IT-Governance

   2

INHALTSVERZEICHNIS

  Inhaltsverzeichnis  

  INHALTSVERZEICHNIS  2

  ABBILDUNGSVERZEICHNIS  4

1  EINLEITUNG  5

1.1  DEFINITION IT-GOVERNANCE  5

1.2  ZUSAMMENHANG ZWISCHEN CORPORATE GOVERNANCE UND IT-GOVERNANCE  6

1.3  ZIELGRUPPE  7

1.4  PROBLEMSTELLUNG  8

2  THEORETISCHE GRUNDLAGEN DER IT-GOVERNANCE  9

2.1  ENTWICKLUNG DER IT-GOVERNANCE  9

2.1.1  ENTSTEHUNG  9

2.1.2  AKTUELLE ENTWICKLUNG  10

2.1.3  ABGRENZUNG ZU INFORMATIONSMANAGEMENT  10

2.2  PROZESS DER IT-GOVERNANCE  11

2.3  IT-GOVERNANCE MODELL  12

2.4  ZIELE DER IT-GOVERNANCE  13

2.4.1  WERTBEITRAG  13

2.4.2  RISIKOMANAGEMENT  14

2.4.3  STRATEGISCHE AUSRICHTUNG  15

2.4.4  RESSOURCEN-MANAGEMENT  16

2.4.5  MESSUNG DER PERFORMANCE  17

3  UMSETZUNG DER IT-GOVERNANCE IM UNTERNEHMEN  19

3.1  UNTERNEHMENS-CHECKLISTE  19

3.1.1  AUFDECKUNG STRATEGISCHER IT-THEMEN  19

   3

INHALTSVERZEICHNIS

3.1.2  BEHANDLUNG STRATEGISCHER IT-THEMEN DURCH DAS MANAGEMENT  19

3.1.3  SELBSTBEWERTUNG DER IT-GOVERNANCE  20

3.2  EINFLUSSFAKTOREN DER IT-GOVERNANCE  20

3.2.1  PRODUKTE UND DIENSTLEISTUNGEN  21

3.2.2  KUNDENSTRUKTUREN  21

3.2.3  GEOGRAPHIE REGIONEN  21

3.2.4  KOOPERATIONEN LIEFERANTENSTRUKTUR  22

3.2.5  UNTERNEHMENSGRÖßE  22

3.2.6  INFORMATIONSTECHNOLOGIE  22

3.2.7  RECHTSFORM UND EIGENTUMSVERHÄLTNISSE  23

3.2.8  ENTWICKLUNGSSTADIUM DER ORGANISATION  23

3.2.9  KONKURRENZSITUATION  23

3.2.10  TECHNOLOGISCHE DYNAMIK  24

3.3  IT-GOVERNANCE UMSETZUNGSPLAN  24

3.3.1  AKTIVITÄTEN  25

3.3.2  ERGEBNISMESSUNGEN  25

3.3.3  BEST PRACTICES  26

3.3.4  KRITISCHE ERFOLGSFAKTOREN  26

3.3.5  PERFORMANCETREIBER  27

3.4  AKTUELLER STAND DER UMSETZUNG VON IT-GOVERNANCE  27

3.5  REFERENZMATERIAL  28

3.5.1  COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)  29

3.5.2  ISO 17799  30

3.5.3  ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)  30

4  FAZIT  31

  LITERATURVERZEICHNIS  32

   4

ABBILDUNGSVERZEICHNIS

  Abbildungsverzeichnis  

  ABBILDUNG 1: IT-GOVERNANCE ALS TEIL DER CORPORATE GOVERNANCE  

  WYSER KYBURZ 2002  7

  ABBILDUNG 2: PROZESS DER IT-GOVERNANCE ITGI 2004  11

  ABBILDUNG 3: IT-GOVERNANCE MODELL ROHLOFF 2004  12

  ABBILDUNG 4: IT UND UNTERNEHMENSAUSRICHTUNG ITGI 2003 S 30  15

  ABBILDUNG 5: BEISPIEL FÜR IT BALANCE SCORECARD MESSUNGEN ITGI  

2003;  S 43  18

  ABBILDUNG 6: EINFLUSSFAKTOREN DER IT-GOVERNANCE  

  MAICHER SCHWARZE 2004 S 19  21

  ABBILDUNG 7: IT-GOVERNANCE AKTIONSPLAN ITGI 2003 S 46  25

  ABBILDUNG 8: REIFEGRADMODELL ITGI 2003 S 48  28

  ABBILDUNG 9: COBIT-FRAMEWORK BITTERLI 2004  29

1 Einleitung

IT-Governance? Schon wieder so ein Modebegriff?

Die Unternehmen sind in der heutigen Zeit, wenn sie dem Leistungsdruck Stand halten wollen, immer mehr auf Informationstechnologie (im Nachfolgenden IT genannt) angewiesen. Die dadurch entstehende Abhängigkeit von der Verfügbarkeit und Verlässlichkeit der IT erfordern optimierte IT-Prozesse, die in das interne Kontrollsystem des Unternehmens mit einbezogen werden. Des Weiteren sind die Anforderungen auch vor allem an die Sicherheit der IT immens gestiegen. IT-Governance ist ein wesentlicher Bestandteil eines ganzheitlichen Corporate Governance-Ansatzes zur Steuerung und Kontrolle eines Unternehmens. Die IT-Governance zielt darauf ab, die IT-Prozesse zu steuern und zu überwachen. Der Begriff Governance stammt von dem griechischen Wort KYBERNÂN ab und bedeutet "Steuern eines Schiffes".

Was ist nun eigentlich IT-Governance?

1.1 Definition IT-Governance

Das IT Governance Institute definiert IT-Governance folgendermaßen:

IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership, organizational structures and processes that ensure that the organization’s IT sustains and extends the organization’s strategies and objectives. [ITGN 2004] Das Ziel der IT-Governance ist im wesentlichen IT so einzusetzen, dass die Unternehmens- und Geschäftsziele nicht nur erreicht sondern auch begünstigt werden und dadurch einen Wertbeitrag für das Unternehmen liefern. Es wird eine Steuerung und ein Kontrollsystem, welches das ganze Unternehmen durchdringt, benötigt. IT-Governance beschreibt folglich die Rahmenbedingungen, unter denen IT-Prozesse, -Ressourcen und Informationen ausgerichtet bzw. effizient eingesetzt werden, gemäß der Geschäftsstrategie und den damit verbundenen Zielen. Um sicherzustellen, dass die definierten Geschäftsziele erreicht werden können, müssen alle IT-relevanten Aktivitäten im Unternehmen gesteuert und kontrolliert werden. Nur so kann ein effektives Gleichgewicht Wertschöpfungskette hergestellt werden. [ITGC 2004a]

Der Zweck von IT-Governance ist somit, IT-Bemühungen so zu lenken um sicherzustellen, dass die Performance der IT folgende Ziele abdeckt:

• Ausrichtung der IT an den Erfordernissen des Unternehmens

• Realisierung des versprochenen Nutzen

• Steigerung des Unternehmenswertes durch IT-Einsatz und optimierter Nutzen durch IT

• Verantwortungsvoller Umgang mit IT-Ressourcen

• Angemessenes Management von IT und verwandten Risiken

1.2 Zusammenhang zwischen Corporate Governance und IT-Governance Unter Corporate Governance versteht man die verantwortliche und auf langfristige Wertschöpfung ausgerichtete Organisation der Unternehmensleitung und –kontrolle. [Rosen 2001] Corporate Governance bezeichnet also den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens. Die Ausgestaltung des Ordnungsrahmens soll die Qualität der Unternehmensführung fördern. [Werder 2000, S.33] Unter Governance allgemein werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, welche möglichst effizient zur Unterstützung und Durchsetzung der Unternehmensstrategien und –ziele beitragen sollen. Als integraler Teil der Unternehmensführung strebt IT-Governance nach einer Ausrichtung der IT auf die Geschäftstätigkeit, einem verantwortungsvollen Umgang mit IT-Ressourcen und den damit verbundenen Risiken sowie dem Erkennen und Nutzen von Wettbewerbsvorteilen, welche durch IT entstehen. [HMD Glossar 2004]

Abbildung 1: IT-Governance als Teil der Corporate Governance [Wyser/Kyburz 2002]

Informationssysteme unterstützen auch direkt die Ziele und Prozesse der Corporate Governance. Sie bilden nicht nur eine Voraussetzung für eine effektive und effiziente Führung und Kontrolle, sondern tragen auch wesentlich zum Erfolg des Unternehmens bei. Die Unternehmensleitung ist dafür zuständig, dass die Führungs- und Kontrollprozesse der IT klar definiert und implementiert werden. [Wyser/Kyburz 2002]

1.3 Zielgruppe

Die IT-Governance ist zur Chefsache geworden, das heißt IT-Governance zählt zu den Aufgaben des Managements und der Mitglieder des Vorstandes. Es ist immens wichtig für das Unternehmen, dass der Vorstand und das Management zusammenarbeiten. Ohne die entsprechende Managementunterstützung, Förderung und Weiterentwicklung, ist IT-Governance im eigenen Unternehmen kaum umzusetzen. Die Unternehmensführung muss Verantwortung für die IT wahrnehmen, deshalb sollte auch eine professionelle Unterstützung für die Unternehmensführung bei der Steuerung und Kontrolle der IT zum Einsatz kommen. IT-Governance durchdringt nichts destotrotz das gesamte Unternehmen und tangiert somit jeden mit

unterschiedlicher Ausprägung. Das interne Kontrollsystem eines Unternehmens sollte entlang der eigenen Wertschöpfungskette aufgestellt sein und Leistungserbringung entsprechend unterstützen. Alle Personen, die direkt oder indirekt an diesem Prozess beteiligt sind, tragen zur Funktion des internen Kontrollsystems bei und sind somit ein Teil dessen. IT-Governance sollte allgegenwärtig sein, so lange IT eine Ressource im Prozess ist. [ITGC 2004b] Auf der Führungsebene sollten vom Vorstand folgende Aufgaben verteilt werden:

• Mitglieder des Vorstandes sollen eine aktive Rolle in der Entwicklung von IT-Strategie einnehmen.

• Das Top-Management ist für die Bereitstellung und Implementierung der Organisationsstruktur zuständig.

• Die IT-Leiter sollen die Brücke zwischen IT und Fachbereichen schlagen.

• Management der Fachbereiche soll in IT Steuerungsprozesse miteinbezogen werden.

1.4 Problemstellung

Obwohl mehr als 91 Prozent aller Unternehmensführer klar erkennen, dass IT eine kritische Komponente für den Erfolg des Unterhnehmens darstellt, ist es für mehr als zwei Drittel aller Vorstände unbequem, Fragen über die Governance und Kontrolle der IT-Verfahren zu beantworten, zeigte der „IT Governance Global Status Report“. Der Bericht zeigte auch, dass 76 Prozent der Unternehmensführer sich der eigenen IT-Probleme, welche durch Einführung geeigneter IT Governance Maßnahmen behoben werden könnten, bewußt waren. Von diesen Befragten denken jedoch nur knapp die Hälfte daran ein IT-Governance Programm einzuführen. [PrCo 2004] Diese Aussagen weisen darauf hin, dass die Notwendigkeit für IT-Governance erkannt wird, es aber am Wissen, wie man eine IT-Governance einführt, mangelt. Ziel dieser Arbeit ist die Darstellung und kritische Bewertung des Systems der IT-Governance, wobei auf seine Entwicklung, auf abzusehende Entwicklungstendenzen sowie seine Umsetzung eingegangen wird. Der Schwerpunkt dieser Arbeit wird auf die Umsetzung der IT-Governance gelegt. Aus Komplexitätsgründen werden idealtypische Organisationsmodelle nicht betrachtet. Über das Referenzmaterial der IT-Governance soll nur ein kurzer Überblick geboten werden.

2 Theoretische Grundlagen der IT-Governance

2.1 Entwicklung der IT-Governance

2.1.1 Entstehung

Der Corporate Governance-Gedanke hat seinen Ursprung im angloamerikanischen Rechtsraum und hielt in den neunziger Jahren auch in Deutschland Einzug. Durch die herrschende Governance-Diskussion in der Wirtschaft als auch in der Politik wird deutlich, dass die Unternehmen sich zu immer komplexeren Gefügen entwickeln, welche mit herkömmlichen Steuerungs- und Kontrollmechanismen kaum noch zu beherrschen sind. Zahlreiche existenzbedrohende Krisen renommierter Unternehmen, wie der Leasinggesellschaft FlowTex oder des Holzmann Baukonzerns sorgten für Aufregung und lösten in Deutschland heftige Diskussionen über die immer wiederkehrenden Themen wie Bankenmacht und Aufsichtsräte aus.

Forderungen nach einer stärkeren Kontrolle und Haftung von Unternehmensorganen wurden laut. Für nationale Anleger und Investoren ist eine Kontrolle und Transparenz der Leitung deutscher börsennotierter Aktiengesellschaften absolut entscheidend. Mit Hilfe des „Deutschen Corporate Governance Kodex“, gegründet am 26. Februar 2002, soll das Vertrauen der Stakeholder gestärkt und somit der Standort Deutschland attraktiver werden. [Hucke/Ammann 2003; S.3] Die Verzahnung von Wertschöpfungsketten über die eigene Unternehmensgrenze hinaus trägt dazu bei, die Transparenz der Unternehmensleitung und Überwachung mit dem Deutschen Corporate Governance Kodex weiter zu entwickeln. Durch das „Transparenz und Publizitätsgesetz“ besitzt dieser Kodex in Deutschland eine rechtliche Basis und ist verbindlich für Unternehmen. Die Weiterentwicklung der Governance-Initiative nimmt mit Geschwindigkeit zu.

CobIT wurde bereits 1996 vom weltweiten Berufsverband der IT-Revisoren ISACA veröffentlicht, welches nach vielen anderen ein mögliches Kontrollsystem für die Informations- und Kommunikationstechnik darstellt. Durch den ganzheitlichen Ansatz und die Ausrichtung der genutzten IT an die eigene Wertschöpfungskette, wurde es schnell als der Standard für IT-Governance anerkannt.

Durch die Governance – Initiative vollzieht sich ein Wechsel vom Shareholder-Value-Denken zu einer Stakeholder-Orientierung. Das Shareholder-Value-Konzept richtet sich vor allem nach den Interessen der Eigentümer und Aktionäre.