48,99 €
Mehr erfahren.
- Herausgeber: Fachmedien Recht und Wirtschaft
- Kategorie: Fachliteratur
- Serie: Datenschutzberater
- Sprache: Deutsch
- Veröffentlichungsjahr: 2023
Die derzeit stattfindende technologische Transformation vollzieht sich in Gestalt Disruptiver Technologien wie u. a. Cloud Computing und Künstliche Intelligenz sowie neuer Methoden wie Scrum und datengetriebene Organisation. Der sich rasant ändernde Wettbewerb mit teils marktfremden Akteuren (u. a. BigTechs) sowie sich ständig ändernden Bedrohungslagen erfordern eine kontinuierliche Analyse und planerische Anpassung. Dies erfordert eine IT-Governance. Nur durch konkretisierte und operationalisierte Zielwerte und eine Zielerreichungsmessung wird auf Basis einer IT-Strategie wirklich gesteuert. In der Realität findet man häufig Wildwuchs vor. Systemlandschaften sind Zufallsprodukt auditgetriebenen Durchhangelns. Unzureichende Dokumentation und fehlender Durchblick aller Beteiligten sind zwangsläufige Begleiterscheinungen. Das hat aber nicht nur Auswirkung auf die Kernfunktionen der IT. Vielmehr ist bei solchen Unzulänglichkeiten auch kein ordnungsgemäßes IT-Risikomanagement möglich. Beispielsweise müssen Informationsrisiken bzw. Datenschutzrisiken etc. sauber über Geschäftsprozesse und Applikationslandschaften erfasst werden – ehe sie gesamtheitlich bewertet über eine CMDB in die Infrastruktur vererbt werden können. Dies sind Grundlagen für ein belastbares IKS und OpRisk (bzw. Non Financial Risk). Themen, die mithin durch KRITIS sowie dem zunehmenden Zertifizierungserfordernis (TISAX, ISO) und Prüfungsstandards (ISAE, IDW PS) mittlerweile in allen Lieferketten angekommen sind. Die straff gehaltenen Ausführungen dieser gesammelten Praxiserfahrungen geben Anregungen für einen Ordnungsansatz mit Checklisten für die Implementierung sowie Musterbeispiele. Der Titel in Kürze: - Themenüberblick einer IT-Governance - Strategische Entwicklung der IT-Organisation und des IT-Betriebs - Grundlagen einer Cloud Governance - Zusammenspiel IT-Governance mit IT-Risikomanagement und IKS - Implementierungsstrahl mit Checklisten und Musterbeispielen
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 151
Ähnliche
IT-Governance
als Basis strategischer IT-Steuerung, Cloud-Governance und dem erfolgreichen Management von Cyber-Risiken
Wolfgang Gaess
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1857-1
© 2023 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Vorwort
Wir haben Stunden miteinander verbracht - und um die Ecke gedacht (Tocotronic – Um die Ecke [gedacht])
Die derzeit stattfindende Technologische Transformation vollzieht sich in Gestalt Disruptiver Technologien wie u.a. Cloud und Künstlicher Intelligenz sowie neuer Methoden wie Agilem Projektmanagement und dem Wandel hin zu datengetriebenen Organisationen. Der sich rasant ändernde Wettbewerb, mit teils marktfremden Akteuren auf „etablierten“ Märkten (u.a. BigTechs) sowie sich ständig ändernden Bedrohungslagen, erfordert kontinuierliche Analyse und planerische Anpassung. Diese Aufgaben erfüllt eine IT-Governance. Nur mit dadurch konkretisierten und operationalisierten Zielwerten und einer Zielerreichungsmessung wird auf Basis einer IT-Strategie wirklich gesteuert.
In der Realität hat sich bisher jedoch meist das Prinzip Wildwuchs durchgesetzt. Systemlandschaften sind Zufallsprodukt auditgetriebenen Durchhangelns. Fehlender Durchblick und dürftige Dokumentation sind zwangsläufige Begleitmangelerscheinungen. Das hat aber nicht nur Auswirkung auf die Performanz der Kernfunktionen der IT. Vielmehr ist bei solchen Unzulänglichkeiten auch kein ordnungsgemäßes IT-Risikomanagement möglich. Beispielsweise müssen Informationsrisiken bzw. Datenschutzrisiken etc. über Geschäftsprozesse und Applikationslandschaften nachvollziehbar und vollständig erfasst werden – ehe sie gesamtheitlich bewertet über eine Configuration Management Database (CMDB) auf die Ebene der Infrastruktur vererbt werden. Dies sind Grundlagen für ein belastbares Internes Kontrollsystem (IKS) und Non Financial Risks (NFR) (bzw. OpRisk1). Themen, die mithin durch die KRITIS-Verordnung, die zunehmenden Zertifizierungserfordernisse wie TISAX2 oder nach ISO sowie anerkannte Prüfungsstandards wie ISAE3 (bzw. IDW PS4) mittlerweile in allen Lieferketten angekommen sind.
Die durch IT-Governance geschaffenen Leitlinien, Strukturen und Vorlagen erleichtern die Arbeit in und mit der IT. Die hierdurch geschaffene Akzeptanz steigert die Einhaltung der Vorgaben und erzeugt dadurch eine Verbesserung des gesamtheitlichen IT-Betriebs in Form von Effizienzen und minimierten Risiken. Es bewirkt im Nebeneffekt auch höhere IT-Compliance, die branchenübergreifend zunehmend von Wirtschaftsprüfern und Interner Revision erwartet wird. Für regulierte Unternehmen wird im Nebeneffekt der Nachweis für Regulierungs-Compliance geschaffen.
Die Erkenntnisse dieses Buches wurden in der Finanzbranche gewonnen und erfolgreich in der Praxis verprobt. Die Finanzbranche eilt bei Themen wie Cyberrisiken sowie den unterstützenden Ordnungsthemen aufgrund ihres hohen Regulierungsgrades bzw. der Regulierungsdichte anderen Industrien voraus (insbesondere in Form von MaRisk5 und BAIT6 sowie den Feststellungen in den Prüfungsberichten der Finanzaufsicht).
Als Ursache des besonders hohen Regulierungsgrades in der Finanzbranche kann u.a. noch immer die Finanzkrise in den Jahren 2007/2008 herangezogen werden. Der Zusammenbruch der Silicon Valley Bank, Signature Bank und First Republic sowie der Credit Suisse im Jahr 2023 verleiht der Finanzregulierung neuen Nachdruck. Spätestens mit der KRITIS-Verordnung zeigte sich aber, dass auch andere Branchen von hoheitlicher Seite (hier der kritischen Infrastruktur) als besonders schützenswert eingestuft werden und mit Regulierung von hoheitlicher Seite Mindeststandards durchgesetzt werden.
Die in der Finanzbranche gewonnenen Erfahrungen und Erkenntnisse werden regelmäßig – leicht zeitlich versetzt – als „Good Practice“ in der „Light Version“ in andere Industriestandards übernommen. Diese Entwicklung hat guten Grund. Gerade die IT-Vorgaben in der Finanzbranche sind meist keineswegs allein auf den Finanzbereich gemünzt (das wären eher die fachlichen Vorgaben für Kreditvergabe, Scoring etc.). Vielmehr handelt es sich um allgemeingültige und sinnvolle Anforderungen zur Härtung des ganzheitlichen und integrierten IT-Risikomanagements, was mittelbar mit der Stärkung der IT-Organisation, des IT-Betriebs und der IT-Informationssicherheit einhergeht. Die Verwaltungsanweisungen werden unter maßgeblicher Beiziehung des Bundesamtes für Sicherheit in der Informationstechnik7, von Wirtschaftsprüfern, IT-Experten sowie weiterer maßgeblicher kompetenter Akteure ausgearbeitet.
Lars Weimer, Dr. Christoph Capellaro, Dr. Franz Thiel, Christoph Becker, Olivia Nowak, Colin Herrmann, Tilman Friedrich und Nils Rasche haben dieses Buchvorhaben unterstützt und möglich gemacht. Ihnen ist an dieser Stelle herzlich gedankt.
Wolfgang Gaess
1
Operationelle Risiken.
2
Zertifizierungsstandard in der Automobilindustrie.
3
International Standard on Assurance Engagements.
4
Institut der Wirtschaftsprüfer Prüfungsstandards.
5
Rundschreiben 10/2021 (BA); Mindestanforderungen an das Risikomanagement – MaRisk.
6
Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021; Bankaufsichtliche Anforderungen an die IT.
7
BSI Standards.
Inhaltsverzeichnis
Vorwort
Abkürzungsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Erläuterung und Übersicht
Teil I: Organisation
1. Begriffsdefinition & Verständnis
1.1 Aufbau- und Ablauforganisation
1.2 Der richtige Blickwinkel
1.3 Gesellschaftsrechtlicher Blickwinkel
1.4 Organisatorischer Blickwinkel
1.5 Organisationsmodell
1.6 Implementierungsstrahl
1.7 Checkliste
2. Prozesshaus
2.1 Implementierungsstrahl
2.2 Checkliste
3. Methodik, Prinzipien und Leitlinien
3.1 Anwendbare Standards
3.2 Einsatz von Standards
3.3 Three Lines of Defense Modell
3.4 Risikoorientierung
3.5 Good-Practice-Standards
3.6 Implementierungsstrahl
3.7 Checkliste
4. Rollen und Beauftragte
4.1 Implementierungsstrahl
4.2 Checkliste
5. Gremien
5.1 Gremien allgemein
5.2 Implementierungsstrahl
5.3 Checkliste
6. Funktionen und Abteilungen
6.1 Implementierungsstrahl
6.2 Checkliste
7. Anwendbare Gesellschaften
7.1 Unterschiedlicher Regelungsbedarf
7.2 Implementierungsstrahl
7.3 Checkliste
8. Berichterstattung
8.1 Vorgaben an die Berichterstattung
8.2 Berichtsinhalte
8.3 Übersicht Berichterstattung
8.4 Implementierungsstrahl
8.5 Checkliste
Teil II: Kernthemen
1. IT-Risikomanagement
1.1 Arten von Risiken in der IT
1.2 Ableitung übergeordnetes Risikomanagement
1.3 Vorgehensweise
1.4 Non-Financial-Risks oder OpRisk
1.5 Überwachung
1.6 Dokumentation
1.7 Implementierungsstrahl
1.8 Checkliste
2. IT-Servicemanagement
2.1 IT-Servicemanagement als Supportprozess
2.2 IT-Servicemanagementgedanke als Leitbild
2.3 Definitionen von KPIs
2.4 Implementierungsstrahl
2.5 Checkliste
3. Rechtsradar
3.1 Identifizierung relevanter Änderungen
3.2 Implementierungsstrahl
3.3 Checkliste
4. Informationsmanagement
4.1 Informationsverbund
4.2 Strukturanalyse
4.3 Informationsrisikomanagement
4.4 Informationsmanagement
4.5 Wesentlichkeit oder Geschäftskritikalität
4.6 Implementierungsstrahl
4.7 Checkliste
5. CMDB & IT-Assetmanagement
5.1 Anwendungsliste
5.2 Individuelle Datenverarbeitung (IDV)
5.3 Hardwareliste
5.4 CMS (Configuration-Management-System)
5.5 Implementierungsstrahl
5.6 Checkliste
6. Ressourcenmanagement
6.1 Ressourcen- und Kostenmanagement
6.2 Implementierungsstrahl
6.3 Checkliste
7. IT-Compliance
7.1 Inhalt und Auftrag
7.2 Ausgestaltung eines CompMS
7.3 Meldepflichten
7.4 Implementierungsstrahl
7.5 Checkliste
8. Data-Governance
8.1 Definition
8.2 Entwicklung von Data-Governance
8.3 Einzelne Aufgaben der Data-Governance
8.4 Rollen und Verantwortlichkeiten
8.5 Kontrollen
8.6 Archivierung und Löschung
8.7 Testen mit Echtdaten
8.8 Implementierungsstrahl
8.9 Checkliste
9. IT-Architektur
9.1 Architekturmanagement
9.2 Mindestergebnisse aus der IT-Architektur
9.3 Datenarchitekturmanagement
9.4 Implementierungsstrahl
9.5 Checkliste
10. Strategische Entwicklung der IT
10.1 IT-Strategie
10.2 Inhaltliche Ausgestaltung
10.3 Weitere Themen
10.4 Aktualisierung der IT-Strategie
10.5 Implementierungsstrahl
10.6 Checkliste
Teil III: Schnittstellenthemen
1. Internes Kontrollsystem und Kontrollplan
1.1 Ziele
1.2 Kontrolldefinition
1.3 Risikoanalyse
1.4 Prozessrisikofilter (Wesentlichkeitsfilter)
1.5 Schlüsselkontrollen
1.6 Qualitätskontrollen
1.7 IT-Kontrollplan
1.8 Implementierungsstrahl
1.9 Checkliste
2. Qualitätsmanagement
2.1 Abgrenzung zu anderen Themen
2.2 Qualitätsüberwachung
2.3 Kontinuierliche Verbesserung der Services
2.4 Implementierungsstrahl
2.5 Checkliste
3. IT-Auslagerungsmanagement
3.1 Auslagerungs-Governance
3.2 Risikoanalyse
3.3 Vertrag, SLAs, Anhänge & Templates
3.4 Providersteuerung
3.5 Organisationspflichten der Dienstleister
3.6 Industriespezifische Organisationspflichten
3.7 Grund-Organisationspflichten
3.8 Servicebezogene Organisationspflichten
3.9 Implementierungsstrahl
3.10. Checkliste
4. Cloud-Governance & Cloud Compliance
4.1 Entwicklung von Cloud
4.2 Technologische Transformation und Cloud
4.3 Überlegungen und Anforderungen
4.4 Formen von Cloud-Lösungen
4.5 Cloud-Service-Modelle
4.6 Kriterienkatalog
4.7 Cloud-Governance & Cloud-Compliance
4.8 Planungsphasen eines Cloud-Projekts
4.9 Providersteuerung
4.10 Implementierungsstrahl
4.11 Checklisten
5. Zentrale Audit-& Zertifizierungsfunktion
5.1 Umsetzung
5.2 Chinese Walls
5.3 Lessons Learned
5.4 Audit-Schulung
5.5 Implementierungsstrahl
5.6 Checkliste
6. Nachhaltigkeit
6.1 Inhalt und Begriff
6.2 Umsetzung von Nachhaltigkeit in der IT
6.3 Themenfelder und deren Umsetzung
6.4 Implementierungsstrahl
6.5 Checkliste
7. Training & Kommunikation
7.1 Zweistufiges Konzept
7.2 Adressatenkreis
7.3 Kommunikation
7.4 Implementierungsstrahl
7.5 Checkliste
8. Schriftlich fixierte Ordnung
8.1 Mindestanforderungen an Dokumentation
8.2 Dokumentation von IT-Systemen
8.3 Implementierungsstrahl
8.4 Checkliste
9. Tooleinsatz
9.1 Planung mit GRC-Tool
9.2 Kontrolle & Risikoüberwachung
9.3 Antrags- und Freigabe-Funktion
9.4 Automatisierte Berichterstattung
9.5 Archivierung, Ordnung und Hinterlegung
9.6 Unterstützung von Audits
9.7 MS Sharepoint für gemeinsame Arbeit
9.8 Implementierungsstrahl
9.9 Checkliste
Anhang
Rollen im IT-Governance-Themenumfeld
Mustervorlage sfO
Mustervorlage Kontrolldokumentation
Mustervorlage SLA
Mustervorlage Vertrag IT-Strat. & IT-Gov.
Abkürzungsverzeichnis
3LOD
Three Lines of Defense
Abs.
Absatz
ASP
Application Service Providing
Art.
Artikel
BaFin
Bundesanstalt für Finanzdienstleistungsaufsicht
BAIT
Bankaufsichtliche Anforderungen an die IT
Basel II
Abkürzung für Eigenkapitalvorschriften des Basler Ausschusses für Bankenaufsicht
BCM
Business Continuity Management
BSI
Bundesamt für Sicherheit in der Informationstechnik
COBIT
Control Objectives for Information and Related Technologies
CMDB
Configuration Management Database
CMS
Configuration Management System
CI
Configuration-Item
CIA
Confidentiality, Integrity and Availability
DEC
Digital Equipment Corporation
DSGVO
Datenschutzgrundverordnung
DQ
Datenqualität
GRC
Governance, Risk Management and Compliance
IaaS
Infrastructure as a Service
ICS
Internal Control System
i.d.R.
in der Regel
i.V.m.
in Verbindung mit
IDW PS
Institut der Wirtschaftsprüfer Prüfungsstandards
IKS
Internes Kontrollsystem
ISAE
International Standard on Assurance Engagements
ISM
Informationssicherheitsmanagement
ISMS
Informationssicherheitsmanagementsystem
ISO
Internationale Organisation für Normung
IT
Informationstechnologie
ITIL
Information Technology Infrastructure Library
ITSM
IT-Service Management
KI
Künstliche Intelligenz
KPI
Key Performance Indicator
KRITIS
Kritische Infrastrukturen
KWG
Kreditwesengesetz
MaRisk
Mindestanforderungen an das Risikomanagement
NFR
Non Financial Risks
OHB
Organisationshandbuch
OpRisk
Operationelle Risiken
PaaS
Platform as a Service
PC
Personal Computer
RACI Matrix
Responsible, Accountable, Consulted, Informed
RZ
Rechenzentrum
SaaS
Software as a Service
SCR
Solvency Capital Requirements
sfO
schriftlich fixierte Ordnung
SLA
Service Level Agreement
TISAX
Trusted Information Security Assessment Exchange
VIVA Kriterien
Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität
Abbildungsverzeichnis
Abb. 1: Gesellschaftsrechtlicher Blickwinkel
9
Abb. 2: Blickwinkel: Organisationsmodell
10
Abb. 3: Three Lines of Defense Modell
19
Abb. 4: Beispielhafte Funktionen bzw. Abteilungen
26
Abb. 5: IT-Risikoarten
34
Abb. 6: Erfassung und OpRisk-Meldung IT-Risiken
37
Abb. 7: IT als Supportprozess im Gesamtprozesshaus
41
Abb. 8: Informationsverbund
49
Abb. 9: Wesentlichkeitsfilter
53
Abb. 10: Informationsquellen
55
Abb. 11: Ressourcenplanungsprozess
66
Abb. 12: Neue Methoden, Technik & Marktsituation
75
Abb. 13: Beispielhafte Organisation Datenplattform
78
Abb. 14: Freigabeprozess Echtdatentests
83
Abb. 15: Beispielhafter Bebauungsplan
88
Abb. 16: IKS-Regelkreis
102
Abb. 17: Phasen der Auslagerung
109
Abb. 18: Vertragsaufbau und Vertragselemente
112
Abb. 19: Cloud, Data Analytics & Data Lake
121
Abb. 20: Cloud-Service-Modelle
125
Abb. 21: Spektrum der Kriterien in einem Vorhaben
127
Abb. 22: Cloud-Strategie & Cloud-Governance
129
Abb. 23: Cloud-Governance-Frameworks
130
Abb. 24: Phasen der Cloud-Auslagerungsplanung
131
Abb. 25: Vertretbarkeitsbewertung
135
Tabellenverzeichnis
Tab. 1: Kapitelübersicht
1
Tab. 2: Übersicht der Unterkapitel
1
Tab. 3: Standardtreue
16
Tab. 4: Arten von Boards
24
Tab. 5: Beispielhafte KPIs des IT-Lifecycles
42
Tab. 6: Definitionen von Data-Governance
75
Tab. 7: Einzelne Aufgaben der Data-Governance
79
Tab. 8: Rollen und Verantwortlichkeiten
80
Tab. 9: Zielsetzung des IKS
97
Tab. 10: Schadenshöhe und Schadenshäufigkeit
98
Tab. 11: Abgrenzung IKS zum Risikomanagement
99
Tab. 12: Kontrollwirkungsweise und -ausführung
100
Tab. 13: Arten von Cloud-Infrastruktur
123
Tab. 14: Definierter Kriterienkatalog
133
Tab. 15: Umsetzung zentrale Auditfunktion
141
Tab. 16: Themenfelder der Nachhaltigkeit
146
Tab. 17: Themen in Schulungs-Maßnahmen
150
Tab. 18: Mindestanforderungen an die sfO
155
Tab. 19: Mindestinhalte der Dokumentation
156
Tab. 20: Rollenbeschreibungen
166
Tab. 21: Mustervorlage Kontrolldokumentation
170
Tab. 22: Mustervorlage SLA: Eckdaten
170
Tab. 23: Mustervorlage SLA: Pflichten
171
Tab. 24: Mustervorlage SLA: Modalitäten
171
Tab. 25: Mustervorlage SLA: Kommunikation
172
Tab. 26: Mustervorlage SLA: Sonstiges
172
Tab. 27: Vorlage IT-Strategie & IT-Governance (1/3)
174
Tab. 28: Vorlage IT-Strategie & IT-Governance (2/3)
174
Tab. 29: Vorlage IT-Strategie & IT-Governance (3/3)
175
Erläuterung und Übersicht
Im Folgenden werden die übergeordneten Ziele der einzelnen Kapitel dargestellt.
Teil I: Organisation
Das Kapitel „Organisation“ behandelt die für die Organisation der IT-Governance erforderlichen Eckpunkte.
Teil II: Kernthemen
Das Kapitel „Kernthemen“ behandelt die durch die IT-Governance zu regelnden Hauptthemen.
Teil III: Schnittstellenthemen
Schnittstellen-Themen im Sinne dieses Buches sind Themen, die bereits im Schwerpunkt übergeordnet in „allgemeinen“ Abteilungen behandelt werden – allerdings für die IT noch weiterer Präzisierung und Detaillierung bedürfen.
Anhang
Der Anhang beinhaltet Musterbeispiele und Vorlagen.
Tab. 1: Kapitelübersicht
Es folgt eine Übersicht über die Unterkapitel.
TeiI I Organisation
Teil II Kernthemen
Teil III Schnittstellenthemen
Begriffsdefinition & Verständnis IT-Governance
IT-Risikomanagement
IKS & Kontrollplan
IT-Organisationsmodell, Aufbau und Ablauforganisation
Kapazitätsplanung, Leistungs- und Performance-Management
Qualitätsmanagement
Prozesshaus
Rechtsradar
IT-Auslagerungs-management und Cloud
Methodik, Prinzipien und Leitlinien
Informations-management
Zentrale Audit- & Zertifizierungsfunktion
Gremien, Funktionen und Abteilungen
CMDB & IT-Assetmanagement
Nachhaltigkeit
Berichterstattung
Ressourcenplanung
Kommunikation, Business Enablement & Training
IT-Compliance
Schriftlich fixierte Ordnung
Data-Governance
Tooleinsatz
IT-Architektur & Bebauung
Strategische Entwicklung der IT
Tab. 2: Übersicht der Unterkapitel
Coffee Corner - wie alles begann...
In der Resilient & Erfolgreich AG bleibt einem offenbar gar nichts erspart. Erst die Umstrukturierung und jetzt auch noch das riesige und nervenaufreibende Projekt „Captain Future“ mit dem man einen guten Standard in der IT, der IT-Steuerung sowie den daran angrenzenden Themenbereichen wie Informationssicherheit und dem Informationsrisikomanagement erreichen möchte.
Die neue Abteilung IT-Steuerung soll ausgerechnet mit den unmöglichen Kollegen aus dem IT-Betrieb der konzerneigenen Bank aufgebaut werden. Mr. „Grumpy Cat“ aus der Rechtsabteilung soll dazu den Rechtsrat erteilen. Zu guter Letzt muss man sich auch noch mit der Informationssicherheit bzw. dem Informationsrisikomanagement abstimmen. Wie soll das denn alles funktionieren? Entsprechend hakelig läuft das Projekt an.
Nach einer Woche ruft der Projektleiter alle Beteiligten des Projektes „Captain Future“ in die Coffee Corner. Für den nächsten Abend sei in einem Restaurant für ein gemeinsames Abendessen reserviert. Bei den ersten Gläsern Wein bei „Alberto“ wird die Stimmung sodann lockerer und in der Karaoke Bar schließlich heiter – als man gemeinsam als die „Cyber Chiefs“ den Song „Modern Way“ interpretiert.
Am nächsten Tag werden im gemeinsamen Workshop erste Konturen von Teamgeist erkennbar. Seltsamerweise kein Genörgel. Dafür versucht man, konstruktiv die Position des anderen zu verstehen. Ferner kommt man auch darüber überein, die entdeckte gemeinsame Leidenschaft für Musik fortan in die tägliche Arbeit so gut es geht einzuflechten.
It’s the only way of getting out of there (Kaiser Chiefs – Modern Way)
Teil I: Organisation
1. Begriffsdefinition & Verständnis
IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie.1 Maßgeblich für die Steuerung durch die IT-Governance sind die Zielsetzungen aus der IT-Strategie sowie aus dem übergeordneten Risikomanagement.
Coffee Corner
Time stand still (Rush – Time stand still)
Der Startschuss der Geschichte der Informationstechnologie kann bei Konrad Zuse im Jahr 1941 angesetzt werden. Er gilt als Erfinder der ersten voll funktionsfähigen Rechenmaschine, wie wir sie heute kennen. Konrad Zuse prognostizierte im Vertrauen auf seine Vision zutreffend den Bedarf für seine Erfindung. Im Rahmen der Geschichte der IT gab es aber auch eine Reihe beachtlicher unzutreffender Prognosen. Ein Auszug:
– „Ich denke, der Weltmarkt liegt bei vielleicht fünf Computern“ (Thomas Watson 1943, damaliger Chef von IBM)
– „Es gibt keinen Grund, warum irgendjemand einen Computer in seinem Haus wollen würde“ (Ken Olsen, Präsident, Vorsitzende und Gründer von DEC)
– „Internet ist nur ein Hype“ (Bill Gates 1995)
Wären die Fehlprognosen mit ausreichender Strategiearbeit vermeidbar gewesen – und welchen Beitrag hätte eine IT-Governance dazu leisten können?
Die IT-Governance hat als Hauptaufgabe, die in der IT-Strategie formulierten Ziele im Tagesgeschäft umzusetzen. Dafür muss sie im Kern sicherstellen, dass IT-Aktivitäten mit den aktuellen und zukünftigen Anforderungen des Business abgestimmt sind. Der Fokus liegt somit auf der ständigen Optimierung und Weiterentwicklung der Organisationsstrukturen, der IT-Prozesse, der Servicequalität und der Effizienz der Serviceerbringung sowie dem Schaffen von Grundlagen für die Steuerung von Risiken. Daneben hat sie insbesondere eine ordnende und orchestrierende Funktion.
Coffee Corner
Said it’s up to me, to come up with a strategy (Archie Bell & The Drells-Strategy)
In einer Workshoppause erklärt ein Vorstand der Resilient & Erfolgreich AG bei Kaffee und Kuchen, IT-Governance sei für ihn immer noch nicht ganz greifbar. Er habe zwar nun so ungefähr verstanden, dass diese insbesondere Planungs- und Umsetzungsaktivitäten beinhalte. Nach seiner Wahrnehmung werde damit aber nur künstlich ein zusätzlicher Verwaltungsapparat aufgebaut. Dabei habe man doch das Projekt „Captain Future“ u.a. gerade deswegen initiiert, um Kosten zu senken.
Nach dem Pausengong startet der Workshop in die 2. Hälfte. Es gibt zunächst größeres Gemurmel. Daraufhin verliest Workshopteilnehmer Paul Peilung (Leiter IT-Governance) die Kernziele der IT-Strategie. Am Punkt „Vorhaben zur Konsolidierung der Rechenzentrumslandschaft“ entzündet sich eine hitzige Debatte. Das sei seit Jahren geplant, aber es passiere einfach nichts, erklärt Stefan Stabil (Leiter IT-Operations). Dabei hätte die längst geplante Konsolidierung der Rechenzentren bis heute Einsparungen in sechsstelliger Größenordnung gebracht.
Mit seiner theatralischen Brillenabsetzgeste bringt der Vorstand seine Erkenntnis zum Ausdruck, dass die Nachhaltung der Umsetzung der Ziele nicht minderes Gewicht hat wie deren Formulierung.
Strategie und ihre Umsetzung sind maßgebliche Faktoren für Erfolg und Misserfolg eines Unternehmens. Der moderne Wettbewerb ist zu hart für dauerhafte Erfolgsgeschichten von Glücksgriffen und Zufallsprodukten. So wichtig die strategischen Ziele sind, so entscheidend ist jedoch auch die richtige Umsetzung. Dieses Element wurde gerade bei der IT lange vernachlässigt.
1.1 Aufbau- und Ablauforganisation
Die IT-Organisation beinhaltet die Aufbau- und Ablauforganisation in der IT und beschreibt alle wesentlichen Aspekte ihrer Organisation. Die IT-Aufbauorganisation beschreibt die Organisationsstruktur
