| 17.3.4 | Enterprise IT-Risikomanagement |
IT-Projekte, IT-Prozesse und IT-Systeme (IT-Infrastrukturen, Applikationen) unterliegen – das steht außer Zweifel – immer einem gewissen Risiko. Eine Vielzahl von Einflussfaktoren können dazu führen, dass das Erreichen der angestrebten Ziele der IT-Organisation gefährdet ist oder gar erhebliche negative Folgewirkungen für das Unternehmen insgesamt denkbar sind (etwa aufgrund des Ausfalls von IT-Systemen, aufgrund von Verzögerungen in der Ausführung der IT-Prozesse oder der IT-Projekte).
Für die Handhabung von IT-Risiken wurden inzwischen einige brauchbare Lösungsansätze entwickelt, die erhebliche Potenziale zur Zukunftssicherung eröffnen. Entsprechende Konzepte gilt es im Rahmen von IT-Governance mit Unterstützung geeigneter Akteure für das IT-Risikomanagement zu entwickeln und umzusetzen.
Die Bedeutung des Risikomanagements wurde im IT-Bereich lange nicht erkannt. Mittlerweile bekommt IT-Risikomanagement aber einen immer höheren Stellenwert. So machen zahlreiche Beispiele aus der IT-Welt deutlich, welche IT-Risiken mit Negativfolgen zu beachten sind. Zur Vermeidung gravierender Schäden wird es für Unternehmen – unabhängig von der Unternehmensgröße und Unternehmensbranche – zu einer unverzichtbaren Aufgabe, zu untersuchen, welche möglichen Risiken bzw. Schwierigkeiten im IT-Bereich auftreten können, welche Folgen damit verbunden sind und wie geeignete Maßnahmen zur Risikobewältigung aussehen können. Damit wird IT-Risikomanagement zu einem wichtigen Handlungsfeld von IT-Governance.
In jedem Fall müssen sich die Verantwortlichen für IT-Governance vergegenwärtigen,
welche IT-Risiken bei den IT-Systemen, IT-Prozessen und IT-Projekten es zu beachten gilt,
welche Aktivitäten und Prozesse für das IT-Risikomanagement üblich sind,
wie eine Einordnung dieser Aktivitäten und Prozesse aus operativer und strategischer Sicht sinnvoll ist,
welche Zielgruppen sich für das IT-Risikomanagement unterscheiden lassen.
Zunächst ist eine genauere Einordnung der Herausforderungen und Aufgaben zum IT-Risikomanagement für die jeweilige Organisation vorzunehmen. Dazu zählen eine Bewusstmachung und Kategorisierung der IT-Risiken für das jeweilige Unternehmen sowie die Formulierung der dazu erforderlichen Risikopolitik und die Dokumentation der Prozesse im IT-Risikomanagement (etwa in einem Positionspapier).
Mit einem IT-Risiko wird gemeinhin die Möglichkeit bezeichnet, dass es bei IT-Projekten, IT-Systemen bzw. IT-Prozessen zu Problemen mit negativen Auswirkungen kommt. Ein solches Risiko setzt sich zusammen aus
den möglichen Problemen/Ereignissen,
der Wahrscheinlichkeit ihres Auftretens,
der Tragweite (Auswirkungen) beim Auftreten der Probleme sowie
den erforderlichen Aufwänden, um das Risiko zu mindern.
Soll ein Risikomanagement-System für den IT-Bereich neu aufgesetzt oder verbessert werden, ist es erforderlich, zunächst eine strategische Positionierung vorzunehmen. Im Zuge einer Konzeptentwicklung werden zunächst die Grundsätze der Risikopolitik vereinbart und daraufhin die Prozesse und Werkzeuge des Risikomanagements bestimmt. Dabei sind vier Schritte erforderlich. Diese müssen permanent durchlaufen werden, da neue Risiken hinzukommen oder bestehende sich ändern können:
Risikoidentifikation: Zunächst sind die IT-Risiken zu identifizieren. Dies geschieht etwa durch Meldungen der beteiligten und betroffenen Personen eines IT-Prozesses, durch den System-Owner bzw. durch die jeweiligen IT-Projektleiter.
Risikoanalyse: Die identifizierten Risiken müssen anschließend hinsichtlich der Erreichung der Zielsetzungen einer genauen Analyse unterzogen werden. In diesem Fall schätzt der Risikomelder, mit welcher Wahrscheinlichkeit das Risiko eintritt. Dann wird ermittelt, welches Ausmaß das Risiko in Bezug auf Funktion, Zeit und Ressourcen voraussichtlich hat.
Risikobewertung: Aufgrund der Einschätzung der Wahrscheinlichkeit des Risikoeintritts sowie des geschätzten Schadensausmaßes kann für jedes Risiko eine Risikokennzahl ermittelt werden. So kann eine Priorisierung der vorliegenden und identifizierten IT-Risiken vorgenommen werden.
Maßnahmen zur Risikobehandlung: Es gilt, Maßnahmen einzuleiten, die den identifizierten IT-Risiken entgegenwirken. Bei IT-Systemen bzw. IT-Prozessen zählt dazu beispielsweise die Anpassung von Zielen, Plänen oder Ressourcen. Ist dieses Potenzial ausgeschöpft, können Risiken auch auf Dritte verlagert werden, etwa durch Outsourcing oder die Vereinbarung von Schadensersatz bei Nichterfüllung von Dienstleistungen durch Dritte.
Ähnlich einem effektiven Controlling-Ansatz, bei dem es zu einem Dialog zwischen Entscheider und Controller kommen muss, ist auch die Identifikation von Risiken im IT-Bereich, wenn diese nicht nur die rein technische Infrastruktursicht (z. B. Business Continuity) beinhalten soll, stark von einer inhaltlichen Transparenz abhängig. Weiß der IT-Verantwortliche, wo die strategische Reise des Unternehmens hingehen soll, und kennt er darüber hinaus auch konkrete Details wie strategische Kunden, Produkte und Prozesse, dann kann er in diesen Kontexten die Risiken darstellen und bewerten – hier sind natürlich die Produkte und Prozesse aus Kundensicht gemeint.
Sinn und Zweck eines effektiven, durch die IT-Governance gesteuerten Risikomanagements ist also nicht nur die Identifizierung von IT-Risiken, sondern vielmehr die Ermittlung von Maßnahmen, um diese Risiken von vornherein zu vermeiden bzw. um die zu erwartenden Schäden für die Unternehmung und ihre Kunden möglichst gering zu halten. Dies beinhaltet neben der Identifizierung und Bewertung der IT-Risiken auch die Planung und konsequente Umsetzung von Risikomaßnahmen mit dem Ziel, den IT-Bereich in optimierter Form erfolgreich zu einer hohen Ergebnisqualität zu führen (siehe Bild 17.10).
Bild 17.10 Von der Identifikation und Analyse von IT-Risiken zum IT-Risikomanagement
IT-Risiken identifizieren und dokumentieren: Der wichtigste Aspekt für das Management operationaler und strategischer IT-Risiken ist deren Wahrnehmung/Erkennung. Dazu gilt es eine Liste aller IT-Risiken zu erstellen, die das erwartete bzw. gewünschte Ergebnis der IT-Aktivitäten in qualitativer, zeitlicher und finanzieller Hinsicht gefährden können.
IT-Risiken entstehen durch Probleme und Gefahren bei der Nutzung von IT-Produkten/Systemen, bei der Abwicklung von IT-Prozessen sowie bei der Durchführung von IT-Projekten. Die Aufgabe eines Risikomanagements ist es nun, die Berücksichtigung der Zielgrößen Kosten, Termine, Funktionalität bzw. Qualität der Systeme, Prozesse sowie IT-Projekte sicherzustellen, um
eine langfristige Wirtschaftlichkeit der IT nicht zu gefährden,
ausfallsichere IT-Systeme zu gewährleisten sowie
gleichzeitig auch die Innovationspotenziale der IT zu nutzen.
Im Rahmen der systematischen Bestandsaufnahmen zu den Risiken sind natürlich auch die Wirkungszusammenhänge zu erfassen. Insbesondere sollen die IT-Risiken identifiziert und einer nachfolgenden Analyse und Behandlung unterzogen werden, die den Bestand des Unternehmens in besonderer Weise gefährden können. Bereits bestehende Maßnahmen der Risikoeindämmung sollen in dieser Phase bewusst außer Acht gelassen werden.
IT-Risiken analysieren: Sofern eine Risikoidentifikation und eine erste Dokumentation der IT-Risiken (in Form einer Risikoliste) vorgenommen wurden, kann in einem nächsten Schritt die Analyse der Risiken erfolgen. Hilfreich ist in jedem Fall eine vollständige Erfassung aller IT-Risiken, die für die Erreichung von Unternehmenszielen und die Erfüllung von Erwartungen der Managementebene bzw. der IT-Kunden relevant sind. Dabei sind sowohl die Eintrittswahrscheinlichkeit als auch die Schadenshöhe eines Gefährdungspotenzials (hier eines identifizierten IT-Risikos) einzuschätzen. Ergänzend können die Wirkungszusammenhänge der Risiken in Betracht gezogen werden.
Im Rahmen einer Risikoanalyse geht es im Kern um folgende Zielsetzungen und Teilaktivitäten:
Bestimmung der Wahrscheinlichkeit, mit der die IT-Ziele (zu IT-Systemen, IT-Projekten, IT-Prozessen, Finanz- und Kundenziele) erreicht werden können (gegebenenfalls Festlegung realistischer Ziele)
Einschätzung von Auswirkungen zu den identifizierten Risiken (unter Umständen ist es sinnvoll, verschiedene Auswirkungen zu unterscheiden – etwa Kostenkriterien, Zeitbezug, technische Kriterien oder Kundenakzeptanz)
Erste Einordnung der Risiken und Darstellung dieser Einordnung durch Kategorienbildung (Adjektive hoch, mittel, gering) oder Farben (Rot, Gelb, Grün . . .). So besteht die Möglichkeit, herauszufinden, welche Risiken die größte Aufmerksamkeit brauchen.
Durchführung von Analysen/Auswertungen (beispielsweise Impact-Analysen)
IT-Risiken bewerten und darstellen: Im Rahmen der konkreten Risikobewertung wird versucht, die Einschätzungen differenzierter darzustellen und daraus Schlussfolgerungen zur Risikobehandlung abzuleiten. Dazu hat sich die Darstellung in Form von Tabellen (mit Risikokennziffern und Ampelanzeigen) sowie Risikoportfolios bewährt.
In der Praxis sind verschiedene Darstellungsoptionen für Portfolios verbreitet:
4-Felder-Matrix
9-Felder-Matrix (Beispiel siehe Bild 17.11)
25-Felder-Matrix
Für die Festlegung der Risikotoleranzbereiche, welche durch Risikotoleranzgrenzen getrennt sind, wird in der Regel diese Farbdarstellung verwendet:
Unterer Risikotoleranzbereich (grün, linker unterer Bereich)
Mittlerer Risikotoleranzbereich (gelb, mittlerer Bereich)
Oberer Risikotoleranzbereich (rot, rechter oberer Bereich)
Bild 17.11 Risikobewertung und Einordnung in einem „Risikoportfolio“ (Beispiel 9-Felder-Matrix)
Durch die skizzierte Risikokategorisierung im Portfoliodiagramm kann den identifizierten Risiken eine Struktur gegeben werden, die hilft, besonders riskante Bereiche herauszufiltern und sinnvolle Maßnahmen abzuleiten.
Beachten Sie:
Die roten, grünen bzw. gelben Felder in den Portfoliomatrizen sind unternehmensindividuell festzulegen. Im Ergebnis wird sich ein Risikoportfolio ergeben, das einer entsprechenden Interpretation bedarf. Mögliche Auswertungslisten für eine Gruppierung sind: Liste der Risiken, die schnell bewältigt werden müssen, Liste mit Risiken für zusätzliche Analysen, Überwachungslisten für Risiken mit niedriger Priorität, Trenddarstellungen zu den Ergebnissen der qualitativen Risikoanalyse.
Wichtig ist auch die Einstufung der Dringlichkeit von Risiken. Die zeitkritischen IT-Risiken bzw. Bewältigungsmaßnahmen werden dabei in den Prioritäten nach vorne gereiht. Methodisch beliebt ist hier die Interviewtechnik.
IT-Risikosteuerung (Maßnahmen ergreifen): Im Rahmen der Risikosteuerung sollen identifizierte Risiken durch gezielte Maßnahmen dahingehend beeinflusst werden, dass eine Verringerung der Eintrittswahrscheinlichkeit und/oder Begrenzung der Auswirkungen für identifizierte Risiken erreicht wird. Ausgelöst werden die Maßnahmen im IT-Risikomanagement häufig bei Erreichen gewisser Schwellenwerte, die entsprechend der Risikostrategie/Risikoneigung des Unternehmens bzw. der IT-Verantwortlichen festgelegt werden müssen. Die Risikostrategie muss dem Umstand Rechnung tragen, dass die Minimierung von Risiken bzw. deren Auswirkungen in einem angemessenen Verhältnis zu den Chancen stehen müssen, die mit den Risiken einhergehen und die die Grundlage für erfolgreiches Handeln im IT-Bereich sind.
Identifizierte IT-Risiken und vereinbarte Maßnahmen zur Risikobehandlung bedürfen einer konsequenten Überprüfung hinsichtlich ihrer Effizienz und Effektivität und der Verfolgung bezüglich der Aktualität und der Einhaltung der Umsetzung. Voraussetzung dafür sind eine Ist-Dokumentation (in Form von Excel-Listen, Dokumenten, Dateien von Risikomanagementprogrammen) sowie die Vorgabe von Plandaten (etwa auch dokumentierte Zielvereinbarungen oder die Angabe von Soll-Kennzahlen). Durch einen Abgleich mit der Realität lassen sich immer aktuell die Bereiche aufzeigen, in denen konkrete Maßnahmen zur Risikovermeidung bzw. Risikominderung notwendig sind.
Im Wesentlichen sind die folgenden Aufgaben und Handlungsfelder im Zusammenhang mit dem IT-Risikocontrolling zu vereinbaren:
IT-Risikokennzahlen ermitteln und anwenden
IT-Risikoreporting durchführen
IT-Risiken überwachen (laufende Risikostatuskontrolle, Verifizierung der Ergebnisse der Risikobewertung)
IT-Risiken steuern durch die Generierung von Maßnahmenplänen und deren Umsetzung (korrektive Maßnahmen anstoßen, Präventionsmaßnahmen ausführen, Umsetzung der Risikovorbeugungsmaßnahmen kontrollieren, neue Risiken identifizieren und planen)
Gestaltungsfragen zur Berichtslegung für IT-Risiken
Beachten Sie:
Die Einführung von geeigneten Messgrößen ist für ein professionelles IT-Risikomanagement unverzichtbar. Nur so kann geprüft und sichergestellt werden, ob die angestrebten Ziele im Rahmen des Risikomanagements auch erreicht werden. IT-Bereiche, die die Anforderungen ihres Umfelds in ihr strategisches und operatives Handeln integrieren, profitieren davon in vielfältiger Weise. Der Blick über den aktuellen Horizont bietet z. B. im Unternehmen folgende Vorteile: Steigerung des Risikobewusstseins von Unternehmensführung und Anwendern von IT-Lösungen im gesamten Unternehmen, Stärkung der Innovationskraft der IT, höhere Zuverlässigkeit der IT-Systeme und verbesserte Erfolgsquote der IT-Projekte.
IT-Risikomanagement ist grundsätzlich in allen Unternehmen zu etablieren, bei Unternehmen, die besonders von ihrer IT abhängig sind, ist es sogar eine wesentliche Compliance-Aufgabe (vgl. [FrGl07], S. 53 f.). Damit stellt es eine zentrale Aufgabe der IT-Governance dar, die beispielsweise auf standardisierten IT-Prozessen aufbauend diese zu definierten und dokumentierten IT-Dienstleistungen bündelt, welche einer ständigen Qualitätskontrolle zu unterziehen sind.
Die Umsetzung von IT-Risikomanagement muss sich über mehrere Unternehmensbereiche erstrecken und sämtliche IT-Prozesse, IT-Projekte und IT-Systeme umfassen. Dazu ist ein entsprechendes Rollenkonzept ergänzend zu etablieren. Ausgehend davon zeigt Bild 17.12 die wesentlichen Aufgaben und Handlungsfelder des IT-Risikomanagements.
Bild 17.12 Aufgaben und Kern-Handlungsfelder des IT-Risikomanagements
Nachfolgend zeigen wir Ihnen, wie etwa das Managen von IT-Systemrisiken in der Praxis konkret realisiert werden kann. Um die Risiken beim Einsatz der vorhandenen IT-Systeme (Applikationen, Nutzung von IT-Infrastrukturen und Netzwerkservices) „beherrschen“ zu können, müssen die vorliegenden IT-Systemrisiken möglichst vollständig erkannt und dokumentiert werden. Mögliche IT-Systemrisikoereignisse (mit gravierenden, möglichen Schäden) zeigt Tabelle 17.4.
Tabelle 17.4 Typische IT-Systemrisiken (Kategorien)
Risikokategorie |
Beispiele/Erläuterungen |
Availability-Risiken |
Systemausfall (Server-, Netzwerkausfall, inkl. Ausfall von Systemkomponenten), System nicht wartbar, Stromausfall, Wasser- und Brandschäden |
Security-Risiken |
Spionage (Datendiebstahl) und Sabotage, Hacker-Angriffe u. a. |
Prozess- und Organisationsrisiken |
Fahrlässiges Benutzerverhalten, organisatorische Mängel im Applikationsmanagement |
Personelle Risiken |
Mitarbeiterfluktuation, Verlust qualifizierter Mitarbeiter, unzureichend geschultes Personal (Endbenutzer, Systembetreuer) |
Compliance- und Datenrisiken |
Fehlerhafte Daten (unzureichende Datenqualität), falsche Datenformate, korrupte Daten |
Finanz- und Kostenrisiken |
Explodierende Kosten des Systembetriebs |
Partnerrisiken (Lieferanten, Kunden) |
Lieferschwierigkeiten, unzureichende Kundenakzeptanz |
Bild 17.13 IT-Systemrisikomanagement – Ausschnitt einer Risikoliste
Notwendig für ein erfolgreiches Risikomanagement zu den IT-Systemen ist in jedem Fall die Differenzierung der Risikoarten für die jeweils unter Risikoaspekten analysierten IT-Systeme. Nur durch eine geeignete Kategorienbildung ist eine differenzierte Risikoanalyse möglich und lassen sich geeignete Maßnahmenbündel zur Risikobewältigung ableiten. Für jedes System kann auf der Grundlage der Risikoidentifikation eine Systemrisikoliste erstellt werden. Die wichtigsten Felder einer solchen Risikoliste (Risikoregister) sind folgende:
ID des IT-Risikos: Eine Risiko-ID sollte eingeführt werden, um im gesamten Systemrisikomanagement eindeutige Bezeichnungen für jedes Risiko zu schaffen.
Zuordnung des IT-Risikos (zu einer Gruppe von Risikoarten): erleichtert später unter anderem die sachgerechte Generierung von Maßnahmen.
Risikokurzbeschreibung: Die Risikobeschreibung ist die Definition eines Systemrisikos an sich (nicht zu allgemein, angemessener Detaillierungsgrad ist zu beachten).
Beschreibung möglicher Ursachen für das Eintreten des Risikofalls.
Ausgehend davon zeigt Bild 17.13 einen Ausschnitt für eine solche Risikoliste für IT-Systemrisiken.
Sofern eine Risikoidentifikation vorgenommen und in einem Risikoregister dokumentiert wurde, können in einem nächsten Schritt die Analyse und Bewertung der Systemrisiken erfolgen. Dabei sind sowohl die Eintrittswahrscheinlichkeit als auch die Schadenshöhe eines Gefährdungspotenzials zu schätzen. Ergänzend müssen die Wirkungszusammenhänge der Risiken in Betracht gezogen werden.
Grundsätzlich stehen bezüglich der Einschätzung von Eintrittswahrscheinlichkeiten für IT-Systemrisiken sowie der Auswirkungen qualitative und quantitative Verfahren zur Wahl. Qualitative Einschätzungen stufen die Risiken zu den IT-Systemen in Kategorien und Klassen ein, zum Beispiel kleines, mittleres, katastrophales Risiko. Bei der Eintrittshäufigkeit sind etwa mehrmals im Jahr (sehr oft) bis sehr unwahrscheinlich (fast nie) als extreme Kategorien denkbar.
Ein Beispiel zeigt Bild 17.14.
Bild 17.14 Kategorien für Eintrittswahrscheinlichkeit und Schadenshöhe (qualitative Risikoeinschätzung)
Quantitative Einschätzungen und Berechnungen nehmen eine Messung der potenziellen Schäden und Eintrittswahrscheinlichkeiten mittels Zahlwerten (Schaden in Euro, Wahrscheinlichkeit in Prozent) vor. Dabei kann etwa auch auf Erfahrungswerte der Vergangenheit zurückgegriffen werden.
Die Risikoanalyse für IT-Systeme beginnt normalerweise bei den Business-Prozessen und den damit verbundenen Applikationen, die üblicherweise Risiken durch externe Ereignisse ausgesetzt sind. Gegenstand von Impact-Analysen ist es, die Auswirkungen von Risiken auf verschiedene Aspekte (etwa auf das Business oder auf andere Systeme) zu analysieren und im Hinblick auf einen möglichen Schaden später zu bewerten. Interessante Ergebnisse zeigt Bild 17.15.
Bild 17.15 IT-Systemrisiken und typische Schadenshöhen – Ergebnisse aus ausgewählten Studien (CA-Studie, Aberdeen-Studie)
Im nächsten Schritt, der IT-System-Risikobewertung, soll eine ganzheitliche Bewertung von Eintrittswahrscheinlichkeiten und Schadensauswirkungen zu den identifizierten Risiken erfolgen. Ziel ist es, Informationen zur Herausfilterung von kritischen Risiken für die Generierung geeigneter Maßnahmen zur Risikobewältigung zu erhalten.
Um einen Maßnahmenplan zu entwickeln, ist in der Regel die Darstellung in einem Portfolio verbreitet, da dies weitere hilfreiche Informationen zur Entscheidungsfindung bereitstellt. Ein Beispiel zeigt Bild 17.16.
Bild 17.16 Qualitative Systemrisiken bewerten und in einem Portfolio darstellen (Risikomatrix)
Auf dieser Basis kann nun ein Maßnahmenplan abgeleitet werden. Aus der Abbildung wird beispielsweise deutlich, dass die identifizierten Risiken 8.1, 9.1 und 9.2 im grünen Bereich liegen und deshalb von nicht so hoher Bedeutung sind wie die im roten Bereich aufgeführten Risiken.
Ein Beispiel für eine daraufhin mögliche Maßnahmenplanung zeigt in einer Maßnahmenliste Bild 17.17.
Bild 17.17 Qualitatives Gesamtrisiko – Maßnahmenplan
Warum brauchen wir ein System-Risikomanagement? Ein systematisches Risikomanagement für die installierten IT-Systeme ist aus verschiedenen Gründen unverzichtbar und bietet zahlreiche Nutzenvorteile:
Risikomanagement schafft die Möglichkeit, dass die IT-Systeme erfolgreich und ohne große Störungen und Probleme mit hoher Kundenzufriedenheit genutzt werden.
Aufgrund der immer komplexer werdenden Geschäftsprozesse sowie rasch veränderter Technologielandschaften veralten die IT-Systeme in vielen Unternehmen zusehends. Häufig werden IT-Applikationen erst dann geprüft oder erneuert, wenn eine schwerwiegende Panne aufgetreten ist. Durch ein geeignetes Risikomanagement hätte dies rechtzeitig verhindert werden können.
Gestiegene Systemkomplexität und gestiegene Abhängigkeiten zwischen den Systemen verlangen nach Transparenz und zentraler Steuerung. Dies kann durch eine klare und kontinuierliche Risikobewertung der IT-Systeme gestützt werden.
Die Entstehung neuer komplexer IT-Systemlandschaften birgt vielfach gleichzeitig das Risiko des Scheiterns in sich. Bringen beispielsweise die neu installierten IT-Applikationen nicht die von den Anwendern und den IT-Experten erwartete Leistung, kann dadurch der Geschäftserfolg des Unternehmens insgesamt erheblich gefährdet werden. Deshalb sollten Unternehmen frühzeitig Strategien entwickeln, um diesen Risiken entgegenzuwirken, sodass gleichzeitig ein wertvoller Beitrag für ein erfolgreiches Business erbracht werden kann.
Gestiegene Compliance- und Sicherheitsanforderungen erfordern ein regelmäßiges Controlling von vorgegebenen Richtlinien. Ansonsten können sich erhebliche finanzielle Schäden ergeben (etwa bei Verstößen gegen Lizenzbestimmungen für die Nutzung bestimmter IT-Systeme).
Der Stellenwert sicherer Informationsverarbeitung und die Notwendigkeit für risikobewusstes Arbeiten werden in der Organisation erkannt.
Verteilte IT-Organisation setzt klare Zuständigkeitsregelungen voraus, um Entwicklungen im System konsistent zu halten.
| 17.3.5 | Compliance Management |
IT-Compliance ist ein noch verhältnismäßig junges Teilgebiet des IT-Managements, das in den Unternehmen unbedingt organisatorisch verankert sein sollte – in welchem Detaillierungsgrad auch immer. Die Zahl an Richtlinien und Vorgaben – sei es auf der gesetzlichen Ebene oder aufgrund von unternehmensinternen Festlegungen – ist in den letzten Jahren auch für den IT-Bereich enorm gewachsen. Beispiele sind etwa Sicherheitsrichtlinien, Lizenzvorgaben für die Softwarenutzung oder Datenschutzrichtlinien.
Im Rahmen eines Compliance Management ist es wesentlich, dass in der IT-Organisation geeignete Maßnahmen definiert und umgesetzt werden, die sicherstellen, dass die vorliegenden IT-Prozesse und die entwickelten IT-Lösungen so gestaltet sind, dass sie den gesetzlichen Anforderungen sowie sonstigen internen und externen Vorgaben entsprechen.
Ein gesetzeskonformes Verhalten soll sowohl für Handlungen des Unternehmens als auch für Handlungen der einzelnen Mitarbeiterinnen und Mitarbeiter sichergestellt werden. Bezweckt wird, bereits im Vorfeld durch eine entsprechende Organisation Gesetzesverstöße zu verhindern.
Mögliche Maßnahmen können im organisatorischen, personellen und technischen Umfeld angesiedelt sein. Ein gesetzeskonformes (Compliance-gerechtes) Verhalten soll dabei sowohl für Handlungen des Unternehmens insgesamt als auch für Handlungen der einzelnen Mitarbeiterinnen und Mitarbeiter sichergestellt werden. Hauptziel dieser Maßnahmen ist, bereits im Vorfeld durch entsprechende Regelungen Gesetzesverstöße zu verhindern.
IT-Compliance-relevant sind primär Gesetze (z. B. BDSG, KonTraG), Verwaltungsvorschriften (z. B. GDPdU) sowie Richtlinien, Standards und Referenzmodelle (z. B. COBIT, ITIL sowie BSI-Standards und Grundschutzkataloge), die einen Bezug zur IT aufweisen.
Die organisatorische Verankerung und Einführung von IT-Compliance sowie von Initiativen zur Einhaltung von Compliance-Regularien stellen zwar einen Kostenfaktor dar. Allerdings: Der Aufwand für IT-Compliance ist letztlich eine Investition in den Fortbestand des Unternehmens. Die Nichteinhaltung von Compliance-Regularien kann teuer werden. Darüber hinaus können weitere erhebliche Kosten aus unterschätzten oder unentdeckten Risiken entstehen.
Denn Nichteinhaltung von Vorgaben, Richtlinien und Gesetzen ist kein Kavaliersdelikt. Mit einer IT-Compliance-Analyse sollten diejenigen Handlungsfelder in den Mittelpunkt gestellt werden, welche die IT-Systeme (IT-Infrastrukturen, Datenverwaltung und Applikationen) des Unternehmens aus Compliance-Sicht betreffen.
Was muss getan werden, um IT-Compliance in einem Unternehmen erfolgreich zu etablieren und entsprechende Compliance-Analysen durchzuführen?
Schritt 1: Strategische Positionierung von IT-Compliance im Unternehmen. Eine grundsätzliche Positionierung zu IT-Compliance für ein Unternehmen ist sowohl bei der Einführung als auch für eine kontinuierliche Optimierung unverzichtbar. Wesentlich für eine Einführung ist, dass die unverzichtbaren Voraussetzungen für eine erfolgreiche Verankerung von IT-Compliance dargelegt und dabei ergänzend auch Grundsätze zur Einhaltung von Richtlinien und Gesetzen – auf die Unternehmensebene bezogen – festgehalten werden. Zunächst ist dazu eine genauere Positionierung zum Thema IT-Compliance vorzunehmen und in einem Policy-Dokument zu dokumentieren (enthält die unternehmensspezifischen Richtlinien, ggf. vereinbarte Prozesse und Rollen u. a.).
Schritt 2: Identifikation der relevanten Compliance-Bereiche. Am besten beraten Sie sich dazu mit auf IT-Recht sowie auf IT-Organisation spezialisierten Experten. Zu den Compliance-Anforderungen zählen dabei vor allem
das Herstellen von Informationssicherheit,
das Gewährleisten einer hohen Verfügbarkeit der eingesetzten IT-Systeme,
das Vermeiden von Datenverlusten und Datendiebstahl sowie
das Einhalten von Datenschutzregelungen.
Schritt 3: Analyse der negativen Auswirkungen, die mangelnde IT-Compliance haben kann. So können die Bedeutung von IT-Compliance sowohl für die IT-Organisation als auch für das Unternehmen insgesamt verdeutlicht werden. Veröffentlichte Fälle von Non-Compliance können hierbei durchaus hilfreich sein. Je realistischer die Folgen identifiziert werden, auf die eigene Situation übertragen und veranschaulicht werden, umso besser kann ein Handlungsdruck in Sachen IT-Compliance für das Unternehmen begründet werden.
Schritt 4: Festlegen von personellen Verantwortlichkeiten. IT-Compliance darf keinesfalls allein als Aufgabenbereich einzelner IT-Verantwortlicher oder eines speziellen Compliance-Managers gesehen werden. Wichtig ist: Effiziente IT-Compliance bezieht mehrere Akteure ein und wird auch von der Unternehmensführung wahrgenommen! Eine Empfehlung: Erst durch die intensive Zusammenarbeit von Personen, die unterschiedliche Rollen im IT-Bereich wahrnehmen, kann ein erfolgreiches IT-Compliance-Management garantiert werden. Denn: Der wesentliche Erfolgsfaktor für Compliance sind der Rückhalt und das aktive Eintreten der Unternehmensleitung. Diese muss die Bedeutung von Compliance für das Unternehmen anerkennen. Das sichtbarste Zeichen hierfür ist, wenn die Verantwortung für Compliance einem Mitglied des Top-Managements übertragen wird. Gleiches gilt auf der Ebene der Unternehmens-IT, auf der die IT-Leitung bzw. der Chief Information Officer (CIO) IT-Compliance als Teil ihrer bzw. seiner Verantwortung (im doppelten Sinn) wahrnehmen muss.
Insgesamt kann festgestellt werden, dass IT-Compliance für das IT-Management eine Herausforderung, aber auch eine Chance bedeutet. Durch die Bewusstseinsbildung zur Bedeutung von IT-Compliance kann der IT-Einsatz im Unternehmen durchaus einen neuen Stellenwert erhalten. Die IT wird als moderner Dienstleister für die anderen Unternehmensbereiche wahrgenommen, der regulatorischen Anforderungen und internen wie externen Prüfern im selben Maß unterworfen ist wie etwa das Rechnungswesen oder der Personalbereich Ihres Unternehmens.
Hinweis: Zum Compliance-Management vergleiche ausführlich Kapitel 19 „IT-Compliance“ in diesem Handbuch.
| 17.3.6 | IT-Investitionsmanagement und Value-Management |
Die Planung, Durchführung und Bewertung von IT-Investitionen sind Aufgaben, die immer von mehreren Stellen und Personen im Unternehmen erledigt werden. Ausgehend von den Grundsätzen der IT-Governance ist es wichtig, dafür ein klares Verfahrenskonzept zu entwickeln und einzuführen.
Oberste Zielsetzung ist es, dass die IT einen Beitrag zur Optimierung der Geschäftsprozesse leistet, egal ob es sich um betriebliche Kernprozesse oder Managementprozesse handelt. Dies ist gerade bei Investitionsentscheidungen zu berücksichtigen. Die IT-Investitionen können unterschiedlichen Zwecken dienen. Aus strategischer Sicht unterscheidet man beispielsweise die folgenden drei Arten von IT-Investitionen:
1. Investitionen zur Sicherung der Betriebs- und Lieferfähigkeit: IT-Investitionen zur Sicherung der Betriebs- und Lieferfähigkeit stellen ein absolutes Muss zur Aufrechterhaltung des laufenden Betriebs dar. Der größte Teil aller IT-Investitionen – 70 Prozent und mehr – dient in der Praxis lediglich der Sicherung der Betriebstätigkeit.
2. Investitionen zur Verbesserung der Leistungsfähigkeit: IT-Investitionen zur Verbesserung der Leistungsfähigkeit sollen die Wirtschaftlichkeit des Betriebs erhöhen, indem sich größere Transaktionsvolumina dann mit weniger Aufwand abwickeln und Dienstleistungen effizienter erbringen lassen.
3. Investitionen zur Verbesserung der Wettbewerbsfähigkeit: IT-Investitionen zur Verbesserung der Wettbewerbsfähigkeit können etwa durch eine Differenzierung der Produkte und Dienstleistungen mittels IT ermöglicht werden. Diese Differenzierung resultiert weniger aus der bloßen Implementierung einer bestimmten Technologie oder eines bestimmten IT-Systems als vielmehr aus einem richtigen strategischen Einsatz der IT.
Tabelle 17.5 zeigt, welche Stellen oder Gruppen in welchen IT-Governance-Prozessen für Aufgaben bezüglich der IT-Investitionen zuständig sind.
Tabelle 17.5 IT-Governance-Aufgaben und Verantwortliche für IT-Investitionen (analog IT-Governance Institute; [ITGI 3], S. 67)
IT-Governance-Prozess |
Stelle/Gruppe |
Herausforderungen/Aufgaben |
Strategic IT-Alignment |
Technology Council |
|
IT Architecture Review Board |
Architekturrichtlinien entwickeln und die Einhaltung sicherstellen |
|
Value Delivery (Wertmanagement) |
Top-Management |
IT-Investitionen müssen ein ausgewogenes Kosten-Nutzen-Verhältnis aufweisen (akzeptable Budgets) und eine Risikoprüfung inkludieren. |
CFO |
IT-Budget und IT-Investitionspläne sind nachhaltig und realistisch, darüber hinaus sind sie in den übergeordneten Finanzplan integriert. |
|
Linien-Management |
|
|
IT Steering Committee (Steuergremium für IT-Projekte) |
|
|
Technology Council |
Technologieauswahl unterstützen (in Abstimmung mit den definierten Standards) |
|
IT Architecture Review Board |
Anwendung der Architekturrichtlinien controllen und performen |
|
IT Resource Management |
Top-Management |
Ein ausgewogenes Maß an IT-Investitionen für Erhalt bzw. Wachstum des Unternehmens bereitstellen |
IT Strategy Committee |
Eine allgemeine Richtung für Sourcing und den Einsatz von IT-Ressourcen (z. B. strategische Allianzen) vorgeben |
|
CIO |
|
|
Risk Management |
IT Strategy Committee |
Risikoaspekte von IT-Investitionen berücksichtigen |
Performance Management |
CEO |
Performance, Kontrollen und Risiken der IT und der wesentlichen Investitionen evaluieren |
Technology Council |
Einhaltung von Technologiestandards und Vorgaben verifizieren |
|
EA-Governance (Enterprise Architect) |
Einhaltung von Architekturstandards und Vorgaben verifizieren |
Die IT leistet einen wesentlichen und unverzichtbaren Beitrag zur Bewältigung der Herausforderungen des Informationszeitalters. Sie stellt die Summe der technischen und organisatorischen Mittel (Hardware, Software, Services) zur Unterstützung der Geschäfts- und Führungsprozesse sowie der verschiedenen informationellen Prozesse (der Beschaffung, Verarbeitung, Speicherung, Übertragung und Bereitstellung von Informationen) dar.
Auch in der Literatur wird die IT mittlerweile nicht mehr nur als Kostenfaktor und Dienstleister, sondern zum Beispiel als „Value Center“ oder Werttreiber gesehen, der durch seine Orientierung am langfristigen Erfolg ein Unternehmen auch zu besseren und neuen Leistungen befähigen und sich durch seine Marktorientierung sogar als „Profit Center“ profilieren kann. Im Grunde wird also – in der Theorie wie in der Praxis – die IT zunehmend als eine Art Unternehmen im Unternehmen betrachtet, das Kundenbedürfnisse befriedigen, profitabel im Markt agieren, kostenbewusst arbeiten und zukunftsfähig handeln muss.
Die Möglichkeiten und Chancen der IT, den Erfolg zu beeinflussen, liegen unter anderem in der Kostensenkung. Die positive Beeinflussung der Erlössituation ist sicherlich auch durch eine Steigerung der Erlöse möglich, leichter und prozentual gewichtiger aber durch Kostensenkung erreichbar. Eine effiziente betriebliche IT kann Bestandskosten und Gemeinkosten nachhaltig senken. Wichtig ist es aber auch, den anfallenden Kosten den Wertzuwachs gegenüberzustellen, der sich durch die Anwendung von Informations- und Kommunikationstechnologien realisieren lässt.
Möchte man den Beitrag eines Informationssystems zur Wertschöpfung eines Unternehmens genauer untersuchen, gilt es zunächst, bestimmte Wertkategorien abzugrenzen und herauszuarbeiten. Folgende Wertkategorien, die durch die Nutzung moderner IT-Lösungen realisierbar sind, können unterschieden werden:
1. Return on Investment. In diese Kategorie fällt der enge Nutzenbegriff der traditionellen Kosten-Nutzen-Analyse und Investitionsrechnung.
2. Strategische Unterstützung. Investitionen werden vielfach durchgeführt, um strategische Zielsetzungen des Unternehmens zu unterstützen. Lautet ein strategisches Ziel „Kundennähe“, so wird dieses Ziel durch den Einsatz von Informationstechnologie für direkte Kundenkommunikation gefördert.
3. Wettbewerbsvorteil. In diese Kategorie fallen die Schaffung neuer Marktstrukturen, eine verbesserte Positionierung der Produkte oder die Schaffung neuer Geschäftsmöglichkeiten. Ein Beispiel ist das Angebot von Dienstleistungen, wie dies verschiedene Fluggesellschaften in Form von Buchungssystemen tun, deren Kerngeschäft in einem anderen Bereich liegt.
4. Managementinformation. Dieser Faktor umfasst Informationen über die Kernaktivitäten des Unternehmens, über kritische Erfolgsfaktoren. Liefert ein Managementinformationssystem derartige Informationen, ist dies zu berücksichtigen.
5. Reaktion auf Wettbewerb. Vielfach fordert der Markt bestimmte Maßnahmen vom Unternehmen, so etwa die Einführung bestimmter technischer Systeme. Die Forderung kann von Kundenseite kommen oder durch Aktivitäten der Mitbewerber diktiert werden.
6. Strategische IT-Architekturen. Es gibt Systeme und Systemlösungen, die zwar nicht unmittelbar Erträge und Wirtschaftlichkeitsvorteile bedeuten. Diese IT-Architekturen können jedoch aus strategischer Sicht unverzichtbar sein und ein Zukunftspotenzial darstellen. Insofern kann man sie als besonders zu berücksichtigende Werte ausweisen.
Gerade in den nächsten Jahren werden sich zahlreiche Unternehmen mit der Ressource Information stärker als bisher auseinandersetzen müssen, was auch eine aktive Mitwirkung von Fach- und Führungskräften einschließt. Informationssysteme werden zur strategischen Waffe erfolgreicher Unternehmensführung, das Management wird zum Gestalter und Nutzer solcher Systeme.
| 17.4 | Zentrale Enterprise IT-Governance einführen |
| 17.4.1 | Die Ansätze |
Die Implementierung von IT-Governance ist nicht mit klassischen CRM- oder ERP-Projekten vergleichbar, aber gewisse Projektelemente sind ähnlich: etwa die dedizierten Teams, welche die Maßnahmen und ihre Koinzidenz mit den Business-Strategien ständig überprüfen.
Ein integraler Bestandteil von IT-Governance ist die Etablierung von Rahmenbedingungen zur Ermöglichung der kontinuierlichen Verbesserung des Konzepts. Exemplarisch einige Beispiele für derartige Rahmenbedingungen:
Hilfreich ist die Vorgabe einer klaren, marktoffenen Auftragnehmer-Auftraggeber-Beziehung zwischen den Fachbereichen und der IT.
IT-Ausgaben und -Aufwendungen (inkl. Budgetierungen für den IT-Bereich) werden zentral gesteuert und bedürfen auch der Mitwirkung der IT-Governance-Organisation.
Projektentscheide erfolgen unter Mitwirkung der zentralen IT-Steuerungsgremien (etwa dem Project Advisory Board) auf Basis eines einheitlichen, verpflichtenden Business-Case-Formats (Kosten-, Nutzen- und Risikobetrachtung) mit anschließendem Nutzeninkasso (Prüfung und Kontrolle des Business Case).
Transparenz über die IT-Portfolios der Unternehmens-IT (IT-Projekte, IT-Applikationen, Business IT-Services etc.) ist jederzeit gegeben (Einzelprojektcontrolling durch die Auftraggeber, Existenz einer übergreifenden IT-Controlling-Instanz für das Multiprojektmanagement). Auch moderne IT-Portfoliomanagementsoftware stellt heute dafür Funktionen im Sinne einer Realtime-Aktualisierung bereit.
Ohne praktische Erfahrung in den Bereichen der Projektorganisation und -abwicklung sowie das Wissen um die eigene Wertschöpfungskette und der einzuführenden Methodologie ist ein solches Einführungs- bzw. Optimierungsprojekt „IT-Governance“ kaum zu bewältigen. Wichtig ist die Berücksichtigung der Erfolgsfaktoren für IT-Governance, die in Tabelle 17.6 aufgeführt sind.
Tabelle 17.6 Hauptgründe und Erfolgsfaktoren für IT-Governance
Erfolgsfaktor |
Hinweise |
Transparenz für alle Fachbereiche schaffen |
|
Einbezug und Unterstützung durch das General Management |
|
Governance-Regeln an das Unternehmen anpassen |
|
Governance-Regeln konzentrieren |
|
Die IT stellt im Unternehmen ein verbindendes Element dar, dessen Integrationsbestreben aufgrund bereichsindividueller Zielsetzungen kein primäres Ziel der einzelnen Bereichsverantwortlichen ist. Um mit diesen divergierenden Einstellungen umzugehen und eine geschlossene Strategie zu entwickeln, sollten Führungskräfte und Vorstände eine starke IT-Steuerungsstruktur in ihren Unternehmen etablieren. Viele Akteure müssen aber auch ihre Einstellung überdenken, dass IT-Steuerung nicht ihre eigene Verantwortung ist. Sie müssen damit beginnen, proaktiv zu führen, um sicherzustellen, dass ihre Organisationen die vielen Vorteile nutzen, die sich aus einer Optimierung von IT-Chancen ergeben, und sich gleichzeitig vor Risiken zu schützen.
Beachten Sie:
Um die möglichen Vorteile eines Governance-Konzepts zu nutzen, müssen die Einführung und Weiterentwicklung mit großer Sorgfalt und Disziplin erfolgen. Die konsequente Analyse des Ist-Zustands der eigenen unternehmerischen Prozesse und der vorhandenen IT-Prozesse sowie der IT-Architekturlandschaft inklusive der dafür oder dadurch erbrachten Dienstleistungen sind Grundvoraussetzungen für die erfolgreiche Einführung.
IT-Governance liegt in der Verantwortung des Vorstands sowie des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung.
| 17.4.2 | Vorgehen |
Neben den inhaltlichen Schritten muss sich die zentrale IT-Steuerung zunächst als Organisationseinheit im Unternehmen formieren, ihre Rolle definieren und anschließend die skizzierten Handlungsfelder in Angriff nehmen.
Letztendlich laufen sämtliche Planungen und Abstimmungen auf konkrete Maßnahmen hinaus, die in der Regel als IT-Projekte bzw. IT-Vorhaben gesteuert, umgesetzt und überwacht werden. Wesentlich ist, dass die für den Unternehmenserfolg maßgeblich verantwortlichen Geschäftsbereiche die IT als ihr Mittel zur Zielerreichung sehen müssen, gleichzeitig aber die Wechselwirkungen innerhalb der IT-Landschaft auf Konzernebene berücksichtigen lernen. Damit hat IT-Steuerung auch mit Entscheidungsrechten sowie Verantwortungsrahmen zu tun und will einen anderen Umgang mit der IT erreichen (vgl. [WeRo04]). Da dies sehr theoretisch klingt, ist es ein plausibles Vorgehen, sich auf die Planungsphase zu konzentrieren und auf drei wesentliche logische Schritte zu fokussieren (siehe Bild 17.18):
Klärung des WAS oder rein funktionaler Zielsetzungen – hier kann durchaus eine Technologie die gewünschten Funktionalitäten erst ermöglichen.
Klärung der Bewertungskriterien und Entscheidung vor dem Hintergrund strategischer Zielsetzungen und begrenzter Ressourcen im Unternehmen
Klärung des WIE oder der Realisierung innerhalb der IST-IT-Architektur im Sinne einer optimierten Planungsalternative
Bild 17.18 Effektives IT-Governance-Handeln: Planungsbereiche und Entscheidungen
Problematisch bezüglich der Umsetzung von IT-Governance-Regeln und Prinzipien ist ein in der Praxis oftmals formulierter Zeitdruck: Die Geschäftsbereiche wollen neue Ideen in der Regel unmittelbar angehen. Der Einstieg in das Thema IT-Governance in der beschriebenen Form kann deshalb für viele Organisationen nicht konzentriert (quasi als Big Bang) erfolgen, sondern muss Schritt für Schritt umgesetzt und parallel zum Tagesgeschäft durchgeführt werden. Das bedeutet auch, dass der Erfolg – wie bei strategischen Maßnahmen ohne Krisensituationen – erst mit der Zeit an Konturen gewinnt. In eine ganzheitliche Architekturplanung mit allen wesentlichen Geschäftsbereichen müssen alle Beteiligten gemeinsam hineinwachsen. Wichtig ist deshalb ein Grundkonsens im Unternehmen zu der strategischen Maßnahme „IT-Governance“, um den Ansatz nachhaltig zu implementieren.
Unter WAS versteht man die funktionalen Anforderungen aus den Unternehmensprozessen, die im Rahmen von übergeordneten Zielen und Vorgaben sowie begrenzten Ressourcen optimiert werden müssen (die richtigen Dinge tun). Aufgrund eines permanenten technologischen Wandels ist insbesondere bei der Entscheidung zum WIE der technischen Umsetzung auf einen systemischen Ansatz zu achten, der den hohen Ansprüchen an Integration und somit Beherrschbarkeit sowie Flexibilität nachkommt. Dabei muss es der IT gelingen, die wesentlichen Geschäftsprozesse und damit die wesentlichen Aktivitäten aktiv zu unterstützen, um unsere Kunden am Markt zufriedenzustellen. Der IT kommen hier als Berater und Dienstleister im Unternehmen zwei wichtige Rollen zu, die eine wohldosierte IT-Governance unterstützen und steuern soll.
IT-Governance kümmert sich aus Gesamtunternehmenssicht
einerseits um die Steuerung der IT-Investitionen und deren Abstimmung mit der Unternehmensstrategie (liefert insofern über die Anforderungen auf Basis der Geschäftsprozesse den essenziellen Input zum Change Management) sowie
andererseits um die Performance der IT selbst. Der laufende IT-Betrieb ist dabei ebenfalls als Fachbereich zu sehen, der ständiger Innovation unterliegt, die erkannt und integriert werden muss.
Das Thema „IT-Governance“ gewinnt seit einigen Jahren aufgrund des Stellenwerts von IT für viele Geschäftsprozesse zusehends an Bedeutung. Die These, wonach IT-Steuerung bzw. IT-Governance bei immer mehr IT innerhalb der Geschäftsprozesse vieler Unternehmen ebenfalls zunimmt, soll dieser Beitrag nicht nur begründen, sondern konkrete Ansätze liefern, um dem ebenfalls wachsenden IT-Integrationsproblem aus Sicht der unternehmerischen Investition zu begegnen. Einen Überblick vom Geschäftsmodell bis zur konkreten Anforderung des Fachbereichs an die IT verschafft Bild 17.19.
Bild 17.19 Zunehmende Bedeutung der IT-Steuerung – Anforderungen an die IT ganzheitlich managen
| 17.5 | Performance Management für IT-Governance |
Durch das Messen von Performance (IT Performance Measurement) soll die Umsetzung von Strategien (hier der IT-Strategie des Unternehmens) verfolgt und überwacht werden. Gleiches gilt für IT-Projekte und die Verwendung von Ressourcen. Die Messungen von Prozessperformance und Leistungserbringung werden z. B. mithilfe von Balanced Scorecards heute vielfach erfolgreich vorgenommen.
Neben der Definition von IT-Governance-Prozessen und -Strukturen ist auch die Einführung geeigneter Messgrößen von großer Bedeutung. Nur so kann sichergestellt werden, dass die angestrebten Ziele durch die IT-Governance ebenfalls erreichbar sind. Die Kontrolle der IT-Governance wird durch die Definition von Kennzahlen, sogenannter Key Performance Indicators (KPIs), formalisiert. Mit ihrer Hilfe kann überprüft werden, inwieweit die in der IT-Strategie festgelegten strategischen und operativen Ziele erreicht werden. Für die Definition von KPIs lassen sich einige Grundregeln festlegen:
Die KPIs müssen eindeutig messbar und durch die verantwortlichen Strukturen, Prozesse und Personen beeinflussbar sein.
Die Kontrollmechanismen müssen bekannt und allgemein akzeptiert sein.
Die KPIs sollten nicht nur auf quantitative finanzielle Messgrößen beschränkt sein, sondern auch qualitative Kriterien und andere Bewertungsperspektiven in Betracht ziehen (vgl. Balanced Scorecard).
Der Aufwand bei der Ermittlung von KPIs sollte immer in angemessener Relation zum Nutzen stehen.
Eine Verbindung von KPIs mit Leistungsanreizen (z. B. Prämien) erhöht die Motivation zur Erreichung der Zielwerte.
Über Zieldefinitionen bzw. sog. „Critical Success Factors“ (CSF) und korrespondierende Messgrößen zur Zielerreichung – „Key Performance Indicators“ (KPI) – und andere Kennzahlen wird im Rahmen von IT-Governance-Konzepten dem Bedarf des Managements nach Kontrolle und Messbarkeit der IT-Rechnung getragen. Pro CSF kann es mehrere KPIs geben, dabei geht es um finanzielle und nichtfinanzielle Ziele gleichermaßen. Beispielsweise können mittels KPIs ITIL-Prozesse innerhalb der IT-Serviceerbringung über das gesamte Prozessmodell hinweg überwacht und gesteuert werden. Auf diese Weise ist es möglich, die IT-Umgebung mit den von COBIT identifizierten IT-Prozessen zu vergleichen und sie zu beurteilen (vgl. www.isaca.org/cobit.htm).
Die Zielsetzungen, welche sich aus Maßnahmen (CSF) und jeweils korrespondierenden Messgrößen (KPI) im Rahmen geplanter Budgets ergeben, sollten jeweils die normative, strategische und operative Dimension betrachten, um in alle Unternehmensbereiche hinein kommunizierbar zu sein (vgl. [BiWi07]). Im Fokus stehen dabei nicht die Kosten, sondern die Zusammenhänge zwischen Zielen, Kosten und Ergebnissen – die Performance. Abschließend sei an dieser Stelle darauf hingewiesen, dass nicht genutzte Performance-Messungen und die insofern nicht stattgefundene Lernkurve auf diesem Gebiet bei der Beurteilung, ob z. B. „Outsourcing“ oder „Offshoring“ die besseren Alternativen sind, oft zu Fehlentscheidungen führen können. Eine konsequent durchgeführte und „gelebte“ IT-Governance kann helfen, Entscheidungen dieser Tragweite besser zu beurteilen und letztendlich das Potenzial des eigenen Unternehmens besser zu nutzen.
Zweck eines kennzahlengestützten IT-Controllings durch eine zentrale Instanz ist es, in einem ersten Schritt die IT-Kosten und -Leistungen innerhalb des Unternehmens transparent zu machen. Betroffen hiervon sind sowohl bezogene IT-Leistungen als auch solche, die durch Geschäftsbereiche oder Tochterfirmen des Unternehmens in Eigenregie erbracht werden. Die geschaffene Transparenz ermöglicht es der Geschäftsleitung und nachgeordneten Führungskräften, steuernd auf die IT-Kosten, somit aber auch auf die gesamte IT-Landschaft, ihrer Organisationseinheiten einzuwirken.
| 17.6 | Framework COBIT |
Das IT-Governance Framework COBIT (Control Objectives for Information and related Technology) stellt heute vielfach eine geeignete Basis für die Einführung und Optimierung von Enterprise IT-Governance dar. Dabei handelt es sich um ein umfassendes Referenzmodell für IT-Governance, das eine Menge von Kontrollzielen für die Informatikprozesse definiert, die für die Auditierung von IT-Systemen verwendet werden können (vgl. hierzu ausführlich ITSM Library: IT-Governance, Das Taschenbuch basierend auf COBIT). Hier wird vor allem die Brücke von der rückwärts gerichteten Sicht der Prüfung zu der nach vorne gerichteten Gestaltung serviceorientierter Geschäftsprozesse geschlagen.
| 17.6.1 | Entwicklungsstufen und Elemente der Frameworks COBIT |
Das COBIT-Framework ist mittlerweile ein international anerkannter Standard für IT-Governance sowie auch für das IT-Management vor allem im Hinblick auf zentrale unternehmensweite IT-Planungen, IT-Steuerungen und IT-Controlling (aus Außensicht). Mit COBIT steht Unternehmen (und öffentlich-rechtlichen Organisationen) ein gutes Set an Praktiken durch ein Domain- und Prozess-Framework zur Verfügung. Die wesentlichen Aktivitäten und Instrumente werden in einer überschaubaren und logischen Struktur präsentiert. Die IT-Ressourcen können durch ein Set von natürlich gruppierten Prozessen gemanagt werden. Somit werden Informationen bereitgestellt, die Unternehmen benötigen, um vorgegebene und formulierte Ziele zu erreichen. Dazu wird ein Prozessmodell realisiert, das die IT in klare Domains und Prozesse unterteilt (ISACA, 2007, S. 5).
Es handelt sich insgesamt um ein umfassendes Referenzmodell für Enterprise IT-Governance, das eine Menge von Kontrollzielen für die Informatikprozesse definiert, die insbesondere auch für die Auditierung von IT-Systemen verwendet werden können. Hier wird eine Brücke von der rückwärts gerichteten Sicht der Prüfung zu der nach vorne gerichteten Gestaltung serviceorientierter Geschäftsprozesse geschlagen.
COBIT wurde 1993 vom internationalen Prüfungsverband ISACA (Information Systems Audit and Control Association) entwickelt und erstmals Ende 1995 veröffentlicht. Es unterscheidet in der noch weit verbreiteten Version 5 vier Domains (Planung & Organisation, Beschaffung & Implementation, Betrieb & Unterstützung, Überwachung), identifiziert 34 kritische Prozesse, orientiert sich an High Level Control Objectives (318 Kontrollziele werden unterschieden). Es liegt aktuell in der Version 2019 vor.
Einen Überblick über die Entwicklungsstufen und Versionen gibt Bild 17.20.
Bild 17.20 COBIT-Framework – Entwicklungsstufen und Zielgruppen im Überblick (Quelle: ISACA 2013/Germany Chapter)
Die Übersicht zeigt:
In den ersten beiden Versionen von COBIT war eine starke Fokussierung auf Audit- und Controlling-Aufgaben gegeben.
Mit der Version COBIT3 im Jahr 2000 wurden auch Aufgaben des strategischen IT-Management einbezogen; z. B. strategische IT-Planung und das Finanz- und Kostenmanagement für die Unternehmens-IT.
Eine Erweiterung ergab sich mit der Version 4 im Hinblick auf Governance (einschließlich Risk- und Compliance-Management). So wurde das COBIT-Prozessmodell für die IT-Governance-Kernbereiche (engl. focus areas) abgebildet (ISACA, 2007, S. 7). Diese fünf IT-Governance-Kernbereiche lauten wie folgt (ISACA, 2007, S. 6): Strategic Alignment, Value Delivery, Resource Management, Risk Management sowie Performance Measurement.
Mit der Einführung von COBIT 5 (im Jahr 2012) ergaben sich gegenüber COBIT 4.1 stärkere Änderungen, als dies bei früheren Versionswechseln der Fall war. So wurden die bisher eigenständigen Rahmenwerke Risk IT und Val IT nun in COBIT integriert. Dabei wurde ein detailliertes Mapping auf der Ebene von Control Objectives vorgenommen. Mit der Bereitstellung eines Prozessleitfadens sollte den Anwendern die Umstellung von COBIT 4.1, Risk IT und/oder Val IT auf COBIT 5 erleichtert werden. Im Wesentlichen sieht COBIT 5 die folgenden Ressourcen der Organisation als Schlüsselkomponenten für die Enterprise IT-Governance:
Prozesse
Prinzipien und Grundsätze
Organisationsstrukturen
Fähigkeiten und Kompetenzen
Kultur und Verhalten
IT-Service-Fähigkeiten
Information
Jede dieser Schlüsselkomponenten ist in COBIT 5 durch die ihnen zugeordneten Anspruchsgruppen, Ziele und Metriken, Lebenszyklen, Best Practices und Attribute näher beschrieben.
Das COBIT 5 Process Reference Model unterteilt außerdem die Prozesse der Enterprise IT in zwei Hauptprozess-Domains (ISACA, 2011, S. 35): Governance und Management. Dabei ist zu beachten: Die Governance-Prozesse stellen den Rahmen und die Regeln auf, denen die Managementprozesse in der Unternehmens-IT folgen.
Die Governance-Domain besteht ab der Version 5 aus fünf Governance-Prozessen:
Governance Framework definieren und weiterentwickeln
Wertschöpfungsoptimierung sicherstellen
Risikooptimierung gewährleisten
Ressourcenoptimierung sicherstellen
Transparenz für Stakeholder ermöglichen
Innerhalb von jedem dieser Governance-Prozesse sind die Phasen Evaluate, Direct und Monitor bei der organisatorischen Ausgestaltung und Implementierung abzudecken. Demgegenüber werden bezüglich der Managementprozesse die Phasen Plan, Build, Run und Monitor unterschieden.
Den Zusammenhang zeigt Bild 17.21.
Bild 17.21 Governance of Enterprise IT – Governance-Prozesse und IT-Managementprozesse im Zusammenhang: COBIT Process Reference Model (Quelle: COBIT 5 Referenz)
Anfang 2019 wurde ein Update des COBIT-Frameworks veröffentlicht. Mit COBIT 2019 macht das Framework nun den nächsten Schritt, IT-Organisationen dabei zu helfen agiler, schneller und smarter zu werden. Es ist vollständiger und in sich noch konsistenter geworden. Neu beschriebene Prinzipien und Modelle geben nun den anwendenden Organisationen die Möglichkeit, das Governance-System besser auf die unterschiedlichen Bedürfnisse, Rahmenbedingungen und Ziele der jeweiligen Unternehmen zuzuschneiden und anzupassen.
Die aktuelle Weiterentwicklung von COBIT mit der Option COBIT® 2019 versteht sich als Framework für die „enterprise governance of information and technology (EGIT)“ und stellt damit nicht nur auf die Informationstechnologie ab – gleichwohl steht diese im Mittelpunkt. IT-Governance ist auch für die neueste COBIT-Version ein integraler Bestandteil der Corporate Governance. Ihre Ausgestaltung obliegt der Unternehmensleitung, die die Definition und Implementierung von Prozessen, Strukturen und Arbeitszusammenhängen im Unternehmen überwacht, sodass das Management der Fachabteilungen (das „Business“) und der IT-Funktion in der Lage ist, seine Verantwortung hinsichtlich des Business-/IT-Alignments und der Wertschöpfung durch IT-Investitionen wahrzunehmen (nach [ISACA20a], S. 11).
| 17.6.2 | Zielorientierung – die COBIT-Goals-Kaskadierung |
Den Kern von COBIT® 2019 und COBIT5 bildet nunmehr ein Referenzmodell für Governance- und Managementziele, die über eine Kaskadierung letztlich zu einer Unterscheidung von IT-Governance- und IT-Management-Zielen führen. Hierbei werden die Zielsetzungen für die IT-Governance in der Governance-Domäne „Evaluate, Direct, Monitor (EDM)“ (dt.: Evaluieren, Vorgeben, Überwachen) abgebildet.
Ein Überblick über die Ziel-Kaskadierung wird im Folgenden beschrieben (ISACA, 2011, S. 23 – 26):
Schritt 1: Stakeholder-Bedürfnisse (Stakeholder Needs) sind zunächst einmal in Governance-Ziele (Governance Objectives) umzuwandeln. Die Abbildung der Stakeholder-Bedürfnisse erfolgt dabei auf eine oder mehrere Governance-Zielsetzungen: beispielsweise die Realisierung von Gewinnen, Risikooptimierung und Optimierung des Ressourceneinsatzes.
Schritt 2: Governance-Ziele (Governance Objectives) in Unternehmensziele (Enterprise Goals) umwandeln: Übergreifende Governance-Ziele für Unternehmen werden in ein Set von generischen Unternehmenszielen umgewandelt. Diese Unternehmensziele werden etwa mit Hilfe von Balanced-Scorecard-(BSC)-Dimensionen entwickelt, welche eine Liste von generellen Zielen darstellen, die ein Unternehmen für sich selbst definiert. Auch wenn diese Liste keinen Anspruch auf Vollständigkeit hat, können die meisten unternehmensspezifischen Ziele leicht auf ein oder mehrere generische Unternehmensziele abgebildet werden. Beispielhaft werden in COBIT generische Ziele formuliert, welche die Unternehmensziele darstellen, und die sich auf die Governance-Ziele beziehen.
Schritt 3: Unternehmensziele (Enterprise Goals) in IT-ähnliche Ziele (IT related goals) umwandeln. Das Realisieren von Unternehmenszielen erfordert eine Reihe von IT-Ergebnissen, welche durch die IT-ähnlichen Ziele repräsentiert werden. Diese IT-ähnlichen Ziele werden in einem Set von generischen IT-Zielen für Geschäftsabteilungen und die IT realisiert. COBIT 5 definiert dazu 18 IT-ähnliche Ziele. Diese werden in einer Liste dargestellt, wobei ein Mapping zu den Unternehmenszielen gezeigt wird.
Schritt 4: IT-ähnliche Ziele in Enabler-Ziele umwandeln: Damit in der IT ähnliche Ziele erreicht werden können, sind eine erfolgreiche Anwendung und Verwendung einer Reihe von Enablern erforderlich. Enabler beinhalten Prozesse, Organisationsstrukturen und Informationen, wobei für jeden Enabler ein Set an Zielen zur Unterstützung der IT-Ziele definiert werden kann.
| 17.6.3 | Governance-Enabler und Ressourcen |
Unter Enabling kann die Befähigung verstanden werden, eine Aufgabe wahrzunehmen bzw. einen Prozess auszuführen, um gesetzte Ziele erreichen zu können. Dabei lassen sich nach COBIT für die Enterprise IT-Governance vier Formen von Enablern unterscheiden: Stakeholder, Ziele (Goals), Process Life Cycle sowie Good Practices.
Einen Überblick über die Governance-Enabler und Ressourcen von COBIT gibt Bild 17.22.
Bild 17.22 COBIT-Framework – Governance Enabler und Ressourcen
Die Abbildung zeigt, dass bei der Organisation der Unternehmens-IT der Einbindung von Stakeholdern eine besondere Bedeutung zukommt. IT-Stakeholder sind Personen oder Gruppen (z. B. Topmanagement oder IT-Kunden), die ein berechtigtes Interesse an der IT haben und für eine erfolgreiche organisatorische Gestaltung einbezogen werden müssen.
| 17.6.4 | Governance- und Managementprozesse in COBIT 2019 |
Die COBIT-Prozesse enthalten die IT-Aktivitäten und Control Objectives, wobei ein COBIT-Prozess mehrere Control Objectives aufweisen kann. Control Objectives sind die spezifisch auf die IT ausgerichteten Kontrollziele, welche einen zentralen Aspekt in COBIT darstellen. Damit wird ein Set an High-Level-Requirements für das Management zur Verfügung gestellt, um eine effektive Steuerung der IT-Prozesse zu ermöglichen. Es besteht aus Policies, Prozeduren, Best Practices und Organisationsstrukturen. So werden zum Beispiel Anweisungen für bestimmte Aktionen zur Wertsteigerung und Risikoreduktion gegeben (vgl. auch ISACA, 2007 bzw. 2011, S. 12).
Der Governance-Domain besteht aus den in der nachfolgenden Tabelle skizzierten fünf Governance-Prozessen. Diese Hauptprozessdomäne wird in COBIT jeweils in den Phasen Evaluate, Direct und Monitor (kurz EDM) dargestellt.
Tabelle 17.7 Governance-Prozesse des Prozessreferenzmodells in COBIT 2019
Governance-Prozesse |
Kurzerläuterung, Objectives |
EDM01 Ensured Governance; Governance Framework Setting and Maintenance |
Das unternehmensspezifische Enterprise-IT-Governance-Rahmenwerk ist definiert und wird gepflegt (kontinuierlich weiterentwickelt). |
EDM02 Ensured Benefits Delivery |
Nutzen und Wertbeitrag werden durch die Unternehmens-IT geliefert. |
EDM03 Ensured Risk Optimization |
Eine optimale Risikosituation ist gewährleistet. |
EDM04 Ensure Resource Optimization |
Eine optimale Ressourcensituation (Kapazitätsauslastung etc.) ist sichergestellt. |
EDM05 Ensure Stakeholder Engagement |
Transparenz und Beteiligung der wesentlichen Anspruchsgruppen (Stakeholder) sind sichergestellt. |
Demgegenüber besteht die Hauptprozessdomäne Management aus vier Teil-Domains, welche sich in die Verantwortungsbereiche Align (Plan), Build, Deliver (Run) und Monitor aufgliedern. Unterschieden werden im Einzelnen folgende Management-Domains:
Align (Plan) – Plan & Organize: befasst sich mit der Gesamtorganisation, der Strategie und den unterstützenden Planungs- und Koordinationsaktivitäten für die Unternehmens-IT. Dazu gehören unter anderem das Definieren des Management Framework sowie das Formulieren einer Strategie.
Build – Aquire & Implement: behandelt die Definition, Beschaffung und Implementierung von IT-Lösungen sowie ihre Integration in Geschäftsprozesse. Letztlich geht es auch darum, Anforderungen zu definieren sowie Lösungen zu identifizieren und erfolgreich umzusetzen.
Deliver (Run) – Service & Support: richtet sich auf die operative, sichere Bereitstellung und Unterstützung von IT-Services. Wichtig ist darüber hinaus das Managen von Operations sowie das Lösen von Problemen und Incidents etc.
Monitor – Evaluate & Assessment (Performance und Konformität überwachen, Compliance mit externen Anforderungen überwachen und beurteilen).
Align, Plan and Organize (APO) – Anpassen, Planen, Organisieren
Welche Inhalte deckt die Prozessdomäne Align, Plan and Organize ab? In dieser Domäne werden sowohl strategische als auch taktische Frage- und Aufgabenstellungen angesprochen und festgelegt. Dies betrifft die Identifikation, wie die IT am besten zur Erreichung der Unternehmensziele beitragen kann.
Die Umsetzung der strategischen Vision muss geplant, kommuniziert und gemanagt werden. Darüber hinaus sollen eine geeignete Organisation und eine technologische Infrastruktur vorhanden sein. Kurz: Es gilt die Rahmenbedingungen für ein erfolgreiches Managen der Unternehmens-IT zu schaffen und diese erfolgreich umzusetzen (strategische IT-Pläne, Enterprise Architekturen, Technologie, Prozesse, Ziele, HR, Qualitätsmanagement, Risk-Management, Projektmanagement).
Tabelle 17.8 Managementprozesse Align, Plan and Organize (APO) des COBIT-Referenzmodells
Prozesse Align, Plan and Organize (APO) |
Kurzerläuterung, Objectives |
APO01 Define the Management Framework for IT |
IT-Management-Rahmenwerk entwickeln und definieren (z. B. Aufgaben und Ziele der IT-Management-Disziplinen) |
APO02 Define Strategy |
IT-Strategien entwickeln und umsetzen |
APO3 Manage Enterprise Architecture |
Dokumentation der Unternehmensarchitektur und Durchführung von EA-Planungen und EA-Governance |
APO4 Manage Innovation |
Innovationsmanagement (Produkte, Prozesse) |
APO5 Manage Portfolio |
IT-Portfolios vereinbaren, bewerten, anpassen und für Planungs- und Steuerungsaufgaben nutzen |
APO6 Manage Budget and Cost |
Budgetplanungen (Budgetierungen) und Kostenmanagement |
APO7 Manage Human Resources |
Personalplanung, Personalentwicklung und Personalverwaltung zur Unternehmens-IT |
APO8 Manage Relationships |
Beziehungen der Unternehmens-IT zu den Geschäftspartnern und Stakeholdern managen |
APO9 Manage Service Agreements |
Service-Vereinbarungen treffen und Einhaltung sichern |
APO10 Manage Suppliers |
Lieferantenmanagement |
APO11 Manage Quality |
IT-Qualitätsmanagement (Sicherung, Entwicklung) |
APO12 Manage Risk |
IT-Risikomanagement (insbesondere Sicherheits-, Ausfall- und Datenrisiken) |
Build, Acquire and Implement (BAI) – Aufbauen, Beschaffen, Implementieren
Welche Inhalte deckt die Prozessdomäne Build, Acquire and Implement ab? IT-Lösungen müssen identifiziert, entwickelt oder beschafft sowie umgesetzt und in die Geschäftsprozesse integriert werden. Zusätzlich werden Änderungen und Wartungen durchgeführt, um sicherzustellen, dass die Lösungen weiterhin den Unternehmenszielen entsprechen. Kurz: Beschaffung und Implementierung (Hardware/Software, Einkauf, Change-Management) sowie Wartungsfragen sind in dieser Managementdomäne verankert.
Tabelle 17.9 Managementprozesse Build, Acquire and Implement (BAI) des COBIT-Referenzmodells
Prozesse Build, Acquire and Implement (BAI) |
Kurzerläuterung, Objectives |
BAI1 Manage Programmes and Projects |
Manage Programme und Projekte |
BAI2 Define Requirements |
Definiere Anforderungen (in Kooperation mit Fachbereichen und Kunden) |
BAI3 Identify and Build Solutions |
Identifiziere und erstelle Lösungen (Applikationen und integrierte Solutions) |
BAI4 Manage Availability and Capacity |
Verfügbarkeit und Kapazität der Systeme und Services managen |
BAI5 Enable Organisational Change |
Ermögliche organisatorische Veränderungen |
BAI6 Manage changes |
Changemanagement (Änderungen managen) |
BAI7 Accept and Transition of Change |
Änderungen (etwa von Services) genehmigen und in Produktion geben |
BAI8 Knowledge Management |
Wissensmanagement |
Deliver, Service and Support (DSS) – Bereitstellen, Betreiben, Unterstützen
Welche Inhalte deckt die Prozessdomäne Deliver and Support ab? Diese Domäne beschäftigt sich mit der eigentlichen Erbringung der Business-IT-Serviceleistungen, was Leistungserbringung, Sicherheit und Kontinuität, Service Support für User und Management von Daten und Einrichtungen umfasst. Kurz: gesamte Führung des IT-Betriebs sowie Lieferantenmanagement, Kostenverrechnung, Support und Schulungen für User.
Tabelle 17.10 Deliver, Service and Support (DSS) des COBIT-Referenzmodells
Deliver, Service and Support (DSS) |
Kurz-Erläuterung, Objectives |
DSS1 Manage Operations |
Betrieb der Systeme managen |
DSS2 Manage Assets |
IT-Assetmanagement (Software, Infrastruktur) |
DSS3 Manage Configuration |
Manage die Konfiguration |
DSS4 Manage Service Requests and Incidents |
Manage Service-Anforderungen und Vorfälle |
DSS5 Manage Problems |
Manage Probleme |
DSS6 Manage Continuity |
Manage den kontinuierlichen Betrieb |
DSS7 Manage Information Security |
Manage Informationssicherheit |
DSS8 Manage Business Process Controls |
Manage Kontrollen in Geschäftsprozessen (unter Nutzung von Prozesskennzahlen) |
Monitor, Evaluate and Assess (MEA) – Überwachen, Evaluieren und Beurteilen
befasst sich mit der Leistungsüberwachung in Bezug auf interne Leistungs- und Kontrollziele und der Compliance der IT mit externen Anforderungen.
Tabelle 17.11 Monitor, Evaluate and Assess (MEA) des COBIT-Referenzmodells
Monitor, Evaluate and Assess (MEA) |
Kurzerläuterung, Objectives |
MEA1 Monitor and Evaluate Performance and Conformance |
Überwache und beurteile die Performance und Konformität der Solutions, Daten etc. |
MEA2 Monitor System of Internal Control |
Überwache das interne IT-Kontrollsystem (IKS) |
MEA3 Monitor and Evaluate Compliance with External Requirements |
Überwache und beurteile Compliance mit externen Vorgaben |
| 17.6.5 | Designfaktoren und Designprozess zur COBIT-Implementation |
Eine Herausforderung für die Unternehmensführung und die Unternehmens-IT besteht nun in der Praxis darin, das unternehmensspezifische Governance-System zu designen und zu implementieren. COBIT bietet dazu elf sog. Designfaktoren an, mit denen Organisationen für die verschiedenen Faktoren die Ausprägungen (mit den jeweiligen Zielen und Kenngrößen) festlegen können, die der unternehmensindividuellen Situation entsprechen. Diese Desginfaktoren sind:
Unternehmensstrategie
Unternehmensziele
Risikoprofile (unternehmensweites IT-Risikomanagement)
IT-geleitete Issues
Sicherheitsanforderungen (Threat Landscape)
Compliance-Anforderungen
Rolle und Bedeutung der IT im Unternehmen
IT-Sourcing-Modell
IT-Implementationsmethoden
Technologie-Adoption-Strategie (Portfoliomanagement)
Unternehmensgröße
Für die Nutzung der Designfaktoren wird ein sog. Designprozess vorgeschlagen. Dieser Prozess unterstützt Organisationen dabei, das COBIT-Framework auf die spezifischen Bedürfnisse der jeweiligen Organisation anzupassen. Er umfasst vier Teilschritte:
Identifikation von Kontext und Strategie des Unternehmens: Statusaufnahme und Assessment
Festlegen des Startumfangs (initial scope) des Governance-Systems
Verfeinern der Elemente und Ziele des Governance-Systems
Finalisierung des Designs des Governance-Systems
Die skizzierten Entwicklungsschritte spiegeln wider, dass verschiedene Faktoren eine unterschiedliche Bedeutung bei der Definition eines Enterprise IT-Governance-Systems haben können. Darüber gilt es im Rahmen des Einführungsteams zu entscheiden.
| 17.7 | Fazit |
Unter Beachtung der in den vorhergehenden Abschnitten skizzierten Handlungsfelder dient die in Bild 17.24 dargestellte Roadmap als Orientierung, wenn eine ganzheitliche und umfassende Einführung von IT-Governance-Strukturen und -Prozessen im Unternehmen angestrebt wird.
Im Einzelnen sind in Bild 17.23 verschiedene Handlungsfelder skizziert, die sich mittels geeigneter Prozessbeschreibungen optimiert umsetzen lassen. Allerdings stehen diese Prozesse nicht isoliert da, sondern sind miteinander verknüpft und bedürfen einer Verankerung in geeigneten organisatorischen Strukturen.
Bild 17.23 Enterprise IT-Governance – mögliche Roadmap
Bezüglich der Verankerung der Prozesse in der Unternehmensorganisation ist zunächst einmal eine Zuweisung von Rollen und Verantwortlichkeiten zu bestimmten Personen notwendig. Außerdem sind Entscheidungsgremien einzurichten, welche die notwendigen Entscheidungen treffen und deren Umsetzung im Sinne der Governance-Zielsetzungen sicherstellen.
Diese Gremien können sowohl auf der Angebots- als auch auf der Nachfrageseite aktiv werden und dazu Entscheidungen vorbereiten, treffen und umsetzen. So sind bezüglich der Angebotsseite Entscheidungen und Gremien notwendig, die sich mit der Überwachung externer IT-Dienstleister und der operativen Bereitstellung von IT-Produkten befassen. Entscheidungsgremien, die im strategischen Umfeld aktiv sind, müssen Überlegungen zur generellen Ausrichtung der IT-Organisation, zu Beschaffungsstrategien und IT-Investitionen großen Umfangs „anstellen“ und dazu entsprechende Aktivitäten anstoßen. Bezüglich der Nachfrageseite sind Gremien bzw. Rollen nötig (etwa IT-Koordinatoren), die auf der operativen Ebene die Anforderungen bzw. Wünsche der Fachbereiche bündeln bzw. harmonisieren, kleinere Investitionsentscheidungen treffen sowie Change Requests behandeln und „abwickeln“.
Welche Erwartungen werden an eine professionelle Governance gestellt? Der Nutzen, den eine gezielte und umfassende zentrale IT-Steuerung für die Praxis bietet, ist vielfältig, wie Bild 17.24 verdeutlicht.
Bild 17.24 Möglicher Nutzen durch Einführung zentraler IT-Steuerung
Als Fazit kann festgehalten werden: In der Realität sind alle Unternehmen in immer stärkerem Ausmaß von einer funktionierenden IT abhängig. Sie ist der integrale Bestandteil vieler Geschäftsprozesse. Deswegen ist gerade für die Schnittstelle zwischen IT und Geschäft eine effektive Governance essenziell. Fehlt sie, kann dies in den meisten Unternehmen gravierende Folgen haben: Die Reihe der missglückten IT-Projekte setzt sich fort und die gesamte Wertschöpfung sowie der nachhaltige Bestand eines Unternehmens leiden.
Das Wichtigste – zusammengefasst
Die Einrichtung eines internen Überwachungssystems stellt ein wichtiges Instrument der Corporate Governance dar. Dieses beinhaltet sowohl die Teilsysteme der prozessabhängigen Überwachung (Internes Kontrollsystem) als auch die der prozessunabhängigen Überwachung (Interne Revision).
Dabei prüft und beurteilt die Interne Revision die Effizienz und Effektivität des internen Kontrollsystems im Unternehmen.
Die Corporate Governance ist der wesentliche Treiber für die IT-Governance!
Enterprise IT-Governance und die dabei zu betrachtenden Standards und Vorgaben werden typischerweise aus der Corporate Governance des Unternehmens abgeleitet.
Beachten Sie, dass eine zentrale Planung und Kontrolle bzw. die Steuerung der IT-Aktivitäten für viele Organisationen eine immer höhere Bedeutung und Notwendigkeit erlangt!
Business-IT-Alignment, zunehmende Risikosituationen sowie Compliance-Anforderungen machen die Zentralisierung von Steuerungsfunktionen für die Unternehmens-IT unverzichtbar.
Stellen Sie sicher, dass durch die Anwendung der Prinzipien der IT-Governance eine Umsetzung der IT-Strategie im Sinne der Verantwortungsträger – also der Unternehmensführung – erfolgt!
Das bedeutet, dass die IT-Strategie als möglichst integraler Bestandteil der Business-Strategie eines Unternehmens gesehen und entsprechend daraus abgeleitet werden sollte. Letztlich sollen damit die Chancen und Risiken der IT für das Unternehmen aktiv gemanagt werden.
Arbeiten Sie auf der Grundlage von zentral definierten Kernaufgabenfeldern für die Enterprise IT-Governance!
Ausgehend von einer unternehmensweiten IT-Strategieentwicklung sowie einem gezielten Anforderungsmanagement ist die Unternehmensarchitektur zu planen und zu entwickeln und Maßnahmen der Risikosteuerung sind zu implementieren!
Ein unternehmensweites Anforderungs- und Architekturmanagement schafft wesentliche Voraussetzungen für einheitliche IT-Lösungen, die eine hohe Akzeptanz bei den Kunden gewährleisten sowie eine nachhaltige Unternehmenssicherung ermöglichen.
Nutzen Sie auf der Management- und Steuerungsebene die Chance, in Zeiten komplexer und wichtiger werdender IT-Systeme für Ihre Organisation effektive Strukturen zu schaffen, die auch die Kultur Ihres Unternehmens durch die neue Qualität der Zusammenarbeit positiv verändern werden.
Ausgehend von den Grundsätzen der Enterprise IT-Governance ist es wichtig, dass die Planung, Durchführung, Kontrolle und Bewertung von IT-Investitionen nach einem klaren Verfahrenskonzept erfolgen.
Auf diese Weise kann sichergestellt werden, dass ein sachgerechter und effizienter Einsatz der für IT-Zwecke zur Verfügung stehenden Mittel erfolgt.
Als wesentliche Methoden zur Sicherung und Steuerung des IT-Betriebs bzw. der IT-Governance haben sich IT-Prozessanalysen, Impact-Analysen sowie Risiko- und Compliance-Analysen bewährt.
Um aufgrund von vorliegenden Informationen und durchgeführten Analysen zu abgestimmten Maßnahmen zu gelangen, benötigen alle Beteiligten grundlegende Problemlöse- und Methodenkompetenzen. Damit können sich alleBeteiligten und Betroffenen konstruktiv sach- und zielgerichtet einbringen und durch eine gemeinsame Umsetzung von Maßnahmen erfolgreich einen sicheren und effizienten IT-Systembetrieb ermöglichen.
COBIT (Control Objectives for Information and related Technology) kann als das herausragende Framework für Enterpise IT-Governance vielfach nutzbringend herangezogen werden!
Es deckt wie kein anderes Framework die Prozesse und Aktivitäten der IT ab, die für eine unternehmensweite IT-Steuerung wesentlich sind.
| 17.8 | Literatur |
[BiWi07] |
Bienert, P.; Faulhaber, B.: IT-Governance – Strategische Führung und Kontrolle von Informationssystemen als Teil der New Corporate Governance. Forte Advisors AG, 2007 |
[DCGK19] |
Regierungskommission Deutscher Corporate Governance Kodex (Hrsg.): Deutscher Corporate Governance Kodex in der Fassung vom 7. Februar 2017, online unter: http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html (letzter Zugriff: 13. 06. 2022) |
[DeH15] |
De Haes, S.; van Grembergen, W.; Joshi, A.; Huygh, T.: Enterprise Governance of Information Technology – Achieving Alignment and Value in Digital Organizations, 3. Aufl., Springer, Cham 2015 |
[FrGl07] |
Fröhlich, M., Glasner, K.: IT Governance – Leitfaden für eine praxisgerechte Implementierung. Gabler, Wiesbaden 2007 |
[GA20] |
Gartner: The Strategic Planning Checklist to Progress Through Uncertainty. Präsentation und Empfehlungen von Gartner-Research 2020 |
[Gau19] |
Gaulke, M.: COBIT® 2019 – das neue IT-Governance-Modell für die Unternehmens-IT. In: IT-Governance, 13. Jg. (2019), Nr. 29, S. 3-9 |
[Gau20] |
Gaulke, M.: Praxiswissen COBIT – Grundlagen und praktische Anwendung in der Unternehmens-IT, 3. Aufl., dpunkt, Heidelberg 2020 |
[Go06] |
Goltsche, Wolfgang: COBIT kompakt und verständlich. Springer, Berlin Heidelberg 2006 |
[ITSM05] |
ITSM Pocket Library: IT Governance. Das Taschenbuch basierend auf COBIT. Van Haren Publishing, 2005 |
[ISACA2011a] |
ISACA: COBIT 5, The Framework, Rolling Meadows, USA, 2011. http://www.isaca.org/COBIT514 |
[ISACA2011b] |
ISACA: COBIT 5, Process Reference Guide, Rolling Meadows, USA, 2011. http://www.isaca.org/COBIT515 |
[ISACA2012a] |
Information Systems Audit and Control Association (ISACA): COBIT® 5 – Rahmenwerk für Governance und Management der Unternehmens-IT, deutsche Ausgabe, ISACA, Rolling Meadows 2012 |
[ISACA2012b] |
ISACA: COBIT 5, Information Systems Audit and Control Association (ISACA): COBIT® 5 – Enabling Processes, deutsche Ausgabe, ISACA, Rolling Meadows 2012 |
[ISACA20a] |
Information Systems Audit and Control Association (ISACA): COBIT 2019 Einleitung und Methodik, ISACA, Schaumburg 2020 |
[ISACA20b] |
Information Systems Audit and Control Association (ISACA): COBIT 2019 Governance- und Managementziele, ISACA, Schaumburg 2020 |
[ISO15] |
International Organization for Standardization (Hrsg.): International Standard ISO/IEC 38500:2015, Information technology – Governance of IT for the organization, Second Edition, Genf 2015 |
[ITGI03] |
IT Governance Institute (Hrsg.): IT Governance für Geschäftsführer und Vorstände. IT Governance Institute in Kooperation mit KPMG, 2003 |
[JoGo07] |
Johannsen, W.; Goeken, M.: Referenzmodelle für IT-Governance. Strategische Effektivität und Effizienz mit COBIT, ITIL & Co. dpunkt.verlag, Heidelberg 2007 |
[Jo07] |
Joisten, C.: IT Governance A new concept or an innovative development of Information Management. VDM Verlag Dr. Müller, 2007 |
[Ke04] |
Keitsch, D.: Risikomanagement. 2., überarb. u. erw. Auflage. Schäffer-Poeschel, Stuttgart 2004 |
[KeMa08] |
Keller, W.; Masak, D.: Was jeder CIO über IT-Alignment wissen sollte. IM Information Management & Consulting, 23. Jahrgang 1/2008 |
[Kl16] |
Klotz, M.: ISO/IEC 3850x – Die Normenreihe zur IT-Governance. In: SIMAT Arbeitspapiere. Hrsg. von M. Klotz. Stralsund: FH Stralsund, SIMAT Stralsund Information Management Team, 8. Jg. (2016), Nr. 30, DOI: http://dx.doi.org/10.13140/RG.2.2.31605.58080 |
[Mi89] |
Mintzberg, H.: Mintzberg on Management. Inside our strange world of organizations. Free Press, 1989 |
[Ni05] |
Niemann, K.: Von der Unternehmensarchitektur zur IT Governance – Bausteine für ein wirksames IT-Management. Vieweg, Wiesbaden 2005 |
[OECD15] |
OECD (Hg.): G20/OECD-Grundsätze der Corporate Governance, OECD Publishing Paris 2015, DOI: https://doi.org/10.1787/9789264250130-de (letzter Zugriff: 11. 08. 2022) |
[RüSG06] |
Rüter, A.; Schröder, J.; Göldner, A.: IT-Governance in der Praxis. Springer, 2006 |
[Ti07] |
Tiemeyer, E.: IT-Strategien entwickeln – IT-Architekturen planen. Rauscher, Haag i. OB 2007 |
[WeRo04] |
Weill, P.; Ross, W.: IT Governance How top performers manage IT decision rights for superior results. Harvard Business Scholl Press, 2004 |