cobit 5 anwendung in der revision - bpug-deutschland.de · cobit 5 domänen als basis für...
TRANSCRIPT
Bad Homburg, 06.10.2015
COBIT 5Anwendung in der Revision
Seite 2Bad Homburg, 06.10.2015
Agenda
Risikoorientierte Prüfungsplanung
Prüfungsdurchführung
Praktische Erfahrungen
Diskussion zwischen den Teilnehmern und Erfahrungsaustausch
Überblick Deutsche Leasing
Seite 3
Mehr als Leasing.
Setzen Sie auf unsere volle Leistung und starten Sie von Beginn an durch.
Unternehmenspräsentation
Bad Homburg, 06.10.2015
Vielfältige Finanzierungslösungen:Leasing, Miete, Mietkauf oder Investitionskredit
Optimale Einbindung öffentlicher Fördermittel
Flexibles Factoring
Individuelle Absatzfinanzierung sowie ergänzende Händlereinkaufsfinanzierung
Ergänzende Services von der Anschaffung bis zur Vermarktung am Laufzeitende
Umfängliche Inkassolösungen
Seite 4
Mehr Wissen.
Bauen Sie auf unsere Assetkompetenz und unser Servicespektrum.
Unternehmenspräsentation
Bad Homburg, 06.10.2015
FahrzeugePKW
NutzfahrzeugeFuhrpark-Management
MaschinenProduktionsanlagenWerkzeugmaschinenAgrar- und BaumaschinenMedizintechnik
ImmobilienNeubauten
Bestandsimmobilien Baumanagement
IT und Kommuni-kationstechnikHardwareSoftwareLifecycle-Management
EnergieWind- und Bioenergie
Kohle- und Gaskraftwerke Gas-, Strom-, Wärmenetze
Transport und LogistikSchienen- und Luftfahrzeuge Schiffe, ContainerLogistik- und Technikzentren
Seite 5
Mehr im Blick. Und überall für Sie da.
Nutzen Sie den direkten Weg, um Ihr Vorhaben zu realisieren.
Unternehmenspräsentation
Bad Homburg, 06.10.2015
Berlin
Leipzig
Nürnberg
München
Hamburg
Münster
Monheim
Stuttgart
Mainz/Wiesbaden (Zentrale DAL)Bad Homburg v. d. Höhe (Zentrale Deutsche Leasing)
Seite 6
Mehr als Deutschland.
Nutzen Sie unsere Unterstützung für Ihre internationalen Vorhaben.
Unternehmenspräsentation
Bad Homburg, 06.10.2015
EuropaBelgienBulgarienFrankreichDeutschlandGroßbritannienIrlandItalien
LuxemburgNiederlandeÖsterreichPolenPortugalRumänienRussland
AmerikaBrasilienKanadaUSA
AsienChina
SchwedenSlowakeiSpanienTschechische RepublikUngarn
Seite 7
Mehr Erfahrung und Stärke.
Setzen Sie auf einen soliden Asset-Finance-Partner für Ihr Unternehmen.
Unternehmenspräsentation
Bad Homburg, 06.10.2015
Kennzahlen zum 30.09.2014
2012 / 2013 2013 / 2014
Neugeschäft 7.755 Mio. € 7.852 Mio. €
Assets under Management
33,5 Mrd. € 33,3 Mrd. €
Bilanzsumme 15,9 Mrd. € 16,2 Mrd. €
Substanzwert 1.666 Mio. € 1.742 Mio. €
Eigenkapital 596 Mio. € 629 Mio. €
Seite 8
Überblick Deutsche Leasing
Bad Homburg, 06.10.2015
Deutsche Sparkassen Leasing AG & Co. KGSitz in Bad Homburg v. d. Höhe Mutterunternehmen der Deutsche Leasing Gruppe
2.199 Mitarbeiter in 23 Ländern Europas, Asiens und Amerikas
Die DL unterliegt als Finanzdienstleistungsinstitut der Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank
Seite 9
COBIT in der IR
Bad Homburg, 06.10.2015
In der IR der Deutschen Leasing:
Beginn und Einstieg in COBIT 5
Ohne eine der Vorgängerversionen in Ex-post Prüfungen genutzt zu haben
Seite 10Bad Homburg, 06.10.2015
Agenda
Risikoorientierte Prüfungsplanung
Prüfungsdurchführung
Praktische Erfahrungen
Diskussion zwischen den Teilnehmern und Erfahrungsaustausch
Überblick Deutsche Leasing
Seite 11
Prüfungsuniversum
Führendes Prinzip bei der Erstellung des Prüfungsuniversums ist die Orientierung an den Kernprozessen der Deutschen Leasing.
Durch die Zuordnung der Prozesse und Funktionen wird sichergestellt, dass das Prüfungsuniversum:
die Deutsche Leasing vollständig und inhaltlich korrekt abbildet.
bei Änderungen zeitnah überarbeitet werden kann. Die Aufbauorganisation wird laufend fortgeschrieben und aktualisiert.
Bad Homburg, 06.10.2015
Seite 12
Prüfungsobjekte, grundsätzliche Betrachtung
Prüfungsobjekte für das Prüfungsuniversum der Deutschen Leasing werden nach folgenden Kriterien festgelegt:
1. Prozesse:
Prüfungen über Organisationsgrenzen hinweg
Beispiel: Leasing-Prozess Sparkasse und Mittelstand
-> Prüfung vom Vertrieb bis zur Objektverwertung
2. Funktionen:
Beispiel: Compliance
-> prozessorientiert innerhalb der Funktion
(der aufbauorganisatorischen Einheit)
Dabei werden Prüfungsobjekte vorrangig aus Prozessen abgeleitet. Sofern dies nicht sinnvoll umsetzbar ist, werden Prüfungsobjekte aus Funktionen abgeleitet.
Anzahl der Prüfungsobjekte wurde deutlich reduziert (aktuell: 52),
davon 5 IT-Prozesse, die an COBIT 5 orientiert geprüft werden.
Außerdem: Prüfung des Projektmanagements
Bad Homburg, 06.10.2015
Seite 13
Beispiel für aus Prozessen abgeleiteten PrüfungsobjektenLeasingprozess Sparkasse und Mittelstand
Neugeschäft
Scoring
Laufende Offenlegung
Bestands-geschäfte
Service-bearbeitung
Zahlungs-verkehr
Vertragsende
Objektver-wertung
Prozessorientierte, organisationsübergreifende Ableitung von Prüfungsobjekten
Vertrieb
Bad Homburg, 06.10.2015
Seite 14
Beispiel für aus Funktionen abgeleitete Prüfungsobjekte Compliance
Funktionsorientierte Ableitung von Prüfungsobjekten
Bad Homburg, 06.10.2015
Stand: GJ 2013/2014
Seite 15
COBIT 5 Domänen als Basis für Prüfungsobjekte im Organisations- und Informatikumfeld
Die Anzahl der Prüfungsobjekte im Organisations- und Informatikumfeld wurde von 29 auf 5 aggregiert.
Dadurch soll eine bessere Vergleichbarkeit und Bewertbarkeit der Prüfungsobjekte erreicht werden.
Weiterhin soll sichergestellt werden, dass die 5 Prüfungsobjekte die Gesamtheit der Organisations- und Informatikprozesse abdecken.
Im detaillierten Prüfungsdesign (Prüfungskonzept) wird innerhalb einer Domäne (eines Prozessbereichs) auf einzelne Management-Praktiken abgestellt.
Bad Homburg, 06.10.2015
Seite 16
Risikobewertung
Die Bewertung der einzelnen Prüfungsobjekte erfolgt jährlich im Rahmen der Prüfungsplanung.
Die Bewertung erfolgt anhand von quantitativen und qualitativen Faktoren.
Quantitative Faktoren: die Priorität eines Prüfungsobjekts wird dabei anhand der folgenden Formel berechnet:
�����������������ü������ℎ��(������������ℎ����)
���. �����������(36���. 60������)∗ ���������������� ��ü������������� ∗ ������������ℎ�
Qualitative Faktoren:
„Prüfungshinweise des Vorstands“ - die qualitative Einschätzung des Vorstands, ob einPrüfungsobjekt im Rahmen der Prüfungsplanung für das nächste Jahr bevorzugtberücksichtigt werden soll. Der Indikator kann die Ausprägungen „ja“ oder „nein“ annehmen.
„Prüfung aufgrund außerordentlicher Ereignisse“ - eine qualitative Einschätzung derKonzernrevision, ob ein Prüfungsobjekt im Rahmen der Prüfungsplanung für das nächsteJahr bevorzugt berücksichtigt werden soll. Der Indikator wird dabei als sogenanntes „OpenAssessment“ umgesetzt.
Bad Homburg, 06.10.2015
Seite 17
Risikokennzahl
Risikoarten (gem. aktueller Version des Risikohandbuches) werden aus den MaRisk Anforderungen abgeleitet und an die Risikosituation in der Deutschen Leasing jährlich angepasst,
Risikokennzahl ist quantitative Einschätzung: wie viele der o.g. Risikoarten wirken auf ein Prüfungsobjekt ein,
Eine Risikoart kann die Ausprägungen „0“ oder „1“ annehmen,
Ausprägungen „0“ oder „1“ beziehen sich nur auf als „wesentlich“ eingestufte Risikokategorien (z.B.: Adressrisiko von Kunden),
Risikokennzahl kann die Ausprägungen von „1“ bis „5“ annehmen.
Risikoarten
Ris
iko
ka
teg
ori
en
Bad Homburg, 06.10.2015
Seite 18Bad Homburg, 06.10.2015
Agenda
Risikoorientierte Prüfungsplanung
Prüfungsdurchführung
Praktische Erfahrungen
Diskussion zwischen den Teilnehmern und Erfahrungsaustausch
Überblick Deutsche Leasing
Seite 19
Anwendung im Unternehmen
Im Geschäftsjahr 2013/2014 wurden ergänzend zur Projektbegleitung ex ante folgende Prüfungen orientiert an COBIT durchgeführt:
Management von Anforderungen
Beschaffungsmanagement in Projekten
Projektmanagement
Bad Homburg, 06.10.2015
Seite 20
Anwendung im Unternehmen
Im Geschäftsjahr 2013/2014 wurden ergänzend zur Projektbegleitung ex ante folgende Prüfungen orientiert an COBIT durchgeführt:
Management von Anforderungen
Beschaffungsmanagement in Projekten
Projektmanagement
Die Prüfungen wurden Risiko-orientiert bewertet und die höchst-bewerteten werden angelehnt an COBIT 5 geprüft.
Bad Homburg, 06.10.2015
Seite 21
Anwendung im Unternehmen
Die Prüfungsgebiete waren
z.B. beim Prüfungsobjekt: Projektmanagement
Starten und Initiieren von Projekten
Planen von Projekten
Managen der Projektqualität
Managen des Projektrisikos
Überwachen und Steuern von Projekten
Abschließen eines Projekts
Bad Homburg, 06.10.2015
Seite 22
Anwendung im Unternehmen
Die Prüfungsgebiete waren an COBIT angelehnt,
z.B. beim Prüfungsobjekt: Projektmanagement
Die Prüfungsgebiete lassen sich z.T. direkt Managementpraktiken zuordnen:
Starten und Initiieren von Projekten – BAI01.07
Planen von Projekten – BAI01.08
Managen der Projektqualität – BAI01.09 (ohne Programmqualität)
Managen des Projektrisikos – BAI01.10 (ohne Programmrisiko)
Überwachen und Steuern von Projekten – BAI01.11
Abschließen eines Projekts – BAI01.13
Bad Homburg, 06.10.2015
Seite 23
Prüfungsdurchführungam Beispiel Projektmanagement
Bad Homburg, 06.10.2015Quelle: ISACA
Seite 24
Prüfungsdurchführungam Beispiel Projektmanagement
Bad Homburg, 06.10.2015Quelle: ISACA
Lfd. Nr. Schritt COBIT 5 Referenz Auditierung Umsetzung Deutsche Leasing Bemerkung
A-1 Interessengruppen der Auditierung bestimmen.
Die primäre Interessengruppe ergibt sich aus der Einordnung der Konzernrevision der Deutsche Leasing als Instrument der Geschäftsleitung (MaRisk AT 4.4.3, Ziffer 2)
Weitere Interessengruppen sind:
Programm- bzw. Projektleiter
Auftraggeber außerhalb der Geschäftsleitung
A-2 Prüfungsziele Projekt- und Programmbegleitung
MaRisk AT 4.4.3 [Interne Revision], Ziffer 3
Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht.
MaRisk BT 2.1, Ziffer 2 [Aufgaben der Internen Revision]
Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein.
A-3 Die Produktionsfaktoren („Befähiger“) bestimmen.
COBIT unterscheidet grundsätzlich sieben Produktionsfaktoren, sog. Enabler, dt. „Befähiger“. Kurzfristig sollten Prüfungsgegenstand sein:
Schriftlich fixierte Ordnung (Policies, Principles and Frameworks)
Aufbauorganisation (Organisational structures).
Prozesse (Processes)
Mittelfristig sollten alle Produktionsfaktoren, soweit relevant, Gegenstand der Auditierung sein (Erweiterung Nr. 1)
Seite 25
Prüfungsdurchführungam Beispiel Projektmanagement
Bad Homburg, 06.10.2015Quelle: ISACA
B-1 Metriken Kurzfristig sind Metriken nicht Gegenstand der Projektbegleitung, es handelt sich um eine zu entwickelnde Erweiterung der Auditierungsmethodik (Erweiterung Nr. 2). Hinweis: Einzelne „klassische“ Projektmanagement-Metriken sind durchaus im GJ 2014/2015 prüfbar (Termin, Meilensteine)
Mittelfristig sollten aus quantitativen Unternehmenszielen abgeleitete quantifizierte IT-Ziele Grundlage für die Auswahl der zu prüfenden Enabler sein, insbesondere der zu prüfenden Prozesse.
Weiterhin sollte die Erreichung quantitativer Unternehmensziele und aus diesen abgeleiteter IT-Ziele auch Prüfungsgegenstand sein.
B-2.1, B-2.2
Die für die Programm-/Projektbegleitung relevante schriftlich fixierte Ordnung bestimmen
Die für die Programm-/Projektbegleitung relevante schriftlich fixierte Ordnung ergibt sich aus dem inhaltlichen Programm- bzw. Projektgegenstand (z.B. Modifikation Risikoprozesse) sowie aus der für die Abwicklung von Programmen und Projekten spezifischen schriftlich fixierten Ordnung.
B-2.3 Für Programm-/Projektbegleitung relevante schriftlich fixierte Ordnung bewerten
Unter B-2.1 und B-2.2 identifizierte schriftlich fixierte Ordnung bewerten. Prüfungsrelevante Kriterien für die schriftlich fixierte Ordnung sind:
Seite 26
Prüfungsdurchführungam Beispiel Projektmanagement
Bad Homburg, 06.10.2015Quelle: ISACA
Seite 27Bad Homburg, 06.10.2015Quelle: ISACA
Seite 28Bad Homburg, 06.10.2015Quelle: ISACA
Seite 29Bad Homburg, 06.10.2015
Agenda
Risikoorientierte Prüfungsplanung
Prüfungsdurchführung
Praktische Erfahrungen
Diskussion zwischen den Teilnehmern und Erfahrungsaustausch
Überblick Deutsche Leasing
Seite 30
Praktische Erfahrungen
Bad Homburg, 06.10.2015
Herausforderungen
Zeitbudget für Fortbildung
Einstiegshürde
Anspruchsvoll und hoher Initial-Aufwand
Schnell viele Prüfungen durchführen ist initial nicht möglich
COBIT-Material (noch) unvollständig/lückenhaft (PAM MEA fehlt)
Teils nur englisch-sprachiges COBIT-Material vorhanden
(Quelle: Eigene Erhebung im September/Oktober 2015, Aggregiertes Feedback von Prüfern, nicht repräsentative Grundgesamtheit)
Seite 31
Praktische Erfahrungen
Bad Homburg, 06.10.2015
Vorteile / Benefits
Verwendung von Standards
IT Praktiker in den geprüften Einheiten wussten sofort wovon wir reden plus
Auf Management-Ebene ausgerichtet
Weniger Diskussionen, warum wir so vorgehen
Keine Probleme mit Granularität des Prüfungsplans (ROPP)
Sicherheit nichts zu vergessen (Rahmenwerk)
Kommunikation mit den Stakeholdern gewann an Bedeutung in der Prüfung
Verbindliche bzw. dokumentierte Ziele waren mehr Gegenstand der Prüfung
(Quelle: Eigene Erhebung im September/Oktober 2015, Aggregiertes Feedback von Prüfern, nicht repräsentative Grundgesamtheit)
Seite 32
Praktische Erfahrungen
Bad Homburg, 06.10.2015
Lessons learned
Für jeden beteiligten Mitarbeiter der IR eine COBIT-Schulung vorher anbieten.
(Quelle: Eigene Erhebung im September/Oktober 2015, Aggregiertes Feedback von Prüfern, nicht repräsentative Grundgesamtheit)
Seite 33
Praktische Erfahrungen
Bad Homburg, 06.10.2015
Verbreitung von COBIT 5
3 von ca. 40 Prüfern setzen das in Ihren Instituten bereits aktiv ein. Hinzu kommt ein Fall, in dem es zum Anlernen eines neuen Kollegen genutzt wurde sowie einige Institute, die es als eine Quelle von vielen bei der Prüfungsvorbereitung einsetzen.
In einem der letztgenanntem KI wurde bei Aktualisierung die IT-Policy komplett auf COBIT umgestellt. Hier wird die Meinung vertreten, Kontrollziele gehören in die IT, nicht in die Revision. Die IT-Policy ist aktiv, aber neu, d.h. sie muss sich erst einschleifen. Vorteile: Allgemeine Sprachregelung und Begriffsdefinitionen, die man in die Institution trägt.
„Es ersetzt nicht Interesse an Prüfungsgegenstand.“
-> Herrn Gaulke fragen, ob es denn schon einen Umsetzungsleitfaden gibt?
(Quelle: Feedback von rund 40 IT-Prüfern aus Deutschland, ca. 25 davon aus Kreditinstituten (je 1 bis 2 Prüfer pro Institut) im September 2015, Aggregiertes Feedback von Prüfern, nicht repräsentative Grundgesamtheit)
Seite 34Bad Homburg, 06.10.2015
Agenda
Risikoorientierte Prüfungsplanung
Prüfungsdurchführung
Praktische Erfahrungen
Diskussion zwischen den Teilnehmern und Erfahrungsaustausch
Überblick Deutsche Leasing
Seite 35
Disclaimer
Die Folien wurden als Arbeitsstand einer Diskussion zusammengestellt und geben nicht unbedingt die Meinung des Veranstalters, ISACA, der Teilnehmer und der erwähnten Unternehmen wider. Alle genannten Marken sind Eigentum der jeweiligen Inhaber. ISACA, die Teilnehmer bzw. die erwähnten Unternehmen übernehmen keinerlei Gewähr dafür, das die Verwendung zu den gewünschten Ergebnissen führt. Bei der Überlegung, wie angemessen bestimmte Informationen, Verfahren oder Prüfungsansätze sind, sollte sich der Anwender auf seine fachliche Kompetenz stützen und die spezifischen Umstände (Unternehmen, Prüfung, Risiko und Sicherheit), die sich aus dem jeweiligen System oder der IT-Umgebung ergeben, berücksichtigen.
Bad Homburg, 06.10.2015
Seite 36
Diskussion zwischen den Teilnehmern und Erfahrungsaustausch
Herzlichen Dank für Ihr Interesse.
Bad Homburg, 06.10.2015
Seite 37
Und welche Investition planen Sie?
Ihr Ansprechpartner:
Joachim RindlerCertified Information Systems Auditor (CISA)Deutsche Leasing AGFrölingstrasse 15-31 61352 Bad Homburg v. d. Höhe
Telefon +49 6172 [email protected]
http://www.deutsche-leasing.com
Sprechen Sie mit uns über Ihre Erfahrungen im Praxiseinsatz mit COBIT 5 in der IR.
Bad Homburg, 06.10.2015