IT-Governance

  Seite  1

Inhaltsverzeichnis

  S e i t e  1

Abbildungsverzeichnis

  S e i t e  4

  Abkürzungsverzeichnis  

  S e i t e  5

  Hauptteil  

  S e i t e  6

  Anhang  

  S e i t e 5  8

  Literaturverzeichnis  

  S e i t e 6  1

  Erklärung der Urheberschaft  

  S e i t e 6  3

1.  Einleitung  

  S e i t e  6

1.1  D e f i n i t i o n I T G S e i t e  6

1.2  Zielgruppe Seite  7

1.3  Problemstellung Seite  8

2.  Theoretische Grundlagen  

  Seite  10

2.1  Entwicklung von ITG Seite  10

2.2  Prozess von ITG Seite  11

2.3  ITG- Modell Seite  12

2.4  Aufgaben von ITG Seite  13

2.4.1  Strategische Ausrichtung Seite  14

2.4.2  Schaffen von Werten und Nutzen Seite  16

2.4.3  Risikomanagement Seite  17

2.4.4  Ressourcenmanagement Seite  19

2.4.5  Messen der Performance Seite  20

3.  Einführung von ITG in KMU  

  Seite  25

3.1  Checkliste Seite  25

3.1.1  Aufdecken strategischer Themen Seite  25

3.1.2  Behandlung der strategischen Themen durch Seite  25

  das Management  

3.1.3  Selbstbewertung der ITG Seite  26

  Seite  2

3.2  Einflussfaktoren der ITG Seite  26

3.2.1  Produkte und Dienstleistungen Seite  27

3.2.2  Kundenstrukturen Seite  28

3.2.3  Geografie und Regionen Seite  28

3.2.4  Kooperationen und Lieferantenstrukturen Seite  28

3.2.5  Unternehmensgröße Seite  29

3.2.6  Informationstechnologie Seite  29

3.2.7  Rechtsform der Eigentumsverhältnisse Seite  30

3.2.8  Entwicklungsstadium der Organisation Seite  30

3.2.9  Konkurrenzsituation Seite  30

3.2.10  Technologische Dynamik Seite  31

3.3  ITG Umsetzungsplan Seite  31

3.3.1  Aktivitäten und Themen Seite  35

3.3.2  Ergebnismessungen Seite  36

3.3.3  Best Practices Seite  36

3.3.4  Kritische Erfolgsfaktoren Seite  37

3.3.5  Performancetreiber Seite  38

3.4  Problemfelder Seite  38

3.5  Wie kann sich eine Unternehmung vergleichen Seite  41

3.5.1  Verwendung von Referenzmaterial Seite  41

3.5.2  CobIT Seite  43

3.5.3  ISO 17799 Seite  44

3.5.4  ITIL Seite  45

3.5.5  BS 15000 Seite  46

3.5.6  Microsoft Operations Framework Seite  47

Seite 3

4. Erfahrungsberichte zur Einführung von ITG Seite 48

5. Schlussfolgerungen und Handlungsempfehlungen Seite 54

6. Zusammenfassung Seite 57

  Seite  4

Abbildungsverzeichnis

  Abbildung 1: Prozess der  ITG

  Abbildung 2: ITG- Modell  

  Abbildung 3: Ziele der  ITG

  Abbildung 4: Balanced Scorecard  

  Abbildung 5: Ursache und Wirkung zwischen den Scorecard Dimensionen  

  Abbildung 6: Einflussfaktoren und Struktureigenschaften der  ITG

  Abbildung 7: ITG Aktionsplan  

  Abbildung 8: ITG Reifegradmodell  

  Abbildung 9: CobIT Framework  

Seite 5

Abkürzungsverzeichnis

BIS: Bank for international settlements

CIO: Chief Information Officer

CobIT: Control objectives for information and related technology

ESF: Enterprise Services Frameworks

IT: Informationstechnologie

ITG: IT Governance

ITIL: IT infrastructure library

ISACA: Information systems audit control association

MOF: Microsoft Operations Framework

MRF: Microsoft Readiness Framework

MSF: Microsoft Solutions Framework

Seite 6

1. Einleitung

Viele Unternehmen, gerade Klein- und Mittelständische sind, wenn sie dem heutigen wirtschaftlichen Druck Stand halten wollen, vor allem auf die Informationstechnologie (IT) angewiesen. Hierbei entsteht eine Abhängigkeit von der Verlässlichkeit und Verfügbarkeit der IT. Diese Abhängigkeiten erfordern optimierte Prozesse, die in das interne Kontrollsystem des Unternehmens integriert werden müssen. Ein weiterer Punkt den diese Unternehmen beachten müssen, sind auch die Anforderungen, die die Sicherheit der IT an diese Unternehmen stellt.

IT Governance (ITG) trägt hierbei wesentlich zur Kontrolle und Steuerung eines

Unternehmens bei. Das Ziel von ITG ist, die IT- Prozesse zu steuern und zu überwachen.

1.1 Definition ITG

Der Begriff „Governance“ 1 kommt aus dem Griechischen. Er stammt von dem Wort

Kybernan ab, was soviel wie „Steuern eines Schiffes“ bedeutet.

IT- Governance wird vom IT Governance Network wie folgt definiert:

„IT governance is the responsibility of the board of directors and executive management. It is an integral part of corporate governance and consists of the:

• leadership and

• organisational structures and

• processes

that ensure that the organisation's IT sustains and extends the organisation's strategies and objectives."2

Die Zielsetzung, die ITG verfolgt, ist IT so einzusetzen, dass die Unternehmens- und Geschäftsziele voll erfüllt werden und dadurch ein Wertbeitrag für das Unternehmen geliefert wird. Hierbei ist es nötig ein Steuerungs- und Kontrollsystem einzusetzen, welches das ganze Unternehmen, nicht nur den IT- Bereich durchdringt. IT Governance beschreibt folglich die Rahmenbedingungen, unter denen IT- Prozesse, -Ressourcen und

1 Vgl. United Nations, Human Settlements,

http://www.unescap.org/huset/hangzhou/paper/governance_paper.htm, 15.05.2006

2 IT Governance Network, http://www.itgovernance.com/itgovernance.htm, 15.05.2006

Seite 7

Informationen ausgerichtet bzw. effizient eingesetzt werden, gemäß der Geschäftsstrategie und den damit verbundenen Zielen. Um sicherzustellen, dass die definierten Geschäftsziele erreicht werden können, müssen alle IT- relevanten Aktivitäten im Unternehmen gesteuert und kontrolliert werden. Nur so kann ein effektives Gleichgewicht zwischen Risiko und Nutzen innerhalb der

Wertschöpfungskette hergestellt werden. 3 Sinn und Zweck von ITG ist folglich, die IT- Bemühungen so zu steuern, dass sichergestellt werden kann das folgende Ziele erfüllt werden:

• Ausrichtung der IT an den Erfordernissen des Unternehmens

• Realisierung des versprochenen Nutzens

• Steigerung des Unternehmenswertes und optimierter Nutzen durch IT- Einsatz

• Verantwortungsvoller Umgang mit IT- Ressourcen

• Angemessenes Management von IT und verwandten Risiken

1.2 Zielgruppe

Die Zielgruppe des ITG ist nicht wie allgemein angenommen die IT beziehungsweise deren Fachabteilungen, sondern zählt zu den Aufgaben des Managements und der Mitglieder des Vorstands. Um sicherzustellen, dass ITG funktioniert bedarf es der Zusammenarbeit des Managements und des Vorstands gleichermaßen. Fehlt die Unterstützung, Förderung und Weiterentwicklung durch das Management, ist es nicht möglich ITG in einem Unternehmen umzusetzen. ITG durchdringt aber trotzdem das gesamte Unternehmen und macht nicht nur Halt beim Management und den IT- Fachbereichen. Das interne Kontrollsystem eines Unternehmens muss entlang der eigenen Wertschöpfungskette aufgestellt sein und die Leistungserbringung entsprechend unterstützen und kontrollieren. Alle direkt oder indirekt Beteiligten an diesem Prozess, tragen somit zum Gelingen dieses Systems bei und sind ein bestehender Teil davon. Sei es im Rahmen von Reportingaktivitäten, Genehmigungsverfahren oder der

3 IT Governance Center, Sinn und Zweck ITG, http://www.itgc.de/content/itg/3sinnzweck, 15.05.2006

Seite 8

Durchführung von Änderungen, IT Governance sollte allgegenwärtig sein, so lange IT

eine Ressource im Prozess ist. 4 Hierbei sollten vom Vorstand die folgenden Aufgaben auf die Führungsebene verteilt

werden: 5

• Mitglieder des Vorstandes sollen eine aktive Rolle bei der Entwicklung der IT- Strategie wahrnehmen

• Für die Bereitstellung und Implementierung der Organisationsstruktur, ist das TOP- Management verantwortlich

• Die IT- Leiter müssen eine Brücke zwischen der IT und den Fachbereichen schlagen

• Das Management der Fachbereiche soll in die IT Steuerungsprozesse mit einbezogen werden

1.3 Problemstellung

Mittlerweile erkennen mehr als 90 Prozent aller Unternehmensführer, dass die IT eine kritische und maßgebliche Rolle beim Erfolg eines Unternehmens spielt. Der „IT Governance Global Status Report“ zeigte aber trotzdem auf, dass es für mehr als zwei Drittel aller befragten Vorstände unbequem ist, Fragen hinsichtlich IT Governance und Kontrolle der IT- Verfahren beziehungsweise Systeme zu beantworten. Ferner stellte sich bei diesem Bericht heraus, das sich zwei Drittel aller Unternehmensführer über ihre IT- Probleme bewusst sind und auch darüber, dass diese Probleme mit der Einführung von ITG behoben werden können. Von den befragten Managern und Vorständen denken

jedoch nur wenig mehr als die Hälfte darüber nach ein ITG- Programm einzuführen. 6 Aus diesem Bericht lässt sich schlussfolgern, dass die Notwendigkeit einer Einführung von ITG erkannt worden ist, es aber am Know- How fehlt ITG einführen zu können.

4 Vgl. IT Governance Center, Zielgruppen-Was ist IT Governance?,

http://www.itgc.de/content/itg/4zielgruppen/view, 16.05.2006

5 Vgl. Krcmar, Helmut, Informationsmanagement, S. 288 ff

6 Vgl. IT Governance Institute, IT Governance Global Status Report - 2006,

http://www.itgi.org/template_ITGI.cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID

=24226, 16.05.2006

Seite 9

Ziel dieser Diplomarbeit ist die Darstellung und kritische Bewertung der ITG,

Vorstellung von Fallstudien und Handlungsempfehlungen zur Einführung von ITG zu

geben.

Seite 10

2. Theoretische Grundlagen

2.1 Entwicklung von ITG

Der Gedanke des Corporate Governance kam zuerst im Angloamerikanischen Wirtschaftsbereich auf und erhielt erst Mitte der neunziger Jahre Einzug nach Deutschland. Die herrschende Governance- Diskussion in der Wirtschaft, ebenso wie in der Politik zeigt, dass sich Unternehmen heutzutage zu komplexen Gefügen entwickelt haben, die mit konventionellen Steuerungs- und Kontrollmechanismen kaum noch zu beherrschen sind, gerade im Hinblick auf vergangene Vorkommnisse wie zum Beispiel der FlowTex- Skandal. Diese Ereignisse lösten in Deutschland heftige Diskussionen um die Macht der Aufsichtsräte, der Banken und der Politik aus.

Die zunehmende Verzahnung von Wertschöpfungsketten weit über die eigene Unternehmensgrenze hinaus, sowie die Etablierung von virtuellen Business Units oder selbst von ganzen rechtlich eigenständigen Gesellschaften, trägt zu der Notwendigkeit bei, das bereits mit dem Deutschen Corporate Governance Kodex vom 26. Februar 2002 durch die Regierung adressierte Thema der Transparenz der Unternehmensleitung und Überwachung weiter zu entwickeln. Mit der Einführung des „Transparenz und Publizitätsgesetz (TransPuG) kann dieser Kodex auch auf eine rechtliche Basis zurückgreifen und ist somit für Unternehmen verbindlich. Dieser Kodex spiegelt sich auch im Aktiengesetz (AktG), sowie anderen Gesetzestexten wieder.

Die weitere Entwicklung der Governance- Initiative nimmt an Geschwindigkeit zu. Die heutige Diskussion hat bereits mit dem COSO-Framework (Committee of Sponsoring Organisations of the Treadway Committee) von 1992, dem „21 CFR Part 11 (Code of Federal Regulations)“ von 1997, dem Turnbull Report von 1999, dem Sarbanes Oxley

Act 7 von 2002 und der neuen Eigenkapitalrichtlinie Basel II von 2004 sowie den

Revisionsstandards, wie den „SAS-Verlautbarungen (Statements on Auditing Standards des AICPA – American Institute of Certified Public Accountants) oder den IIA- Verlautbarungen (Institute of Internal Auditors), um nur einige zu nennen, eine lange Entwicklungszeit hinter sich. Nur durch das Scheitern von Kontrollsystemen ist es

wieder in den Mittelpunkt des Interesses gerückt. 8

7 Sarbanes-Oxley-Act: US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der

Bilanzskandale von Unternehmen wie Enron oder Worldcom

8 vgl. IT Governance Center, Entwicklung- Was ist IT Governance,

http://www.itgc.de/content/itg/2entwicklung/view, 16.05.2006

Seite 11

CobIT (Control Objectives for Information and related Technology) wurde bereits im Jahre 1996 vom weltweit operierenden Berufsverband der IT- Revisoren ISACA (Information Systems Audit and Control Association) veröffentlicht, welches unter anderem ein mögliches Kontrollsystem für die Informations- und Kommunikationstechnologie darstellt. Es wurde schnell als der Standard für die ITG anerkannt, da es einen ganzheitlichen Ansatz verfolgt und auch den Anspruch hat, die Ausrichtung der genutzten Technologien an die eigene Wertschöpfungskette zu unterstützen. Die internen IT- Kontrollsysteme von prüfungspflichtigen Gesellschaften, werden heute von Wirtschaftsprüfungsgesellschaften nach CobIT begutachtet. Zudem wurde IT- Governance und damit auch CobIT als Managementwerkzeug entdeckt. IT- Governance ist mittlerweile zur Chefsache geworden, nicht nur für Unternehmen die SEC-gelistet sind, und beinhaltet im Rahmen der Unternehmensführung die Faktoren Kommunikation, Prozesse, Produkte, Menschen und Partner. Somit beschreibt ITG die effiziente und effektive Steuerung und Kontrolle von Prozessen und deren Ressourcen, die mittelbar oder unmittelbar auf Informations- und Kommunikationstechnologie

basieren oder diese verwenden. 9

2.2 Prozess der ITG

Um den Prozess von ITG zu erklären dient die folgende Abbildung, welche dann im Verlauf des Kapitels erläutert wird:

Der gesamte Prozess der ITG beginnt zunächst mit dem Vereinbaren von Zielen. Diese

gelten für die IT im ganzen Unternehmen und sehen wie folgt aus:

9 vgl. IT Governance Center, Entwicklung- Was ist IT Governance,

http://www.itgc.de/content/itg/2entwicklung/view, 16.05.2006

10 IT Governance Institute, Process of IT Governance,

http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDispla

y.cfm&ContentID=14699, 16.05.2006

Seite 12

• Die IT ist mit dem Unternehmen abgestimmt

• Die IT ermöglicht das Geschäft und maximiert den Nutzen

• IT- Ressourcenwerden verantwortungsvoll genutzt

• Risiken, die durch die IT entstehen werden entsprechend gesteuert

Schon in dieser Phase wird die Leistung gemessen und mit den Zielen verglichen, was in Form eines Kreislaufs geschieht. Der Kreislauf gewährleistet, dass wo es nötig ist eine Neuausrichtung der Aktivitäten sowie wo nötig eine Anpassung der Ziele vorgenommen wird. Hierbei liegen die Ziele in der Hand des Vorstandes und die Performance- Messungen in der Verantwortung des Managements. Beide Parteien dürfen darüber hinaus aber nicht vergessen zusammen zu arbeiten, da sonst die Ziele nicht mehr umsetzbar sind und die Messungen der Ziele nicht mehr korrekt.

Die IT- Aktivitäten bestehen im Folgenden aus:

• Ausweitung der Automatisierung

• Reduzierung der Kosten, und das Unternehmen effizienter machen

• Managen der Risiken (Sicherheit, Zuverlässigkeit und Erfüllung der Aufträge)

2.3 ITG- Modell

Das folgende Modell der ITG beinhaltet alle wesentlichen Elemente, die zu einer erfolgreichen Implementierung der ITG notwendig sind: