IT Governance

Nr. 68, April 2004
Thema
IT-Governance
Switzerland Chapter
Germany Chapter
Austria Chapter © 13.4.2004
2
Inhaltsverzeichnis
Inhaltsverzeichnis
Impressum
Editorial
4
IT-Governance – Mit IT Werte generieren
5
IT-Governance – IT-Governance bei der Swiss Re
8
Herausgeber:
ISACA Switzerland Chapter
c/o Monika Josi
Novartis Animal Health
Global Information Technology
WRO-1032.1.90
IT-Governance – Le débat « Maîtrise d’ouvrage /
4002 Basel
Maîtrise d’œuvre » du système d’information est-il
toujours d’actualité ?
10
IT-Governance – Rosinen aus dem euroCACS2004-Kuchen
12
Redaktion:
Max F. Bretscher
KPMG Fides Peat
Badenerstrasse 172
IT-Governance – Outsourcing der IT: Chancen und
8026 Zürich
Risiken aus Sicht der Revision
14
Satz und Gestaltung:
The ISACA Crossword Puzzle
20
Express Line
22
Forum
23
DACH-News
28
Veranstaltungen
32
unter voller Quellenangabe.
Germany Chapter
34
Abo-Preis:
Austria Chapter
35
Switzerland Chapter
36
WissensTransfer
Francesca Lüscher Baglioni,
8235 Lohn, SH
Jeder Nachdruck, auch auszugsweise,
sowie Vervielfältigungen oder sonstige
Verwertung von Texten oder Abbildungen aus dem NewsLetter nur mit schriftlicher Genehmigung des Herausgebers
Mitglieder gratis
Abonnemente und Einzelnummern auf
Anfrage
Inserate:
1 Seite CHF 400.–
1/2 Seite CHF 240.–
1/4 Seite CHF 160.–
Erscheint 5 Mal jährlich
Auflage: 1100 Exemplare
Nächste Ausgabe
(Thema: euroCACS2004): Juni 2004,
Redaktionsschluss: 14. Mai 2004
3
Editorial
1 IT Governance Institute,
Editorial
ISBN 1-893209-60-1, zu beziehen im
ISACA-Bookstore
2 IT Governance Institute,
„How do I use COBIT to implement
ISBN 1-893209-64-4, zu beziehen im
IT governance?” steht als Blickfang
ISACA-Bookstore
Ja
Ja
auf dem Deckblatt der Broschüre IT
Geschafft?
Bravo!
Governance Implementation Guide1.
COBIT als Implementierungshilfe?
Nein
Nein
Ist es nicht eher ein Prüfhilfsmittel?
Studieren Sie
„Board Briefing on IT
Governance“2
und versuchen Sie es
erneut.
Eigentlich folgerichtig, wie sich die
Informatikprüfung in den letzten Jahren entwickelt hat. Weg vom binären
und
checklistengestützten
richtig/
falsch hin zu einem risikoorientierten
Manchmal – oft Jahre später – trägt
und konstruktiven Ansatz. Dazu hat
die Saat Früchte. Wie in der Natur
COBIT ganz wesentlich beigetragen.
braucht es dazu gelegentlich äussere
Die „Objectives“ sind nicht die-
Einwirkungen, beispielsweise Frost
jenigen des Prüfers, sondern der Ver-
oder grosse Hitze. Die Umsätze frie-
antwortlichen. Plötzlich stellen Ge-
ren ein, der EBITA fällt unter Null
prüfter und Prüfer fest, dass sie im
und die Börse kocht. Plötzlich reift
Grunde genommen identische Ziele
die Erkenntnis heran, dass auch
haben. Zugegeben, oft haben die
Unternehmen etwas zu beherrschen
Ziele nicht die gleiche Priorität. Eine
und zu kontrollieren haben. Und
lohnende Herausforderung, gemein-
nicht nur die IT, sondern das ge-
sam herauszufinden, welches nun die
samte
richtige objektive Priorität ist. Schon
Governance“.
manchem haben diese Auseinander-
kommt neben den anderen Gover-
setzungen die Augen geöffnet.
nance-Elementen eine neue und tra-
Unternehmen:
„Corporate
IT-Governance
be-
gende Bedeutung.
Wer kennt nicht die variantenreichen
Bedenken
Im vorliegenden NewsLetter greifen
gegen die Anforderung, die IT zu
wir das Thema „IT-Governance“ auf
„governancen“?
und vertiefen es mit interessanten
und
gut
begründeten
und lesenswerten Beiträgen. Wenn
Nach dieser schweren Kost haben
Sie das Thema weiter interessiert,
Sie eine kleine Pause verdient.
sind Sie herzlich eingeladen, in der
Gehen Sie einen Kaffee trinken.
IG
Setzen Sie sich zu jemandem an
Die IG erarbeitet für die COBIT
einen Tisch. Und jetzt erläutern Sie
Kontrollziele Messgrössen für ein
ihm oder ihr, was „IT-Governance“
aussagekräftiges und „governance“-
ist.
gesteuertes Management Reporting.
IT-Governance
mitzuarbeiten.
Rolf Merz
Koordinator Interessengruppen
4
IT-Governance
nach
IT-Governance
Qualitätsstandards
optimiert
sein und perfekt funktionieren, trotzdem erhalten die Geschäftseinheiten
Mit IT Werte generieren
nicht, was sie verlangen. Es ist demnach ein wesentlicher Unterschied,
ob man eine kostenoptimierte IT-
Was ist IT-Governance?
nehmensführung
betrachtet.
Hier
Abteilung betreibt, oder ob man
liegt denn auch der wesentliche
einen Wertzuwachs (Cash-Flow) für
IT-Governance ist schlicht und ein-
Unterschied bei der Aufarbeitung
das Unternehmen erwirtschaftet.
fach die Erkenntnis, dass nach vier-
und Umsetzung. Während die Werte-
zig Jahren kommerzieller Informatik
diskussionen auf der aktiven Füh-
Die meisten Unternehmer und Mana-
endlich die Zeit gekommen ist, den
rungsebene stattfinden werden, sind
ger kennen die Probleme aus eigener
Produktionsfaktor Informatik so zu
risikofokussierte Problemstellungen
Erfahrung. 65 % der Informatik-
steuern, dass er diejenigen Resultate
eher
Risk-
projekte werden nie fertig und die
liefert, die Stakeholder und Füh-
Manager, Revisoren und Juristen.
Resultate beinhalten einen Bruchteil
rungsebene erwarten.
Dieser Artikel konzentriert sich auf
dessen, was ursprünglich geplant
den Aspekt der Wertegenerierung.
war. Zeitpläne dienen vor allem dem
eine
Domäne
der
IT-Governance hat nach heutiger
Auffassung und Lehre1 zwei Haupt-
Verkauf. IT-Sourcer tendieren dazu,
In einer weltweiten Umfrage des
4
Leistungen zu erbringen, die an den
richtungen:
Magazins CIO wurde 2002 festge-
wesentlichen Bedürfnissen der Kun-
1. Mit IT Werte schaffen
halten, dass Nummer-1-Thema der
den vorbeigehen. Dem gegenüber
2. IT-Risiken managen
CIOs die „Abstimmung der Ge-
stehen endlose Diskussionen zwi-
schäftsziele mit der IT, bzw. der IT-
schen Informatikern und Geschäfts-
Man sieht auf den ersten Blick, dass
Strategie mit dem Geschäft“ sei. Die
einheiten um die Finanzierung im-
sich diese beiden Ziele grundlegend
gleichen Resultate wurden in einer
mer neuer IT-Vorhaben. Wesentlich
unterscheiden. Während die The-
Studie der Meta Group im Jahr 20035
für die unbefriedigenden Resultate
matik „Werte schaffen“ eine starke
erarbeitet;
Unter-
der Informatik waren auch die Wild-
betriebswirtschaftliche Komponente
suchungen gibt es auch von anderen
wüchse Ende der neunziger Jahre,
aufweist, ist das Risikothema eher
Analysten.
die dazu geführt hatten, dass jede
vergleichbare
dem Umfeld IT-Sicherheit & Kon-
grössere Geschäftseinheit plötzlich
trolle zuzuordnen. Während z.B. der
Der Nutzen von IT-Governance liegt
begann, eigene IT-Ressourcen aufzu-
Economist von „Cold Killer Applica-
in der nachhaltigen Verbesserung der
bauen. Im Zuge der Restrukturie-
tion“ spricht2, wenn es um die Trans-
IT und damit auch einer Verbesse-
rungen wird diese Entwicklung nun
parenz von Kosten/Nutzen-Verhält-
rung des Cash-Flow. Im Grunde also
wieder zurückgefahren. Ob dies in
nissen von IT-Sourcern3 geht, ist die
einer Verknüpfung des Gedankens
jedem Fall sinnvoll ist, kann man nur
Risikosicht stark durch Corporate
des
beantworten, wenn man IT-Gover-
Governance Ideen geprägt.
auf der Ebene Informatik.
nance betreibt!
Herausforderungen
Umsetzung von
IT-Governance
Shareholder/Stakeholder-Value
Inhaltlich ist eine Trennung dieser
Aktivitäten nicht immer einfach,
manchmal auch nicht sinnvoll. Viel
wesentlicher ist die Abgrenzung der
Man kann eine völlig optimierte IT-
Themen aus Sicht des jeweiligen
Abteilung betreiben und trotzdem
Wie schafft man es nun, die IT so zu
Umsetzers. Es ist ein wichtiger
beklagen sich die Geschäftseinheiten
gestalten, dass sie das geforderte
Unterschied, ob man eine fachliche
über hohe Kosten, weil ihnen der
Wertpotential freisetzt? Es ist zwin-
Problemstellung aus Sicht des Revi-
notwendige Gegenwert nicht ge-
gend, dass die IT der Unternehmens-
sors oder aus Sicht der Unter-
liefert wird. Eine IT-Abteilung kann
entwicklung folgt. IT-Governance5
IT-Governance
Massnahmen müssen in den Strate-
stimmten
abgewickelt,
n Ausrollen von Personal-Manage-
gieprozess eingebettet werden. Die
wobei geprüft wird, ob dadurch tat-
ment-Prozessen zum Erhöhen der
Bedeutung der Informationsverarbei-
sächlich ein Mehrwert geschaffen
Personal-Produktivität.
tung im Unternehmen ist Schlüssel-
wird:
der Ausbildung und fördern von
Standards
Verbessern
Breitenwissen.
faktor für die richtige Umsetzung
von IT-Governance-Aktivitäten. Es
Es ist einleuchtend, dass der „Best-
n Sicherstellen, dass Schlüsselpro-
macht keinen Sinn, dass für Unter-
Practice“-Ansatz nicht funktioniert,
zesse qualitativ hochstehend und
nehmen, in denen die Informations-
um Angleichung von Geschäfts- mit
wiederholbar sind; gut verständlich,
verarbeitung
Schlüsselrolle
der IT-Strategie zu erreichen! Der
konsistent, messbar, skalierbar und
spielt, die gleichen Aufwendungen
Best-Practice-Ansatz funktioniert le-
permanent verbessernd.
getätigt werden, wie in einem Unter-
diglich beim risikoorientierten An-
n Überzeugungsarbeit: Die CIOs
nehmen, welches von der Informa-
satz, der sich von unter her ent-
müssen
tionsverarbeitung als Kernkompetenz
wickelt. Insofern können z.B. Bench-
Managements verändern, sie müssen
lebt. Es ist für ein Unternehmen
marks zwischen Unternehmen nur
dazu sorgen, dass sie als tragendes
deshalb bedeutend, dass es einen
dann gemacht werden, wenn sie ähn-
Element des Geschäfts wahrgenom-
moderierten Strategieentwicklungs-
liche und vergleichbare
men werden.
prozess betreibt und die Vision, die
verfolgen!
keine
Strategien
die
Wahrnehmung
des
Um die notwendige Vergleichbarkeit
Kernkompetenzen und die Strategien
kennt. Ein Unternehmen, welches
Was bedeutet dies nun für die IT-
und Messbarkeit zu erzielen, bedarf
diesen Prozess nicht durchlaufen hat,
Führung?
es einer einheitlichen Grundlage.
Man kann die erwähnten Ziele nur
kann schwerlich ableiten, welche
Bedeutung IT in der Organisation
Die folgenden Themen müssen ange-
erreichen, wenn die zu Grunde lie-
besitzt (siehe Abbildung).
packt werden:
genden IT-Prozesse standardisiert
werden. Als Standardwerk dient der
COBIT-Katalog6, welcher auch be-
Strategic Management
züglich Erfahrung und Anwendung
weltweit am meisten Verwendung
ΠDefine your values and risks
Values
findet. COBIT kann zur Überprüfung
Define key processes
TOOLS
sehr gut eingesetzt werden und de-
Œ&  value/risk
finiert einen Mindeststandard und ein
analysis
Ž Boston Squares for
control cost vs risk
and control cost vs
value
Processes
Ž Select controls
Control Objectives &
Critical Success Factors
Balanced-Scorecard-Modell. Je nach
Spezialgebiet sind aber zusätzliche
Quellen notwendig, so z.B. die
CMM7, ITIL8 oder spezifische ISO
Standards, wie z.B. ISO 17799 für
 Sanity check : does this deliver business value?
die IT-Sicherheit.
 Rank on risk and/or value and on cost and expedience
of the solution, then identify quick wins and long term
strategies
Die Tabelle in der Abbildung auf der
© The IT Governance Network 2003
nächsten Seite zeigt die COBIT-Pron Einbringen von Wert, Kosten und
zesse in Abhängigkeit des ange-
IT-Governance ist demnach Teil der
Risiko Management in die IT-Kultur.
strebten Ziels/Focus:
Unternehmensstrategie.
Portfolio
Aus
den
Management,
d.h.
das
Kernkompetenzen, Werten und dem
Kategorisieren als Kommunikations-
Unternehmensumfeld
und
leiten
sich
Strategien und Schlüsselprozesse ab.
Diese wiederum werden nach be6
zeug.
Investitionsoptimierungswerk-
IT-Governance
Focus
Strategic IT
Plan
Information
Architecture
Technology Direction
Organisation &
Relation.
Manage
Projects
Identify Solutions
IT
Processes
Management
of Risks
Management
of Resources
Strategic IT Plan
Technology Direction
Organisation & Relation.
Manage investment in IT
Management
Communication
Assess Risks
Manage Projects
Manage Quality
Manage investment in
IT
Assess Risks
Manage Projects
Manage Quality
Manage
investment in IT
Install/Accredit
Systems
Manage Changes
Identify Solutions
Acquire/maintain software
Technology Architecture
Develop IT Procedures
Manage 3rd Parties
Manage Performance
Continuous Service
Systems Security
Manage the
Configuration
Manage Problems
Manage Data
Manage Facilities
Manage Operations
Technology Architecture
Develop IT Procedures
Install/Accredit Systems
Manage Changes
Alignment
of IT
Define Service Levels
Educate & Train
Users
Assist/Advise
Customers
Monitor the Process
Independent Audit
Delivery
of Value
Define Service Levels
Manage 3rd Parties
Identify/allocate Costs
Manage Data
Monitor the Process.
Manage Human
Resources
Define Service Levels
Manage 3rd Parties
Manage Performance
Continuous Service
Systems Security
Identify/allocate Costs
Educate & Train Users
Assist/Advise Customers
Manage the Configuration
Manage Problems
Manage Data
Manage Facilities
Manage Operations
Monitor the Process
Assess Internal
Controls
Independent
Assurance
Independent Audit
Etliche Firmen haben die Zeichen
Performance
Measurement
der Zeit erkannt, und IT-Governance
Strategic IT Plan
Technology Direction
Manage investment in IT
Management
Communication
Manage Human
Resources
Compliance
nicht nur auf ihre Fahne geschrieben,
sondern auch konkret angepackt. Ein
Beispiel ist die Swiss Re, wie von
Manage
Projects
Manage Quality
Daniela Gschwend in dieser Num-
Define Service Levels
Manage 3rd Parties
Manage Performance
Identify/allocate Costs
Manage Problems
mer des NewsLetters dargelegt.
Monitor the Process
Independent Assurance
Independent Audit
Bruno Wildhaber, Schwerzenbach
Monitor the Process
Independent Audit
Endnoten
“You cannot manage what you
Balanced Scorcards (BSC) werden
cannot measure”
dabei sowohl für die geschäftsorien-
1 IT Governance Institute; www.itgi.org
tierten als auch die IT-Ziele be-
2 The Economist, Ausgabe vom 8. Mai
schrieben und kombiniert:
2003
Eine Tatsache, die gerade für die IT
3 Der Einfachheit halber sprechen wir
zentrale Bedeutung hat. In einer
Welt, in welcher sich meist Ge-
Für die einheitliche Dokumentation
hier von „Sourcern“, d.h. internen oder
schäftsleute und Technokraten ge-
und Kommunikation ist ein spezia-
externen IT-Anbietern.
genübersitzen, haben technische Ver-
lisiertes Werkzeug von grossem
4 Auf www.cio.com findet man eine
wirrspiele System. Zahlen sind hier
Nutzen.
Vielzahl von Artikeln zum Thema. Da
die Seiten sehr dynamisch sind, wird
hilfreich; Messgrössen helfen, abstrakte IT-Verfahren transparent zu
Ein Unternehmen kann durchaus
empfohlen, die „CIO Research Reports“
machen. Als Methode hat sich das
eigenen Benchmarks setzen, um die
zu besuchen, dort „The State of the CIO
Balanced-Scorecard-Verfahren etab-
Implementierung der IT-Governance
2003“.
liert, welches sich für solche An-
zu kontrollieren. Folgende Grafik
5 www.metagroup.com, Studie vom 13.
wendungen sehr gut eignet. Das
zeigt eine Auswertung verschiedener
März 2003: CIO Priorities 2003: “Shif-
Festlegen der messbaren Grössen ist
IT-Prozesse,
ting from Efficiency to value”
nicht einfach. Glücklicherweise gibt
COBIT-Balanced-Scorecard-Modell,
6 Control Objectives for Information and
es hier bereits Vorarbeiten. So
mit dem aktuellen Stand und der
related Technologies;
enthält COBIT z.B. eine sehr gute
Abweichung zu den gesetzten Zielen
www.isaca.org/cobit
Liste mit Kritischen Erfolgsfaktoren,
(siehe Abbildung).
7 Capability Maturity Model
basierend
auf
dem
„Key Goal Indicators“ und „Key
8 ITIL = Information Technology Infra-
Performance Indicators“.
structure Library
Die
Zielbeschreibungen
enthalten
Control Status
Gap Analysis
konkrete Beschreibungen von zu erreichenden Eigenschaften. „Key Performance Indicators“ sind Kenngrössen, die über den Weg zum Ziel
Auskunft geben, bzw. erlauben, die
Fortschritte zu messen. Hinzu kommen kritische Erfolgsfaktoren, die
für einen bestimmten Prozess darüber Auskunft geben, welche Faktoren besonders wichtig sind.
0
PO1
PO3
define a strategic IT plan
PO5
PO9
manage the IT investment
assess risks
1
2
3
4
5
determine technological direction
PO10 manage projects
AI1
identify solutions
AI2
AI5
acquire & maintain applications
AI6
DS1
manage changes
define service levels
DS4
DS5
ensure continuous service
As-Is
To-Be
install and accredit systems
ensure system security
DS10 manage problems and incidents
DS11 manage data
M1
monitor the processes
7
IT-Governance
effective and efficient information,
IT-Governance
decision and governance processes.
Tasks: …define and implement re-
IT-Governance bei der Swiss Re
quired IT Governance Group-wide.“
Damit wurde das Bewusstsein für
IT-Governance
Sind die Elemente der IT-Gover-
Ziele und Vorgehen
auf
Geschäftslei-
tungsebene gesteigert, Verantwort-
nance einfach „alte Bekannte in
lichkeiten festgelegt und eine Signal-
neuen Gewändern“? Ich glaube, es
Unser Ziel mit IT-Governance ist,
wirkung erreicht.
ist genug darüber geschrieben wor-
die IT-Prozesse auf ein bestimmtes
n Bottom up: Zusammenstellung
den, um zu sehen, dass diese Sicht-
„akzeptables“ Niveau zu bringen,
eines internen Anforderungskatalogs
weise etwas zu einfach wäre.
ähnlich wie es im vorherigen Artikel
welcher die Mindestanforderungen
bereits vorgestellt wurde.
an Prozesse, Standards, Verhaltens-
Dass der IT-Governance eine zen-
weisen, etc. für die Swiss Re be-
trale Bedeutung zukommt, wurde bei
Um dies zu erreichen, haben wir
schreibt. Diese Übersicht wollten wir
der Swiss Re früh erkannt. Eine
zwei parallel verlaufende Vorge-
von einem weltweit anerkannten
dedizierte Stelle wurde dazu anfangs
hensweisen gewählt:
„Best-Practice“-Standard
2002 geschaffen, u.a. um die Ent-
n Top down: Zusammenstellung
der möglichst breit angelegt ist und
wicklungen in diesem Bereich zu
der Sicht „Steuerungsfunktion“ mit
sämtliche
koordinieren. IT-Governance wird
den verschiedenen Gremien und
COBIT bot dazu die ideale Basis. Die
klar als Teil der Corporate Gover-
Kommittees, die sich mit IT befas-
bei der Swiss Re gültigen Standards,
nance gesehen und trägt somit einen
sen. Hierzu gehört die Definition der
etc. wurden entsprechend in die
Teil zur Reputation am Markt, zum
Verantwortlichkeiten und die „Ver-
Übersicht eingefügt, bzw. müssen
Operational Risk Management und
ankerung“ von IT-Governance in den
noch erstellt werden. Dieses soge-
zur allgemeinen Verbesserung der
verschiedenen Charters. Als Beispiel
nannte „Repository“ ist auf dem
Prozesse in der IT im Unternehmen
sei hier ein Auszug des Charters des
Intranet verfügbar.
bei. Dies beinhaltet unter anderem
höchsten IT-Steuerungsgremiums er-
Effizienz, Effektivität, Qualität, Sta-
wähnt, dem Group Business Infor-
bilität und Langfristigkeit.
mation Committee: „Mission: The
GBIC provides management over-
Es vergeht heute kaum ein Tag oder
sight on Swiss Re Group Information
ein Meeting, an dem nicht von IT-
and
Governance gesprochen wird. Aufgrund der verschiedenen Auffassungen, was darunter zu verstehen ist
und was das für den Einzelnen bedeutet, haben wir den Begriff für uns
neu definiert. Ziel war, dass jeder
Mitarbeiter die Definition versteht:
“IT Governance provides you with
best practice guidance and principles
to propose, make and enforce the
right IT decisions to ensure that IT is
aligned
business.”
8
with
and
enables
the
Technology
and
enables
IT-Prozesse
ableiten,
umfasst.
IT-Governance
Einführung von
IT-Governance und
bisherige Erfahrungen
und einen „Fahrplan“ zu haben
sowie die Tätigkeiten richtig zu priorisieren. Wie beim Project-PortfolioManagement ist es wichtig, das IT-
IT-Governance-Prozesse an sich sind
Governance-Activity-Portfolio rich-
nicht neu. Vieles hat vorher schon
tig zu steuern und die Ressourcen
bestanden. Vieles ist in ständigem
richtig einzusetzen.
Fluss. Wir sind deshalb auch in
n Schnittstellen: Mit dem Über-
nächster Zukunft damit beschäftigt,
blick verbunden ist auch die Koor-
die IT-Governance zu verbessern.
dination der Schnittstellen zu anderen Abteilungen. Hier möchte ich
Was ist nun bei der Einführung zu
speziell das Internal Audit erwähnen.
beachten? Unsere Erfahrungen haben
Da wir uns beim Aufstellen der
folgendes gezeigt:
Basisregeln an einen internationalen
n Der Buy-in des Managements ist
Standard angelehnt haben, gab es
von grösster Wichtigkeit (top-down).
bezüglich Inhalt praktisch keine
Nur so können Mitarbeiter in ihrem
Diskrepanzen.
Tun unterstützt und Verantwortung
wahrgenommen werden.
Obiges nützt alles nichts, wenn IT-
n Der Buy-in der Mitarbeiter: Bei
Governance nicht „gelebt“ wird. Die
unserem Bottom-up-Approach ist es
Umsetzung fordert ein bestimmtes
wichtig, dass der Einzelne einen Sinn
Umdenken. Wo Verhaltensänderun-
in diesen Aktivitäten sieht. Im ersten
gen gewünscht sind, erfolgen sie
Moment glauben viele, dass es einen
meist nicht von heute auf morgen.
Mehraufwand bedeutet, was berech-
Im Sinne von „Steter Tropfen höhlt
tigt sein kann, dort, wo noch nicht
den Stein“ versus „Holzhammer-
viele Prozesse, Standards, etc. defi-
methode“ möchte ich Sie ermuntern,
niert sind. Langfristig gesehen ver-
den für Ihre Unternehmung richtigen
einfachen sich die Prozesse und sie
Mix für die Umsetzung der (IT)-
werden verlässlicher. Dies kommuni-
Governance zu finden.
zieren wir bei jeder Gelegenheit, in
Sitzungen, Einzelgesprächen, Präsentationen, etc.
Daniela Gschwend, Swiss Re, Zürich
n Messbarkeit: Vor allem, wenn es
sich um qualitative Faktoren handelt,
ist Messen nicht trivial. Eine Universallösung haben wir keine, sondern versuchen, uns schrittweise an
die für uns ideale Vorgehensweise
heranzutasten. Wir fokussieren uns
auf die wichtigsten Ziele zuerst –
was wichtig ist, wird vom Management entschieden.
n Überblick und Steuerung: Es sind
bereits verschiedenste Abteilungen
mit Governance-Aktivitäten beschäftigt. Wichtig ist es, eine Übersicht
9
IT-Governance
IT-Governance
tion massive du métier d’ « IT
Le débat « Maîtrise d’ouvrage /
2001, forme et certifie chaque année
Maîtrise d’œuvre » du système
tion de ces rôles vise à fiabiliser la
d’information est-il toujours
rents intervenants et à s’assurer de la
conductor ». Ce programme initié en
plus de 1500 candidats. La certificarelation de confiance entre les difféconformité des stratégies business et
IT.
d’actualité ?
Une distinction claire des
rôles et responsabilités
L’Association Française de l’Audit
le dernier, qui n’est que le prolonge-
et du conseil Informatique AFAI a
ment naturel des deux premiers, est
organisé le 21 octobre 2003 une
le facteur humain et organisationnel,
présentation débat autour du thème
fondé sur le respect mutuel des rôles
Nathan Hattab (expert judiciaire
des rôles respectifs de la maîtrise
de chacun.
AFAI) a dressé un panorama de la
d’ouvrage (MOA) et de la maîtrise
pathologie des relations MOA/MOE,
d’œuvre (MOE). Cette dualité issue
de l’univers du bâtiment engage
l’ensemble du corps de métier sur la
bonne issue des travaux. Elle pouvait
être
considérée
dernière
comme
jusqu’à
une
confirmant le chemin qui reste à
La professionnalisation
de la MOA : une étape
indispensable
l’année
parcourir. La confusion des rôles et
responsabilités est un facteur de
risque. Ainsi, la profusion des intervenants (MOA, MOA fonctionnelle,
spécificité
L’étendue et la complexité croissante
MOA technique, MOA déléguée,
française . En effet, la culture anglo-
des Systèmes d’Information (SI), ne
MOE,
saxonne gomme singulièrement cette
peuvent être correctement appréhen-
intégrateurs, partenaires) est source
dichotomie contractuelle dans la
dées que si tous les intervenants d’un
de confusion dans la lisibilité des
notion de « sponsor ». Pourtant il ne
projet, partagent un même langage
périmètres d’intervention et favorise
viendrait à l’idée de personne, d’af-
de représentation. Claude Sissmann,
ainsi
firmer que ce modèle « vertueux »
du Syntec Informatique, a d’ailleurs
peuvent éventuellement dégénérer en
satisfait constamment le besoin des
souligné cette carence et principale-
conflits. Toutefois, l’absence totale
entreprises. Pour autant le modèle
ment au niveau de la fonction archi-
de toute MOA conduit tout aussi
est-il incorrect ou insuffisamment
tecture. Il est donc nécessaire d’in-
sûrement à l’échec.
redécouvert?
staurer un esprit de modélisation au
MOE
les
déléguée,
éditeurs,
incompréhensions
qui
niveau de la MOA (cahier des
La distinction claire des rôles et
Michel Volle et Jean-Marie Faure du
charges, recettes, plan d’assurance
responsabilités passe par une rationa-
Club MOA imputent une grande part
qualité).
isation de l’organisation, comme
des échecs à un défaut de « maîtrise
l’explique Georges Epinette du Club
de l’ouvrage », ce qui laisse songeur
Ainsi, Michel Volle du Club MOA,
Informatique de Grandes Entreprises
compte tenu de la proportion des
lors de la table ronde, préconise que
Françaises (CIGREF) en proposant
projets non réalisés, réduits ou remis
la MOA doit être capable d’urbaniser
une cartographie des rôles (8 macro-
hors des délais. Afin de transformer
et modéliser les processus. Cette
rôles) qu’il convient d’articuler avec
ces revers en succès, trois facteurs de
professionnalisation, comme l’indi-
une matrice croisée de 24 interfaces.
réussite sont évoqués avant tout. Le
que Serge Yablonsky, Président de
Un éclairage tout particulier est porté
premier de ceux-ci est la nécessaire
l’AFAI, pourrait passer par une
sur l’existence des trois domaines
professionnalisation de la fonction.
formation adaptée. Il a rapporté les
d’intervention de la MOA le sys-
Le deuxième est la distinction claire
premiers résultats du programme du
tème d’information, les projets et le
des rôles et responsabilités. Et enfin,
MITI japonais de professionnalisa-
fonctionnement.
10
IT-Governance
Cette distinction permet une attri-
Ainsi, la précision du cadre contrac-
bution du budget informatique à la
tuel du projet (enjeux, risques et
MOA plutôt qu’à la MOE. En effet,
coûts, rôles et responsabilités, qualité
la MOA, qui représente les intérêts
des attendus et des livrables) néces-
de l’entreprise, joue en quelque sorte
site du professionnalisme. La mise
le rôle de client et la MOE de
en œuvre du cadre contractuel s’as-
fournisseur. D’ailleurs, cette réparti-
souplit
tion du budget est pratiquée à la
collaboration.
au sein d’une
véritable
Poste comme en témoigne MarieNoëlle Gibon, responsable DSI du
Dans ce qui pourrait apparaître
Groupe La poste, lors de la Table
comme une simple séparation des
Ronde.
pouvoirs (MOA qui détient la con-
Les 8 macro-rôles identifiés par le CIGREF.
La nécessité d’une bonne
collaboration MOA/MOE
naissance métier et commande l’exécution
d’un
ouvrage / MOE
qui
détient la connaissance technique et
Tous les intervenants s’accordent
exécute les travaux), il est important
pour dire que l’un des principaux
de ne pas opposer ces deux savoirs.
Facteurs Clé de Succès du projet
Il est donc primordiale de renforcer
passe par une vision commune pour
ce partenariat en clarifiant les rôles et
la MOA et la MOE. Ce qui se traduit
les responsabilités de chacun. La
par
professionnalisation du métier MOA
une
bonne
collaboration
MOA/MOE.
peut être envisagée comme l’aboutissement de ce processus.
Claude Sissmann du Syntec Informatique prend l’exemple du modèle
L’avenir des MOA est encore large-
de « plateau-projet » emprunté du
ment devant nous…
mode de la construction automobile,
carrefour des compétences et de la
Propos recueillis par l’équipe des
communication autour du projet,
étudiants du DESS 242, Jean Luc
pour illustrer cette logique de parte-
Loubeyre,
nariat. La notion de transversalité,
Sandrine Do Celeiro, Nadia Amri,
qui implique une coopération et une
Samuel Galbois, Romain Violier,
complémentarité des acteurs, est
David Hauptschein, Sonia Kim
Matthieu
Bellamy,
donc un facteur important pour la
réussite d’un projet.
Repris avec l’autorisation de l’AFAI
11
IT-Governance
IT-Governance
ihre Überlegungen auch COBIT mit
Rosinen aus dem
beziehen.
den verschiedenen Reifegraden ein-
euroCACS2004-Kuchen
gepickt von Max F. Bretscher
What is IT-Governance?
(Dr. Jean Pernet)
Structures, processes
and relational
mechanisms for IT
Governance (Wim van
Grembergen/Steven De
Haes)
A Framework for
Designing IT Governance
(Johan Marnewick)
Der Präsentator teilt mit der Zuhörerschaft seine Erfahrungen und
nennt sie einen Bericht aus den
„Schützengräben“. Es mutet denn
auch nach einem langen Krieg an,
„Im Westen nichts Neues“ könnte
man beinahe Remarque bemühen.
Die Referenten platzieren den Termi-
der über drei Drittel führt (Anmer-
Einerseits
verschiedene
nus „IT-Governance“ anhand diver-
kung des Redaktors: Ist dies der
unterschiedliche
ser früherer Modelle in der heutigen
Grund, weshalb Eishockeyspiele, die
Dinge, andrerseits ist es für viele nur
Verständniswelt.
illustratives
ja oft in eine Schlacht ausarten, auch
ein neues Schlagwort für Altbekann-
Beispiel sei eine Ansicht von Peter-
in drei Dritteln ausgetragen wer-
tes. Allerdings erhielten mit diesem
son aus dem Jahr 2003 herausge-
den?!).
Ausdruck doch etliche in der Ver-
griffen. Dazu ist mit Sicherheit zu
gangenheit
Leute
verstehen
darunter
Als
Mauerblümchen-
bemerken, dass sich IT-Governance
Im Kern des ersten Drittels steht die
dasein führende Aspekte vertiefte
natürlich nicht auf zukünftige (strate-
Erkenntnis, dass bezüglich IT-Go-
Beachtung:
gisch unzweifelhaft entscheidende)
vernance ein Verbesserungspotential
n Betonung der Vorschriftentreue
und äussere (ebenfalls eher strate-
vorhanden ist. Somit ist das Fest-
(Compliance)
gisch orientierte) Dimensionen be-
legen von Grundlagen in Überein-
n Transparenz
schränken darf, sondern das IT-
stimmung mit der (eventuell zu kor-
n Ethisches Geschäftsverhalten
Management ebenso intensiv beob-
rigierenden) Kultur unter Einbindung
n Beachtung des Risikomanage-
achten und überwachen muss.
einer Scorecard von Wichtigkeit. Der
ein
Verbesserungsplan wird oft nicht
ments
Wie dies auf der strategischen Ebene
ohne Konflikte (und deren ultimativ
Der Referent tritt sodann noch auf
üblich ist, versuchen sich die Füh-
geforderte Lösung) über die Bühne
einige wichtige Punkte ein, die heute
rungsleute in sogenannten commit-
gehen.
oft eine ausschlaggebende Rolle
tees
spielen:
richtungen zu einigen, wobei sie sich
Im zweiten Drittel werden die zur
n Outsourcing
mit Resultaten aus diversen takti-
Umsetzung
n Projektmanagement
schen (z.B. business partnerships,
schaften gebildet, die auch mit Kom-
n Rolle des (IT)-Revisors
monitoring, usw.) und prozeduralen
petenzen zur Beschlussfassung aus-
(z.B. Strukturen durch Organigram-
gerüstet sein müssen. Der gesamte
me, IT job rotation, usw.) Mitteln
Prozess muss strukturiert werden,
alimentieren. Unweigerlich spielt bei
Kontrollen sind zu definieren und
den Betrachtungen als wichtiges
Instrumente sind bereitzustellen.
und
councils
auf
Marschbeauftragten
Körper-
Instrument eine auf die Belange der
12
IT-Governance zugeschnittene Ba-
Im dritten Drittel wird ein Reifegrad
lanced Scorecard bzw. gleich deren
erreicht, in welchem erkannt wird,
mehrere eine bedeutende Rolle. Die
dass ein stures Befolgen der früher
Autoren zeigten, wie sie letztlich in
festgelegten Regeln nicht einge-
IT-Governance
halten werden kann. Dennoch dürfen
Überwachung
durch
Bank-
und
nun die unweigerlich erzielten Er-
Marktaufsicht
folge nicht über Bord geworfen
Zentralbanken
werden, sondern Ergänzungen zum
n Basel Committee
Aufbauend auf eine solche Politik
Bewältigen von Ausnahmeregelun-
n Börsenaufsichten
können erst Standards und Ver-
gen (Overrides) sind zu definieren
n Aktionäre
arbeitungsregeln definiert werden,
und die Detailprozesse, inklusive
n Analysten
auf denen wiederum (sozusagen
Kontrollen, erfahren eine Anpas-
n Rating Bureaux
pyramidenförmig) die Detailaspekte
Massnahmen
eliminiert
werden
müssen.
der physischen und logischen Sicher-
sung. Dazu sind Ressourcen, aber
auch Lernprozesse und Kapazitäten,
Ziele
heit behandelt, kontrolliert und revi-
gefragt.
n Transparenz der operationellen
diert werden können.
Risiken
Die aus der Übung gemachten Erfah-
n Verminderung der operationellen
Ein besonderes Augenmerk hat der
rungen sollen die Tagungsteilnehmer
Verluste
Referent auf die personellen Ele-
einerseits „trösten“, dass die Welt
n Verminderung des Risikokapitals
mente, insbesondere der logischen
nicht in einem Tag erschaffen wurde,
n Imagepflege
Sicherheit, geworfen. Sind es doch
immer wieder die Menschen, welche
andererseits ermutigen, sich in ähn-
sich als schwächste Glieder einer
licher Art und Weise ans Werk zu
machen.
Contribution of
Supervision on IT to the
IT Governance of
Financial Institutions
(Paul W. Osse)
Tools for Implementing
IT-Governance (Derek
Oliver)
Sicherheitskette erweisen. Dazu gehören u.a. Standards, welche das
Einstellen und Entlassen von Personal umfassen.
Wir haben die richtigen Werkzeuge
vor unserer Nase, teilweise auf unse-
Nicht zu vergessen sind branchen-
ren Fingerspitzen:
und
nationalitätenspezifische Ele-
n COBIT
mente, die es zu beachten gilt.
n ISO17799 (BS7799)
Gerade im Finanzsektor sind die
Die Erfahrungen und Einsichten aus
n Information Technology Infra-
Regulative länderspezifisch ausge-
der Niederländischen Bank haben
structure Library (ITIL)
dehnt und nicht überall identisch.
sehr wohl allgemeine Gültigkeit.
Dies, auch wenn gewisse „Kleinig-
Wie der erfahrene IT-Security-Fuchs
keiten“ länderspezifisch bleiben. Ein
Oliver eindrücklich darlegt, ist das
zentrales Element der Präsentation
COBIT-Framework voll von unter-
sind die drei Säulen des Modells von
stützenden Hinweisen auf wirksames
„Basel II“:
Initialisieren (PO), Umsetzen (AI),
Betreiben (DS) und Überwachen
Die Kapitalgrundsätze
(M). Dabei unterstreicht der Präsen-
n Wenn sich die Risiken in der
tator mehrfach, dass ohne ein schrift-
Welt vermehren, wird mehr Kapital
liches Formulieren der Sicherheits-
benötigt.
politik keine Sicherheit, die den
n Wenn das Geschäftsvolumen zu-
Namen verdient, erreicht werden
nimmt wird mehr Kapital benötigt.
kann. Ohne eine solche Ausrich-
n Wenn die Komplexität der Ge-
tungs- und Messlatte ist auch nicht
schäftstransaktionen zunimmt, wird
festzustellen, ob das gewünschte
mehr Kapital benötigt.
Sicherheitsniveau erreicht ist, oder
n Wenn sich das Kontrollniveau er-
ob, und insbesondere wo, Defizite
höht, wird weniger Kapital benötigt.
vorhanden sind, die durch geeignete
13
IT-Governance
IT-Governance
n Partielles Outsourcing – bezeich-
Outsourcing der IT: Chancen und
tionen. Partielles Outsourcing be-
Risiken aus Sicht der Revision
Vergabe der Reinigung von Periphe-
net die Ausgliederung von Teilfunkginnt z.B. bereits mit der externen
riegeräten. Speziell im Bereich der
Internet-Dienste, z.B. Hosting der
Der Trend zum Outsourcing und
n Internes Outsourcing – beinhaltet
Homepage, ist partielles Outsourcing
speziell zum Outsourcing von IT-
die Ausgliederung von Tochter- oder
stark verbreitet.
Leistungen ist in Zeiten schwacher
Servicegesellschaften. Beim internen
Konjunktur besonders ausgeprägt.
Outsourcing gab es speziell seit
Unternehmen
auf
Beginn der achtziger Jahre einen
Kernkompetenzen und versuchen in
starken Anstieg. Hintergrund war
peripheren Bereichen Kostenerspar-
damals die Hoffnung, teure EDV-
nisse zu erzielen. Kaum eine andere
Ressourcen anderen Unternehmen
Weniger als ein Drittel des deutschen
IT-Branche geht von gleich hohen
gewinnbringend verkaufen zu kön-
Outsourcing-Marktes wird vom Mit-
Steigerungsraten wie die Outsour-
nen. Diese Hoffnung hat sich in eini-
telstand1 bestimmt. Dies ist auf den
cing-Dienstleister aus. Aber Outsour-
gen Fällen bestätigt, in anderen Fäl-
ersten Blick gerade in einem mittel-
cing bietet nicht nur Chancen. Out-
len endete das ganze allerdings in
standsorientierten Land wie der Bun-
sourcing beinhaltet besondere Risi-
einem teuren Desaster.
desrepublik Deutschland erstaunlich,
ken und damit Tätigkeitsfelder für
n Externes Outsourcing – beim ex-
bietet doch das Outsourcing der IT
interne und externe Revisoren.
ternen Outsourcing werden Leistun-
dem Mittelstand Zugang zu Tech-
gen an einen Dritten ohne Unter-
nologien (z.B. e-Commerce), die in
nehmensverflechtungen abgegeben.
Verbindung mit dem Aufbau eigener
Eine besondere Variante des exter-
personeller Ressourcen extrem teuer
nen Outsourcings ist das Manage-
wären.
besinnen
sich
Trends des
IT-Outsourcing
Outsourcing im
Mittelstand
ment-Buy-Out der DatenverarbeiAktuell geht der Trend im IT-Out-
tung. Eine Zeit lang sehr beliebt bei
Einer der wesentlichen Gründe, wa-
sourcing in zwei Richtungen. Zum
deutschen Unternehmen war das
rum das Outsourcing der IT im
einen spezialisieren sich immer mehr
Konzept, aus im Nachhinein offen-
Mittelstand unterrepräsentiert ist, re-
Dienstleister auf bestimmte Bran-
sichtlichen Gründen in der über-
sultiert aus dem fehlenden Vertrauen
chen. Klassisches, wenn auch nicht
wiegenden Mehrzahl der Fälle zum
der Kunden zu den Dienstleistern.
ganz typisches, Beispiel ist hier der
Scheitern verurteilt. Ein DV-Leiter
Mittelständische Kunden verlangen
Bankensektor. Zum anderen wird
kauft mit wenig Kapital und viel
häufig
auch der Mittelstand, der sich bisher
Herrschaftswissen seine Abteilung
Marketing. Die typische Vertriebs-
als relativ Outsourcing-resistent ge-
und beliefert seinen alten Arbeit-
strategie
zeigt hat, ins Visier der Vertriebs-
geber. Die Folge scheint logisch: Die
leister war bisher eher funktions-
strategien genommen. Dies gilt be-
Kapitalschwäche beim Dienstleister
orientiert. Hier entwickeln sich aller-
sonders vor dem Hintergrund des
führt zu einer überlebensorientierten
dings erste Ansätze, den Bedürfnis-
zum Teil gesättigten Marktsegments
Preisgestaltung und die Abhängig-
sen des Mittelstandes weit stärker
der Großunternehmen.
keit vom jetzt Externen wird größer.
entgegen zu kommen als bisher.
ein
der
beziehungsorientiertes
Outsourcing-Dienst-
n Totales Outsourcing – bezeichnet
Begriffe
Beim Outsourcing der IT werden
verschiedene Typen unterschieden:
14
die vollständige Ausgliederung eines
Andere Probleme ergeben sich aus
Funktionsbereichs, wie z.B. die Aus-
den fehlenden Vorraussetzungen bei
gliederung der kompletten Daten-
vielen Unternehmen. Um ein erfolg-
verarbeitung.
reiches Outsourcing der IT durchführen zu können, muss neben einer
IT-Governance
Firmenphilosophie, die im Regelfall
Dies ermöglicht es, Prozesse zu opti-
TraG), die entsprechenden Regelun-
sogar vorhanden ist, eine explizite
mieren und wettbewerbsfähiger zu
gen
IT-Strategie definiert sein, die sich
machen und dabei insgesamt den
(BDSG) und die Anforderungen an
(hoffentlich) in Übereinstimmung
Service-Level zu erhöhen.
qualitative Faktoren, die Banken im
im
Bundesdatenschutzgesetz
Rahmen eines Ratings nach Basel II
mit der Unternehmensstrategie befindet. Vielleicht noch wichtiger für
Ein weiterer, nicht zu unterschätzen-
die Entscheidungsfindung ist die
der, Effekt, der besonders in der IT
Existenz detaillierter und vollstän-
zum Tragen kommt, ist der Risiko-
Als weitere Entwicklung ist das
diger Informationen über die Kosten
transfer. Die Risiken im Rahmen der
Unternehmen auch im Rahmen der
und Leistungen der eigenen Daten-
IT nehmen durch steten Wandel,
Sicherstellung der Zugriffsmöglich-
verarbeitung.
erhöhte Komplexität und zuneh-
keiten auf die steuerlich relevanten
mende Systemintegration exponen-
Daten durch die Betriebsprüfung
tiell zu. Hier kann natürlich ein
(GDPdU) in der Pflicht. Eine Aus-
Großteil der notwendigen Maßnah-
sage, dass sich die Daten bei einem
men in Verbindung mit der Gewähr-
fremden Dritten befinden, wird das
Chancen des Outsourcings – Die Versprechen
der Dienstleister
stellen.
Welche Gründe sprechen für ein
Outsourcing der IT?
Neben der mittelfristigen Kostenersparnis ist das Hauptargument für
das Outsourcing der IT die Konzentration auf die Kernkompetenz eines
Unternehmens.
„nebensächliche“
Dadurch,
Funktionen
dass
an
Fremde, die diese Aufgaben in der
Regel besser und kostengünstiger
wahrnehmen können, vergeben werden, können eigene Ressourcen effizienter eingesetzt werden.
In der Argumentationskette folgt,
wie beschrieben, der Kosteneffekt.
Durch eine bessere Ressourcenauslastung können externe Dienstleister
IT-Leistungen günstiger anbieten.
Zudem sind die Kosten transparent
(zumindest auf den ersten Blick),
weil sie in der charmant simplen
Form der Eingangsrechnung beim
Unternehmen in Erscheinung treten.
Des Weiteren hat ein spezialisierter
Dienstleister in der Regel IT-Knowhow, das einem „normalen“ Unternehmen nicht zur Verfügung steht.
Abb. Übersicht Unübertragbare Verantwortung für Systeme und ihre Quellen
leistung der notwendigen Reaktions-
Finanzamt kaum zufrieden stellen.
zeit an den Dienstleister transferiert
Aus der fehlenden Möglichkeit der
werden.
Übertragung der Verantwortung ergeben sich hohe Anforderungen an
die Überwachung der Leistungen des
Verantwortung
Outsourcing-Partners.
Die
outge-
sourcten Leistungen sind in das
Eines sollte jedoch niemals unter-
interne Kontrollsystem des Unter-
schätzt werden: Ein Risikotransfer
nehmens einzubetten und unterliegen
kann noch so explizit und umfang-
dementsprechend
reich im Outsourcing-Vertrag gere-
pflicht. Dies ist im Rahmen der Ver-
gelt sein; die schlussendliche Verant-
tragsgestaltung zu berücksichtigen.
der
Prüfungs-
wortung verbleibt beim Unternehmen und ist nicht übertragbar!
Risiken
Dies betrifft im Wesentlichen die
Ordnungsmäßigkeit der Buchführung
Das Outsourcing der IT ist kein
(GoB/GoBS), die Anforderungen an
neues Feld. Seit den sechziger Jahren
das Risikomanagementsystem (Kon-
ist Outsourcing der IT verbreitet und
15
IT-Governance
Reibungsverluste
Abrechnungsproblematik
Die folgenden Abschnitte widmen
Der Outsourcing-Dienstleister hat
Ein weiteres großes Problem des
sich detailliert den Problembereichen
ein spezielles Geschäft, das üblicher-
Outsourcings der IT ist die Abrech-
bezüglich der Wahl des Dienst-
weise das Kerngeschäft des Unter-
nung, bzw. die Leistungskontrolle. In
leisters, der IT-Sicherheit und der
nehmens maximal administrativ be-
der Regel werden bestimmte Leis-
Leistungskontrolle.
rühren sollte. In der Zusammenarbeit
tungen, z.B. Antwortzeiten oder Ver-
zwischen Outsourcing-Partner und
fügbarkeit messbar sein müssen.
Fachabteilung kommt es deshalb im-
Doch wer misst die Werte und wer
Veränderung der
mer wieder zu Reibungsverlusten. Es
kann die Messergebnisse vor dem
Kernkompetenz
ist deshalb wichtig, verlässliche An-
Hintergrund
sprechpartner beim Dienstleister zu
Know-how-Verlustes
Gilt als Hauptargument für das Out-
haben, die sich zeitnah, auf Basis
hen?
sourcing die Konzentration auf das
eigener Erfahrungen und in der
Kerngeschäft, so muss doch berück-
gleichen Sprache mit den Problemen
sichtigt werden, dass der Marktdruck
der
und die technologische Entwicklung
setzen können.
jeder Fehler, der gemacht werden
kann, wurde mehrfach wiederholt!
Fachabteilungen
auseinander-
des
angesprochenen
nachvollzie-
Bonitätsrisiko
auch Kerngeschäfte verändern kön-
Die Krise in der IT-Branche führt zur
nen.
Vergrößerung des Bonitätsrisikos.
Verlust der Flexibilität
Die Gefahr der Insolvenz des Partners, mit unabsehbaren Folgen für
Abhängigkeiten und
Aus dem fehlenden Know-how, der
die Aufrechterhaltung der Dienst-
Know-how-Verlust
Abhängigkeit vom Dienstleister und
leistung, ist aktueller denn je. Hier
den Reibungsverlusten folgt zwangs-
muss das Unternehmen Maßnahmen
Einer der schlimmsten und verbrei-
läufig auch ein Verlust an Flexibi-
ergreifen, um den DV-Betrieb auch
tetsten Fehler ist die Abhängigkeit
lität. Die Umgestaltung von extern
in dem Fall sicherzustellen, wenn der
von Externen und der Know-how-
vergebenen Prozessen kann zu einer
Partner ausfällt.
Verlust im eigenen Unternehmen. Je
zeit- und kostenintensiven Ange-
spezieller die ausgelagerte Dienst-
legenheit werden.
Kosten
leistung, desto größer die Abhängigkeit.
Das
fehlende
ausgelagerte
Sicherheitsrisiken
Know-how führt zu
n einer Verstärkung der Abhängig-
Outsourcing kann, muss aber nicht,
kostengünstiger sein, als der Unter-
Viele Unternehmen verstehen die
halt einer eigenen IT. An dieser
bezüglich
Rolle des Dienstleisters als Black-
Stelle mussten und müssen viele
der Angemessenheit von Leistungen
Box. Dies ist grundsätzlich, bei aller
Unternehmen einsehen, dass der
und
Konzentration auf das Kerngeschäft,
Weg zum Partner der falsche Weg
keit von Externen,
n Informationsdefiziten
n fehlenden
Entscheidungsgrund-
ein Fehler. Vor dem Hintergrund der
war. In der Praxis wird eine solche
lagen für notwendige Umorientierun-
Unübertragbarkeit liegt die schluss-
Entscheidung aber in den seltensten
gen.
endliche Verantwortung für die IT-
Fällen
Sicherheit nicht beim Outsourcing-
Kostenplanung im Rahmen des Out-
Partner.
sourcing-Projekts, die auch Sekun-
U.a. um Abhängigkeiten zu vermei-
korrigiert.
Eine
genaue
den und notwendiges Wissen zu kon-
därkosten, wie z.B. Kosten für
servieren, ist es zwingend erforder-
Schnittstellenpersonal,
lich, kompetente Schnittstellenposi-
zwingend erforderlich. Dies gilt auch
tionen im Unternehmen aufzubauen.
für eine zeitnahe und dauerhafte
16
enthält,
ist
IT-Governance
Kontrolle der Kosten im laufenden
steht, auch bei nachgewiesen guter
rechtlich möglich ggf. zusätzlich ab-
Betrieb.
Servicequalität nicht entscheidend
gesichert werden, z.B. durch krypto-
sein.
graphische Verfahren.
Auswahl des
Dienstleisters
Bereits mehrfach angesprochen wur-
IT-Sicherheit
de die Verantwortung des Unternehmens und die damit in Verbin-
Frei nach dem Motto „Darum prüfe,
Wie bereits angesprochen, liegt die
dung stehende Prüfungspflicht. Die
wer sich ewig bindet“ lassen sich
Verantwortung für die Sicherheit der
Prüfung sollte durch die Innenrevi-
einige der genannten Risiken durch
IT schlussendlich beim Unternehmen
sion des Unternehmens ggf. mit
eine sachgerechte und nicht nur an
selbst. Der logische Schluss ist, dass
externer Unterstützung oder durch
Kosten
die Sicherheit der IT im Outsour-
einen sachverständigen Dritten erfol-
cing-Prozess besondere Aufmerk-
gen. In jedem Fall sollten gegen-
samkeit erfordert.
seitige Prüfungsrechte und -pflichten
orientierte
Auswahl
des
Dienstleisters verringern.
von Anfang an und im vorhinein
Einer der wesentlichen Punkte bei
Dies
häufig eine
Rolle
lichung von Sicherheitskonzepten
achten
spielt, sind Eigentumsverhältnisse
auf dem notwenigen Niveau. Bei-
können verwendet werden, entbinden
und andere Verflechtungen. Ein Out-
spiel: Für einen Finanzdienstleister
aber nicht von der Prüfungsver-
sourcing-Partner
einer
ist der Zugang zu aktuellen Aktien-
pflichtung.
Schwestergesellschaft im Konzern
kursen über das Internet von ent-
ist im Normalfall einem völlig Frem-
scheidender Bedeutung. Um signifi-
Ein weiterer Gesichtspunkt ist die
den vorzuziehen; dies gilt im Beson-
kante Vermögensverluste zu vermei-
Notfallplanung beim Ausfall des
deren, wenn Verflechtungen mit der
den, darf der Internetzugang maxi-
Dienstleisters. Hier sollten in Zusam-
Konkurrenz existieren.
mal eine Stunde gestört sein. Im
menarbeit mit dem Dienstleister, der
entscheidende
in
Form
beinhaltet
eine
Vereinheit-
festgelegt werden. Vorgelegte Gut-
der Auswahl des Dienstleisters, der
des
Outsourcing-Partners
Service-Level-Agreement (SLA) mit
in der Regel mehrere Kunden mit
Wichtig bei der Beurteilung ist die
dem Outsourcing-Partner sind diese
dem gleichen Problem hat, ent-
Kompetenz und Professionalität des
Anforderungen oft nicht spezifiziert.
sprechende Szenarien entwickelt und
Anbieters. Der Outsourcing-Anbieter
Aufgrund der sonst üblichen Ge-
dokumentiert werden.
sollte ausreichend Erfahrung mit ge-
schäftstätigkeit anderer Kunden, hat
nau der Dienstleistung besitzen, die
der Outsourcing-Partner das notwen-
angefragt wird. Dabei sind, über die
dige Schutzniveau für den Internet-
Papierlage hinaus, auch Referenzen
zugang auf „mittel“, d.h. eine garan-
von anderen Kunden des Anbieters
tierte Behebung der Störung inner-
Um eine sinnvolle Leistungskon-
von entscheidender Bedeutung. Viele
halb von 24 Stunden, festgelegt.
trolle
Outsourcing-Projekte sind geschei-
Sobald es zu einer Systemstörung
durchführen zu können, muss ein
tert, weil der Anbieter in einem ganz
kommt, ist der signifikante Ver-
spezifizierter Service-Level existie-
bestimmten Teilsegment, der für das
mögensverlust wahrscheinlich.
ren. Voraussetzung sind messbare
Unternehmen besonders wichtig war,
Leistungskontrolle
des
Kenngrößen.
besondere
Rolle
spielen
Outsourcing-Partners
Verbreitete
z.B. Web-basiertes EDI, keine Erfah-
Eine
rung und keine Ressourcen besitzt.
bestimmte vertrauliche Daten. Per-
wortzeiten,
sonenbezogene Daten, Daten aus
Prozesseffizienz.
Kenn-
größen sind z.B. Verfügbarkeit, AntKundenzufriedenheit,
Die Kosten sind natürlich wichtig,
Forschung & Entwicklung, Kranken-
besonders im Vergleich mit kalkula-
akten, Daten von Rechtsanwälten
Wie die letzen beiden Kenngrößen
torischen IT-Kosten einer Inhouse-
oder Wirtschaftsprüfern sollten im
zeigen,
Lösung, dürfen aber, speziell wenn
Einzelfall auf die Tauglichkeit zum
Problem, dass die gelieferten Infor-
die Bonität des Anbieters in Frage
Outsourcing untersucht und wenn
mationen in der Regel alleinig vom
besteht
nicht
nur
das
17
IT-Governance
Partner kommen (von sinnvollen
entsprechenden
Tools,
wie
Konzeptionen wie „Mess-PCs“ ein-
Microsoft ExcelÔ zu lösen.
z.B.
Die Verantwortung für die Sicherheit
der Daten und das Risikomanagement verbleibt aber in jedem Fall
mal abgesehen), sondern dass viele
durchaus entscheidende Kenngrößen
Frei nach dem Motto „Karthago
beim Unternehmen. Insofern ist der
ein gewisses Maß an Unschärfe bein-
muss zerstört werden“ an dieser
Outsourcing-Partner in das eigene
halten. Deswegen ist die Festlegung
Stelle noch einige oft wiederholte
interne Kontrollsystem einzubinden
der Kenngrößen und des Messver-
Anmerkungen zum Einsatz von End-
und regelmäßigen Prüfungen zu
fahrens von entscheidender Bedeu-
User-Computing. Die individuelle
unterwerfen.
tung für den Erfolg des Outsourcings
Datenverarbeitung beinhaltet i.d.R.
der IT. Eine entscheidende Rolle
erhöhte Risiken:
Spezielle Problemfelder, die sich aus
können an dieser Stelle die Funk-
n Es fehlen vernünftige Tests und
einer Outsourcing-Entscheidung ab-
tionsträger der Schnittstellenfunktion
ein Qualitätsmanagement;
leiten, sind die Auswahl des richti-
im Unternehmen spielen.
n Der End-User hat weniger Fach-
gen Dienstleisters, die Prüfung der
kenntnis, als ein Anwendungsent-
IT-Sicherheit bei einem externen
Festgelegt werden sollte die Bewer-
wickler;
Unternehmen und die Kontrolle der
tung des Einflusses der vom Unter-
n Es fehlt an Dokumentation;
mit dem Outsourcing verbundenen
nehmen geäußerten zusätzlichen An-
n Die Anwendungen sind nicht
Leistungsabrechnung.
forderungen auf die vereinbarten
revisionssicher;
Messgrößen, z.B. der Einfluss von
n Es fehlen Kontrollen!
zusätzlichen
Literaturhinweise:
ZIR Zeitschrift für interne Revision,
Reportingfunktionen
auf die Antwortzeiten des Systems.
Ein Fehler in einem Excel-Programm
Ausgabe 6/2002
Ein Schlichtungsverfahren bei Un-
macht alle vorgelagerten Kontrollen
„Leitsätze für die Prüfung von IuK-
stimmigkeiten in der Bewertung der
in den Quellsystemen unwirksam!
Outsourcing“
Messgrößen sollte ebenfalls fest-
Einige Spezialisten gehen davon aus,
ZIR Zeitschrift für interne Revision,
gelegt werden.
dass ca. 40 % aller Excel-Anwen-
Ausgabe 5/2001
2
Die verbleibende
„Rumpf“-Datenverarbeitung
dungen Fehler enthalten . Qualitäts-
„Prüfung des Outsourcing“
sicherung ist beim Einsatz von End-
ZIR Zeitschrift für interne Revision,
User-Computing von wesentlicher
Ausgabe 6/1994
Bedeutung für die Sicherheit der
„Prüfungsaspekte beim Outsourcing
Information.
von DV-Leistungen“
Das Outsourcing der IT und die oft
E/3 , Ausgabe Juli / August 2003
damit einhergehende räumliche und
“Mega-Trend Outsourcing”
psychologische Trennung zwischen
Fazit
Fachabteilung und zentraler Datenverarbeitung führt in vielen Fällen zu
Outsourcing der IT ist auch in Zu-
Endnoten
einem erhöhten Aufkommen der
kunft ein wesentlicher Faktor in der
1 Quelle E/3 Magazin, Juli/August 2003
individuellen
Landschaft der Informationstechnik.
2 Quelle: HM Customs & Excise
Datenverarbeitung
(IDV oder End-User-Computing).
Der Trend zielt dabei auf branchenspezifisches Outsourcing, speziell
Aufgrund von (plötzlich) transparen-
auch im Mittelstand. Unabhängig
Holger Klindtworth
ten Zusatzkosten, langen Realisie-
vom Verbreitungsgrad erfordert jede
Susat & Partner
rungszeiten
Anforderungsum-
Entscheidung für oder gegen Out-
setzungen und des fehlenden persön-
bei
sourcing der IT eine individuelle
lichen Kontaktes entscheiden Fach-
Auseinandersetzung mit den Chan-
abteilungen häufig neue (manchmal
cen und Risiken des Outsourcings.
auch alte) Probleme mit Hilfe von
18
ITACS Training AG
Konradstrasse 1
CH-8005 Zürich
Telefon 01 440 33 64
Fax
01 440 33 61
CISA-Testprüfung 2004
in Zürich
Samstag, 15. Mai 2004; 8:30-13:00, ganztägige Besprechung am 24. Mai 2004
Als Vorbereitung auf die echte CISA-Prüfung vom 12. Juni führen wir in Zürich eine möglichst realistische Testprüfung durch. Am Samstag Morgen wird eine “normale” CISA-Prüfung gelöst (also 200 Fragen in 4 Stunden).
Diese kann dann mit einem Lösungsschlüssel selber korrigiert werden. Alle Fragen werden ausgewertet und
dann am 24. Mai während einem ganzen Tag besprochen. Die schwierigen Multiple-Choice-Aufgaben sind
– wie in der echten Prüfung – nicht nach CISA-Areas geordnet. Mit einem riesigen
Aufwand haben wir auch dieses Jahr weitere Fragen auf Deutsch übersetzt, so dass Deutsch oder Englisch
Sie erneut eine volle Testprüfung in dieser Sprache ablegen können. Eine Garantie,
dass die Testprüfung eine Ähnlichkeit zur diesjährigen CISA-Prüfung aufweist, wird jedoch weder von der ISACA
noch von unserem Chapter abgegeben. Alle Teilnehmer erhalten eine weitere Testprüfung ausgehändigt, so dass
zu Hause noch ein zweiter Versuch absolviert werden kann, der von uns ebenfalls ausgewertet wird. Ebenfalls
abgegeben werden alle Lösungen (z.T. mit kurzen Erläuterungen).
Ihre Anmeldung ist an unser Sekretariat zu schicken. Sie erhalten rechtzeitig genaue Angaben zum
Kurslokal und den Prüfungsbedingungen sowie eine Rechnung über CHF 650.- (Nicht-Mitglieder
von ISACA CHF 750.-), welche innert 10 Tagen zu bezahlen ist. In diesem Betrag sind zwei Testprüfungen (in Deutsch oder Englisch), zwei Prüfungsauswertungen sowie Mittagessen am 15. Mai + 24. Mai 04,
alkoholfreie Getränke inklusive. Die Mehrwertsteuer wird zusätzlich verrechnet.
Anmeldung
Offizielle CISA-Testprüfung des ISACA Switzerland Chapter
Diesen Talon bis zum 30. April 2004 einschicken an:
ITACS Training AG,
Konradstrasse 1, 8005 Zürich, Fax: 01 / 440 33 61.
Ich melde mich für die CISA-Testprüfung am 15. Mai 2004 an.
Ich bin/bezahle
❏ Mitglied ISACA CHF 650.- (exkl. 7,6% Mwst.) (ISACA Mitglied Nr .......................... )
❏ Nicht-Mitglied ISACA CHF 750.- (exkl. 7,6% Mwst.)
Name
Vorname
Mehrwert- konforme Rechnungsadresse
E-Mail
Tel. (P)
Tel. (G)
Ort, Datum
Unterschrift
Ich absolviere die CISA-Testprüfung
❏ in Deutsch
❏ in Englisch
The ISACA Crossword Puzzle
The ISACA Crossword Puzzle 2/04
This puzzle is in English and relates
to the key elements of this issue
1
2
3
14
(Schwerpunktthema).
29
occupation; 14 two equal vowels; 15
35
“southpaw”; 17 blood vessel; 19
40
20
apprehension; 26 surgery room; 27
over the bend (abb); 30 short for
7
21
36
65
66
from Nothern Switzerland; 35 if
69
70
48
62
63
79
86
87
41 clever, missing the last character;
91
92
81
64
68
71
part of the face (pl); 40 oil product;
55
58
61
74
49
54
67
USA; 37 infamous Miss Wong; 38
80
44
47
53
73
34
39
43
60
article; 32 french name; 34 auto plate
bald, a coin or an emblem of the
33
38
57
59
13
28
42
52
12
24
32
46
51
11
18
23
37
41
10
17
31
56
former Vaudoise football club; 31 F
9
27
45
50
8
22
26
30
Asian country; 21 in trust; 24 device
to catch animals; 25 soundless
6
16
25
(sg); 7 part of Roman dress; 11
5
15
19
Across: 1 object of IT Governance
4
72
75
82
76
77
83
78
84
88
89
85
90
93
43 US (counter) espionage; 44 your
(F); 45 inspiration; 46 rodent; 48 bed
Down: 1 writing instrument and
51 ultimate; 53 here (I); 54 flight (F);
and breakfast; 50 summer festival
club; 2 film roll; 3 family group; 4
62 East (G); 64 aromatic beverage in
master (abb); 52 together with 93
snakelike fish; 5 auto plate from
Spain; 65 wireless (pl); 66 carriage
across: responsible for IT-Govern-
Finland; 6 dancing pas; 8 wrong; 9
return; 72 European Community; 73
ance;
Standard
rule; 10 auto plate from Eastern
African tribe; 75 a rowboat cannot
Nucleus; 56 clock; 57 nervous reac-
Switzerland; 11 jolt; 12 command to
do without (pl); 76 steadfast; 77 film
tion; 58 violent stomach reaction; 59
pray (L); 13 heart operation; 16
star Turner’s first name; 78 this G
auto plate from Western Switzerland;
soundless agreement; 18 two equal
imperative could also be a G oven;
60 so (L); 61 bitch (G); 63 summer
consonants; 20 plans or instructions;
80 Queen’s body order (abb); 81 one
(F); 65 fast (G); 67 former ice
22 building (pl); 23 goals for IT
of Zeus' conquests; 82 era; 83 her
skating champion (Carol), 68 river
Governance;
28
(F); 84 local area network; 85 Nordic
and country in Africa; 69 article (A);
collective responsibility for IT
coin; 87 Dutch auto plate; 89 donkey
70 product from Mendrisio; 71
Governance; 29 abhor; 30 part of
sound.
overtime; 72 and (F); 74 F negation;
IT Governance; 31 three equal
76 iron football club; 77 victorious
vowels; 33 negation; 34 vegetable
The solution is to be found in the
General in the US secession war; 79
(pl); 36 stream name from central
marked fields. The ISACA Switzer-
if completed with “que”, a city in
Switzerland; 37 warm-up for sports-
land chapter awards a prize of
Northern Chile; 82 US tennis ace; 84
men; 39 part of IT Governance
$US 50 in ISACA bookstore credits
catching rope; 86 egg form; 88
(pl); 42 Clinton’'s cat has gotten a
each issue for the winner (who is
belonging to Hitler's preferred race;
completely new meaning; 47 pre-
drawn by lots from the correct
90 Southeast; 91 former small F
position; 49 type of medical doctor;
answers) on a postcard. Address
55
American
coin; 92 at the end of the row; 93 see
52 across.
20
26
bone
(L);
M.F. Bretscher, Oberrenggstrasse 8,
The ISACA Crossword Puzzle
CH-8135 Langnau a/A
110 deo; 111 OP; 112 St; 113 their; 115
The winner is Marc Bucher, who
or e-mail [email protected].
ISO; 117 pen; 118 abaft; 119 SH; 120
wins $US 50. Congratulations!
Deadline may 14, 2004
Noëls; 122 NSJA; 125 tapir; 127 IA; 129
chestnut; 132 tu; 134 trading; 136 orts;
Watson: The intended anomaly was
If there are less than 5 answers, or
137 humanity; 141 saga; 142 separation
that this puzzle was not (as all
the solution has not been found, the
cell; 146 Lands (end); 147 it; 148 Neon;
others) symmetric as far as the center
$US 50 go into the Watson Jackpot
149 LL; 150 urban.
– point symmetry – is concerned, but
symmetric according to the vertical
to be carried forward to the next
issue. Watson: Each puzzle contains
Down: 1 glare; 2 Ueli; 3 EM; 4 sure; 5
axis) and the solution had nothing do
some anomaly that is to be detected.
tre; 7 amore; 8 SG; 9 east; 10 Stoa; 11
with the focus of the issue. Both
If correctly identified, the Watson
SE; 12 onion; 13 SLA; 14 tore; 15 -er; 16
qualities have been detected by Ingo
Jackpot is broken and replenished
Eier; 17 laser; 19 sad; 21 GLS; 24 Sean;
Borchardt, who has thus broken the
with $US 50 for the next issue.
27 lose; 30 dresscodes; 32 en; 33 TC, 36
Watson
turnaround; 37 (L)emgo; 39 ONU; 41
Congratulations! This reduces the
Abe; 42 trip; 43 Gneis; 44 ripe; 45
Watson jackpot to $US 50.
Solution Crossword Puzzle 1/04:
ENNRI; 46 strings; 47 coroner; 49 elope;
Table Tennis
50 golf; 51 metal; 52 err; 53 cella; 54 sit;
jackpot
of
$US
200.
55 men; 56 Rohan; 58 ley; 60 Selma
Across: 1 guest; 6 Jamsession; 13 steel;
(Lagerlöf); 63 misty; 68 decorations; 71
18 lemurs; 20 gate; 21 gloria; 22 Al, 23
xenophobia; 73 timing; 76 niellos; 77
reason; 25 so; 26 pillar; 28 es; 29 ride, 31
explode; 79 client; 82 IP; 85 EC; 88
der; 32 état; 34 Oos; 35 être; 38 aeon; 40
torments, 89 testis; 91 extent; 93
cans; 43 germen; 46 SC; 48 EERGRM;
leopards, 95 neither; 98 UPS; 99 USA;
52 ensign; 53 customer; 57 Lionel; 59
102 listing; 114 reuse; 116 on; 117 Pa;
response; 61 Irre; 62 omoplate; 64 rice;
118 April; 119 school; 121 L(ieutenan)t;
65 relationship; 66 fray; 67 so; 68 dill;
124 junio; 126 at; 128 again; 130 Stan;
69 NN; 70 asex(ual); 72 -ol; 74 doe; 75
131 Hur; 133 FTN; 135 iamb; 137 hat;
management; 78 emu; 80 ice; 81 CIA;
138 man; 139 ion; 140 YCL; 142 SS;
83 S(wissai)R; 84 yen; 86 nil; 94 in; 96
143 pi; 144 el; 145 LU.
or; 97 eel; 98 UU; 100 LXX, 101 PE;
102 le; 103 neural; 104 slapshot; 105
Chopin; 106 GI; 107 Mt; 108 Ito; 109 sa;
Ein Revisor hatte in Bern eine Bekannte,
Die all’ ihre Schreibmaschinen verbrannte.
Sie sagt dem Revisor: „Mein Guter,
Heute hat jeder einen Computer.“
Sie ist jetzt immerhin IT-Gouvernante.
There is a young swinger who really knows how to dance,
No question, as everyone can realize it with a single glance,
The rumba, the samba, the tango,
The waltz, the twist and the mambo,
Lately, they say, she practicing the IT-IT-IT-Governance.
21
Express Line
inception in 1978. Within its first
Express Line
two years, ISACAs Certified Information Security Manager (CISM)
designation is on track to certify
A Word from the Chair
The annual membership purge takes
Certification UpdateNew
CISA® Job Practice
Analysis Begins
5,000 professionals.
For the past 35 years, ISACA has
place every April. Following the
been the leading association of pro-
purge, members who have not yet
ISACA has begun a CISA job analy-
fessionals in IS audit, control, secu-
renewed with ISACA® International
sis study to update the criteria used
rity and governance.
Headquarters will no longer receive
to certify and examine CISA candi-
member
the
dates. The work is scheduled to be
Information System Control Jour-
completed by the end of the year and
nal™, K-NET™ and all member-
results will be implemented be-
protected areas of the ISACA web
ginning with the 2006 exam.
benefits,
including
site.
As a part of this process, a series of
An exit survey will be sent to non-
task force meetings and focus panels
renewing members in May. In
has been scheduled to gather infor-
addition to obtaining information on
mation from experienced practi-
the decision not to renew, the survey
tioners.
provides a final opportunity for
renewal.
Chapter leaders interested in participating in focus panels or in recom-
On behalf of the Membership Board,
mending subject matter experts for
I am pleased to congratulate the
future reviews should contact Kim
following 2003 Newsletter Award
Cohen
winners for their outstanding chapter
+1.847.253.1545, ext.409.
at
[email protected]
or
newsletters:
n Adelaide – small chapter
n Denver – medium chapter
n Milan – large chapter
ISACA Celebrates 35th
Anniversary
n Mumbai – very large chapter
The Information Systems Audit and
(Note by the editor: The Swiss
Control Association celebrates its
Chapter did not participate)
35th anniversary this year. The
association
Auditor’s
began
as
Association
the
EDP
in
1969.
Howard Nicholson
Today, its members number more
Chair, Membership Board
than 28,000 from 100 countries. In
addition, ISACA has more than 170
chapters worldwide.
More than 34,000 professionals have
earned ISACAs globally recognized
Certified
Information
Systems
Auditor (CISA) designation since its
22
Forum
durchaus erfüllen sollten. Aber – die-
Forum
ses Fazit seit vorweggenommen – es
gibt keine digitale Antwort zu ITIL
oder COBIT.
ERFA-Bericht zum Kurs:
ITIL Foundation Training
(inkl. internationale
Zertifizierung)
Herausforderungen aktiv und strukturiert angehen zu können. Schliesslich war es der Zusatz: „ITIL und
IT-Service-Management-
COBIT – im Kurs werden die Ser-
Initiativen
vice-Management-Prozesse
ITIL und COBIT sind beileibe nicht
Workshop auf der Basis des „de-
COBIT-Prozessen verglichen“, wel-
die einzigen Bemühungen, um die IT
facto“-Stanfards ITIL (mit übersich-
cher ausschlaggebend war für meine
in den Griff zu bekommen. Die
tlichem
Anmeldung.
nachfolgende Übersicht des Instituts
Service
Management
Prozessmapping
ITIL
–
ITIL
mit
den
nach
korrespondieren
Dreitägiger
COBIT).
für Wirtschaftsinformatik (IWI) der
Meine Erwartungen, einerseits einen
Universität St. Gallen zeigt sehr
So die Ausschreibung der ISACA
Überblick über das Thema IT-
schön die verschiedenen Initiativen
(Switzerland Chapter) für die vom
Service-Management nach ITIL zu
um das IT-Service-Management.
22. bis 24. Oktober 2003 in Zürich
und in Zusammenarbeit mit der
Initiatoren
Firma Glenfis AG (mit Firmensitz in
Hünenberg, ZG) durchgeführte Ver-
Zertifizierung
Zertifizierung(allg.)
(allg.)
anstaltung.
Mit einem Mix aus Theorie und
praktischen Übungen sollten – ge-
Anwender
Anwender
mäss Ausschreibung – die begrifflichen Grundlagen vermittelt und
Einblick in die IT-Service-Manage-
IT Service Management Initiativen
Zertifizierung
Zertifizierung(ITSM)
(ITSM)
BS 15000
QualitätsmanagementQualitätsmanagementMethoden
Methoden
- Gap Analyse
- Self
Assessment
- Benchmarking
- IT Service
CMM
- Six Sigma
- Balanced
Scorecard
- Qualitätskosten
-…
ment-Prozesse gegeben werden. Aksprich Einbringen eigener Erfah-
ITITRevision
Revision
Cobit
Referenzprozessmodelle
Referenzprozessmodelle
ISACA
ISACA
Training
Training
EXIN
EXIN/ /ISEB
ISEB
- TÜV
-…
- HP ITSM
- IBM ITPM
- MOF
- IPW
- eTOM
- ITPLK
- Pulinco
-…
Berater/
Berater/
Dienstleister
Dienstleister
Werkzeuge
Werkzeuge
- HP Open View
- Peregrine SD
- Tivoli
- ARS Remedy
- Kintana
-…
Best
BestPractice
Practice
IT Infrastructure Library
tives Lernen und aktive Beteiligung,
Initiatoren
Hersteller
Hersteller
ITSMF
ITSMF
(ca. 2000
(ca. 2000
Organisationen)
Organisationen)
rungen, sollten den Wissenstransfer
Abb. 1: IT Service Management Initiativen
unterstützen und die Vernetzung
gewinnen und andererseits COBIT-
Es ist unschwer zu sehen, dass einige
festigen. Mit den erworbenen Fach-
Erfahrungen auszutauschen, schie-
Software-Lieferanten ihre Produkte
kenntnissen könnten eigene Service-
nen gegeben. Wie sind die Referenz-
auf die Prinzipien von ITIL ausge-
organisationen nach ihrer Service-
modelle COBIT und ITIL positio-
richtet haben.
fähigkeit beurteilt und IT-Kernpro-
niert? Welches sind die Unter-
zesse nach ITIL konzipiert werden.
schiede, welches die Gemeinsamkeiten? Wie grenzen sie sich ab?
ITIL und seine Historie
Das alles liest sich gut, ist aber
Welches bringt den höheren Nutzen
weiter nicht spektakulär. Viele Bera-
für die IT-Organisation und das
Der IT-Dienstleistungsstandard ITIL
tungs- und Schulungsfirmen partizi-
ganze Unternehmen? Kurz, welches
wurde 1989 von der CCTA (Central
pieren an der ITIL-Hype und wer-
ist – soweit sich dies überhaupt be-
Computing and Telecommunications
ben, mit dem international anerkann-
urteilen lässt – das bessere Modell?
Agency) für die britische Regierung
ten „best-practices“-Standard ITIL
Diese und ähnliche Fragen waren es,
mit dem Ziel entwickelt, Best Prac-
(„Information
über die ich mir eine Diskussion
tices für 24 unterschiedliche Dienst-
erhoffte.
leistungs- und IT-Support-Bereiche
structure
Technology
Library“)
die
InfraIT-
Erwartungen,
die
sich
23
Forum
zu definieren. Dazu gehören unter
tion. Die Anleitung ist für Organisa-
Prozessmodell des IT-Service-
anderem Help Desk, Problem Mana-
tionen jeder Grösse, ob öffentliche
Management nach ITIL
gement, Change Management und
Hand oder Privatwirtschaft, hilfreich
Softwareverteilung.
und wird heute rund um den Erdball
ITIL beschreibt ein systematisches
eingesetzt.
und professionelles Vorgehen für das
Management
Was ist itSMF
von
IT-Dienstleis-
tungen. Dabei stellt die Library
Die ITIL-Philosophie
nachdrücklich die Bedeutung der
wirtschaftlichen Erfüllung der Unter-
Um sicherzustellen, dass ITIL auch
die Anforderungen der realen Ge-
Zusammengefasst werden die auf
nehmens-Anforderungen
schäftswelt erfüllt, brachte das OGC
ITIL bezogenen Aktivitäten oft als
Mittelpunkt. Das IT-Service-Mana-
(Office of Government Commerce
die „ITIL-Philosophie“ bezeichnet.
gement nach ITIL gliedert sich in die
vormals CCTA) verschiedene nicht
Darunter
Kernbereiche IT Service Support und
staatliche Gruppen in einer Stiftung
Dienstleistungen und Produkten ver-
IT Service Delivery.
namens itSMF (IT Service Mana-
standen, mit dem der de-facto-
Kernprozesse des IT-Service-Sup-
gement
Forum)
zusammen.
wird das Angebot an
in
den
Das
Ver-
fahrungsaustausch
zwischen
IT-
Dienstleistungsanbietern pflegen und
Service
Delivery
einigung, deren Mitglieder den Er-
fördern. Dazu gehören insbesondere
die Verbesserung und Weiterentwicklung
des
Strategische Prozesse
Commercial Policy
Personal & Organisation
Account
Management
Relationship
Management
ten von itSMF Switzerland sind auf
Anwender
Service
Support
Service-Management. Die Aktivitä-
Service Planung
Development
Security
Management
Availability
& Continuity
Management
Service
Build & Test
Financial
Management
Capacity
Management
RFC
ITIL sowie die Mitarbeit bei der
Berufsausbildung im Bereich des IT-
Finance
Service Design
Service Level
Management
de-facto-Standards
Schaffung von Grundlagen für die
Architectures
Lieferant
weltweite
Kunde
dukteunabhängige
Management
itSMF ist eine lieferanten- und pro-
Service Desk
Incident
Management
Problem
Management
Change
Management
RFC
Configuration
Management
Release Management
Operative Prozesse
der Homepage www.itsmf.ch pub-
ICT Infrastructure
Management
Services
Das IPW ™ Modell
liziert.
Abb. 2: IT-Service-Management-Architektur nach ITIL
Für wen wurde ITIL entwickelt?
Standard im IT-Service-Management
ports
unterstützt wird. Dieses Angebot
stützung und sind der operativen
Die IT Infrastructure Library wurde
bietet dem Kunden die zur Entwick-
Ebene zuzuordnen:
in erster Linie für Leute geschrieben,
lung eines IT-Service-Management
n Incident Management
die für die Planung, Überwachung
erforderlichen konsistenten Hilfestel-
n Problem Management
und Steuerung von qualitativ hoch-
lungen. Die Bücher stellen heute
n Configuration Management
stehenden IT-Services verantwortlich
lediglich noch einen Anteil von 1 %
n Change Management
sind. Die Bücher beschreiben haupt-
an den weltweit verkauften ITIL-
n Release Management
sächlich, was getan werden muss und
Produkten und -Dienstleistungen dar
weniger, wie es getan werden soll.
(siehe auch Abb. 2).
dienen
der
Betriebsunter-
Planende und steuernde Prozesse
Sie vermitteln jedoch insgesamt
werden im IT-Service-Delivery-Set
einen guten Überblick und ein gutes
zusammengefasst,
Verständnis
Ebene des IT-Service-Management.
der
Zusammenhänge
innerhalb einer IT-Serviceorganisa24
der
taktischen
Forum
Input / Output
n Service Level Management
n Financial Management
n Capacity Management
n Availability Management
n Continuity Management
IT-Security-Management wie auch
das Qualitätsmanagement sind nicht
Messgrössen
Prozess
Rollen
Prozessowner
Prozessmanager
Prozessausführender
als eigenständige Kernprozesse be-
zur Identifizierung des Prozesses
einheitliche Sprachregelung
nen sind sie auf der strategischen
Führungsaufgaben zugeordnet.
Aufgaben definieren
Kennwörter (Schlüsselwörter)
schrieben. Als QuerschnittsfunktioEbene anzusiedeln und damit den
Ziel festlegen
KPI
Abb. 3: Mindmap eines Prozesses
nicht neu erfunden wurde. Die Er-
Mehr Details seien an dieser Stelle
kenntnis war, dass sich der de-facto-
nicht verraten.
ITIL-Foundation-Kurs: Klare
Standard als Regelwerk für einen
Struktur und adäquate
strukturierten
Methodik
Service-Managements bestens eig-
Aufbau
eines
ITITIL COBIT Prozess Mapping
net. Die Sollprozesse nach ITIL
Im Mittelpunkt der dreitägigen Schu-
erlauben es, gaps in der eigenen IT
Dieser in der Ausschreibung speziell
lung standen natürlich die ITIL-
zu identifizieren und Optimierungs-
beworbene Punkt konnte aufgrund
Kernprozesse. Diese sind absolut
potenziale auszuschöpfen. Die IT-
der Stoffdichte und der zur Ver-
technologie-unabhängig und deshalb
Leistungen werden transparent und
fügung stehenden Zeit nicht sehr tief
weitgehend gültig für alle IT-Ser-
messbar (Benchmark).
angegangen werden. Es liegt in der
Sache der Natur, dass für einen
vice-Management-Organisationen.
Ausgehend vom einem Prozessraster
Mir hat die Unterrichtsgestaltung
Vergleich zumindest Grundwissen
wurden die Prozesse von Service-
sehr gepasst, nicht zuletzt deshalb,
über die zu vergleichenden Objekte
Support und Service-Delivery erar-
weil die Leiter des Workshops,
vorhanden sein sollte. Da dem –
beitet, was dank der aktiven Be-
Martin Andenmatten und Daniel
verständlicherweise – nicht so war,
teiligung der Teilnehmer zu einer
Frutschi, sich gegen die Methode
war ein COBIT-Schnellabrieb ange-
ausserordentlich kreativen und inte-
Powerpoint-Bombardement entschie-
sagt. Ein echter Vergleich im Sinne
ressanten Arbeit wurde. Die aller-
den hatten. Mit bewährter Methodik
einer Beurteilung der beiden Pro-
seits eingebrachten IT-Service-Er-
wurden die Themen im Dialog erar-
zessmodelle gegenüber bestimmter
fahrungen führten zu einem gelege-
beitet, die Kernpunkte mittels Mind-
Kriterien lag aufgrund des erwähnten
nen Erfahrungsaustausch und zu an-
map visualisiert und gefestigt und
Zeitfaktors in diesem Einführungs-
geregten Diskussionen.
anhand von ergänzenden Beispielen
kurs schlicht nicht drin. Für den-
aus Literatur und Praxis veran-
jenigen, der sich tiefer mit dem
schaulicht und vernetzt.
Mapping befassen möchte, stellt der
Aufgrund
des
unterschiedlichen
Kursordner ein geeignetes Nach-
Backgrounds der Beteiligten kamen
viele Aspekte ins Spiel, ja sogar
Die beiden Moderatoren haben sich
schlagewerk dar. Er enthält das ge-
internationale (ein Teilnehmer kam
nicht nur sprachlich – echter Walli-
samte
aus Wien). Alle Anwesenden hatten
ser Dialekt (Hr. Andenmatten) und
COBIT-Prozesse, und zwar in beiden
irgendwelche Erfahrungen mit Infor-
Bünder/Berner-Gemisch (Hr. Frut-
Richtungen. Nachfolgend ein Aus-
matikprozessen und den allerorts
schi) –, sondern auch inhaltlich ideal
zug:
initiierten Bestrebungen, diese zu
ergänzt. Sei es durch ihre breite
optimieren. Schon bald war allge-
Berufserfahrung, sei es durch die Art
mein klar, dass mit ITIL das Rad
und Weise der Wissensvermittlung.
Mapping
der
ITIL-
und
25
Forum
DS
Auslieferung und Unterstützung
ITIL Prozesse
DS1
Definition und Management von Dienstleistungsgraden
ITIL Service Level Management
DS 1.1
Rahmen der Dienstleistungsvereinbarung
ITIL Service Level Management
DS 1.2
Aspekte von Dienstleistungsvereinbarungen
ITIL Service Level Management
DS
…
DS2
Handhabung der Dienste von Drittparteien
ITIL Capacity & ITSCM & Security Mgmt
DS 2.1
Schnittstellen zu Lieferanten
ITIL Capacity Management
DS 2.2
Beziehungen zu Eignern
ITIL Capacity Management
DS 2.3
Verträge mit Drittparteien
ITIL Service Level Management
DS 2.4
Qualifikationen von Drittparteien
ITIL Capacity Management
Abb. 4: Auszug Kursordner
Das Mapping ist übrigens auch auf
(IWI) der Universität St. Gallen hat
Kriterienliste ein klarer Sieger resul-
der
Homepage
die Referenzmodelle die COBIT,
tieren würde, wäre eine Antwort
(www.glenfis.ch) als Download zu-
ITIL und weitere nach formalen und
schwierig.
gänglich.
pragmatischen Gesichtspunkten ver-
stehen unterschiedliche Initiatoren,
glichen.
dies ist klar. In der Zielsetzung, im
Glenfis
Hinter
den
Modellen
Inhalt/Zweck aber liegen sie nicht
ITIL und COBIT im Vergleich
Meine eingangs aufgeworfene Frage
sehr weit auseinander. Sowohl ITIL
nach dem besseren Referenzmodell
als auch COBIT bieten Praktiken, mit
Bezüglich des Vergleichs bin ich
lässt sich – wen wundert’s – auch
denen
später dennoch fündig geworden.
mit dem IWI-Vergleich nicht beant-
rungen der Stakeholder an die Infor-
Das Institut für Wirtschaftinformatik
worten. Selbst wenn aufgrund der
matik eines Unternehmens erfüllt
Public-Domain
die
vielfältigen
Anforde-
Non-Public-Domain
Formale Kriterien
ITIL
COBIT
IBM ITPM
HP ITSM Reference Model
Ziele
Ja
Ja
Ja
Ja
Detaillierungsgrad
hoch
hoch
hoch
hoch
End-to-End
Ja
Ja
Ja
Ja
Konsistenz
Nein
Ja
Ja
Ja
I/O-Schema
Hinweise
Nein
Ja
Ja
Rollen/Verantwortlichkeiten
Ja
Hinweise
Ja
Ja
Instrumente
Ja
Nein
Ja
Ja
Erfolgsfaktoren
Hinweise
Ja
Nein
Nein
Effektivitätskennzahlen
Hinweise
Ja
Nein
Nein
Effizienzkennzahlen
Nein
Ja
Nein
Nein
Implementierungshinweise
Ja
Ja
Ja
Ja
Klarheit/Einfachheit
Nein
Ja
Ja
Ja
Flexibilität
Ja
Ja
Ja
Ja
Weiterentwicklung
Ja
Ja
Ja
Ja
Verbreitung und Nutzung
hoch
mittel
mittel
mittel
Pragmatische Kriterien
Abb. 5: ITIL-COBIT-Vergleich (Quelle: IWI, HSG)
26
Forum
werden können. Einen Zauberkasten,
angebot in deutsch) existiert. Viel-
Stiftung) und ISEB (Information
mit dem sich, quasi per Zauber-
leicht liegt es auch am Image: COBIT
Systems Examination Board) auto-
spruch, alle IT-Wünsche erfüllen las-
hat das Image des Kontrollmodells
risiert ist, Prüfungen im deutsch-
sen, ist weder das eine noch das
für die IT-Governance. ITIL hin-
sprachigem Raum durchzuführen.
andere Modell. Entscheidend ist die
gegen stellt den Service-Manage-
Umsetzung. ITIL und COBIT bieten
ment-Gedanken ins Zentrum. Es
Die Prüfung hatte bei mir starke
dazu Unterstützung und zeigen einen
markiert daher einen idealen Bezugs-
Erinnerungen an die CISA-Prüfung
Weg zur Einführung auf. Abhängen
punkt für unterschiedlichste Anbieter
geweckt: Multiple-Choice, Verste-
wird die erfolgreiche Implementie-
von Produkten und/oder Dienstleis-
hen der Logik, Prüfungssituation etc.
rung von der Fähigkeit eines Unter-
tungen. Ich denke da beispielsweise
aufgrund der Dauer von einer Stunde
nehmens, Veränderungsprozesse zu
an all die Tools und Konzepte zur
aber der Kategorie CISA-light oder
managen. In diesem Fall gilt es, in
Einführung, Steuerung und Über-
-beginners zugeordnet werden konn-
der Informatik und weit darüber
wachung von Service Level Agree-
te. Last but not least: An den Rah-
hinaus, eine Servicekultur aufzu-
ments (SLA). Diese Philosophie ist
menbedingungen (Technopark als
bauen. Das heisst u.U. weg von einer
auch im Foundation-Kurs klar zum
Kursort, Räumlichkeiten, Verpfle-
hierarchisch dominierten Führungs-
Ausdruck gekommen. Als Beispiel
gung etc.) wie auch der Betreuung
struktur zu einem teamorientierten
sei das Service Desk (Help Desk)
nach Kursabschluss gab und gibt es
Aufbau mit motivierten, unterneh-
erwähnt, welches im Workshop wie
nichts zu bemängeln.
merisch und zielorientiert denkenden
in Pausengesprächen häufiges und
Mitarbeitenden. Die Theorie ist das
beliebtes Thema war. Als zentrale
eine, die Praxis das andere. Eine 1:1-
Verbindung zwischen IT und Fach-
Übertragung
theoretischen
abteilung kommt ihm eine Schlüssel-
Modellen – ob ITIL oder COBIT –
funktion zu. Viele Unternehmen
wird genauso zum Scheitern führen,
haben die Wichtigkeit dieser „Visi-
wie die Unterschätzung von „kultu-
tenkarte“ der Informatik erkannt und
rellen“ Aspekten oder eine allzu
die Prozesse um diese First-Level-
euphorische
An-
Supportorganisation zu verbessern
sonsten dürften für die erfolgreiche
begonnen. Dass ITIL in diesem
Realisierung gleiche oder ähnliche
Bereich ein starkes Gerüst mit klar
Schlüsselfaktoren gelten, wie wir sie
definierten Rollen, Aufgaben und
aus anderen Veränderungsprojekten
KPI bietet, mag ein weiterer Grund
kennen: „Kritische“ Kunden ins
sein für die nach wie vor steigende
Boot, Fokussierung auf wenige aber
ITI-Hype.
von
Toolgläubigkeit.
Oskar Stenz, Aarau
wichtige Services, Support durch das
Top Management (IT und Business)
und Visualisierung des Status der IT.
Qualifikation – ITIL FoundationZertifikat
Worauf
der
gegenwärtige
ITIL-
Boom zurückzuführen ist, kann ich
Und weil auch hier galt: „No work is
nur vermuten. So war beispielsweise
done until paperwork ist done“, gab
ITIL etlichen Mitarbeitern unseres
es am Schluss die international
Instituts ein Begriff, lange bevor
anerkannte
ITIL oder COBIT offiziell zur Sache
fikatsprüfung. Anlass genug, den
wurden. Vielleicht liegt es an der
TÜV auffahren zu lassen, welcher im
Vermarktung. Tatsache ist, dass zu
Auftrag der beiden Prüfungszertifi-
ITIL ein breites Schulungs- und
zierer EXIN (eine von der hol-
Beratungsangebot (inkl. Literatur-
ländischen Wirtschaft geförderten
ITIL-Foundation-Zerti-
27
DACH-News
Das Protokoll der Mitgliederver-
DACH-News
sammlung wird demnächst noch
separat an alle Mitglieder versandt.
D: Aktivitäten des German
Chapter
diesem Rahmen wurden erstmalig
Arbeitsergebnisse präsentiert, die sowohl inhaltlich als auch von der Prä-
Das herausragende Ereignis der letz-
sentation der Oberfläche her alle An-
ten Monate war wie jedes Jahr zu
wesenden beeindruckte. Man kann
dieser Zeit die Mitgliederversamm-
sicherlich sagen, dass hier ein erster
lung des ISACA German Chapter am
Erfolg der Arbeitsgruppe nach nur
12. März im Frankfurter Hilton
einem Jahr deutlich sichtbar gemacht
Hotel.
werden konnte. Für alle anderen
ISACA-Mitglieder wird in naher Zu-
Auch dieses Jahr haben wieder viele
kunft auch eine Möglichkeit der Ein-
interessierte und engagierte Mitglie-
sicht in die Arbeitsergebnisse beste-
der den Weg zu unserer Mitglieder-
hen. Abschließend stellte uns Herr
versammlung gefunden, obwohl ein
Rolf von Rössing das „Betriebliche
Punkt erstmalig nicht auf der Agenda
Kontinuitätsmanagement“ der BCI
zu finden war. Da im vergangenen
vor. Das Thema ist für viele unserer
Jahr der Vorstand erstmalig für zwei
Mitglieder besonders interessant, da
Jahre gewählt wurde, entfiel die
es Schnittmengen zu den Themen-
Wahl in diesem Jahr. Somit startete
gebieten des ISACA beinhaltet und
die Veranstaltung am Vormittag
diese Bereiche noch weiter vertieft.
zuerst mit einem Vortrag unseres
Vorstandsmitglieds Markus Gaulke
Die Mitgliederentwicklung mit einer
zu dem Thema „Risikomanagement
Tendenz zu fast 600 Mitgliedern
in IT-Projekten“. Nach der Beant-
sowie die Kassensituation des Ver-
wortung und Diskussion von Fragen
eins sind sehr erfreulich. Dies er-
zum gehörten Vortrag setzten sich
möglicht dem German Chapter auch
die Gespräche beim folgenden Mit-
die Unterstützung aktiver regionaler
tagessen im Hotel fort.
Arbeitsgruppen sowie von bestehenden oder neuen Workgroups. Eine
Auf der am frühen Nachmittag
Workgroup zum Thema SAP ist
beginnenden
Jahresmitgliederver-
derzeit im Entstehen und interes-
sammlung wurden die Vereinsakti-
sierte Mitglieder werden hiermit
vitäten des letzten Jahres sowie die
aufgerufen, sich gern daran zu be-
angedachten Vorhaben durch den
teiligen. Weitere Informationen zu
Vorstand präsentiert. Der bisherige
Arbeitsgruppen oder Workgroups so-
Vorstand wurde für das abgelaufene
wie die Unterstützung durch das
Jahr entlastet, aber eine Neuwahl
German Chapter finden sich in
musste nicht stattfinden. Somit war
unserem
die einzige Wahl des Tages die des
www.isaca.de oder lassen sich über
Kassenprüfers. Als nächster Punkt
Herrn Wojtyna erfragen.
stand die Vorstellung der Workgroup
zum Thema Linux, der Herr Neuy
vorsteht, auf dem Programm. In
28
Mitgliederbereich
unter
Die
diesjährigen
CISA-Vorberei-
tungskurse des German Chapters
werden in Hamburg und Frankfurt
stattfinden. Die im vorletzten Jahr
überarbeitete Struktur in der Form
von Wochenendseminaren an jeweils
zwei Wochenenden und einem abschließenden CISA-Testexamen als
Generalprobe in Frankfurt wird beibehalten.
Weitere
Informationen
(auch für Nachzügler) sind unter
www.isaca.de zu finden.
Zum Schluss möchten wir noch alle
Mitglieder
dazu
auffordern,
den
NewsLetter verstärkt als Basis für
den Wissens- und Erfahrungsaustausch zu nutzen sowie die Möglichkeit in den neuen Workgroups mitzuarbeiten oder auch eine Workgroup
ins Leben zu rufen zu nutzen, da der
Berufsverband letztlich
von den
Aktivitäten seiner Mitglieder lebt.
Ingo Struckmeyer
CH:
Aus der Generalversammlung des Switzerland
Chapters vom 18. März
2004 in Bern
Vorgängig der GV präsentierte Tobias Murer für seinen Chef Stefan
Arn – Entrepreneur of the Year 2003
– der Firma Adnovum Informatik
AG die praktizierte Vorgehensweise
beim
„Relay-Programming“
(24-
Stunden-Entwicklung). Die kompetenten und illustrativen Darlegungen
DACH-News
Auszeichnung
wurden mit diversen Beiträgen und
Romandie aktiv. Eine Ausdehnung
Fragen von den anwesenden Mit-
„schweizweit“ ist geplant.
gliedern bereichert, so dass sich eine
n Auch dieses Jahr soll ein Seminar
Die beiden Chairs vom euroCACS
rege und interessante Diskussion
in Zusammenarbeit mit der Kammer
2004 Conference Programme Com-
ergab. Eigentlich schade, dass nur
stattfinden (23. Juni 2004). Das
mittee (Daniela Gschwend) und vom
gerade 32 Leute den Weg nach Bern
Thema ist „Professional Judgement
Conference Partnering Chapter Com-
fanden.
bei Informatikanwendungen“.
mittee (Thomas Bucher) haben von
Die
Abwesenden
haben
etwas versäumt! Angeregt wurde
ISACA „international“ je eine Aus-
eine IG, die sich mit dem Referats-
Einige Unruhe bewirkte der Um-
zeichnung für Ihren erfolgreichen
thema befasst. Interessierte melden
stand, dass das Chapter 2003 einen
Einsatz erhalten. Überreicht wurden
sich bitte bei Rolf Merz.
beträchtlichen
einfuhr.
die Awards von Robert Bergquist,
Grund dafür ist der Einbruch der
ISACA Staff Liaison für das Pro-
Wie gewohnt berichteten die Vor-
Teilnehmerzahlen bei der Ausbil-
gramme Committee.
standsmitglieder über ihre Ressorts;
dung, die in der Vergangenheit nicht
zum einen legten sie Rechenschaft
nur
sehr
Ohne die Unterstützung der jeweili-
über das verflossene Geschäftsjahr
gewinnbringend, war. Dieser Rück-
gen Teamkollegen wäre die euro-
ab, zum andern zeigten sie ihre
gang seinerseits ist auf die Kon-
CACS2004 nicht so positiv ausge-
Absichten in einem Ausblick für
junkturlage mit dem Zusammen-
fallen. Wir möchten uns bei allen
2004.
streichen der Budgets der Firmen
Kolleginnen
zurückzuführen. Nach Ansicht nicht
herzlich für Ihr Mitmachen bedan-
n Im Zentrum steht eindeutig die
nur des Ressortleiters Peter Bitterli
ken.
erfolgreiche Durchführung der euro-
vielerorts eine falsche, wenn nicht
CACS 2004 in Zürich-Kloten.
fatale, Entscheidung. Die Mitglieder
n Die
Daniela
waren mehrheitlich der Ansicht, dass
Gschwend gab die Absicht des Vor-
die Ausbildung ein wichtiger Be-
standes bekannt, sich 2004 nach der
standteil des Chapterlebens ist und
euroCACS vermehrt „nach innen“,
genehmigten entsprechend ein erneut
d.h. zugunsten der Mitglieder des
negatives Budget. Die Details wer-
Chapters, zu orientieren.
den durch den Vorstand ausge-
n Der für die Publicity zuständige
arbeitet, der sich einstimmig be-
Ressortleiter Bruno Wiederkehr wird
stätigen liess.
Präsidentin
Verlust
selbsttragend,
sondern
und
Kollegen
ganz
dies durch Werbung für die CHMitglieder unterstützen.
Trotz nicht so sehr rosiger, wohl eher
n Die homepage wurde überarbeitet
roter, Finanzlage offerierte der Vor-
und aktualisiert. Ein Besuch lohnt
stand auch dieses Jahr das an-
sich.
schliessende Mittagessen. Die Gele-
n 42 Teilnehmer der CISA-Prüfung
genheit
haben bestanden, was über 87 % ent-
erfolgreiches „Networking“ benutzt.
spricht. Eine beachtliche Rate.
Für etliche Mitglieder war die ganze
n Derzeit sind in der Schweiz 31
Veranstaltung sicher mehr als eine
CISM registriert, von denen einer die
CPE-Stunde wert.
wurde
intensiv
für
ein
Prüfung bestand, die übrigen sich mit
der „Grandfather-Clause“ qualifizierten.
n Die neue IG Forensics war im
vergangenen
Jahr
nur
in
der
29
DACH-News
News aus den
Interessengruppen
IG Computer Forensics
Letzte Sitzung: Kick-off Sitzung am
4. März 2004, bei Ernst & Young
Nouveau!
IG Operational IT-Risk/Basel II
Neu!
AG, Zürich
Paul Wang
Nächste Sitzung: Donnerstag, 6. Mai
PricewaterhouseCoopers
2004, 09.00 bis ca. 12.00 Uhr, Ernst
Avenue Giuseppe-Motta 50
& Young AG, Bleicherweg 21, 8022
1211 Geneva 2
Zürich, Sitzungszimmer Rom
Peter R. Bitterli
Tel. +41 22 748 56 01
Bitterli Consulting AG
Fax. +41 22 748 53 54
Traktanden:
Konradstrasse 1
Mobile: +41 79 220 54 07
n Präsentation der beiden Pilot-
8005 Zürich
[email protected]
prozesse PO1 und PO10
n Festlegen Weiteres Vorgehen
Tel. + 41 1 440 33 60
Fax. +41 1 440 33 61
L’objectif de ce groupe de discussion
[email protected]
lié aux « Computer Forensics », est
de fournir un forum d’intérêt et
IG Romandie
Interessenten melden sich bitte bei
d’information sur les méthodologies
Peter R. Bitterli
et les outils de ce qu’on appelle
Vacant : touts personnes intéressées
communément en français « Assis-
à participer ou animer un groupe de
tance informatico-légale » Ce forum
travail ou tous ceux qui aimeraient
IG Government IT-Audit
offre la possibilité de partager des
proposer un thème de réflexion
(„Closed user group“)
idées, des technologies, des outils et
peuvent s’annoncer auprès de M.
certainement aussi des notions juri-
Paul Wang.
Michel Huissoud, CISA, CIA
diques de ce domaine en constante
[email protected]
Eidg. Finanzkontrolle/
évolution. Ce groupe de discussion
Contrôle fédéral des finances
abordera également des discussions
Monbijoustr. 45
techniques et procédurales sur les
3003 Bern
prérequis en matière de recherche de
Tel. +41 31 323 10 35
preuves informatiques. Même si les
Ulrich Engler
Fax. +41 31 323 11 00
participants doivent être familiers
Swiss Life
[email protected]
avec la recherche, l’acquisition et
CF/REV HG 3151
l’analyse de preuves informatiques,
General-Guisan-Quai 40
tous les intéressés de tout niveau de
Postfach, 8022 Zürich
connaissance sont les bienvenus.
Telefon +41 43 284 77 58
Programme 2004 :
n 4.5.2004 :
Risiken
und
Best
IG Outsourcing/Insourcing
practices bei einer SAP-Einführung
Telefax +41 43 284 47 33
n Les séances suivantes auront lieu
[email protected]
IG Einführung von
les 24.8.2004 et 16.11.2004.
IT-Governance
réservée
aux
collaborateurs
organes de contrôle.
des
Rolf Merz
Ernst & Young AG
Mögliche Themen: Kontiniuität des
Brunnhofweg 37
Insourcers, Abhängigkeit vom In-
Postfach 5032
sourcer (Konkurs), Überarbeitetes
3001 Bern
Rundschreiben EBK, Fernwartung,
Tel. +41 58 286 66 79
etc.
Fax. +41 58 286 68 27
[email protected]
30
Nächste Sitzung: Offen. Interessenten melden sich bei Ueli Engler.
La participation à ce groupe est
DACH-News
Geplant sind Gespräche zum Thema
Letzte Sitzung: Die letzte Sitzung
Letzte Sitzung: Donnerstag, 13. No-
„Grounding“
fand am 16. Januar 2004 bei Ernst &
vember 2003, 10.00 Uhr, PwC,
Young am Bleicherweg statt.
Stampfenbachstrasse
eines
IT
Service
Providers mit ausgewählten Ge-
73,
8035
Zürich
sprächspartnern aus den Bereichen
Legal, Service Provider, Industrie
Traktanden:
und Financial Services.
n Referenzmodell Data Load
Traktanden:
n Risk Matrix
1. Begrüssung
n Fact Sheets
2. Vorstellung
IG MIS/EIS/DWH
des
Implemen-
tierungs-Review Tool „TeamMate“
Nächste Sitzungen: Anfang April
(Fr. F. Seheri, PwC)
Leitung:
2004 bei Ernst & Young AG,
3. Enterprise oder die neue Archi-
Daniel Oser
Bleicherweg 21, 8022 Zürich
tektur der SAP (Hr. Ch. Winzer,
Ernst & Young AG
Für Informationen melden Sie sich
BIT)
Badenerstrasse 47
bitte bei Daniel Oser.
4. Neues Berechtigungskonzept BV
Postfach 5272
(M. Galli)
8022 Zürich
5. Java und ABAP (Hr. X, BIT)
Tel. +41 58 286 34 39
IG SAP R/3
SAP-Security (FGSec SAP) (M.
Fax. +41 58 286 32 76
[email protected]
6. Neues aus der Arbeitsgruppe
Monika E. Galli Mead
Galli)
Eidg. Finanzkontrolle
7. Erfahrungen und News (alle)
Monbijourstrasse 51a
3003 Bern
Nächste Sitzung: Donnerstag, 13.
Tel. +41 31 324 9495
Mai 2004 in Bern
Fax. +41 31 323 1101
[email protected]
Vorläufige Themen:
n Java und ABAP
n Erfahrungen und News
31
Veranstaltungen
Veranstaltungen
Vertiefung BS7799
22.–23. April 2004
Zürich, 2 Tage, Infosec
Grundkurs für Informations- und IT-Sicherheitsbeauftragte
26.–30. April 2004
Zürich, 5 Tage, Infosec
Forensic Investigation – Aufdeckung und Analyse von Wirtschaftsdelikten
28.–30. April 2004
Zürich, 3 Tage, ISACA CH
Testprüfung CISA und CISM
(Besprechung CISA am 24.5.2004/CISM am 25.5.2004)
15. Mai 2004
SSI Fachtagung: Arbeitssicherheit und… wo bleibt der Gesundheitsschutz?
26. Mai 2004
Zürich, 1 Tag, ITACS Training AG
Zürich, 1 Tag, MediaSec
PRINCE2 – Planung und Organisation mit flexibler
Projektmanagement-Methode
2.–4. Juni 2004
Intensivlehrgang für Informations- und Sicherheitsbeauftragte
14.–18. Juni 2004
Zürich, 3 Tage, ISACA CH
Zürich, 5 Tage, Infosec
BS7799 Implementation
16.–18. Juni 2004
Zürich, 3 Tage, InfoGuard
Auditorenkurs nach BS7799
21.–25. Juni 2004
Zürich, 5 Tage, Infosec
Securing and Auditing Windows 2000 Server
6.–9. Juli 2004
London, 4 Tage, MIS
SAP R/3 – Workshop „Grundlagen“ für Wirtschafts- und Informatikprüfer
17.–20. August 2004
Stuttgart, 4 Tage, ISACA CH
SAP R/3 – Workshop „Prüfung von Geschäftsprozessen“ für
Wirtschafts- und Informatikprüfer
23.–25. August 2004
Evidence Lab – Workshop über die Spurensuche in Computersystemen
30. August – 1. September 2004
Stuttgart, 3 Tage, ISACA CH
Zürich, 3 Tage, ISACA CH
Application Security Lab – Workshop zum Thema Sicherheit von
Web-Anwendungen
7.–9. September 2004
Internet Security Lab – Workshop mit Angriffsszenarien und
Abwehrmassnahmen
28.–30. September 2004
32
Zürich, 3 Tage, ISACA CH
Zürich, 3 Tage, ISACA CH
Veranstaltungen
Kontaktadressen
Veranstalter
Hochschule für Technik Rapperswil
Marcus Evans
Institut für Internet Technologien
Weteringschans 109
und Anwendungen
1017 SB, Amsterdam
Der NewsLetter empfiehlt folgende
Oberseestrasse 10
The Netherlands
Veranstalter
8640 Rapperwil
Tel. +31 20 531 28 13
Tel. +41 55 222 41 11
Fax. +31 20 428 96 24
Fax. +41 55 222 44 00
www.marcusevansnl.com
(weitere
Kurse
Unterlagen direkt anfordern):
AFAI
und
[email protected]
MIS Training Institute
Tel. +33 1 55 62 12 22
[email protected]
IIR-Akademie
Nestor House
www.afai.asso.fr
Ohmstr. 59
Playhouse Yard P.O. Box 21
D-60468 Frankfurt/Main
GB-London EC4V 5EX
advanced technology seminars
Tel. +49 69 7137 69-0
Tel. +44 171 779 8944
Grundgasse 13
Fax. +49 69 7137 69-69
Fax. +44 171 779 8293
CH-9500 Wil
[email protected]
www.misti.com
Fax. +41 71 911 99 16
InfoGuard AG
MediaSec AG
[email protected]
Feldstrasse 1
Tägernstrasse 1
CH-6300 Zug
8127 Forch/Zürich
Stiftung für Datenschutz und
Tel. +41 41 749 19 00
Tel. +41 1 360 70 70
Informationssicherheit
Fax +41 41 749 19 10
Fax. +41 1 360 77 77
Dr. Beat Rudin
www.infosec.com
[email protected]
Postfach
Integralis GmbH
Secorvo Security Consulting GmbH
CH-4010 Basel
Gutenbergstr. 1
Secorvo College
Tel. +41 61 270 17 70
D-85737 Ismaning
Albert-Nestler-Strasse 9
Fax +41 61 270 17 71
Tel. +49 89 94573 447
D-76131 Karlsruhe
[email protected]
Fax +49 89 94573 199 fx
Tel. +49 721 6105-500
www.privacy-security.ch
[email protected]
Fax +49 721 6105-455
Tel. +41 71 911 99 15
Kirschgartenstrasse 7
[email protected]
ISACA CH
www.secorvo.de
e-tec Security
Kurssekretariat
PO Box 54
c/o. ITACS Training AG
Treuhand-Kammer
Wilmslow Chesire SK9 6FU
Konradstr. 1
Jungholzstrasse 43
United Kingdom
8005 Zürich
Postfach
[email protected]
Tel. +41 1 440 33 64
CH-8050 Zürich
Fax. +41 1 440 33 61
Tel. +41 1 305 38 60
[email protected]
Fax. + 41 1 305 38 61
D-40235 Düsseldorf
ISACA USA
ZfU Zentrum für
Tel. +49 211 96 86 300
3701 Algonquin Rd #1010
Unternehmensführung AG
Fax. +49 211 96 86 509
USA_Rolling Meadows IL 60008
Im Park 4
[email protected]
Tel. +1 847 253 15 45
CH-8800 Thalwil
Fax. +1 847 253 14 43
Tel. +41 1 720 88 88
www.isaca.org
Fax. +41 720 08 88
Euroform Deutschland GmbH
Hans-Günther-Sohl-Strasse 7
[email protected]
33
Germany Chapter
Germany Chapter
Vereinsadressen
Public Relations
Heinrich Geis
Geschäftsstelle
Deutsche Börse AG
ISACA e.V., German Chapter
Neue Börsenstrasse 1
Eichenstr. 7
D-60487 Frankfurt
D-46535 Dinslaken
Tel. +49 692 101 5149
Tel. +49 2064 733191
Fax. +49 692 101 4396
Fax. +49 2064 733192
[email protected]
[email protected]
Arbeitskreise und Facharbeit
Präsidentin
Bernd Wojtyna
Karin Thelemann
WLSGV-Prüfungsstelle
Ernst & Young AG
Regina-Portmann-Strasse 1
Wirtschaftsprüfungsgesellschaft
D-48159 Münster/Westfalen
Mergenthalerallee 10–12
Tel. +49 251 288 4253 oder
65760 Eschborn/Frankfurt am Main
+49 251 210 4539
Tel. +49 6196 99626 488
[email protected]
Fax. +49 6196 99626 449
[email protected]
Publikationen
Ingo Struckmeyer
Konferenzen
comdirect private finance AG
Markus Gaulke
Pascalkehre 15
KPMG
25451 Quickborn
Marie-Curie-Str. 30
Tel. +49 4106 704 2336
D-60439 Frankfurt
Fax. +49 4106 704 2301
Tel. +49 69 9587 2313
[email protected]
Fax. +49 69 9587 192313
[email protected]
CISA-Koordinator
Michael M. Schneider
Mitgliederverwaltung und
Deloitte & Touche
Kassenwart
Schumannstraße 27
Norbert Gröning
60325 Frankfurt am Main
PwC Deutsche Revision AG
Tel. +49-69 75606 121
Friedrich-List-Str. 20
Fax. +49-69 75695 84448
D-45128 Essen
[email protected]
Tel. +49 201 438 0
Fax. +49 201 438 1000
Norbert.Groening@
de.pwcglobal.com
34
Austria Chapter
Austria Chapter
Vereinsadressen
Kassier
Mag. Helmut Zodl
Vorsitzender (Präsident)
IBM Österreich
Ing. Mag. Dr. Michael Schirmbrand,
Obere Donaustraße 95
CIA, WP, StB
1020 Wien
Europa Treuhand Ernst & Young
Tel: +43 1 21145-0
Praterstraße 23
[email protected]
1020 Wien
Tel: +43 1 211 70-2831
CISA/CISM-Koordinatorin
[email protected]
Mag. Ulrike Knödlstorfer-Ross,
MBA
Stellvertretender Vorsitzender I
Certified Internal Auditor
(Vizepräsident I)
Certified Information System
Dipl.-Ing. Maria-Theresia Stadler,
Auditor
Österreichische Kontrollbank
Interner Revisionsdienst
Aktiengesellschaft
Agrarmarkt Austria
Strauchgasse 1–3
Dresdner Str. 70
1010 Wien
1200 Wien
Tel: +43 1 531 27-857
[email protected]
Public Relations/NewsletterKoordination
Stellvertretender Vorsitzender II
Rolf von Rössing
(Vizepräsident II)
MA, D.E.s.s, CBCP, MBCI
Mag. Josef Renner, StB
Europa Treuhand Ernst & Young
GRT Price Waterhouse
Praterstraße 23
Prinz-Eugen-Straße 72
1020 Wien
1040 Wien
Tel: +43 1 211 70-2812
Tel: +43 1 50188-0
[email protected]
Sekretär
E-Mail ISACA Austria Chapter:
Mag. Gunther Reimoser, CISA
[email protected]
Europa Treuhand Ernst & Young
Homepage ISACA Austria Chapter:
Praterstraße 23
www.isaca.at
1020 Wien
Tel: +43 1 21170-4113
[email protected]
35
Switzerland Chapter
Switzerland Chapter
Vereinsadressen
CISA/CISM-Koordinator
Marketing
Thomas Bucher
Bruno Wiederkehr
Präsidentin
Ernst & Young AG
Rigistrasse 3
Daniela S. Gschwend
Postfach
CH-8703 Erlenbach
Swiss Re
8022 Zürich
[email protected]
Mythenquai 50/60
Tel. +41 58 286 42 90
8022 Zürich
Fax. +41 58 286 40 14
Homepage ISACA Switzerland
Tel. +41 43 285 69 36
[email protected]
Chapter: www.isaca.ch
Fax. +41 43 285 33 69
[email protected]
Sekretär
c/o Präsidentin
Vizepräsident
Michel Huissoud, CISA, CIA
Information & Kommunikation
Eidg. Finanzkontrolle/
Monika Josi
Contrôle fédéral des finances
Novartis Animal Health
Monbijoustr. 45
Global Information Technology
3003 Bern
WRO-1032.1.90
Tel. +41 31 323 10 35
4022 Basel
Fax. +41 31 323 11 00
Tel. +41 61 697 72 41
[email protected]
Fax. +41 61 697 78 44
[email protected]
Kassier
Adressmutationen bitte hier melden.
Pierre A. Ecoeur, CISA
Thurgauer Kantonalbank
Koordinator Interessengruppen
Bankplatz 1
Rolf Merz
8570 Weinfelden
Ernst & Young AG
Tel. +41 71 626 64 61
Brunnhofweg 37
Fax. +41 71 626 63 60
Postfach 5032
[email protected]
3001 Bern
Tel. +41 58 286 66 79
Ausbildung/Kurssekretariat
Fax. +41 58 286 68 27
Peter R. Bitterli, CISA
[email protected]
Bitterli Consulting AG
Konradstr. 1
Représentant Suisse Romande
8005 Zürich
Paul Wang
Tel. +41 1 440 33 60
PricewaterhouseCoopers
Fax. +41 1 440 33 61
Avenue Giuseppe Motta 50
[email protected]
1211 Genève 2
Tel. +41 22 748 56 01
Fax. +41 22 748 53 54
[email protected]
36