2. Startseite
  3. 11. Auflage
  4. Lerneinheiten
  5. Governance (GOVER)

Governance (GOVER)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie können Zweck, Ziele und Aufgaben von IT-Governance erklären. Sie kennen den Zu- sammenhang sowohl von IT-Governance und Corporate Governance als auch von IT- Governance und IT-Servicemanagement. Sie können Ziele und Inhalte von ISO/IEC 38500, CobiT und Val IT erörtern.

Definitionen und Abkürzungen

  • Basel II = vom Basler Ausschuss für Bankenaufsicht formulierte Vorschriften, die u. a. darauf ausgerichtet sind, das Eigenkapital von Banken am tatsächlichen Risiko auszurichten.
  • Business-IT-Alignment = Abstimmung bzw. gegenseitige Ausrichtung von Unternehmensstrategie und IT-Einsatz; zum Teil abgekürzt als IT-Alignment oder Alignment (von engl. adjusting a line).
  • CobiT = Control Objectives for Information and Related Technology; Leitlinien zur Gestaltung der IT-Governance.
  • Compliance = Einhaltung von Gesetzen, rechtlichen Bestimmungen, vertraglichen Vereinbarungen und unternehmensinternen Vorschriften.
  • Corporate Governance = Gesamtheit der Leitungs-, Kontroll- und Steuerungsmechanismen, Regeln für die Verteilung von Rechten und Pflichten sowie der Rechenschaftspflicht und Haftung in einem Unternehmen.
  • ISACA = Information Systems Audit and Control Association; internationaler Berufsverband für IT-Prüfungswesen, -Revision und -Sicherheit.
  • ITGI = IT Governance Institute; Institut, das Hilfsmittel für IT-Governance – insbesondere CobiT – entwickelt und pflegt.
  • IT-Governance = Teil der Corporate Governance, der auf die IT bezogen ist.
  • KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich; es erweitert die Haftung der Unternehmensleitung und zwingt diese, ein Risikofrüherkennungssystem einzuführen sowie Aussagen zur Risikostruktur des Unternehmens zu publizieren.
  • OECD = Organisation for Economic Co-operation and Development; Organisation für wirtschaftliche Zusammenarbeit und Entwicklung.
  • operationelles Risiko (operational risk) = Risiko, das sich aus der betrieblichen Tätigkeit ergibt. Synonyme: operationales oder operatives Risiko.
  • RACI = Responsible, Accountable, Consulted and Informed; Kurzbezeichnung von Rollen im Zusammenhang mit IT-Governance-Aufgaben.
  • Sarbanes-Oxley Act = Gesetz, mit dem die Corporate Governance von Unternehmen verbessert werden soll, die an US-Börsen notiert sind; zum Teil abgekürzt als SOX.
  • Solvency II = Vorhaben der Kommission der Europäischen Gemeinschaften, mit dem Vorschriften zur Eigenkapitalausstattung von Versicherungsunternehmen geregelt werden.
  • Val IT = Enterprise Value: Governance of IT Investments; Leitfaden des ITGI zur Steigerung des Erfolgs von IT-Investitionen.
Zweck der IT-Governance
Aufgaben der IT-Governance
ISO/IEC 38500
CobiT
Val IT

Forschungsbefunde

In einer weltweit durchgeführten Studie (Online-Befragung von N = 46101 ISACA-Mitgliedern, n = 3173 auswertbare Antworten aus Unternehmen in 95 Ländern, Rücklaufquote = 6,9 %; Untersuchungszeitraum April bis Mai 2008) wurden im Auftrag von ISACA die größten Herausforderungen für IT-Führungskräfte ermittelt. 33 % der Teilnehmer bezeichneten ihren hauptsächlichen Verantwortungsbereich als IT-Management, 41 % als Audit/Assurance und 26 % als Security Management. Aus einer Liste von insgesamt 21 Problemen wurden die folgenden sieben als die zentralen Probleme bewertet:

  • Einhaltung rechtlicher Bestimmungen, insbesondere Schutz personenbezogener Daten,
  • unternehmensweites IT-Management und IT-Governance,
  • IT-Sicherheitsmanagement,
  • Katastrophenmanagement / Notfallplanung,
  • Management des Beitrags der IT zum Unternehmenserfolg,
  • Herausforderungen beim IT-Risikomanagement sowie
  • Einhaltung der Bestimmungen für die Finanzberichterstattung.

ISACA (Hrsg.): Top Business / Technology Issues Survey Results. Rolling Meadows 2008

PricewaterhouseCoopers führte im Auftrag des ITGI eine Untersuchung durch (Interviews in 23 Ländern mit 749 CIOs und CEOs, keine Angaben zur Grundgesamtheit, Untersuchungszeitraum Juli bis Oktober 2007), um Prioritäten und Maßnahmen von Führungskräften sowie deren Unterstützungsbedarf für IT-Governance zu ermitteln. Dabei wurden folgende Erkenntnisse gewonnen. (Die Vergleiche beziehen sich auf Ergebnisse ähnlicher Untersuchungen, die 2004 und 2006 publiziert wurden.)

  1. Obwohl der Anstoß für IT-Governance in der Regel von der Unternehmensspitze ausgeht, beschäftigen sich im Alltag eher CIOs bzw. IT-Leiter mit dem Thema. Die wenigen Nicht-IT-Fachleute unter den Teilnehmern nahmen die IT deutlich positiver wahr als die IT-Fachleute selbst.

  2. Die Bedeutung der IT für den Unternehmenserfolg steigt weiter.

  3. Selbstbewertung der IT-Governance nimmt zu und wird positiv wahrgenommen.

  4. Die Kommunikation der IT mit den Nutzern verbessert sich nur langsam.

  5. Die Abstimmung von Corporate und IT-Governance kann noch deutlich verbessert werden; das Gleiche gilt für Unternehmens- und IT-Strategie.

  6. Probleme mit der IT bestehen weiterhin. Insbesondere IT-Sicherheit und Compliance sind kritisch, wobei Menschen das größte Problem darstellen.

  7. Gute IT-Governance-Methoden sind weitgehend bekannt, werden aber nicht in allen Unternehmen angewendet.

  8. In den Unternehmen ist bekannt, wer die Implementierung der IT-Governance unterstützen kann, externe Hilfe wird aber nur in geringem Maße in Anspruch genommen.

  9. Deutlich mehr Unternehmen als in früheren Untersuchungen haben IT-Governance-Projekte begonnen oder haben konkrete Pläne dafür.

  10. Die Unternehmen nutzen die bekannten IT-Governance-Modelle und -Leitlinien.

  11. In mehr als 50 % der Unternehmen ist CobiT bekannt, ca. 30 % wenden es an.

    • 25 bis 35 % dieser Unternehmen halten sich eng an die Empfehlungen von CobiT.

    • In 50 % dieser Unternehmen ist CobiT eine von mehreren Quellen für die Gestaltung der IT-Governance.

  12. Mehr als die Hälfte der Unternehmen wenden Prinzipien an, die in Val IT beschrieben sind, oder planen, dies zu tun. Die meisten Teilnehmer kennen Val IT aber nicht.

PricewaterhouseCoopers / IT Governance Institute (Hrsg.): IT Governance Global Status Report - 2008. Rolling Meadows 2008

Köbler et al. berichten über eine Studie zu IT-Governance und IT-Entscheidertypen in deutschen Krankenhäusern (schriftliche Befragung von 206 Führungskräften aus dem IT-Bereich von Krankenhäusern in Deutschland, Rücklaufquote 9,88 %, keine Angaben zum Untersuchungszeitraum). Bei der Typisierung der zukünftigen Rolle der obersten IT-Entscheider konnten zwei Typen identifiziert werden. Je größer das Krankenhaus ist, desto eher sieht sich der IT-Leiter als „IT-Manager“, der Mitglied der Geschäftsführung ist, Unternehmensziele in die Planung der IT einbezieht, über ausreichende Entscheidungsbefugnisse verfügt und ein Mitwirkungsrecht an der Krankenhausstrategie erhält. IT-Manager in kleineren Krankenhäusern nehmen sich selbst eher als „Systemadministratoren“ wahr, die von der Geschäftsführung wenig beachtet werden, nicht in Entscheidungen der Krankenhausführung eingebunden sind und nicht selbstständig über das IT-Budget entscheiden können.

Köbler, F. et al.: IT-Governance und IT-Entscheidertypen in deutschen Krankenhäusern. In: WIRTSCHAFTSINFORMATIK 6/2010, 353365

Meyer et al. sehen den Neuigkeitswert der IT-Governance insbesondere in der Berücksichtigung der Trends Wertorientierung, Prozessorientierung, Dienstleistungsorientierung und Risikomanagement, die in bekannten Ansätzen des Informationsmanagements ihrer Meinung nach nicht ausreichend Berücksichtigung finden. Obwohl insbesondere das strategische Informationsmanagement, das sich mit der Planung, Überwachung und Steuerung der IT-Infrastruktur als Ganzes auseinandersetzt, die Aufgaben der IT-Governance einschließt, liegt der Schwerpunkt der IT-Governance aufgrund der marktorientierten Dienstleistungssicht bei den Prozessen zur Beschaffung (Sourcing), Auslieferung (Delivery) und Unterstützung (Support) von IT-Dienstleistungen in Verbindung mit einem hohen Stellenwert der Überwachung und Kontrolle dieser Prozesse.
Meyer, M. / Zarnekow, R. / Kolbe, L. M. : IT-Governance – Begriff, Status quo und Bedeutung. In: WIRTSCHAFTSINFORMATIK, 4/2003, 445-448

Eine Möglichkeit, Aussagen über IT-Governance und deren Reifegrad zu treffen, ist die kritische Auseinandersetzung mit den Referenzmodellen, die als Werkzeug der IT-Governance bezeichnet werden oder in dieser Form Verwendung finden. Hochstein et al. sprechen ITIL den Charakter eines Best-Practice-Referenzmodells ab und verweisen auf Modellmängel, die auf die Verletzung von Grundsätzen zur Referenzmodellierung zurückzuführen sind.
Hochstein, A. / Zarnekow, R. / Brenner, W: ITIL als Common-Practice-Referenzmodell für das IT-Service-Management – Formale Beurteilung und Implikationen für die Praxis. In: WIRTSCHAFTSINFORMATIK, 5/2004, 382-389

Nach Untersuchungen von Bauerschmid (Inhaltsanalyse Mitte 2005) gibt es keine über den Fachhandel beziehbare deutschsprachige dedizierte Publikation zu IT-Governance. Im englischen Sprachraum konnten fünf Bücher identifiziert werden, von denen zwei der Zielgruppe Wissenschaftler zugeordnet wurden. Eine einheitliche Definition von IT-Governanace bzw. von Methoden konnte nicht angegeben werden.
Bauerschmid, M.: Vergleichende Buchbesprechung – IT-Governance In: WIRTSCHAFTSINFORMATIK, 6/2005, 450-457

Aus der Praxis

Ritschel et al. beschreiben ein Projekt zur Sicherstellung der IT-Compliance mit dem Sarbanes-Oxley Act bei Novartis, einem Pharmazieunternehmen aus der Schweiz. Das Projekt wurde in verschiedene länderspezifische und themenorientierte Teilprojekte gegliedert und hatte eine Laufzeit von Mai bis Dezember 2004. In Absprache mit den Wirtschaftsprüfern wurde entschieden, das Projekt auf folgende Bereiche zu konzentrieren, da diese mit hohen Risiken verbunden sind: Corporate Policies, Project Management, Change Management, Disaster Recovery, Security Management, Problem Management und Service Level Management. Ritschel et al. berichten über folgende Erfahrungen: Durch den Sarbanes-Oxley Act haben IT-Compliance-Projekte für die Unternehmensleitung einen höheren Stellenwert bekommen. Das hat dazu geführt, dass bei Novartis ein Rahmenmodell für die Steuerung sowohl des IT- als auch des Finanzbereichs entwickelt wurde, das über die Anforderungen des Sarbanes-Oxley Act hinausgeht. CobiT war ein wertvolles Hilfsmittel zur Umsetzung der IT-Compliance. Die notwendige einheitliche Prozessdokumentation schaffte Transparenz über gleichartige Prozesse in verschiedenen Unternehmensbereichen. Dadurch konnten Synergieeffekte genutzt werden und die Bereitschaft einiger Unternehmensbereiche stieg, Standardprozesse zu übernehmen. Die stärkere Reglementierung von IT-Prozessen führte einerseits zu Mehrarbeit, höherem Formalismus und verminderter Flexibilität, andererseits aber auch zu einer höheren Reife der Prozesse und zu einer messbaren Qualitätssteigerung.
Ritschel, A. et al.: SOX-IT-Compliance bei Novartis. In: HMD - Praxis der Wirtschaftsinformatik 250/2006, 68–77

Methodenverweise

Kontrollfragen

  1. Wie kann Governance im IT-Bereich implementiert werden?

  2. Welche Argumente sind für Projekte zur Implementierung von IT-Governance relevant?

  3. In welcher Beziehung stehen IT-Governance und IT-Servicemanagement?

  4. Welche Aufgaben des Informationsmanagements werden durch IT-Governance beeinflusst?

  5. Welche Inhalte werden in CobiT mit control objectives bezeichnet?

  6. Welche Ziele werden mit IT-Governance verfolgt?

  7. Welche Aufgabenbereiche umfasst IT-Governance?

  8. Welche Bedeutung haben die in CobiT beschriebenen Qualitätsmerkmale für Information?

Quellen

  • Dinter, B. et al.: Governance in der Informationslogistik am Beispiel eines Energieversorgers. In: Dinter, B. et al. (Hrsg.): DW2008. Synergien durch Integration und Informationslogistik. Lecture Notes in Informatics (LNI) - Proceedings. Bonn 2008, 249–266

  • ITGI (Hrsg.): CobiT 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models. Rolling Meadows 2007

  • ITGI (Hrsg.): Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. Rolling Meadows 2008

  • ITGI (Hrsg.): Global Status Report on the Governance of Enterprise IT (GEIT). Rolling Meadows 2011

  • ITGI / KPMG (Hrsg.): IT Governance für Geschäftsführer und Vorstände. 2. A. 2003. http://www.isaca.org; Abruf 01. Juni 2011

  • Robb, A. / Parent, M.: Understanding IT Governance: A Case of Two Financial Mutuals. In: Journal of Global Information Management (JGIM) 3/2009, 59-77

  • Weill, P. / Woodham, R.: Don't Just Lead, Govern: Implementing Effective IT Governance. MIT Sloan Working Paper No. 4237–02. Cambridge 2002. http://cisr.mit.edu; Abruf 01. Juni 2011

Vertiefungsliteratur

  • IT Governance Institute / Office of Government Commerce / IT Service Management Forum (Hrsg.): Aligning CobiT, ITIL and ISO 17799 for Business Benefit: Management Summary. Rolling Meadows 2005. http://www.itsmf.com; Abruf 01. Juni 2011

  • Johannsen, W. / Goeken, M.: Referenzmodelle für IT-Governance. Strategische Effektivität und Effizienz mit COBIT, ITIL & Co. Heidelberg 2007

  • Kozlova, E.: WI – Vergleichende Literaturstudie. IT-Governance. In: WIRTSCHAFTSINFORMATIK 5/2008, 418- 425

  • Teubner, A. / Feller, T.: Informationstechnologie, Governance und Compliance. In: WIRTSCHAFTSINFOR- MATIK 5/2008, 400–407

  • Weill, P. / Ross, J. W.: IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Boston 2004

  • Weill, P. / Ross, J. W.: A Matrixed Approach to Designing IT Governance. In: MIT Sloan Management Review 2/2005, 26–34

  • Joachim, N. / Beimborn, D. / Weitzel, T.: SOA-Governance für effektive serviceorientierte Architekturen – Eine empirische Studie in der deutschen Dienstleistungswirtschaft. In: Bernstein, A. / Schwabe, G. (Hrsg.): Proceedings of the 10th International Conference on Wirtschaftsinformatik WI 2.011. Volume 1. 16-18 February 2011, Switzerland. Zürich 2011, 446-455

Informationsmaterial

Normen

  • ISO/IEC 38500:2008 Corporate Governance of Information Technology

Portal

11. Auflage

Login

Angemeldet bleiben