolliert; das<br />
ergebnis ihrer leistungen<br />
wird jedoch nicht mit<br />
dem erwarteten ergebnis<br />
verglichen.<br />
es existiert kein archivierungskonzept.<br />
die für die<br />
archivierung eingesetzten<br />
hilfsmittel (auch elektronische)<br />
und räumlichkeiten<br />
sowie die eigentliche archivierung<br />
entsprechen nicht<br />
den gesetzlichen anforderungen<br />
(z.B. geBüV, eldiv).<br />
41<br />
es gibt formelle Vorgaben,<br />
welche Unternehmenstätigkeiten<br />
ausgelagert werden<br />
dürfen und welche nicht. Für<br />
Tätigkeiten mit strategischer<br />
Bedeutung werden die<br />
ausgelagerten leistungen<br />
konsequent dokumentiert;<br />
eine Überwachung findet<br />
nur fallweise statt. die<br />
dokumentation unterstützt<br />
einen potentiellen lieferantenwechsel.<br />
die leistungen sowie die<br />
vom Provider zu erfüllenden<br />
sicherheitsanforderungen<br />
sind schriftlich festgelegt.<br />
massnahmen zur kontrolle<br />
der leistungen und<br />
einhaltung von sicherheitsanforderungen<br />
sind in den<br />
Verträgen formal definiert;<br />
deren einhaltung wird aber<br />
nicht konkret überprüft. der<br />
externe dienstleister wird<br />
durch eine unabhängige<br />
stelle regelmässig überprüft;<br />
der Prüfbericht wird dem<br />
kunden ausgehändigt.<br />
die Wartungs- und supporteinsätze<br />
der externen<br />
dienst leister werden<br />
syste matisch protokolliert,<br />
das ergebnis ihrer leistungen<br />
wird fallweise mit<br />
dem erwarteten ergebnis<br />
verglichen. die externen<br />
dienstleister stehen in regelmässigem<br />
kontakt mit dem<br />
<strong>IT</strong>-Verantwortlichen.<br />
es existiert ein archivierungskonzept;<br />
es ist aber<br />
nicht vollständig schriftlich<br />
festgehalten. es ist unklar,<br />
ob das konzept, die für die<br />
archivierung eingesetzten<br />
hilfsmittel (auch elektronische)<br />
und räumlichkeiten<br />
wie auch die archivierung<br />
selbst den gesetzlichen<br />
anforderungen (z.B. geBüV,<br />
eldiv) entsprechen. eine regelmässige<br />
Überprüfung der<br />
archivierung erfolgt nicht.<br />
es gibt formelle Vorgaben,<br />
welche sicherstellen, dass<br />
nur genau definierte, formalisierte<br />
und dokumentierte<br />
Tätigkeiten an externe<br />
Partner vergeben werden.<br />
Für Tätigkeiten mit strategischer<br />
Bedeutung werden die<br />
ausgelagerten leistungen<br />
konsequent dokumentiert<br />
und periodisch überwacht.<br />
Potentielle ersatz- oder<br />
Zweitlieferanten werden<br />
regelmässig evaluiert; die<br />
dokumentation ermöglicht<br />
einen lieferantenwechsel bei<br />
Problemen.<br />
die leistungen sowie die<br />
vom Provider zu erfüllenden<br />
sicherheitsanforderungen<br />
sind detailliert schriftlich<br />
festgelegt; massnahmen zur<br />
kontrolle der leistungen und<br />
einhaltung von sicherheitsanforderungen<br />
sind in den<br />
Verträgen formal definiert<br />
und werden umgesetzt. der<br />
externe dienstleister wird<br />
durch eine unabhängige<br />
stelle regelmässig hinsichtlich<br />
der in den Verträgen<br />
festgehaltenen Zielen überprüft;<br />
der Prüfbericht wird<br />
dem kunden ausgehändigt.<br />
er hat das recht, zusätzliche<br />
Prüfungen beim dienstleister<br />
durchzuführen (right to<br />
audit).<br />
die Wartungs- und supporteinsätze<br />
der externen<br />
dienstleister werden<br />
systematisch protokolliert,<br />
und das ergebnis ihrer<br />
leistungen und die erzielten<br />
Fortschritte werden regelmässig<br />
mit dem erwarteten<br />
ergebnis verglichen – bei<br />
sicherheitsrelevanten<br />
anwendungen werden die<br />
aktivitäten der externen<br />
dienstleister sehr engmaschig<br />
überwacht.<br />
das archivierungskonzept<br />
ist schriftlich festgelegt. das<br />
konzept, die für archivierung<br />
eingesetzten hilfsmittel<br />
(auch elektronische) und<br />
räumlichkeiten sowie die<br />
eigentliche archivierung entsprechen<br />
den gesetzlichen<br />
anforderungen (z.B. geBüV,<br />
eldiv). die Vollständigkeit<br />
und korrektheit der archivierung<br />
wird regelmässig<br />
überprüft.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Rechnungswesen<br />
direkte Anwendungskontrollen<br />
unterstützende Anwendungskontrollen<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Jahresabschluss<br />
(Vorbereitung)<br />
Jahresabschluss<br />
(Durchführung)<br />
die vor dem Jahresabschluss nicht alle vor dem Jahres-<br />
zu erledigenden Vorbereiabschluss zu erledigenden<br />
tungsarbeiten,Verarbei- Vorbereitungsarbeiten,<br />
tungsschritte und kontrollen Verarbeitungsschritte und<br />
sind nicht dokumentiert. kontrollen sind dokumentiert.<br />
die einzelnen schritte und<br />
kontrollen der Jahresabschluss-Verarbeitung<br />
sind<br />
nicht dokumentiert.<br />
Datenerfassung die entstehung (origination)<br />
(Dokumentation) und erfassung von daten<br />
ist nicht dokumentiert und<br />
geschieht ad-hoc.<br />
Datenerfassung geschäftsfälle/Trans(Nachvollziehbaraktionen<br />
werden nicht in<br />
keit)<br />
Journalen festgehalten.<br />
System-<br />
Dokumentation<br />
die hauptfunktionen von<br />
kern-anwendungen, die<br />
daten- und Werteflüsse<br />
sowie die schnittstellen zu<br />
vor- und nachgelagerten<br />
anwendungen sind nicht<br />
dokumentiert.<br />
Überwachung sowohl bei den automati-<br />
der Schnittstellen sierten wie auch den manuellen<br />
schnittstellen gibt es<br />
keine Überwachung.<br />
Aktualisierung<br />
der Stammdaten<br />
der Zugang zu Funktionen<br />
der stammdatenaktualisierung<br />
ist de facto weder<br />
durch Verfahren geregelt<br />
noch auf berechtigte Personen<br />
eingeschränkt.<br />
die einzelnen schritte und<br />
kontrollen der Jahresabschluss-Verarbeitung<br />
sind<br />
nur lückenhaft dokumentiert.<br />
die abläufe für die entstehung<br />
(origination) und<br />
erfassung von daten sind<br />
nicht oder nur lückenhaft<br />
dokumentiert.<br />
manuell erfasste und<br />
system generierte geschäftsvorfälle<br />
und Transaktionen<br />
werden nur teilweise auf<br />
Journalen festgehalten.<br />
die hauptfunktionen von<br />
kern-anwendungen, die<br />
daten- und Werteflüsse<br />
sowie die schnittstellen zu<br />
vor- und nachgelagerten<br />
anwendungen sind nur<br />
lückenhaft dokumentiert.<br />
Für manuelle und automatisierte<br />
schnittstellen werden<br />
teilweise abstimmberichte<br />
erstellt; diese werden nicht<br />
näher untersucht und nicht<br />
aufbewahrt.<br />
die Verfahren für die aktualisierung<br />
der stammdaten<br />
sind informell; der Zugang<br />
zu den stammdaten ist nicht<br />
speziell auf berechtigte<br />
Personen beschränkt.<br />
alle vor dem Jahresabschluss alle vor dem Jahresabschluss<br />
zu erledigenden Vorberei- zu erledigenden Vorbereitungsarbeiten,Verarbeitungsarbeiten,Verarbeitungsschritte<br />
und kontrollen tungsschritte und kontrollen<br />
sind dokumentiert; eine sind dokumentiert. Ihre<br />
enge Überwachung erfolgt einhaltung wird strikt über-<br />
nicht.<br />
wacht und kontrolliert.<br />
die einzelnen schritte und<br />
kontrollen der Jahresabschluss-Verarbeitung<br />
sind<br />
dokumentiert. sie sind jedoch<br />
nicht vollständig nachvollziehbar<br />
festgehalten und<br />
eine enge Über wachung<br />
erfolgt nicht.<br />
abläufe für die entstehung<br />
(origination) und eingabe<br />
von daten sind vollständig<br />
dokumentiert. eine regelmässige<br />
Überprüfung der<br />
aktualität dieser dokumentation<br />
findet nicht statt.<br />
manuell erfasste wie auch<br />
systemgenerierte geschäftsvorfälle/Transaktionen<br />
sind<br />
auf Journalen vollständig<br />
nachvollziehbar festgehalten;<br />
eine regelmässige<br />
Überprüfung der aufzeichnungen<br />
findet nicht statt.<br />
Für die meisten kernanwendungen<br />
sind die<br />
hauptfunktionen, daten-<br />
und Werteflüsse sowie die<br />
schnittstellen zu vor- und<br />
nachgelagerten anwendungen<br />
dokumentiert.<br />
Für die meisten kernanwen<br />
dungen werden für<br />
die manuellen und automatisierten<br />
schnittstellen<br />
abstimmberichte erstellt,<br />
aber nur fallweise überprüft.<br />
erkannte Fehler werden<br />
teilweise dokumentiert;<br />
Fehlerkorrekturen sind aber<br />
zu einem späteren Zeitpunkt<br />
nicht nachvollziehbar.<br />
42<br />
die einzelnen schritte und<br />
kontrollen der Jahresabschluss-Verarbeitung<br />
sind<br />
lückenlos nachvollziehbar<br />
dokumentiert; ihre einhaltung<br />
wird strikt überwacht<br />
und kontrolliert.<br />
sämtliche relevanten abläufe<br />
für die entstehung (origination)<br />
und eingabe von<br />
daten sind vollständig dokumentiert;<br />
Änderungs- und<br />
Projektprozesse beinhalten<br />
zwingend die aktualisierung<br />
dieser dokumentationen.<br />
die korrektheit der dokumentation<br />
wird regelmässig<br />
verifiziert.<br />
manuell erfasste wie auch<br />
systemgenerierte geschäftsvorfälle/Transaktionenwerden<br />
in Journalen lückenlos<br />
nachvollziehbar festgehalten;<br />
diese werden periodisch<br />
auf ihre Vollständigkeit,<br />
richtigkeit und aktualität<br />
kontrolliert.<br />
Für sämtliche kern-anwendungen<br />
sind die hauptfunktionen,<br />
daten- und<br />
Werteflüsse sowie die<br />
schnittstellen zu vor- und<br />
nachgelagerten anwendungen<br />
vollständig und aktuell<br />
dokumentiert; Änderungs-<br />
und Projektprozesse<br />
be inhal ten die zwingende<br />
aktualisierung dieser dokumentationen.<br />
Für sämtliche kern-anwendungen<br />
werden die aus der<br />
Überwachung der manuellen<br />
und automatisierten<br />
schnittstellen resultierende<br />
abstimmberichte zeitnah<br />
analysiert. erkannte Fehler<br />
sowie die Verfahren zu<br />
ihrer korrektur sind dokumentiert;<br />
Fehler werden<br />
zeitnah und nachvollziehbar<br />
korrigiert.<br />
die Verfahren für die aktu- es bestehen schriftlich<br />
alisierung der stammdaten festgehaltene Verfahren<br />
sind dokumentiert und für die aktualisierung der<br />
mehrheitlich bekannt und<br />
der Zugriff auf die stammdaten<br />
ist auf berechtigte<br />
Personen eingeschränkt. die<br />
einhaltung der Verfahren<br />
wird aber nur fallweise<br />
überprüft.<br />
stammdaten. der Zugriff auf<br />
die stammdaten ist organisatorisch<br />
wie technisch strikt<br />
auf wenige Personen eingeschränkt.<br />
die einhaltung der<br />
Verfahren wird permanent<br />
überwacht und periodisch<br />
kontrolliert.<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
unterstützende Anwendungskontrollen<br />
Titel Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 Maturitätsstufe 4<br />
Direktzugriffe es bestehen keine geregel-<br />
auf Datenbanken ten Verfahren für direktzugriffe<br />
auf datenbanken.<br />
Installation und gebrauch<br />
von hilfsmitteln, welche<br />
einen direkten Zugriff<br />
auf und die manipulation<br />
von datenbankinhalten<br />
ermöglichen, sind praktisch<br />
uneingeschränkt möglich.<br />
Steuerungsdaten<br />
(Parameter)<br />
der Zugriff auf die steuerungs-<br />
und konfigurationsdaten<br />
ist de facto weder<br />
durch Verfahren geregelt<br />
noch auf berechtigte Personen<br />
eingeschränkt.<br />
die Verfahren für direktzugriffe<br />
auf datenbanken<br />
sowie auch die Installation<br />
und der gebrauch von<br />
hilfsmitteln, welche einen<br />
direkten Zugriff auf und die<br />
manipulation von datenbankinhalten<br />
ermöglichen,<br />
(Tools, sQl, etc.), sind<br />
informell. die Verwendung<br />
dieser Tools ist nicht speziell<br />
eingeschränkt.<br />
43<br />
die Verfahren für direktzugriffe<br />
auf datenbanken z.B.<br />
durch den einsatz von speziellen<br />
hilfsmitteln werden<br />
ausreichend dokumentiert.<br />
die Installation und Verwendung<br />
von Programmen,<br />
welche einen direkten<br />
Zugriff auf und die manipulation<br />
von datenbankinhalten<br />
ermöglichen, ist auf<br />
berechtigte einzelpersonen<br />
beschränkt. die dateneigner<br />
werden nur fallweise in die<br />
direktzugriffe involviert;<br />
eine enge Überwachung<br />
erfolgt kaum.<br />
die Verfahren für die die Verfahren für die<br />
Pflege der steuerungs- und<br />
konfigurationsdaten sind<br />
informell; der Zugang ist<br />
nicht speziell auf berechtigte<br />
Personen eingeschränkt.<br />
Pflege der steuerungs- und<br />
konfigurationsdaten sind<br />
dokumentiert und mehrheitlich<br />
bekannt und der Zugriff<br />
auf diese daten ist auf<br />
berechtigte Personen eingeschränkt.<br />
die einhaltung<br />
der Verfahren wird aber nur<br />
fallweise überprüft.<br />
es besteht ein formelles und<br />
dokumentiertes Verfahren<br />
für direktzugriffe auf<br />
daten banken z.B. durch<br />
den einsatz von speziellen<br />
hilfsprogrammen. direktzugriffe<br />
werden lückenlos<br />
protokolliert und diese<br />
Protokolle aufbewahrt. der<br />
dateneigner muss jeden<br />
derartigen einsatz vorgängig<br />
genehmigen und eng überwachen.<br />
es besteht ein formeller<br />
antrags-, genehmigungs-<br />
und abnahmeverfahren für<br />
sämtliche Änderungen von<br />
steuerungs- und konfigurationsdaten.<br />
die Pflege dieser<br />
daten erfolgt nur durch<br />
Berechtigte mit entsprechendem<br />
Wissen und ist<br />
durch aufzeichnungen nachvollziehbar<br />
dokumentiert.<br />
die einhaltung der Verfahren<br />
wird permanent überwacht<br />
und periodisch kontrolliert.<br />
«<strong>Vorgehensmodell</strong> <strong>IT</strong>-rIsIkoanalyse»<br />
Feststellungen<br />
Auswirkungen<br />
Empfehlungen
Change language