IT-Governance. Steuerung und Überwachung von IT-Prozessen in Klein- und Mittelständischen Unternehmen

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

Hauptteil

Anhang

Literaturverzeichnis

Erklärung der Urheberschaft

1. Einleitung
1.1 Definition ITG
1.2 Zielgruppe
1.3 Problemstellung

2. Theoretische Grundlagen
2.1 Entwicklung von ITG
2.2 Prozess von ITG
2.3 ITG- Modell
2.4 Aufgaben von ITG
2.4.1 Strategische Ausrichtung
2.4.2 Schaffen von Werten und Nutzen
2.4.3 Risikomanagement
2.4.4 Ressourcenmanagement
2.4.5 Messen der Performance

3. Einführung von ITG in KMU
3.1 Checkliste
3.1.1 Aufdecken strategischer Themen
3.1.2 Behandlung der strategischen Themen durch das Management
3.1.3 Selbstbewertung der ITG
3.2 Einflussfaktoren der ITG
3.2.1 Produkte und Dienstleistungen
3.2.2 Kundenstrukturen
3.2.3 Geografie und Regionen
3.2.4 Kooperationen und Lieferantenstrukturen
3.2.5 Unternehmensgröße
3.2.6 Informationstechnologie
3.2.7 Rechtsform der Eigentumsverhältnisse
3.2.8 Entwicklungsstadium der Organisation
3.2.9 Konkurrenzsituation
3.2.10 Technologische Dynamik
3.3 ITG Umsetzungsplan
3.3.1 Aktivitäten und Themen
3.3.2 Ergebnismessungen
3.3.3 Best Practices
3.3.4 Kritische Erfolgsfaktoren
3.3.5 Performancetreiber
3.4 Problemfelder
3.5 Wie kann sich eine Unternehmung vergleichen?
3.5.1 Verwendung von Referenzmaterial
3.5.2 CobIT
3.5.3 ISO 17799
3.5.4 ITIL
3.5.5 BS 15000
3.5.6 Microsoft Operations Framework

4. Erfahrungsberichte zur Einführung von ITG

5. Schlussfolgerungen und Handlungsempfehlungen

6. Zusammenfassung

Abbildungsverzeichnis

Abbildung 1: Prozess der ITG

Abbildung 2: ITG- Modell

Abbildung 3: Ziele der ITG

Abbildung 4: Balanced Scorecard

Abbildung 5: Ursache und Wirkung zwischen den Scorecard Dimensionen

Abbildung 6: Einflussfaktoren und Struktureigenschaften der ITG

Abbildung 7: ITG Aktionsplan

Abbildung 8: ITG Reifegradmodell

Abbildung 9: CobIT – Framework

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Viele Unternehmen, gerade Klein- und Mittelständische sind, wenn sie dem heutigen wirtschaftlichen Druck Stand halten wollen, vor allem auf die Informationstechnologie (IT) angewiesen. Hierbei entsteht eine Abhängigkeit von der Verlässlichkeit und Verfügbarkeit der IT. Diese Abhängigkeiten erfordern optimierte Prozesse, die in das interne Kontrollsystem des Unternehmens integriert werden müssen. Ein weiterer Punkt den diese Unternehmen beachten müssen, sind auch die Anforderungen, die die Sicherheit der IT an diese Unternehmen stellt.

IT Governance (ITG) trägt hierbei wesentlich zur Kontrolle und Steuerung eines Unternehmens bei. Das Ziel von ITG ist, die IT- Prozesse zu steuern und zu überwachen.

1.1 Definition ITG

Der Begriff „Governance“^[1] kommt aus dem Griechischen. Er stammt von dem Wort Kybernan ab, was soviel wie „Steuern eines Schiffes“ bedeutet.

IT- Governance wird vom IT Governance Network wie folgt definiert:

„I T governance is the responsibility of the board of directors and executive management. It is an integral part of corporate governance and consists of the:

- leadership and
- organisational structures and
- processes

that ensure that the organisation's IT sustains and extends the organisation's strategies and objectives."^[2]

Die Zielsetzung, die ITG verfolgt, ist IT so einzusetzen, dass die Unternehmens- und Geschäftsziele voll erfüllt werden und dadurch ein Wertbeitrag für das Unternehmen geliefert wird. Hierbei ist es nötig ein Steuerungs- und Kontrollsystem einzusetzen, welches das ganze Unternehmen, nicht nur den IT- Bereich durchdringt. IT Governance beschreibt folglich die Rahmenbedingungen, unter denen IT- Prozesse, -Ressourcen und Informationen ausgerichtet bzw. effizient eingesetzt werden, gemäß der Geschäftsstrategie und den damit verbundenen Zielen. Um sicherzustellen, dass die definierten Geschäftsziele erreicht werden können, müssen alle IT- relevanten Aktivitäten im Unternehmen gesteuert und kontrolliert werden. Nur so kann ein effektives Gleichgewicht zwischen Risiko und Nutzen innerhalb der Wertschöpfungskette hergestellt werden.^[3]

Sinn und Zweck von ITG ist folglich, die IT- Bemühungen so zu steuern, dass sichergestellt werden kann das folgende Ziele erfüllt werden:

- Ausrichtung der IT an den Erfordernissen des Unternehmens
- Realisierung des versprochenen Nutzens
- Steigerung des Unternehmenswertes und optimierter Nutzen durch IT- Einsatz
- Verantwortungsvoller Umgang mit IT- Ressourcen
- Angemessenes Management von IT und verwandten Risiken

1.2 Zielgruppe

Die Zielgruppe des ITG ist nicht wie allgemein angenommen die IT beziehungsweise deren Fachabteilungen, sondern zählt zu den Aufgaben des Managements und der Mitglieder des Vorstands. Um sicherzustellen, dass ITG funktioniert bedarf es der Zusammenarbeit des Managements und des Vorstands gleichermaßen. Fehlt die Unterstützung, Förderung und Weiterentwicklung durch das Management, ist es nicht möglich ITG in einem Unternehmen umzusetzen. ITG durchdringt aber trotzdem das gesamte Unternehmen und macht nicht nur Halt beim Management und den IT- Fachbereichen. Das interne Kontrollsystem eines Unternehmens muss entlang der eigenen Wertschöpfungskette aufgestellt sein und die Leistungserbringung entsprechend unterstützen und kontrollieren. Alle direkt oder indirekt Beteiligten an diesem Prozess, tragen somit zum Gelingen dieses Systems bei und sind ein bestehender Teil davon. Sei es im Rahmen von Reportingaktivitäten, Genehmigungsverfahren oder der Durchführung von Änderungen, IT Governance sollte allgegenwärtig sein, so lange IT eine Ressource im Prozess ist.^[4]

Hierbei sollten vom Vorstand die folgenden Aufgaben auf die Führungsebene verteilt werden:^[5]

- Mitglieder des Vorstandes sollen eine aktive Rolle bei der Entwicklung der IT- Strategie wahrnehmen
- Für die Bereitstellung und Implementierung der Organisationsstruktur, ist das TOP- Management verantwortlich
- Die IT- Leiter müssen eine Brücke zwischen der IT und den Fachbereichen schlagen
- Das Management der Fachbereiche soll in die IT Steuerungsprozesse mit einbezogen werden

1.3 Problemstellung

Mittlerweile erkennen mehr als 90 Prozent aller Unternehmensführer, dass die IT eine kritische und maßgebliche Rolle beim Erfolg eines Unternehmens spielt. Der „IT Governance Global Status Report“ zeigte aber trotzdem auf, dass es für mehr als zwei Drittel aller befragten Vorstände unbequem ist, Fragen hinsichtlich IT Governance und Kontrolle der IT- Verfahren beziehungsweise Systeme zu beantworten. Ferner stellte sich bei diesem Bericht heraus, das sich zwei Drittel aller Unternehmensführer über ihre IT- Probleme bewusst sind und auch darüber, dass diese Probleme mit der Einführung von ITG behoben werden können. Von den befragten Managern und Vorständen denken jedoch nur wenig mehr als die Hälfte darüber nach ein ITG- Programm einzuführen.^[6]

Aus diesem Bericht lässt sich schlussfolgern, dass die Notwendigkeit einer Einführung von ITG erkannt worden ist, es aber am Know- How fehlt ITG einführen zu können.

Ziel dieser Diplomarbeit ist die Darstellung und kritische Bewertung der ITG, Vorstellung von Fallstudien und Handlungsempfehlungen zur Einführung von ITG zu geben.

2. Theoretische Grundlagen

2.1 Entwicklung von ITG

Der Gedanke des Corporate Governance kam zuerst im Angloamerikanischen Wirtschaftsbereich auf und erhielt erst Mitte der neunziger Jahre Einzug nach Deutschland. Die herrschende Governance- Diskussion in der Wirtschaft, ebenso wie in der Politik zeigt, dass sich Unternehmen heutzutage zu komplexen Gefügen entwickelt haben, die mit konventionellen Steuerungs- und Kontrollmechanismen kaum noch zu beherrschen sind, gerade im Hinblick auf vergangene Vorkommnisse wie zum Beispiel der FlowTex- Skandal. Diese Ereignisse lösten in Deutschland heftige Diskussionen um die Macht der Aufsichtsräte, der Banken und der Politik aus.

Die zunehmende Verzahnung von Wertschöpfungsketten weit über die eigene Unternehmensgrenze hinaus, sowie die Etablierung von virtuellen Business Units oder selbst von ganzen rechtlich eigenständigen Gesellschaften, trägt zu der Notwendigkeit bei, das bereits mit dem Deutschen Corporate Governance Kodex vom 26. Februar 2002 durch die Regierung adressierte Thema der Transparenz der Unternehmensleitung und Überwachung weiter zu entwickeln. Mit der Einführung des „Transparenz und Publizitätsgesetz (TransPuG) kann dieser Kodex auch auf eine rechtliche Basis zurückgreifen und ist somit für Unternehmen verbindlich. Dieser Kodex spiegelt sich auch im Aktiengesetz (AktG), sowie anderen Gesetzestexten wieder.

Die weitere Entwicklung der Governance- Initiative nimmt an Geschwindigkeit zu. Die heutige Diskussion hat bereits mit dem COSO-Framework (Committee of Sponsoring Organisations of the Treadway Committee) von 1992, dem „21 CFR Part 11 (Code of Federal Regulations)“ von 1997, dem Turnbull Report von 1999, dem Sarbanes Oxley Act^[7] von 2002 und der neuen Eigenkapitalrichtlinie Basel II von 2004 sowie den Revisionsstandards, wie den „SAS-Verlautbarungen (Statements on Auditing Standards des AICPA – American Institute of Certified Public Accountants) oder den IIA-Verlautbarungen (Institute of Internal Auditors), um nur einige zu nennen, eine lange Entwicklungszeit hinter sich. Nur durch das Scheitern von Kontrollsystemen ist es wieder in den Mittelpunkt des Interesses gerückt.^[8]

CobIT (Control Objectives for Information and related Technology) wurde bereits im Jahre 1996 vom weltweit operierenden Berufsverband der IT- Revisoren ISACA (Information Systems Audit and Control Association) veröffentlicht, welches unter anderem ein mögliches Kontrollsystem für die Informations- und Kommunikationstechnologie darstellt. Es wurde schnell als der Standard für die ITG anerkannt, da es einen ganzheitlichen Ansatz verfolgt und auch den Anspruch hat, die Ausrichtung der genutzten Technologien an die eigene Wertschöpfungskette zu unterstützen. Die internen IT- Kontrollsysteme von prüfungspflichtigen Gesellschaften, werden heute von Wirtschaftsprüfungsgesellschaften nach CobIT begutachtet. Zudem wurde IT- Governance und damit auch CobIT als Managementwerkzeug entdeckt. IT- Governance ist mittlerweile zur Chefsache geworden, nicht nur für Unternehmen die SEC-gelistet sind, und beinhaltet im Rahmen der Unternehmensführung die Faktoren Kommunikation, Prozesse, Produkte, Menschen und Partner. Somit beschreibt ITG die effiziente und effektive Steuerung und Kontrolle von Prozessen und deren Ressourcen, die mittelbar oder unmittelbar auf Informations- und Kommunikationstechnologie basieren oder diese verwenden.^[9]

2.2 Prozess der ITG

Um den Prozess von ITG zu erklären dient die folgende Abbildung, welche dann im Verlauf des Kapitels erläutert wird:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Prozess der ITG ^[10]

Der gesamte Prozess der ITG beginnt zunächst mit dem Vereinbaren von Zielen. Diese gelten für die IT im ganzen Unternehmen und sehen wie folgt aus:

- Die IT ist mit dem Unternehmen abgestimmt
- Die IT ermöglicht das Geschäft und maximiert den Nutzen
- IT- Ressourcenwerden verantwortungsvoll genutzt
- Risiken, die durch die IT entstehen werden entsprechend gesteuert

Schon in dieser Phase wird die Leistung gemessen und mit den Zielen verglichen, was in Form eines Kreislaufs geschieht. Der Kreislauf gewährleistet, dass wo es nötig ist eine Neuausrichtung der Aktivitäten sowie wo nötig eine Anpassung der Ziele vorgenommen wird. Hierbei liegen die Ziele in der Hand des Vorstandes und die Performance- Messungen in der Verantwortung des Managements. Beide Parteien dürfen darüber hinaus aber nicht vergessen zusammen zu arbeiten, da sonst die Ziele nicht mehr umsetzbar sind und die Messungen der Ziele nicht mehr korrekt.

Die IT- Aktivitäten bestehen im Folgenden aus:

- Ausweitung der Automatisierung
- Reduzierung der Kosten, und das Unternehmen effizienter machen
- Managen der Risiken (Sicherheit, Zuverlässigkeit und Erfüllung der Aufträge)

2.3 ITG- Modell

Das folgende Modell der ITG beinhaltet alle wesentlichen Elemente, die zu einer erfolgreichen Implementierung der ITG notwendig sind:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: ITG- Modell^[11]

Um ITG zu implementieren müssen effiziente und funktionierende Organisationsstrukturen der Aufbauorganisation für die Abwicklung der Aufgaben des CIO (Chief Information Officer) geschaffen werden. Hierfür sind festgelegte Entscheidungswege und die Erschaffung einer Gremienlandschaft von wesentlicher Bedeutung.

Zu den Prozessen, Rollen und Verantwortlichkeiten der ITG gehören alle Mechanismen, Verantwortlichkeiten und Rollen, die für eine Implementierung von Prozessen festgelegt werden. Um dies zu erreichen, müssen alle Ebenen der Organisation damit durchzogen sein.

Für den Punkt des Controllings und Konformität mit IT- Regeln ist es grundlegend Ziele zu bilden, die für die Organisation der CIO festgelegt sind. Auch ihre Mitglieder sind auf diesen Beitrag angewiesen.

Die komplette Zielbildung basiert auf der Abstimmung und Ausrichtung an den vereinbarten Geschäftszielen.

Alle eingeführten Programme und IT- Maßnahmen sind darauf zu überprüfen, ob sie mit den gesetzten Standards und Regeln übereinstimmen.

Die Festlegung von Standards und Regeln ist die Basis, auf deren Grundlage die Organisation zu einheitlichen und abgestimmten IT- Vorgaben kommen kann.^[12]

2.4 Aufgaben von ITG

Die Hauptaufgaben der ITG liegen zum einen in der Schaffung von zusätzlichem Unternehmenswert und zum anderen in der Verminderung von Risiken.

Die Erhöhung des Unternehmenswertes macht eine Unternehmung für interessierte Anleger attraktiver und somit auch konkurrenzfähiger. Der zusätzliche Unternehmenswert wird durch die strategische Ausrichtung der IT an den Unternehmenszielen realisiert und geschaffen.

Die Verminderung der Risiken und das Risikomanagement unterstützen eine Unternehmung in der Analyse und Abschätzung von Risiken, die für diese Unternehmung gefährlich, wenn nicht sogar ruinös sein könnten.

Beide Hauptaufgaben müssen durch geeignete Ressourcen unterstützt und gemessen werden, um die Aufgaben auch tatsächlich erfüllen zu können.

Neben diesen beiden Hauptaufgaben werden noch drei weitere Aufgaben durch den Stakeholder Value getrieben. Insgesamt sind es somit fünf Hauptaufgaben, die sich in Treiber und Ergebnisse gliedern. Die Ergebnisse gliedern sich in das Schaffen von Unternehmenswert durch die IT und das Risikomanagement. Die Treiber bestehen aus der Strategische Ausrichtung, dem Ressourcenmanagement und dem Messen der Performance.^[13]

Die folgende Abbildung dient zur Veranschaulichung:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Ziele der ITG^[14]

2.4.1 Strategische Ausrichtung

Die Kernfrage, die sich stellt ist: Stehen IT- Investitionen in Abstimmung mit den strategischen Zielen des Unternehmens und wird dadurch das nötige Potenzial aufgebaut wird, um Unternehmenswert zu generieren?

Dieser Prozess wird generell als Ausrichtung von Teilzielen an den Gesamtzielen

bezeichnet. Er ist sehr komplex und kann als nie vollständig abgeschlossen betrachtet werden. Es geht vielmehr darum, diesen Prozess kontinuierlich zu hinterfragen und daraus resultierend festzustellen, ob man besser als die Konkurrenz steht.

Dies ist für viele Unternehmen nicht leicht zu erreichen, insbesondere dadurch, dass sich Unternehmensziele sehr schnell ändern. Dennoch ist es nötig, diesen Prozess kontinuierlich weiterzuverfolgen. IT Investitionen stellen einen wichtigen Betrag dar, der es nur durch die Ausrichtung an den Unternehmenszielen vermag, den Unternehmenswert positiv zu beeinflussen.

Die strategische Ausrichtung im Sinne der ITG umfasst weit mehr als die strategische Integration der IT Organisation und der Unternehmensorganisation. Sie zielt vielmehr darauf ab, in wieweit der IT Betrieb an den Unternehmensaktivitäten ausgerichtet ist.

Schwierig wird dies, wenn die Mitglieder des Unternehmens schon vorher nicht optimal aufeinander eingestellt waren.

Meist wird die IT sowieso als „Mittel zum Zweck“ und notwendiges Übel betrachtet. Dabei unterstützt die IT die Geschäftsabläufe und Prozesse und macht diese erst überhaupt möglich.^[15]

Der Einsatz von IT kann auch strategische Chancen und Möglichkeiten bieten. So ist der Einsatz wertsteigernd für Produkte und Dienstleistungen. Er ist zudem eine Unterstützung für eine wettbewerbsfähige Ausrichtung des Unternehmens und seiner Produkte. Außerdem führt er zu einer Verbesserung der Effizienz der Administration und der Kostenkontrolle und erhöht die Wirksamkeit des Managements.

Nur durch eine Anbindung der IT an die Unternehmensziele ist es möglich einen Nutzen für das Unternehmen zu erzielen.

Deshalb sind die folgenden Punkte zur Formulierung der IT Strategie vom Unternehmen zu beachten:^[16]

- Aktuelle und zukünftige Technologien sowie deren Kosten, Risiken und Nutzen für das Unternehmen
- Unternehmensziele und das Wettbewerbsfeld
- Die Fähigkeit der IT Organisation und der verwendeten Technologie, auch zukünftig den benötigten Service Grad zu gewährleisten
- Das Ausmaß von Veränderungen und Investitionen, die auf das Unternehmen wirken
- Kostenübersicht über die momentan genutzte IT zu haben, um künftige Wertsteigerungen zu erkennen
- Einfliesenlassen von Erfahrungen aus vergangenen Erfolgen und Misserfolgen

2.4.2 Schaffen von Werten und Nutzen

Um in der IT Werte zu schaffen, muss der versprochene Nutzen durch den Einsatz der IT auch tatsächlich erbracht werden. Dieser Nutzen erfolgt durch die Bereitstellung von geeigneter Qualität zur richtigen Zeit und am richtigen Ort, sowie im Rahmen des Budgets. Durch einen konsequenten und zielgerichteten Einsatz von IT können dem Unternehmen Wettbewerbsvorteile, Kundenzufriedenheit, Produktivität gesichert werden. Auch die Senkung von Kundenwartezeiten, sowie die Dauer für Auftragsbearbeitungen können durch die IT gesenkt werden, was wiederum einen Nutzen für das Unternehmen bringt. Leider ist es sehr schwer diese Elemente zu messen.

Aufgrund ihrer hohen Investitionskosten und den sehr schwer planbaren zukünftigen Ergebnissen ist es für Entscheidungsträger oft unangenehm in die IT zu investieren.

Deshalb ist es für die IT sehr wichtig die Erwartungen des Unternehmens und seiner Manager zu erfüllen. Die nachfolgenden Fragen sollen einen Teil dieser Erwartungen abdecken:^[17]

- Ist die IT flexibel genug, um af neue Anforderungen zu reagieren?
- Ist der Output geeignet, um die Anforderungen des Unternehmens zu erfüllen?
- Wie hoch ist der Durchsatz und wie kurz die Antwortzeiten?
- Wie hoch ist die Usability, Elastizität und Sicherheit?
- Verkürzt sich die Time- to- market durch die Unterstützung angemessener IT?
- Sind die Informationen genau, zeitnah und integriert?
- Wie wird der Kosten- und Zeitaufwand gemanagt?
- Verfügt das Unternehmen über die notwendigen Personalressourcen?
- Wie erfolgreich ist die Zusammenarbeit mit den Partnern?

Es muss im Unternehmen ein beidseitiges Verständnis zwischen der IT und der Unternehmensleitung hergestellt werden, um diese Erwartungen zu managen. Dabei muss eine für beide Seiten verständliche Terminologie herrschen.

Meist besteht eine unklare Vorgehensweise für die Definition von Nutzenplanung und der Messung von dessen Erreichung. Deshalb soll man sich nicht nur an Kennzahlen zur Messung von Finanzströmen orientieren, sondern auch an Qualitätskennzahlen.

IT muss so ausgerichtet und gestaltet sein, dass sie das Unternehmen dabei unterstützt, Dienstleistungen zeitgenau bereitzustellen, die Abläufe durch den Einsatz von geeigneten Funktionalitäten zu unterstützen und hierbei auch den beabsichtigten Nutzen zu erreichen. Die Ausrichtung der IT an den Bedürfnissen des Unternehmens schafft Nutzen, indem sie die Infrastruktur bereitstellt und Wachstum ermöglicht. Zudem fördert der Einsatz der IT die Erschließung neuer Märkte, erhöht den Umsatz und verbessert die Kundenzufriedenheit sowohl intern als auch extern.^[18]

[...]

---

^[1] Vgl. United Nations, Human Settlements, http://www.unescap.org/huset/hangzhou/paper/governance_paper.htm, 15.05.2006

^[2] IT Governance Network, http://www.itgovernance.com/itgovernance.htm, 15.05.2006

^[3] IT Governance Center, Sinn und Zweck ITG, http://www.itgc.de/content/itg/3sinnzweck, 15.05.2006

^[4] Vgl. IT Governance Center, Zielgruppen-Was ist IT Governance?, http://www.itgc.de/content/itg/4zielgruppen/view, 16.05.2006

^[5] Vgl. Krcmar, Helmut, Informationsmanagement, S. 288 ff

^[6] Vgl. IT Governance Institute, IT Governance Global Status Report - 2006, http://www.itgi.org/template_ITGI.cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=24226, 16.05.2006

^[7] Sarbanes-Oxley-Act: US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom

^[8] vgl. IT Governance Center, Entwicklung- Was ist IT Governance, http://www.itgc.de/content/itg/2entwicklung/view, 16.05.2006

^[9] vgl. IT Governance Center, Entwicklung- Was ist IT Governance, http://www.itgc.de/content/itg/2entwicklung/view, 16.05.2006

^[10] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, 16.05.2006

^[11] eigene Abbildung, vgl. Rohloff, Michael: IT- Governance Modell, http://wip.wi-inf.uni-essen.de/imperia/md/content/veranstaltungen/itop/itgov.pfd

^[12] Rohloff, Michael: IT- Governance Modell, http://wip.wi-inf.uni-essen.de/imperia/md/content/veranstaltungen/itop/itgov.pfd, 25.05.2006

^[13] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, 25.05.2006

^[14] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, Seite 27, 26.05.2006

^[15] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, Seite 29 ff, 26.05.2006

^[16] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, Seite 31, 27.05.2006

^[17] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, Seite 34, 27.05.2006

^[18] IT Governance Institute, Process of IT Governance, http://www.itgi.org/template_ITGI.cfm?Section=Process&Template=/ContentManagement/HTMLDisplay.cfm&ContentID=14699, Seite 35, 27.05.2006