Artikel-Schlagworte: „COBIT“

Summary of questions and important things to be mention from the IS Audit Webinar 26th of February 2012

Difference between Responsibility and Accountability:
Responsibility-someone takes care for,
Accountability – someone’s head is under the guillotine, if something goes wrong.

Audit a continuous process?

An (external) Audit is a project, as it has start date and end date.
Nevertheless there can be a Continuous Audit Initiative, raised by the internal audit department (Anm. interne Revision/Innenrevision)

Continuous Auditing Does Not Equal Continuous Monitoring
This difference has been identified and emphasized by the ISACA Standards Board.6 CA and CM may be defined as:
•    CA—A methodology used by auditors, typically assisted by technology, to perform audit procedures and issue assurance on a continuous basis (e.g., weekly, monthly)
•    CM—A process put in place by management, usually automated, to determine on a recurring and repetitive basis (e.g., weekly, monthly) if activities are in compliance with policies and procedures implemented by management
Why COBIT is not an Audit Methodology itself, but where it might be helpful – and for all ISACA Exams a brief overview of COBIT is necessary upfront Courses/Classes and for sure the EXAM itself.
Same for PMBOK – but brief overview is good enough – no deep knowledge is necessary and CMM(I) is thought throughout the courses/classes – at a level necessary for the exam, of course.

COBIT might be real helpful for assessment programme (eg. CSA/RCSA)
The COBIT Assessment Programme is a COBIT-based approach that enables the evaluation of selected IT processes. The assessment results provide a determination of process capability and can be used for process improvement, delivering value to the business, measuring the achievement of current or projected business goals, benchmarking, consistent reporting and organizational compliance.
The process capability is expressed in terms of attributes grouped into capability levels and the achievement of specific process attributes as defined in ISO/IEC 15504-2. Processes can be assessed individually or alternatively in logical groups. As such, scoping areas have been defined based on previously developed mappings, published by ISACA, which will allow for focused assessments. These scoping areas include:
•    Capability of IT processes to support cloud services
•    Capability of IT processes to support achievement of IT and business goals
•    Capability of IT processes to support SOX compliance
•    Capability of IT processes to support the enterprise governance of IT **
Assessment reports will include the level of capability achieved, the processes needing improvement and recommendations for improvement.
COBIT Practitioner Classes can be taken eg. at ISACA Germany Chapter e.V.

** if you are interested in Enterprise Governance of IT go for CGEIT Exam.
SO what’s the difference between an ongoing audit process and “controlling”?
An Audit can be about auditing Controls – either the right in place, if they are working etc.

An example you find on ISACA Website about Audit Application Security Controls
Prerequisites for Auditing Application Security
Application Security Layers
1.    Operational layer—This is the core of application security and is generally controlled through the security module of the application.
2.    Tactical layer—This is the next management layer above the operational layer. This includes supporting functions such as security administration, IT risk management and patch management.
3.    Strategic layer—This layer includes the overall information security governance, security awareness, supporting information security policies and standards, and the overarching IT risk management framework.
Operational Layer includes eg.
User accounts and access rights
Passsword Controls
Real important! Segregation of duties (SoD)
Segregation of duties is defined as:
A basic internal control that prevents or detects errors and irregularities by assigning to separate individuals responsibility for initiating and recording transactions and custody of assets to separate individuals.1

Risks Associated With Failure/Weak Application Security Controls
Standards and Guidance
Some of the standards and guidance that are available on application security are:
•    Control objectives for application security are more specifically defined in COBIT® 4.1, including DS5.3 Identity management, DS5.4 User account management and DS5.5 Security testing, surveillance and monitoring.3
•    ITAF™: A Professional Practices Framework for IT Assurance4 provides more guidance (including value drivers and risk drivers) on how to use COBIT to support the IT assurance/audit activities relevant to managing security.
•    ISACA® has published IT Audit and Assurance Guideline G38, Access Controls,5 which is as a valuable reference for auditing application security.
•    The Payment Card Industry (PCI) Data Security Standard (DSS)6 has prescribed two security compliance requirements that are specifically relevant to application security: Security Principle 6, ‘Develop and maintain secure systems and applications’ and Security Principle 8, ‘Assign a unique ID to each person with computer access’.
•    The ISO/IEC NP 27034 ‘Guidelines for application security’ was under development at the time of this writing.

Objectives and benefits of audits?
Objectives, Scope and Authority of IT Audit and Assurance Standards
Can be downloaded here (2.5 Meg)
A practical example is about objectives of Exchange 2010 Audit:
Table of Contents

I.     Introduction    4
II.     Using This Document    5
III.     Assurance and Control Framework    8
IV.     Executive Summary of Audit/Assurance Focus    9
V.     Audit/Assurance Program    14
1. Planning and Scoping the Audit    14
2. Preparatory Steps    16
3. Governance    18
4. Server Configuration    25
5. Network    34
6. Contingency Planning    34
VI.     Maturity Assessment    38
VII.     Maturity Assessment vs. Target Assessment    43
Appendix I. Exchange Server 2010—Server Roles    44
Appendix II. Exchange Server 2010 Transport Pipeline—Schematic    45
Appendix III. Specimen Exchange Server Management Role Hierarchy    46
More about and the possibility to download (members) or purchasing the book you can find here

a example about audit benefit is not directly the audit itself but like described here a assurance programme about using Social Media
Objective—The objective of the social media audit/assurance review is to provide management with an independent assessment relating to the effectiveness of controls over the enterprise’s social media policies and processes.
Scope—The review will focus on governance, policies, procedures, training and awareness functions related to social media. Specifically, it will address:
•    Strategy and governance—policies and frameworks
•    People—training and awareness
•    Processes
•    Technology

Table of Contents

I.     Introduction    5
II.    Using This Document    6
III.   Controls Maturity Analysis    9
IV.   Assurance and Control Framework    10
V.     Executive Summary of Audit/Assurance Focus    11
VI.     Audit/Assurance Program    14
1. Planning and Scoping the Audit    14
2. Strategy and Governance    15
3. People    19
4. Processes    22
5. Technology    24
VII.     Maturity Assessment    26
VIII.     Assessment Maturity vs. Target Maturity    30

it can be downloaded here (Member)
or purchased at ISACA
Any more questions?
Or leave a comment here – any valuable input is appreciated.
We will come back to you as soon as possible!


This free online webinar will provide you a brief overview, what’s covered by ISACA’s CISA and CISM certification programme – same will be held soon to cover what’s within the new CRISC programme.

Thursday, February 2nd directly after the PMP and CAPM Overview Class. 02.02.2012 5pm due to 7pm.


5 job practice areas as determined by ISACA:
1. The Process of Auditing Information Systems (14%)
2. Governance & Management of IT (14%)
3. Information Systems Acquistion, Development, & Implementation (19%)
4. Information Systems Operations, Maintenance, & Support (23%)
5. Protection of Information Assets (30%)
There is no prerequisite to take the exam; however, in order to apply for the certification you must meet the necessary experience requirements as determined by ISACA.


5 content areas:
1.Information Security Governance (23%)
2.Information Risk Management (22%)
3.Information Security Program Development (17%)
4.Information Security Program Management (24%)
5.Incident Management & Response (14%)

Next EXAM for both will be held on June 9th and early exam registration deadline is february 8th.

please register here for the Event –

Remark: this is not a refresher class & it’s not about COBIT (even some basic COBIT knowledge is necessary for CISA, CISM & CGEIT exam) – COBIT Classes are held for example by ISACA Germany e.V. themselves and ISACA’s RiskIT is based on COBIT, too –

Best Regards,

The PM-Webinar Team

Service Management Efficiencies – Sorting through the Frameworks, Process Models and Standards

Hier gibt es einen interessanten aufgezeichneten Webcast zu dem Thema –

Besonders gut finde ich die Slides von Ivor Macfarlane (IBM Tivoli) – – How many frameworks does it take to manage a service? ITIL, ISO/IEC20000, COBIT, ETOM, TOGAF, eSCM …….

Mainstream ITSM

  • What you should (could) do
  • Increasingly bigger picture

Wie schreibt er so schön bzgl ITIL & Co – ist nicht Best Practise ein furchtbarer Name? Erinnert an ein Kochbuch.

Ja stimmt, es sind Kochbücher, aber auch bei Kochbüchern, sofern es nicht um Backen geht, sind die Gerichte oft viel besser, wenn man sich vom Kochbuch nur inspirieren lässt, hernach aber sein eigenes Gericht zaubert.

Wie wäre es also mit Freestyle kochen? Gut, zugegeben es erfordert etwas, dass nicht mehr alltäglich ist den gesunden Menschenverstand. Denn im Prinzip steht im ITIL Framework nicht viel mehr, als das was man durch Logik auch ersinnen würde.

Und wie sagt er noch so schön – „vertraue Deinem Urteil“

You are (probably) the greatest living expert on your job

  • Read everything (you can) but:
  • Don’t have to do everything you read
  • Don’t take things too seriously
  • Don’t forget why you are doing things

Natürlich gibt es auch spezifische Frameworks, wie z.B. eTom für die Telekommunikationsindustrie, aber auch eTom passt perfekt zu ITIL.

Sein Fazit dazu wäre „Bringing it all together with common purpose“.

Und ja eine gesunde Mischung, aus dem was am Besten zu der spezifischen Kultur passt, funktioniert naturgemäss am Besten.

Wie sagt er so schön – Favoriten kombinieren, mixen.

Natürlich kommt er auch zum Business – IT Alignment, obwohl er in der nächsten Folie eine schöne Zeichnung hat, welche aufzeigt dass dies noch zu kurz greift – denn der Kunde wird immer wichtiger – gerade in Zeiten des Web 2.0

Hier ein paar gute Kombinationen der Frameworks


Wo starten? Ich erlaube ich mir nochmals Ivor Macfarlane zu zitieren

Rarely are starting of course
Common sense in place (exceptions of course)
That common sense drives consistency

Wie soll man darauf sehen? Nun in dem man sich erst mal klar macht, was Governance eigentlich bedeutet, und dies wäre nicht anderes als Management des Managements.

Des weiteren – von unten nach oben oder von oben nach unten

  • Strategie
  • Taktik
  • Operations

Weiters finde ich auch gut, dass er darauf hin weißt, dass die Guidance, also de facto die Guidlines nicht zu eng gefasst sein dürfen. Und das man sich vor falschen Annahmen hüten solle – eine Welt in die andere tragen, kann funktionieren, muss es aber nicht unbedingt.

Noch besser ist allerdings sein Fazit:

How many frameworks does it take to manage a service?

  • Need = none at all
  • How many can help?
  • = as many as is useful to you.

Aber was schreibe ich hier so viel – downloaden und lesen, oder gegebenenfalls mich kontaktieren.

In diesem Sinne allen einen schönen Feiertag und verbleibe mit besten Grüßen,
Ihre Jutta Staudach

mehr Infos zum Service Management Lebenszyklus – hier – Servicemanagement-Lebenszyklus_rev_1.pdf

Fragen? Call – +49.171.3833409

Risikomanagement Risk Management Industriestandards Industry Frameworks

IT Services: Capability Maturity Model (CMM)

IT Services CMM Website findet der geneigte Leser hier

Capability Maturity Model
aus Wikipedia, der freien Enzyklopädie

Capability Maturity Model (Reifegradmodell)® (kurz CMM®) ist ein Reifegradmodell zur Beurteilung der Qualität („Reife“) des Softwareprozesses (Softwareentwicklung, Wartung, Konfiguration etc.) von Organisationen sowie zur Bestimmung der Maßnahmen zur Verbesserung desselben.

CMM wurde Ende 2003 durch Capability Maturity Model Integration® (kurz CMMI®) ersetzt, um dem Wildwuchs diverser CM-Modelle (jede Entwicklungs-Disziplin entwickelte ein eigenes Modell) entgegenzuwirken und ein neues, modulares und vor allem vereinheitlichtes Modell zu erstellen.

Andere populäre Modelle sind ITIL für die Infrastruktur und Spice für Reifegradbestimmung und Assessment der Software-Prozesse.


CoBit Website

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Cobit)

CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). CobiT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist.

Cobit ist nicht inkompatibel zu anderen Frameworks wie ITIL oder ISO 9000.


COSO Website findet der Leser hier

Auszug aus Wikipedia

Das COSO-Modell (1992/94)

COSO hat 1992 einen heute von der SEC anerkannten Standard für interne Kontrollen, das COSO-Modell[1], publiziert. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung.

Die Bestandteile des internen Kontrollsystems nach dem COSO-Modell sind:

* Kontrollumfeld
* Risikobeurteilung
* Kontrollaktivitäten
* Information und Kommunikation
* Überwachung

Das COSO ERM-Framework (2004)

Im Jahr 2004 hat COSO eine Ergänzung zu seinem ursprünglichen Modell, das COSO ERM – Enterprise Risk Management Framework veröffentlicht. Das COSO ERM fügt zusätzliche Elemente ein:

* Internes Kontrollumfeld
* Zielsetzung
* Ereignisidentifikation
* Risikobeurteilung
* Risikoreaktion
* Kontrollaktivitäten
* Information und Kommunikation
* Monitoring

IT Service Management ITSM

aus Wikipedia, der freien Enzyklopädie

IT-Service-Management (ITSM) bezeichnet die Gesamtheit von Maßnahmen und Methoden, die nötig sind, um die bestmögliche Unterstützung von Geschäftsprozessen (GP) durch die IT-Organisation zu erreichen. ITSM beschreibt insofern den Wandel der Informationstechnik zur Kunden- und Serviceorientierung. Von Bedeutung ist die Gewährleistung und Überwachung der Business Services, also die für den Kunden sichtbaren IT-Services. Auf diese Weise können kontinuierlich die Effizienz, die Qualität und die Wirtschaftlichkeit der jeweiligen IT-Organisation verbessert werden.

Mit dieser Definition ist der Begriff in das folgende Umfeld einzuordnen:

* Business Service Management (BSM): Die Verbindung zwischen Prozessmanagement und ITSM.
* IT-Service-Management (ITSM): Methoden, die nötig sind, um die bestmögliche Unterstützung von Geschäftsprozessen (GP) durch die IT-Organisation zu erreichen.
* Prozessmanagement (auch Geschäftsprozessmanagement, GPM): Die Definition der Prozesse des Business, die durch die IT unterstützt werden.
* Serviceorientierte Architektur (SOA): Ein Managementkonzept für eine dienstorientierte Architektur der ICT.

Normen / Frameworks / Standards

Mit der BS 15000 existiert in Großbritannien eine Norm, mit der einzelne IT-Service-Management-Prozesse spezifiziert sind. Auf Basis des BS 15000 kann ein Unternehmen sein IT-Service-Management zertifizieren lassen. Die BS 15000 wurde im Dezember 2005 in die internationale Norm ISO/IEC 20000:2005 überführt. Daneben gibt es weitere Frameworks und Standards. Diese sind zum Teil firmenspezifische Vorgaben oder branchenorientierte Lösungen. Beispiele dafür sind:

* IT Infrastructure Library (ITIL)
* enhanced Telecom Operations Map (eTOM)
* Microsoft Operations Framework (MOF) von Microsoft

Von „“

National Institute of Standards and Technology (NIST)

Gegründet 1901

National Institute of Standards and Technology
aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von NIST)

National Institute of Standards and Technology

Das National Institute of Standards and Technology (NIST) ist eine Bundesbehörde der Vereinigten Staaten mit Sitz in Gaithersburg (Maryland) und in Boulder (Colorado). Der frühere Name der Behörde war von 1901 bis 1988 The National Bureau of Standards (NBS). Die Position des Behördenleiters (Director) wird derzeit von Patrick Gallagher besetzt.

Das NIST gehört zur technologischen Administration des Handelsministeriums und ist für Standardisierungsprozesse zuständig. Aus diesen ist der Verschlüsselungsalgorithmus DES wie auch AES hervorgegangen. Weiterhin werden die Federal Information Processing Standards (FIPS) veröffentlicht, die für US-Behörden gelten.

NIST-F1 ist der Name der NIST-Atomuhr, die zur Koordinierten Weltzeit beiträgt. Sie hat eine theoretische Abweichung von einer Sekunde in 60 Millionen Jahren.[3]

Das NIST gibt unter anderem auch die für massenspektrometrische Messungen heute unverzichtbare Sammlung zur Substanzidentifizierung durch das stoffspezifische Massenspektrum, die NIST/EPA/NIH Mass Spectral Library (Data Version: NIST 08, Software Version 2.0f) heraus.

Das deutsche Gegenstück ist die Physikalisch-Technische Bundesanstalt (PTB).

Das NIST hat im Jahr 2009 ein Budget von 819 Millionen US-Dollar (plus zusätzlichen 610 Millionen US-Dollar aus dem American Recovery and Reinvestment Act [4]) zur Verfügung [5][6]. Beim Institut sind 2.900 Mitarbeiter beschäftigt. Es beauftragte in den 1970er Jahren u. a. die Boulder-Gruppe mit der Messung der Lichtgeschwindigkeit und der Neudefinition des Meters.


Project Management Body of Knowledge
aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von PMBOK)

Der Guide to the Project Management Body of Knowledge (PMBoK Guide) ist ein weit verbreiteter Projektmanagement-Standard und zentrale Referenz des US-amerikanischen Project Management Institute, von dem er auch herausgegeben und unterhalten wird.

In der Einführung bezeichnet sich das Werk als „Zusammenfassung des Wissens der Fachrichtung Projektmanagement“. Gemeint ist das Wissen über die Vorgehensweisen, die weithin als bewährte Praxis (PMBoK: „best practice“) anerkannt werden. Die beschriebenen Methoden sind auf Projekte aus verschiedenen Anwendungsbereichen anwendbar, dazu gehören u.a. Bauwesen, Software-Entwicklung, Maschinenbau und Automobilindustrie.

Der PMBoK Guide ist prozessorientiert, d. h. er verwendet ein Modell, nach dem Arbeit durch Prozesse erledigt wird. Ein Projekt wird durch das Zusammenspiel vieler Prozesse durchgeführt. Anhand der Prozesse strukturiert das PMBoK das gesammelte Methodenwissen. Für jeden Prozess werden Input, Output und Werkzeuge und Verfahren beschrieben.

Das American National Standards Institute (ANSI) und das Institute of Electrical and Electronics Engineers (IEEE)[1] erkennen das PMBOK als Standard an. Es wurde (neben Englisch) in elf Sprachen übersetzt.

Der PMBoK Guide ist die Basis für die Zertifizierungsprüfung zum Project Management Professional (PMP) und für die Eingangslevel-Zertifizierung Certified Associate in Project Management (CAPM).

Es werden insgesamt 42 Prozesse definiert (vierte Ausgabe), die in die folgenden fünf Prozessgruppen eingeordnet werden:

* Initiierung

Prozesse zur formalen Autorisierung des Projekts. Ergebnisse sind der Projektauftrag (Beauftragung des Projektleiters) und das vorläufige Scope Statement.

* Planung

Festlegung des Projekt-Umfangs (Ergebnis: Scope Statement) und Festlegung, wie in den einzelnen Wissensgebieten geplant wird (Ergebnis Projektmanagementplan als „Meta-Plan“), dazu Durchführung der Planung (Ergebnisse: Projektstrukturplan, Terminplan, Kostenplan, Beschaffungsplan, Risikoplan, …).

* Ausführung

Sicherstellen, dass die Aktivitäten ausgeführt werden, wie sie geplant wurden. Wichtigstes Ergebnis ist natürlich der eigentliche Liefergegenstand des Projekts. Auch Prozesse wie Qualitätssicherung, Projektteam aufbauen und Anbieter auswählen zählen zu dieser Prozessgruppe.

* Überwachung und Steuerung

Die zugehörigen Prozesse sammeln und bewerten Informationen zur Projekt-Performance entsprechend der Planung im Projektmanagementplan. Auch Risiko-Überwachung gehört zu dieser Prozessgruppe. Wichtige Ergebnisse sind Vorschläge für Korrekturmaßnahmen oder vorbeugende Maßnahmen.
Der Prozess Integrierte Änderungssteuerung regelt die Abwicklung von Änderungsanträgen (Change Requests, CRs).

* Abschluss

Die beiden Prozesse dieser Gruppe sind Vertragsbeendigung (besonders Verträge mit Kunden und Lieferanten) und Projektabschluss (dabei wird der Projektauftrag als geschlossen erklärt).

Eine Matrix ordnet jeden Prozess eindeutig einer Prozessgruppe und einem Wissensgebiet zu. Dabei wurde für jeden Prozess die Prozessgruppe gewählt, in der der größte Teil der Aktivitäten des Prozesses stattfindet.

Der Abschnitt über die Wissensgebiete bildet den Schwerpunkt des PMBoK Guide. Jeweils ein Kapitel widmet sich einem Wissensgebiet. Alle 42 Prozesse werden detailliert beschrieben. Dabei werden für jeden Prozess Inputs, Outputs und Methoden und Werkzeuge beschrieben.

Die Wissensgebiete, denen die Einzelprozesse aus den Prozessgruppen jeweils eindeutig zugeordnet sind, heißen:

* Integrationsmanagement

Das Wissensgebiet Integrationsmanagement in Projekten umfasst die Prozesse und Vorgänge, die benötigt werden, um die verschiedenen Prozesse und Projektmanagementvorgänge in den Projektmanagementprozessgruppen zu identifizieren, zu definieren, zu kombinieren, zu vereinheitlichen und zu koordinieren. Im Projektmanagementkontext umfasst Integration Merkmale der Vereinheitlichung, Konsolidierung und Gliederung sowie integrative Aktionen, die entscheidend sind für den Abschluss von Projekten, die erfolgreiche Erfüllung der Anforderungen von Kunden und anderer Stakeholder und den Umgang mit Erwartungen.

* Inhalts- und Umfangsmanagement

Das Inhalts- und Umfangsmanagement in Projekten beinhaltet die erforderlichen Prozesse, um sicherstellen, dass das Projekt alle erforderlichen Arbeiten, aber auch nur diese, umfasst, um es erfolgreich zu beenden. Hierbei geht es vorrangig um die Definition und Steuerung dessen, was im Projekt eingeschlossen ist und was nicht.

* Terminmanagement

Zielt auf die Einhaltung des Zeitrahmens und sollte alle beteiligten Zielgruppen einbinden. Der Projektplan dient dabei v.a. auch als Kommunikationsmedium.

* Kostenmanagement

Zielt auf Budgeteinhaltung. Hierfür ist der Kostenverlauf zu erfassen. Gegebenenfalls sind Gegenmaßnahmen einzuleiten.

* Qualitätsmanagement

Erfordert Standardisierung von PM-Prozessen, Dokumentation der Arbeiten und Ergebnisse, sowie ein geeignetes Maßnahmenmanagement

* Personalmanagement

Personalmanagement in Projekten umfasst die Prozesse, die das Projektteam organisieren und managen. Das Projektteam besteht aus den Mitarbeitern, die zugewiesene Rollen und Verantwortlichkeiten haben, um das Projekt fertig stellen zu können.

* Kommunikationsmanagement

Kommunikationsmanagement in Projekten ist das Wissensgebiet, in dem die Prozesse angewendet werden, die für das rechtzeitige und sachgerechte Erzeugen, Sammeln, Verteilen, Speichern, Abrufen und Verwenden von Projektinformationen notwendig sind.

* Risikomanagement

Risikomanagement in Projekten umfasst die Prozesse bezüglich der Durchführung der Risikomanagementplanung, Identifizierung, Analyse, Maßnahmen sowie Überwachung und Steuerung bei einem Projekt; die meisten dieser Prozesse werden im Verlauf des Projekts aktualisiert. Ziele des Risikomanagements in Projekten sind die Steigerung der Wahrscheinlichkeit und der Auswirkungen positiver Ereignisse sowie die Verringerung der Wahrscheinlichkeit und der Auswirkungen von Ereignissen, die für das Projekt ungünstig sind.

* Beschaffungsmanagement

Beschaffungsmanagement in Projekten beinhaltet die Prozesse für den Kauf oder Erwerb der Produkte, Dienstleistungen und Ergebnisse, die von außerhalb des Projektteams für die Durchführung der Arbeit benötigt werden. Beschaffungsmanagement in Projekten umfasst das Vertragsmanagement und die Prozesse zur Änderungssteuerung, die zum Managen der von autorisierten Projektteammitgliedern ausgegebenen Verträge oder Bestellungen erforderlich sind. Beschaffungsmanagement in Projekten umfasst außerdem die Verwaltung aller Verträge, die von einer externen Organisation (dem Käufer) ausgegeben wurden, der das Projekt von der Trägerorganisation (dem Verkäufer) erwirbt, sowie die Verwaltung vertraglicher Verpflichtungen, die dem Projektteam durch den Vertrag auferlegt werden.

Die einzelnen Aufgabenfelder treten im Projektverlauf an verschiedenen Stellen auf.

Supply-Chain Operations Reference Model (SCOR)

5 Schlüsselbereiche und 3 Prozesse – mehr Details gibt es hier


Jutta Staudach

Risikomanagement, Projektmanagementberatung Düsseldorf

Social Media Unternehmensnutzen Sicherheit Governance

Wie die ISACA neu auf Ihrer Website schreibt, verwenden 65% der Fortune 100 Unternehmen Twitter, 54% besitzen eine Facebook Fanpage, 50% haben einen YouTube Channel und 33% einen Unternehmensblog – nur der Fortune 100 Unternehmen wohlgemerkt!

Quelle: Burson-Marseller Studie 2010

Was ist nun „Social Media“? Nun es gibt dazu viele Tools Blog wie zum Beispiel diesen hier mit WordPress oder auch TypePad, Mikroblogs wie Twitter und Tumblr, Seiten um Bilder und Video der breiten Öffentlichkeit zugänglich zu machen, wie z.B. Flickr und YouTube, klassische Social Media Seiten wie Facebook und mySpace, als auch professionelle Netzwerke wie LinkedIn oder Xing.

Allen gemeinsam ist, dass der Inhalt von Menschen, wie Du und ich erstellt wird.

Wo liegt der Vorteil für das einzelne Unternehmen in der Verwendung solcher Social Media Seiten?
Nun es ist eine kostengünstige Imagewerbung für das Unternehmen, es kann Kunden stärker binden, respektive die Kundenzufriedenheit wird besser messbar und der Bekanntheitsgrad der Firma erhöht sich.

Auch kann man viel einfach als früher über Seiten wie LinkedIn oder Plaxo potentielle neue Mitarbeiter ansprechen, respektive pot. Mitarbeiter können sich viel objektiver denn früher über die Firma informieren.

Wo sind die Risiken? – Sicherheitsbedenken und Datenschutz

Strategien die entwickelt werden können um die Risken der Nutzung von Sozialnetzwerken im Unternehmen zu adressieren:

Person darf am Arbeitsplatz folgendes nutzen:

– explizite Erlaubnis, explizite Verbote
– non-disclosure NDA/Posting von Unternehmensinhalten (ja/nein)
– Diskussionen, die den Arbeitsplatz betreffen ja/nein
– welche Seiten, Inhalte und Diskussionen sind strikt untersagt?

Benutzung ausserhalb des Arbeitsplatzes:

– non-disclosure NDA/Posting von Unternehmensinhalten (ja/nein)
– Standard Disclaimer, um sich von Arbeitgeber zu distanzieren (ist die eigene Meinung von Herrn Mustermann und spiegelt nicht die Meinung der Firma ABC)
– auf Risiken die eine Preisgabe von zu viel persönlichen Informationen mit sich bringt, aufmerksam machen!

Benutzung im Unternehmen:

– erlaubt?
– klaren Prozess die Erlaubnis ein zu holen (z.B. als Autor des Unternehmens-Blogs)
– Klaren Hinweis darauf welche Informationen gepostet werden dürfen durch welchen Kanal und welche eben nicht.
– welche Aktivitäten verboten sind (Applikationen installieren, Facebook Spiele usw)
– Eskalationsprozess bei Kundenbeschwerden


Hinweis auf RiskIT und COBIT (Trademarks)

merh dazu &

Quelle: Social Media White Paper

Internet Blog Verzeichnis TopOfBlogs Blogverzeichnis blogoscoop Blog Top Liste - by Blogverzeichnis - Blog Verzeichnis Blogverzeichnis IT-Beratung

XML Sitemap | Copyright © 2010 Jutta Staudach. All Rights Reserved. | Konzeption & Gestaltung crsMedia Ltd.