Die Umsetzung von IT-Governance mit ITIL® und COBIT® vor dem Hintergrund von Sarbanes-Oxley


Studienarbeit, 2006
112 Seiten, Note: 1,0

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Vom IT-Qualitätsmanagement zur IT-Governance in Unternehmen
1.2 Motivation und Zielsetzung der Arbeit
1.3 Aufbau der Arbeit

2 Prozessorientiertes IT-Qualitätsmanagement
2.1 Begriffe und Definitionen
2.1.1 Begriff Qualität
2.1.2 Begriff Prozess
2.1.3 Begriff IT-Qualitätsmanagement
2.2 Geschäftsprozesse
2.2.1 Begriff Geschäftsprozess
2.2.2 Abgrenzung zu IT-Services
2.2.3 Unterstützung von Geschäftsprozessen durch IT-Services
2.2.4 Architektur von Geschäftsprozessen
2.2.5 Management von Geschäftsprozessen

3 IT-Governance und Sarbanes-Oxley Act
3.1 Corporate Governance
3.1.1 Vorbemerkungen zu Corporate Governance
3.1.2 Gesetze und Verhaltensrichtlinien der Corporate Governance in der Bundesrepublik Deutschland und den USA
3.2 IT-Governance als Bestandteil der Corporate Governance Strategie
3.2.1 Begriffsverständnis von IT-Governance
3.2.2 Integration in die Corporate Governance Strategie
3.2.3 Motivation und Zielsetzung der IT-Governance
3.3 Sarbanes-Oxley Act
3.3.1 Entstehung des Sarbanes-Oxley Act
3.3.2 Überblick über die Paragraphen des Sarbanes-Oxley Act
3.3.2.1 Title I – Public Company Accounting and Oversight Board
3.3.2.2 Title II – Auditor Independence
3.3.2.3 Title III – Corporate Responsibility
3.3.2.4 Title IV – Enhanced Financial Disclosures
3.3.2.5 Title V – Analyst Conflicts of Interest
3.3.2.6 Title VI – Commission Resources and Authority
3.3.2.7 Title VII – Studies and Reports
3.3.2.8 Title VIII – Corporate and Criminal Fraud Accountability
3.3.2.9 Title IX – White-Collar Crime Penalty Enhancements
3.3.2.10 Title X – Corporate Tax Returns
3.3.2.11 Title XI – Corporate Fraud and Accountability
3.3.3 IT-spezifische Anforderungen des Sarbanes-Oxley Act
3.3.3.1 Vorbemerkung
3.3.3.2 Section 302: Management Anforderungen
3.3.3.3 Section 404: Management Anforderungen
3.3.4 Auswirkungen des Sarbanes-Oxley Act auf die IT-Governance
3.3.4.1 Vorbemerkung
3.3.4.2 Konsequenzen der Section 302
3.3.4.3 Konsequenzen der Section 404

4 Standards des IT-Qualitätsmanagements: ITIL und COBIT
4.1 Umsetzung von IT-Governance
4.2 ITIL (Information Technology Infrastructure Library)
4.2.1 Grundlagen und Überblick
4.2.2 Struktur des ITIL-Frameworks
4.2.3 ITIL-Module außerhalb des IT-Service Managements
4.2.3.1 Business Perspective
4.2.3.2 Planning to Implement Service Management
4.2.3.3 Applications Management
4.2.3.4 ICT Infrastructure Management
4.2.3.5 Security Management
4.2.4 IT-Service Management: Service Delivery
4.2.4.1 Service Level Management
4.2.4.2 Capacity Management
4.2.4.3 Availability Management
4.2.4.4 IT-Service Continuity Management
4.2.4.5 Financial Management
4.2.5 IT-Service Management: Service Support
4.2.5.1 Incident Management
4.2.5.2 Problem Management
4.2.5.3 Change Management
4.2.5.4 Release Management
4.2.5.5 Configuration Management
4.2.6 IT-Governance mit ITIL
4.2.6.1 Beitrag von ITIL zur IT-Governance
4.2.6.2 Grenzen von ITIL in Bezug auf die IT-Governance
4.3 COBIT (Control Objectives for Information and Related Technology)
4.3.1 Grundlagen und Überblick
4.3.2 Struktur des COBIT-Referenzmodells
4.3.3 IT-Governance mit COBIT
4.3.3.1 Beitrag von COBIT zur IT-Governance
4.3.3.2 Grenzen von COBIT in Bezug auf die IT-Governance

5 Zusammenfassung

Anhang

Literaturverzeichnis

Abbildungsverzeichnis

Abb. 1-1: Entwicklung der IT-Abteilung zum IT-Dienstleister

Abb. 1-2: Die Bausteine des IT-Qualitätsmanagements mit ITIL

Abb. 2-1: Einfache generische Darstellung eines Prozesses

Abb. 2-2: IT-Dienstleistungen zur Unterstützung von Geschäftsprozessen

Abb. 2-3: Aus Elementarprozessen zusammengesetzter Geschäftsprozess

Abb. 2-4: In den Geschäftsprozess integrierte Steuerungsgrößen

Abb. 2-5: Komplexitätsreduktion durch Bildung von Subprozessen

Abb. 2-6: ARIS-Haus

Abb. 3-1: Lebenszyklus-Betrachtung der IT-Governance

Abb. 4-1: Interaktion der Zielvorgaben und IT-Prozesse

Abb. 4-2: ITIL-Struktur im allgemeinen Kontext

Abb. 4-3: Aufbau und Inhalt von Service Level Agreements

Abb. 4-4: COBIT Referenzmodell

Abb. 4-5: COBIT-Würfel

Tabellenverzeichnis

Tab. 2-1: ARIS-Sichten

Tab. 3-1: Public Company Accounting Oversight Board

Tab. 3-2: Auditor Independence

Tab. 3-3: Corporate Responsibility

Tab. 3-4: Enhanced Financial Disclosures

Tab. 3-5: Analyst Conflicts of Interest

Tab. 3-6: Commission Resources and Authority

Tab. 3-7: Studies and Reports

Tab. 3-8: Corporate and Criminal Fraud Accountability

Tab. 3-9: White-Collar Crime Penalty Enhancements

Tab. 3-10: Corporate Tax Return

Tab. 3-11: Corporate Fraud and Accountability

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Vom IT-Qualitätsmanagement zur IT-Governance in Unternehmen

Das IT-Qualitätsmanagement hat mit wachsendem Einsatz von Informationstechnologie in der Wirtschaft und den damit verbundenen ökonomischen Herausforderungen[1] enorm an Bedeutung gewonnen. Die Geschäftsprozesse der Informationstechnik (IT) haben sich als wesentliche Erfolgsfaktoren organisatorischer Gestaltungsmaßnahmen etabliert[2] und stehen daher unter einem permanenten Anpassungsdruck hinsichtlich ihrer Effektivität und Effizienz. Der Blickwinkel der Organisationsbemühungen verschiebt sich dabei fortwährend in Richtung aktueller und zukünftiger Geschäftskonzepte wie Electronic Commerce, Customer Relationship Management (CRM) und Supply Chain Management (SCM). Das Wissen über die Geschäftsprozesse und ihrer Architekturen kann somit als erfolgskritische Ressource interpretiert werden, die das Management von Geschäftsprozesswissen in den Mittelpunkt rückt.[3]

Eine von Geschäftsprozesswissen losgelöste Betrachtung des prozessorientierten Qualitätsmanagements (QM) ist praktisch kaum möglich. Vielmehr liegt es auf der Hand, die Bemühungen des IT-Qualitätsmanagement weitestgehend an die Geschäftsprozesse der Unternehmen auszurichten[4], um den Anforderungen der Qualitätssicherung in der Praxis gerecht zu werden.[5] Dabei muss besonderes Augenmerk auf die Geschäftsprozesse der jeweiligen IT-Abteilungen gelegt werden, die ihre unternehmensinterne Monopolstellung längst zugunsten komplexer Kunden-Lieferanten-Beziehungen verloren haben. Die IT-Abteilung tritt somit unweigerlich in den Wettbewerb mit externen Anbietern; die bestehenden Marktmechanismen müssen uneingeschränkt vorausgesetzt werden.[6] Die Entwicklung zu einem service- und kundenorientierten IT-Dienstleister bildet dabei den zentralen Kern eines strategischen Transformationsprozesses (s. Abb. 1-1).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1-1: Entwicklung der IT-Abteilung zum IT-Dienstleister[7]

Standards der IT können diesen Wandel entscheidend unterstützen, da sie die kostensparende Wiederverwendung bereits vorhandenen Know-hows bei der Konstruktion unternehmensspezifischer Modelle ermöglichen.[8] Vor diesem Hintergrund hat sich die IT Infrastructure Library (ITIL) in den letzten Jahren als de-facto Standard für das IT-Qualitätsmanagement herauskristallisiert. Von der britischen CCTA (Central Computer and Telecommunications Agency)[9] konzipiert und entwickelt, bildet sie einen „ ... Leitfaden zur effizienten Organisation interner IT-Service-Prozesse.“[10] Vorrangig sollten dabei die langfristige Reduzierung von Kosten bei gleichzeitiger Verbesserung der Qualität der IT-Dienstleistungen erreicht werden.[11] Die wachsende Akzeptanz des ITIL-Framework beruht dabei auf der Integration von allgemein anerkannten Best-Practice-Methoden[12] zur Optimierung service- und kundenorientierter Geschäftsprozesse. Diese können mit ITIL gezielt und strukturiert an sich verändernde Bedingungen angepasst werden.[13] Eine Kombination mit weiteren Standards erscheint in der Praxis dabei durchaus sinnvoll.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1-2: Die Bausteine des IT-Qualitätsmanagements mit ITIL[14]

Im Zuge der aktuellen Entwicklungen im Bereich der IT-Governance gewinnt das IT-Qualitätsmanagement jedoch eine zusätzliche Dimension. Im Mittelpunkt steht dabei der Bedarf nach konsequenter Umsetzung einer IT-Governance Strategie, die als integraler Teil der Unternehmensführung die gewünschte Ausrichtung der IT an die Geschäftsprozesse des Unternehmens vornimmt.[15] Die Anforderungen und Möglichkeiten des IT-Qualitätsmanagements erscheinen geeignet, die Realisierung von IT-Governance im Rahmen einer unternehmensweiten Corporate Governance Strategie zu unterstützen. Im Mittelpunkt steht die unbedingte Forderung, den korrekten Informationsfluss innerhalb der Unternehmensstrukturen mit den zur Verfügung stehenden Mitteln zu garantieren. Wesentliche Aspekte sind dabei die Gewährleistung der Qualität der erbrachten IT-Dienstleistungen (IT-Services) und Minimierung der IT-bedingten Risiken, die bei der Leistungserstellung entstehen. Dies entspricht gerade den wesentlichen Anforderungen, welche die IT-Governance an den Umgang mit Informationstechnik in den Unternehmen stellt.

Die Motivation zur effektiven Umsetzung der IT-Governance wird in erster Linie durch die wirtschaftsrechtlichen Entwicklungen der letzten Jahre angetrieben. In besonderem Maße hebt sich dabei der im Jahr 2002 in den USA verabschiedete Sarbanes-Oxley Act of 2002 (SOX) hervor, der weitreichende Konsequenzen für die Konzernrechnungslegung hat und dafür explizit die Umsetzung von Corporate Governance verlangt. Besondere Relevanz kommt in diesem Kontext den Sections 302 und 404 zu, welche die Geschäftsleitung in die Haftung für ihre Jahresabschlüsse nehmen und zur Implementierung interner Kontrollmechanismen für die Finanzberichterstattung verpflichten. Die IT muss hierbei einen wesentlichen Beitrag zur Konformität mit den neuen Bestimmungen leisten.

1.2 Motivation und Zielsetzung der Arbeit

Die Praxis des IT-Qualitätsmanagements zeigt, dass Implementierung und Umsetzung einer IT-Governance in Unternehmen komplexe Aufgaben darstellen und IT-Manager vor große Herausforderungen stellen. Die notwendigen Anpassungen der Geschäftsprozesse und strategischen Umstrukturierungen ganzer Organisationseinheiten müssen präzise geplant und nach genau definierten Vorgaben umgesetzt werden. Im Rahmen dieser Arbeit soll hierfür untersucht werden,

- inwieweit sich die Bestimmungen des Sarbanes-Oxley Act auf die IT-Governance auswirken und

- inwiefern IT-Governance unter Berücksichtigung des Sarbanes-Oxley Act mit dem ITIL-Framework und dem COBIT-Referenzmodell umgesetzt werden kann.

Die vorliegende Arbeit stützt sich dabei auf den Grundgedanken, dass Standards des IT-Qualitätsmanagement wertvolle Methoden und Prozesse zur Verfügung stellen, die zur Umsetzung von IT-Governance beitragen können. In diesem Zusammenhang spielt die Ausrichtung von Geschäftsprozessen eine zentrale Rolle, so dass eine Annäherung an die Thematik aus prozessorientierter Sicht vorgenommen wird. Elementarer Gegenstand der Untersuchung ist das Aufzeigen der Möglichkeiten und Grenzen dieser Standards.

1.3 Aufbau der Arbeit

Kapitel 1 der vorliegenden Arbeit bietet eine Einleitung in die Thematik aus Sicht des IT-Qualitätsmanagements und stellt die Verbindung zur Umsetzung von IT-Governance her, die insbesondere durch den Sarbanes-Oxley Act of 2002 motiviert wird. IT-Governance wird dabei als integraler Bestandteil der unternehmensweiten Corporate Governance Strategie betrachtet und verlangt somit die Konformität der Informationstechnik mit den Anforderungen der aktuellen gesetzlichen Bestimmungen.

Kapitel 2 beschäftigt sich mit den komplexen Beziehungen zwischen der Informationstechnik und den Geschäftsprozessen innerhalb eines Unternehmens und liefert dafür eine Einführung in das IT-Qualitätsmanagement aus prozessorientierter Sicht. Zentraler Aspekt ist hierbei die Unterstützung der Geschäftsprozesse durch die Informationstechnik, die als notwendige Basis für die Umsetzung von IT-Governance betrachtet wird.

Gegenstand des dritten Kapitels ist der Sarbanes-Oxley Act of 2002 und seine Auswirkungen auf die IT-Governance. Es wird hierfür gezeigt, dass IT-Governance einen festen Bestandteil der Corporate Governance darstellt und für die Konformität mit dem Sarbanes-Oxley Act unerlässlich ist. Kapitel 3 gibt einen Überblick über die Paragraphen des Sarbanes-Oxley Act und stellt diejenigen Inhalte ausführlich vor, aus denen sich eine unmittelbare Relevanz für die Informationstechnik ergibt.

Kapitel 4 beschreibt mit ITIL und COBIT ausgewählte Standards des IT-Qualitätsmanagements, welche die Umsetzung von IT-Governance wesentlich unterstützen können. Sie stellen wichtige Prozesse und Best-Practice Methoden zur Verfügung, mit denen die Informationstechnik im Rahmen des IT-Qualitätsmanagements effektiv auf die Geschäftsprozesse des Unternehmens ausgerichtet werden kann. Neben dieser strategischen Ausrichtung ist die Minimierung der IT-bedingten Risiken ein wesentlicher Aspekt der Betrachtung, da sie eine zentrale Forderung der IT-Governance darstellt. In diesem Zusammenhang werden Möglichkeiten und Grenzen der genannten Standards hinsichtlich der Konformität mit dem Sarbanes-Oxley Act aufgezeigt.

Kapitel 5 schließt die vorliegende Arbeit mit einer Zusammenfassung ab.

2 Prozessorientiertes IT-Qualitätsmanagement

2.1 Begriffe und Definitionen

2.1.1 Begriff Qualität

Der Begriff der Qualität besitzt bis heute lediglich allgemein gehaltene Definitionen und bedarf daher noch immer einer mehrdimensionalen Interpretation. In Unternehmen wird das Verständnis des Qualitätsbegriffs offensichtlich von zahlreichen Faktoren bestimmt, darunter auch die Bezugnahme auf den jeweiligen Tätigkeitsbereich. Je nach interpretierender Zielgruppe werden mit Qualität daher häufig die Attribute

- Zufriedenheit (Kundenzufriedenheit, eigene)
- Zuverlässigkeit
- Fähigkeit / Kompetenz
- Eignung
- Lebensdauer
- Verarbeitung
- Ausstattung
- Ästhetik
- Verständlichkeit
- Einfache Handhabung
- Service / Dienstleistung

in Verbindung gebracht.[16] In die Menge dieser Attribute lässt sich unter dem Hintergrund eines stetig wachsenden Sicherheitsbedürfnisses[17] auch der Aspekt der Sicherheit[18] einbeziehen.

Je nach betrachtetem Arbeitsfeld innerhalb eines Unternehmens wird der Qualitätsbegriff entsprechend spezifischer Zielsetzungen unterschiedlich abstrahiert. Für das Informationsmanagement besitzt Qualität beispielsweise folgende Dimensionen[19]:

- Qualität der Informationen und der Informationsversorgung
- Qualität der Informationsverarbeitungssysteme und der eingesetzten Technologien
- Qualität des Betriebs der Informationsverarbeitungssysteme und der eingesetzten Technologien
- Qualität des Informationsmanagements selbst

Die Unschärfe des Qualitätsbegriffs impliziert jedoch grundlegende Schwierigkeiten sowohl bei dessen theoretischer Auslegung, als auch dessen praktischer Anwendung.[20] Da sich der Begriff Qualität auf alle wesentlichen Aspekte des menschlichen Wirkens beziehen lässt, können geeignete Definition lediglich aspektbezogen gegeben werden. Nachfolgend soll daher der Aspekt der IT-Dienstleistungen bzw. IT-Services zugrunde gelegt werden. So definiert DIN 55350/ISO 8402 Qualität als die Gesamtheit der Merkmale und Merkmalswerte eines Produktes oder einer Dienstleistung bezüglich ihrer Eignung, festgelegte und vorausgesetzte Erfordernisse zu erfüllen.[21]

2.1.2 Begriff Prozess

Ein Prozess ist ein isolierter, inhaltlich abgeschlossener Vorgang[22] und kann formal betrachtet als Funktion aufgefasst werden, die einen definierten Input erwartet und durch Kombination und/oder Transformation des Inputs einen Output generiert. Der Input wird durch Eingaben charakterisiert, die in ihrer Gesamtheit und Wechselwirkung innerhalb der einzelnen Prozessschritte[23] zu einem gewünschten Ergebnis verarbeitet werden. Das wertmäßige Ergebnis stellt somit den Output dar. Ein Prozess verbraucht dabei Ressourcen und verursacht daher Kosten.[24] Die wesentlichen Merkmale eines Prozesses lassen sich wie folgt zusammenfassen[25]:

- Ziel
- Aktivitäten
- Bedingungen (soziales Umfeld)
- Input (Auslöser)
- Output (Ergebnis)
- Qualität (Leistungsindikatoren)

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-1: Einfache generische Darstellung eines Prozesses[26]

Im Rahmen dieser Arbeit soll daher folgende Definition zu Grunde gelegt werden: Ein Prozess ist eine zeitlich-logische Abfolge von zusammenhängenden Aktivitäten, die das Ziel einer Leistungserstellung verfolgt.[27]

2.1.3 Begriff IT-Qualitätsmanagement

Für den Begriff des IT-Qualitätsmanagement existieren in der akademischen Literatur eine Reihe von Definitionen und Beschreibungen, die zum Teil aus sehr unterschiedlichen Blickwinkeln entstanden sind. Im Rahmen der vorliegenden Arbeit wird unter IT-Qualitätsmanagement die Menge aller Aktivitäten verstanden, die zur Planung, Umsetzung und Kontrolle von qualitätssichernden Prozessen in der Informationstechnik beitragen. Im Mittelpunkt der Betrachtung stehen dabei die Aspekte der Effizienz, Effektivität und Qualität der durch die Informationstechnik erbrachten Leistungen.

Für das IT-Qualitätsmanagement aus Sicht der Prozessorientierung gelten dabei respektive die nachfolgend aufgeführten Anforderungen in Bezug auf ihre Zielsetzung innerhalb einer IT-Organisation:

- Ausrichtung der Informationstechnik auf die Geschäftsprozesse der Organisation (s. Abschnitt 2.2) zur Erreichung übergeordneter Unternehmensziele
- Optimierung der Prozesse der Informationstechnik und Maximierung des Prozessoutputs
- Minimierung der IT-spezifischen Risiken, die im Zuge der Leistungserstellung entstehen

Insbesondere für das Verständnis des ersten Punktes ist ein Einblick in den Bereich des Geschäftsprozessmanagement hilfreich.

2.2 Geschäftsprozesse

2.2.1 Begriff Geschäftsprozess

Die einschlägige Literatur dokumentiert das Bemühen um eine einheitliche Definition des Begriffs Geschäftsprozess. Er geht aus der Übersetzung des gebräuchlichen angelsächsischen Begriffs Business Process hervor.[28] Bei der Entwicklung einer geeigneten Definition des Begriffs liefert der klassische Prozessbegriff lediglich eine Ausgangsbasis, welche um folgende Aussagen[29] über den Geschäftsprozess aus Unternehmenssicht erweitert werden kann:

- Der Output eines Geschäftsprozesses stellt für das Unternehmen und/oder den Kunden ein Ergebnis mit messbarem Wert dar[30]
- Geschäftsprozesse werden von einem Prozessverantwortlichen gesteuert und verfolgen von der Prozessführung gesetzte Ziele
- Geschäftsprozesse können durch Produkte der Informationstechnik unterstützt werden[31]
- Geschäftsprozesse beschreiben Unternehmensfunktionen unter Berücksichtigung ihrer inhaltlichen und zeitlichen Abhängigkeiten[32]
- Geschäftsprozesse können sich über mehrere Aufgaben- und Tätigkeitsschritte hinweg erstrecken und sind daher mit dem Austausch von Informationen und Dienstleistungen innerhalb der Organisationsschritte verbunden[33]
- Die Aufgaben und Tätigkeiten innerhalb eines Geschäftsprozesses können über mehrere Organisationseinheiten verteilt sein[34]
- Geschäftsprozesse werden durch ein Startereignis aktiviert (Input) und ein Endereignis beendet (Output)[35]

Unter Berücksichtigung der oben getroffenen Aussagen soll im Rahmen dieser Arbeit für den Begriff Geschäftsprozess die folgende Definition zugrunde gelegt werden:

Ein Geschäftsprozess ist eine zeitlich-logische Abfolge von zusammenhängenden Unternehmensaktivitäten, die unter Verwendung von Informationstechnik innerhalb eines Systems von Organisationseinheiten das Ziel einer Leistungserstellung verfolgt.[36]

Die Menge der Geschäftsprozesse ist dabei durch das Unternehmen individuell festzulegen, wobei branchenspezifische Unterschiede und unternehmensspezifische Prioritäten ausschlaggebend für die Definition sind.[37]

2.2.2 Abgrenzung zu IT-Services

Geschäftsprozesse und IT-Services sind innerhalb des IT-Qualitätsmanagements nicht gleich zu setzen. IT-Services sind im Gegensatz zu Geschäftsprozessen Dienstleistungen im engeren Sinne.[38] Sie werden intern durch eine IT-Abteilung oder extern durch einen IT-Dienstleister erbracht und sind auf die Unterstützung der Geschäftsprozesse der Kunden gerichtet.[39] Analog zu den Geschäftsprozessen lassen sich IT-Services in (mehrere) Teilservices zerlegen. Sie bilden daher die kleinste, sinnvoll teilbare Menge, die ein Kunde „kaufen“ kann.[40]

2.2.3 Unterstützung von Geschäftsprozessen durch IT-Services

Innerhalb des Informationsmanagements (IM) hat der Begriff des Geschäftsprozesses enorm an Bedeutung gewonnen. Die Informationstechnik, in der Vergangenheit überwiegend als Technologie-Ressource betrachtet, nimmt heutzutage bei der Gestaltung von Geschäftsprozessen eine bedeutsame Rolle ein.[41]

“The standard desire to have the IT Strategy aligned to the company strategy remains valid as ever. What is new, particularly for the enterprise, will be to have an e-Business strategy aligned to the overall company direction and goals.”[42]

So können mit dem wachsenden Radius der Informationstechnik innerhalb des Geschäftsprozessmanagements auch kontinuierliche Verbesserungen übergeordneter Unternehmensprozesse angestrebt werden.[43] Allgemeine Zielsetzung dieses Bestrebens ist die nachhaltige Entfaltung der Wettbewerbsfähigkeit durch sukzessive Ausrichtung der Arbeitsabläufe an den Kundenforderungen.[44] Somit sind es auch die Anforderungen der Kunden, an denen sich der Geschäftsprozessoutput letztlich orientiert. An der Qualität des Prozessoutputs lässt sich daher die Effektivität des Geschäftsprozesses bemessen. Die Effektivität wird wiederum maßgeblich durch die Qualität des Prozessinputs determiniert.[45] Als Teilmenge aller in den Geschäftsprozess einfließenden Dienstleistungen sollen insbesondere die IT-Services unmittelbar für Effizienz und Qualität des Prozesses sorgen.[46] Entsprechend hohe Anforderungen an die jeweiligen IT-Services lassen sich aus der Relation ableiten, die in Abbildung 2-2 verdeutlicht wird.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-2: IT-Dienstleistungen zur Unterstützung von Geschäftsprozessen[47]

Als Erbringer von IT-Dienstleistungen müssen sich interne IT-Abteilungen daher als IT-Dienstleister definieren, wodurch grundsätzlich unternehmensinterne Kunden-Lieferanten-Beziehungen entstehen. Als interner Kunde treten hierbei die Anwender der Geschäftsbereiche auf, welche die erbrachten Services zur Ausführung ihrer Geschäftsprozesse verwenden.[48] Als wesentlicher Aspekt der Geschäftsprozesse hebt sich dabei ihre Ablauflogik hervor.[49] Neben der zur Aufgabenerfüllung notwendigen zeitlichen und räumlichen Disposition der Dienstleistungserbringung erfordert sie eine Definition der unternehmensinternen Geschäftsbeziehungen. Die Gestaltung der Rahmenbedingungen dieser unternehmensinternen Beziehung ist dabei Teilaufgabe der IT-Governance.

Etablierte interne IT-Dienstleister werden nicht selten als eigenständige IT-Service-Anbieter ausgegliedert, um auch externe Märkte zu erschließen und eine Konzentration auf Kernkompetenzen zu ermöglichen.[50] Im Zuge der Ausgliederung von IT-Bereichen (IT-Outsourcing[51] ) wächst so eine Marktstruktur heran, die interne und externe Anbieter von IT-Dienstleistungen unmittelbar in Konkurrenz zueinander stellt. Dementsprechend erhöhen sich die Anforderungen an eine effiziente Marktstrategie seitens der Marktteilnehmer. Angesichts der reaktiv geschaffenen Marktdichte sind jedoch auch gegenläufige Trends beobachtbar.[52]

2.2.4 Architektur von Geschäftsprozessen

Unabhängig von den jeweils operierenden Geschäftsbereichen kann eine Optimierung von Geschäftsprozessen nur über intensive Betrachtung und Analyse ihrer Architekturen erfolgen. Nachfolgend sollen daher einige Aussagen getroffen werden, die für das Verständnis der Geschäftsprozessarchitektur von Bedeutung sind.

Zunächst ist eine grundlegende Unterscheidung der Geschäftsprozesse in einfache und zusammengesetzte Geschäftsprozesse möglich. Einfache Geschäftsprozesse können als Elementarprozesse aufgefasst werden, die in sinnvoller Weise nicht weiter aufgelöst werden (können). Zusammengesetzte Geschäftsprozesse entstehen durch die Kombination von bereits existenten Geschäftsprozessen, die wiederum elementar oder zusammengesetzt sein können.[53]

Je nach ihren gegenseitigen Abhängigkeiten werden die Prozesse parallel oder in Reihe organisiert und bilden in dieser Kombination einen zusammengesetzten Geschäftsprozess. Entgegen der verbreiteten Annahme lassen sich Elementarprozesse nicht zu neu generierten Elementarprozessen verschmelzen, da dies eine sinnvolle Auflösbarkeit der Struktur der einfachen Geschäftsprozesse voraussetzen würde. Dies steht jedoch im Widerspruch zu oben gemachter Aussage.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-3: Aus Elementarprozessen zusammengesetzter Geschäftsprozess[54]

In der Praxis hat sich eine übersichtliche und abstrakte Darstellung von Geschäftsprozessen bewährt, so dass unnötige Details mit der Zusammenfassung von Elementarprozessen nach Möglichkeit ausgeklammert werden. In umgekehrter Richtung kann ein zusammengesetzter Geschäftsprozess je nach gewünschter Betrachtungstiefe in Subprozesse zerlegt werden, wobei entweder genau ein Elementarprozess oder mindestens zwei zusammenhängend kombinierte Prozesse in einem Kontext beleuchtet werden. Ein Subprozess ist damit stets eine zusammenhängende Abfolge von Arbeitsschritten.[55]

Aus dieser Einteilung leitet sich die Erkenntnis ab, dass Geschäftsprozesse eine abgeschlossene Menge bilden. Werden demnach zwei oder mehr Geschäftsprozesse miteinander verknüpft, resultiert hieraus wiederum ein Geschäftsprozess.[56]

Geschäftsprozesse besitzen per Definition einen Input und einen Output. Der Input kann beispielsweise aus Aufgaben, Aufträgen oder quantitativen Größen wie Zahlen und Werten bestehen. Der Output liefert Dienstleistungen und Produkte, die als wertmäßiges Ergebnis interpretiert werden können. Darüber hinaus wirken auf einen Geschäftsprozess Steuerungsgrößen ein, die den Prozessverlauf positiv oder negativ beeinflussen können.[57] Als Steuerungsprozess betrachtet, können diese Steuerungsgrößen problemlos mit dem eigentlichen Geschäftsprozess verknüpft werden (s. Abb. 2-4).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-4: In den Geschäftsprozess integrierte Steuerungsgrößen[58]

Als praktisches Beispiel kann ein Buchungsvorgang als Geschäftsprozess in einem Reiseunternehmen gewählt werden. Der Geschäftsprozess erwirtschaftet durch die Buchung einen Output-Wertzuwachs. Anhand der Durchlaufzeit[59] als gewählte Steuerungsgröße kann nun ermittelt werden, ob sich die Zeit, in der sich der Wertzuwachs einstellt, (tendenziell) verringert oder erhöht. Eine Störung des Buchungsvorgangs ist nun mit dieser Steuerungsgröße leicht identifizierbar, da sie eine Zeitüberschreitung während der Buchung signalisiert. Idealerweise ist die Steuerungsgröße selbst als Steuerungsprozess in den Buchungsvorgang integriert und beseitigt als Output diese Störung.

Bei Unternehmensprozessen wie der im obigen Beispiel angeführten Reisebuchung handelt es sich tatsächlich um sehr komplexe Geschäftsprozesse (vielfach zusammengesetzte Geschäftsprozesse), deren Komplexität für die Modellierung ihrer Architektur in die bereits beschriebenen Subprozesse zerlegt werden muss. In der Aufgliederung des Unternehmensprozesses zeigt sich der entscheidende Vorteil der Prozessorientierung. Aufgaben und Teilaufgaben können anhand dieser Sichtweise weitestgehend unabhängig von Hierarchiestrukturen als Elemente der Prozesse betrachtet werden.[60]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-5: Komplexitätsreduktion durch Bildung von Subprozessen[61]

Den Grundgedanken der Komplexitätsreduktion von Geschäftsprozessen greift auch das Konzept „Architektur integrierter Informationssysteme (ARIS)“ in ähnlicher Weise auf (vgl. Abb. 2-6, S. 18). Das ARIS-Konzept entwickelt ein Modell für Unternehmensprozesse und teilt es in verschiedene Sichten auf, um diese wiederum durch spezifische Methoden beschreiben zu können.[62] Die Zusammenfassung von Begriffsklassen und ihren Beziehungen zu Sichten erleichtert die Strukturierung und vereinfacht somit das gesamte Geschäftsprozessmodell.[63] Dabei werden folgende Klassen im Meta-Geschäftsprozessmodell unterschieden[64]:

- Umfelddaten des Geschäftsprozesses
- Start- und Ergebnisereignisse
- Nachrichten
- Funktionen
- Menschliche Arbeitsleistung
- Maschinelle Ressourcen und Computer-Hardware
- Anwendungssoftware
- Leistungen in Form von Sach-, Dienst- und Informationsdienstleistungen
- Finanzmittel
- Organisationseinheiten
- Unternehmensziele

Das eigentliche Prozessmodell ist in die Steuerungssicht eingeordnet. Abbildung 2-6 zeigt die Herkunft der Objekte der Steuerungssicht als Ausprägungen ihrer Klassen aus den übrigen Sichten.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-6: ARIS-Haus[65]

Die Methoden einer bestimmten Sicht lassen sich somit losgelöst von Einflüssen anderer Sichten betrachten, was bei der Entwicklung von Informationssystemen ein entscheidender Vorteil ist. In Tabelle 2-1 (S. 19) findet sich dazu eine kompakte Beschreibung der einzelnen Sichten im ARIS-Haus. Die Zerlegung von Geschäftsprozessen in Subprozesse kann zum Beispiel aus der Funktionssicht sehr viel einfacher modelliert werden als aus „ganzheitlicher“ Sicht, da zahlreiche Nebenaspekte zunächst vernachlässigt werden dürfen.[66] Ein weiterer Vorteil dieser Einteilung besteht in der Vermeidung von Redundanzen, die bei der Mehrfachverwendung von Objekten innerhalb des Geschäftsprozessmodells auftreten können.[67]

[...]


[1] Im Zuge von E-Commerce, Globalisierung und Outsourcing sehen sich Unternehmen heute mit einer potenziell weltweiten Konkurrenz im Wettbewerb, wodurch die Anforderungen an bereichsübergreifende IT-Dienstleistungen und IT-Projekte einem stetigen Veränderungsprozess hinsichtlich ihrer serviceorientierten Abwicklung unterliegen. Vgl. hierzu Brenner et al. (2003), S. 66.

[2] Vgl. hierzu Scheer (1997), S. 10ff.

[3] Vgl. Habermann (2001), S. 5.

[4] Vgl. hierzu Brenner et al. (2003), S. 66.

[5] In der Praxis finden die Methoden des Qualitätsmanagement oft nur unzureichend Anwendung, was bspw. zu Problemen in sämtlichen Phasen eines Produktlebenszyklus führen kann. Eine der möglichen Ursachen kann an dieser Stelle die nicht konsequente Ausrichtung an die Geschäftsprozesse sein.

[6] Vgl. hierzu genauer Hochstein et al. (2004), S. 382.

[7] In Anlehnung an Lingg; Scheuring (2003), S. 24.

[8] Vgl. weiterführend Becker (2004); S. 325.

[9] Die CCTA hat als Dienstleistungsorganisation der britischen Regierung die Aufgabe, öffentliche Dienstleistungen der britischen Regierung mithilfe der Informationstechnologie zu optimieren. Die CCTA arbeitet heute unter ihrem neuen Namen OGC (Office of Government Commerce), http://www.ogc.gov.uk

[10] Diercks (2004), S. 36.

[11] Vgl. Diercks (2004), S. 36.

[12] Hochstein et al. (2004), S. 383, betrachten ITIL dagegen als Common-Practice-Referenzmodell.

[13] Vgl. hierzu Becker et al. (2002), S. 10.

[14] In Anlehnung an Köhler (2005), S. 23.

[15] Vgl. hierzu Köhler (2005), S. 261.

[16] Vgl. Köhler (2005), S. 1.

[17] Insbesondere das Bedürfnis nach Sicherheit in der IT. IT-Sicherheit ist mitunter zu einem entscheidenden Einflussfaktor bei der Implementierung von Referenzmodellen zur Unterstützung der Umsetzung strategischer Unternehmensziele geworden. Eine Aussage über das Zusammenwirken von IT-Sicherheit und ITIL-Framework trifft BSI (Hrsg.) (2005), S. 8ff.

[18] Eine Definition des Begriffes Sicherheit findet sich in Eckert (2003), S. 4-5.

[19] Vgl. zu nachfolgender Aufzählung Schwarze (2000), S. 341.

[20] Vgl. hierzu Brenner et al. (2003), S. 68.

[21] Dabei wird Qualität traditionell als Eigenschaft von Produkten oder Dienstleistungen interpretiert. Da Mitarbeiter, Kapitalgeber und Öffentlichkeit bei der traditionellen Sicht unberücksichtigt bleiben, dehnt das Konzept des Total-Quality-Management (TQM) den Qualitätsbegriff auf das gesamte Unternehmen aus.

[22] Vgl. Stein (1996), S. 116.

[23] Der Prozess wird hierbei der Einfachheit halber als Blackbox interpretiert.

[24] Vgl. Kresse et al. (2005), S. 7.

[25] Vgl. zu nachfolgender Aufzählung Kresse et al. (2005), S. 7.

[26] In Anlehnung an Köhler (2005), S. 29.

[27] Vgl. Köhler (2005), S. 29.

[28] Vgl. Scheer (1997), S. 10.

[29] Vgl. hierzu Gadatsch (2001), S. 29-30.

[30] Vgl. Lingg; Scheuring (2003), S. 18.

[31] Vgl. weiterführend Zarnekow et al. (2005), S. 22ff.

[32] Habermann (2001), S. 16ff. befasst sich u.a. ausführlich mit den daraus resultierenden Komplexitäts- und Kapazitätsproblemen.

[33] Vgl. Schwarze (2000), S. 147.

[34] Vgl. Domschke et al. (1997), S. 25.

[35] Vgl. Schwarze (2000), S. 147.

[36] Vgl. auch Gadatsch (2001), S. 30 und Scheer (1998), S. 3.

[37] Vgl. Nippa; Picot (1995), S. 98.

[38] Als Beispiel für einen IT-Service kann hier eine Business Application genannt werden, die mit einem Help Desk gekoppelt ist. Vgl. Kresse et al. (2005), S. 6.

[39] Vgl. Kresse et al. (2005), S. 6.

[40] Vgl. Kresse et al. (2005), S. 6.

[41] Management-Konzepte wie das Business Process Reengineering (BPR) beschäftigen sich mit dem Redesign der unternehmensweiten Geschäftsprozesse mit dem Ziel, die Organisationsstruktur eines Unternehmens mithilfe der Informationstechnik zu optimieren.

[42] Gouge (2003), S. 50.

[43] Vgl. weiterführend Habermann (2001), S. 4-5.

[44] Vgl. Gadatsch (2001), S. 21.

[45] Vgl. zudem Krcmar et al. (2000), S. 205ff.

[46] Vgl. hierzu Zarnekow et al. (2005), S. 3-5.

[47] In Anlehnung an Zarnekow et al. (2005), S. 3.

[48] Vgl. zudem Zarnekow et al. (2005), S. 10ff.

[49] Vgl. hierzu Krcmar et al. (2000), S. 108.

[50] Hierbei handelt es sich jedoch um eine unternehmenspolitische Entscheidung, deren quantitative Bewertung sehr problematisch ist, da die exakte Definition der Kernkompetenzen in der Praxis selten eindeutig ist. Vgl. hierzu Gadatsch (2001), S. 213.

[51] Grundsätzlich stellt das Outsourcing an sich keine Idee der IT-Bereiche dar, sondern konfrontiert die Entscheidungsträger vor dem Hintergrund von « Make or Buy» mit einer klassischen betriebswirtschaftlichen Fragestellung. Vgl. hierzu auch Schwarze (2000), S. 348ff.

[52] Vgl. Zarnekow et al. (2005), S. 10.

[53] Vgl. hierzu Bernhard et al. (2004), S. 28.

[54] Eigene Darstellung.

[55] Zusammenhängend bedeutet i.e.S., dass ein Prozess seinen Output an den nachfolgenden Prozess als Input übergibt. Zwei parallele Prozesse können aus diesem Grund nicht als Subprozess zusammengefasst werden, obwohl sie eine Teilmenge der Gesamtprozessmenge bilden. I.w.S. existieren demnach zwischen zusammenhängenden Prozessen Kunden-Lieferanten-Beziehungen.

[56] Vgl. Bernhard et al. (2004), S. 28.

[57] Vgl. Köhler (2005), S. 29.

[58] In Anlehnung an Köhler (2005), S. 29.

[59] Krcmar et al. (2000), S. 108 nennen neben der Durchlaufzeit auch Qualität und Kosten als Kriterien zur Bewertung eines Geschäftsprozesses.

[60] Dies ermöglicht darüber hinaus eine Orientierung der Geschäftsprozessanalyse an der Wertschöpfungskette. Vgl. zudem Schwarze (2000), S. 147.

[61] In Anlehnung an Schwarze (2000), S. 147.

[62] Vgl. hierzu Scheer (1997), S. 10ff.

[63] Vgl. Scheer (2002), S. 33.

[64] Vgl. zu nachfolgender Aufzählung Scheer (2002), S. 32.

[65] In Anlehnung an Scheer (2002), S. 37.

[66] Vgl. zudem Scheer (1997), S. 11.

[67] Vgl. Scheer (2002), S. 33.

Ende der Leseprobe aus 112 Seiten

Details

Titel
Die Umsetzung von IT-Governance mit ITIL® und COBIT® vor dem Hintergrund von Sarbanes-Oxley
Hochschule
Technische Universität Darmstadt
Note
1,0
Autor
Jahr
2006
Seiten
112
Katalognummer
V76587
ISBN (eBook)
9783638808156
ISBN (Buch)
9783638807609
Dateigröße
1074 KB
Sprache
Deutsch
Schlagworte
Umsetzung, IT-Governance, ITIL, COBIT, Hintergrund, Sarbanes-Oxley
Arbeit zitieren
René Moch (Autor), 2006, Die Umsetzung von IT-Governance mit ITIL® und COBIT® vor dem Hintergrund von Sarbanes-Oxley, München, GRIN Verlag, https://www.grin.com/document/76587

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Die Umsetzung von IT-Governance mit ITIL® und COBIT® vor dem Hintergrund von Sarbanes-Oxley


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden