IT-Governance

Im Wesentlichen bietet IT-Governance Ihnen die Möglichkeit Ihre IT-Strategie mit der Geschäftsstrategie in Einklang zu bringen. Durch die Einhaltung eines formalen Frameworks können Unternehmen messbare Ergebnisse erzielen, um ihre Strategien und Ziele zu erreichen. Ein formelles Programm berücksichtigt auch die Interessen der Stakeholder sowie die Bedürfnisse der Mitarbeiter und die von ihnen befolgten Prozesse.

Ganzheitlich betrachtet ist die IT-Governance ein integraler Bestandteil der gesamten Unternehmensführung. Sie kann als ein Element der Enterprise Governance betrachtet werden, das darauf abzielt, das IT-Management insgesamt zu verbessern und einen höheren Wert aus den Investitionen in Information und Technologie zu erreichen.

IT-Governance ermöglicht es einer Organisation:

• Messbare Ergebnisse im Zusammenhang von umfassenderen Geschäftsstrategien und -zielen zu erreichen.
• Erfüllung der relevanten rechtlichen und regulatorischen Verpflichtungen, wie z. B. die DSGVO.
• Stakeholdern zu versichern, dass sie Vertrauen in die IT-Dienste der Organisation haben können.
• Steigerung der Rendite von IT-Investitionen zu ermöglichen; und
• Einhaltung bestimmter Anforderungen der Corporate Governance.

ISACA gliedert die IT-Governance als allgemeinen Ansatz in die folgenden Schwerpunktbereiche / Focus Areas (die sich alle am Nutzen der Stakeholder orientieren):

• Wertschaffung (Engl.: Value Delivery): Der Beitrag der IT zum Unternehmenserfolg ist zu messen und zu bewerten.
• Strategische Ausrichtung (Engl.: Strategic Alignment): Die IT-Strategie muss auf die Strategie des gesamten Unternehmens abgestimmt sein.
• Leistungsmanagement (Engl.: Performance Management): Der Schwerpunkt liegt auf der Verfolgung der Projektabwicklung und der Überwachung der IT-Leistungen / IT-Services.
• Ressourcenmanagement: Es sind Entscheidungen über den zielgerichteten und effizienten Einsatz von Ressourcen zu treffen.
• Risikomanagement: Risiken sollen identifiziert und gemanagt werden, wobei der Schwerpunkt auf der Sicherung von IT-Assets der Wiederherstellung im Notfall / Disaster Recovery und der Kontinuität des Betriebs liegt. 

Initiativen zur Umsetzung der IT-Governance müssen ordnungsgemäß und angemessen verwaltet werden. Die Unterstützung und Anleitung durch wichtige Führungskräfte kann sicherstellen, dass Verbesserungen angenommen und aufrechterhalten werden. Anforderungen, die auf aktuellen Herausforderungen basieren, sollten vom Management als Bereiche identifiziert werden, die angegangen werden müssen. Eine erfolgreiche Umsetzung hängt davon ab, dass die entsprechenden Veränderungen auf die richtige Art und Weise durchgeführt werden.

Der Implementierungslebenszyklus bietet Unternehmen eine Möglichkeit, die Komplexität und die Herausforderungen zu bewältigen, die typischerweise bei Implementierungen auftreten. Die drei relevanten Komponenten des Lebenszyklus sind:

1. Kontinuierlicher Verbesserungs-Lebenszyklus
2. Change Enablement - Berücksichtigung der verhaltensbezogenen und kulturellen Aspekte
3. Programmmanagement nach den allgemein anerkannten Grundsätzen des Projektmanagements

Diese Komponenten bilden den inneren Ring, den mittleren Ring und den äußeren Ring des Implementierungslebenszyklus von COBIT 5 Implementation. Die sieben Phasen dieses Lebenszyklus sind die folgenden:

• Phase 1: Erkennen und Einigung auf die Notwendigkeit einer Implementierungs- oder Verbesserungsinitiative. In dieser Phase werden die aktuellen Probleme identifiziert, was den Wunsch nach Veränderung auf Führungsebene fördert.
• Phase 2: Konzentration auf die Festlegung des Umfangs der Umsetzungs- oder Verbesserungsinitiative, wobei zu berücksichtigen ist, wie Risikoszenarien auch Schlüsselprozesse hervorheben könnten, auf die man sich konzentrieren sollte. Eine Bewertung des aktuellen Zustands muss durchgeführt werden, um Probleme oder Mängel durch eine Bewertung der Prozessfähigkeit zu ermitteln. 
• Phase 3: Festlegung von Verbesserungszielen, einschließlich einer detaillierteren Analyse zur Ermittlung von Gaps und potenziellen Lösungen.
• Phase 4: Entwicklung praktischer Lösungen mit definierten Projekten, die durch begründete Geschäftsfälle unterstützt werden, und Entwicklung eines Change-Plans für die Umsetzung.
• Phase 5: Die vorgeschlagenen Lösungen werden in die tägliche Praxis umgesetzt, Messungen werden definiert und die Überwachung / das Monitoring festgelegt, um sicherzustellen, dass die Ausrichtung des Unternehmens gemessen, erreicht und beibehalten wird.
• Phase 6: Nachhaltiger Betrieb der neuen oder verbesserten IT-Governance-Initiativen und Überwachung der Erreichung der erwarteten Vorteile.
• Phase 7: Der Gesamterfolg der Initiative wird überprüft, weitere Anforderungen an die IT-Governance werden ermittelt, und die Notwendigkeit einer kontinuierlichen Verbesserung wird bekräftigt.

IT-Governance-Frameworks helfen Organisationen in erster Linie dabei, eine Roadmap zu erstellen und die Leistung und Wirksamkeit von IT-Governance-Prozessen zu bewerten. Sie geben Aufschluss über die Leistung der IT-Abteilung und sorgen für die Einhaltung von Gesetzen und Vorschriften in Bezug auf die IT. In dieser Hinsicht kann ein IT-Governance-Framework Referenzmodelle für folgende Bereiche bereitstellen:

• IT-Prozesse
• Input und Output von Prozessen
• Wichtige (Key-)Prozessziele
• Techniken zur Leistungsmessung

Die Berater von SRC sind mit verschiedenen IT-Governance-Frameworks vertraut (siehe unten eine Liste der gängigsten Frameworks). Unsere Experten unterstützen Sie dabei, Ihre IT-Infrastruktur und -Prozesse ganzheitlich zu nutzen und an den zentralen Unternehmenszielen und Visionen auszurichten.

Governance-Frameworks sollen die Umsetzung und Einhaltung der verschiedenen IT-Governance-Anforderungen unterstützen. Unternehmen und externe Dienstleister können sich entsprechend von unabhängigen Institutionen zertifizieren lassen. Die wichtigsten IT-Governance-Frameworks sind:

1. ISO/IEC 38500: Sie enthält Leitprinzipien, die den effektiven, effizienten und akzeptablen Einsatz von Informationstechnologie in Organisationen fördern sollen. Diese Norm definiert IT-Governance als wesentlichen Teil der Geschäftsprozesse in Organisationen und legt die Verantwortung dafür auf die Unternehmensführung.
2. COBIT: COBIT gilt als eines der wichtigsten Rahmenwerke für die Umsetzung von IT-Governance. Es wurde von der Information Systems Audit and Control Association (ISACA) entwickelt. COBIT umfasst ein Prozessmodell mit allgemein gültigen und international anerkannten Anforderungen an IT-Prozesse. Vor kurzem wurde COBIT 2019 als Nachfolger der bis dahin gültigen Version COBIT 5 eingeführt. Im Fokus der Weiterentwicklung stand insbesondere die leichtere Adaptierbarkeit des COBIT 5-Frameworks, insbesondere für mittelständische Unternehmen. Darüber hinaus wurden aktuelle Themen wie DevOps und Agilität sowie Cloud in die Weiterentwicklung aufgenommen.
3. ISO/IEC 20000: Dieser Standard befasst sich mit der Umsetzung von IT-Service-Management. Die Norm dient als messbares Qualitätskriterium für IT-Service-Management. ISO/IEC 20000 legt die notwendigen Mindestanforderungen an Prozesse fest, die eine Organisation umsetzen muss. Dieser Standard stellt so sicher, dass die Organisation IT-Services in einer definierten Qualität bereitstellen und managen kann.
4. ITIL: ITIL steuert IT-Services über den gesamten Lebenszyklus. Das Framework bietet eine Sammlung von vordefinierten Prozessen, Funktionen und Rollen, die in der IT-Infrastruktur von mittleren und großen Unternehmen zu finden sind. Eine zentrale Anforderung an die Prozesse ist die Messbarkeit. Die Zuordnung der jeweiligen Aktivitäten erfolgt anhand von Rollen und Funktionen. ITIL beinhaltet Vorschläge für Best Practices, die dann an die Bedürfnisse des jeweiligen Unternehmens angepasst werden.
5. TOGAF: The Open Group Architecture Framework (TOGAF) befasst sich primär mit der Struktur von Organisationen. Es bietet ein Modell für den Entwurf, die Planung, die Implementierung und der Maintenance von Unternehmensarchitekturen. Unternehmen können es nutzen, um effiziente Architekturen zu planen und/oder bestehende Strukturen zu optimieren.
6. AS8015-2005: Bei diesem in Australien entwickelten und 2005 veröffentlichten technischen Standard handelt es sich um ein 12-seitiges Rahmenwerk, das sechs Prinzipien für eine effektive IT-Governance enthält.
7. COSO: Dieses Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission konzentriert sich auf allgemeinere und weniger IT-bezogene Prozesse, wobei der Schwerpunkt auf dem Risikomanagement von Unternehmen und der Betrugs-/Fraudabwehr liegt.
8. ISO/IEC 27000-Reihe: Die ISO/IEC 27000-Reihe bezieht sich auf mehrere Normen, die die Informationssicherheit in Unternehmen regeln. Am bekanntesten ist die ISO/IEC 27001, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) regelt.
9. IT-Grundschutz: Speziell in Deutschland gibt es auch die IT-Grundschutz-Kataloge. Dabei handelt es sich um eine Sammlung von Dokumenten des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie sollen helfen, sicherheitsrelevante Schwachstellen in IT-Umgebungen zu erkennen und zu bekämpfen. Für Unternehmen und Behörden bilden die IT-Grundschutz-Kataloge die Grundlage für eine entsprechende Zertifizierung. Die Zertifizierung bestätigt, dass ein Unternehmen geeignete Maßnahmen zum Schutz seiner IT-Systeme vor IT-Sicherheitsbedrohungen getroffen hat.

COBIT ist das am häufigsten verwendete Framework. Ursprünglich stand COBIT für die Abkürzung Control Objectives for Information and Related Technologies.

ISACA hat das COBIT-Framework geschaffen, um die Lücke zwischen technischen Fragen, Geschäftsrisiken und Kontrollanforderungen zu schließen. Es hilft Unternehmen, die Best Practices für das IT-Management implementieren, überwachen und verbessern wollen.

Das COBIT-Framework zielt darauf ab, eine gemeinsame Sprache für IT-Fachleute, Führungskräfte und Compliance-Auditoren bereitzustellen, um miteinander über IT-Kontrollen, Ziele und Ergebnisse zu kommunizieren.

COBIT 5 basiert auf fünf Schlüsselprinzipien für die IT Enterprise Governance:

• Prinzip 1: Erfüllung von Stakeholder Needs
• Prinzip 2: Unternehmensweite End-to-End Abdeckung / Coverage
• Prinzip 3: Anwendung eines einzigen integrierten Frameworks
• Prinzip 4: Ermöglichung eines ganzheitlichen Ansatzes
• Prinzip 5: Trennung von Governance und Management

Diese fünf Prinzipien ermöglichen es einer Organisation, einen ganzheitlichen Framework für die Steuerung und Verwaltung der IT aufzubauen, der auf sieben so genannten "Enablers" beruht:

1. Menschen, Richtlinien und Frameworks
2. Prozesse
3. Organisatorische Strukturen
4. Kultur, Ethik und Verhalten
5. Informationen
6. Services, Infrastruktur und Anwendungen
7. Menschen, Fähigkeiten und Kompetenzen

Vor kurzem wurde COBIT 2019 als Nachfolger der bis dahin gültigen Version COBIT 5 eingeführt. Der Fokus der Weiterentwicklung lag insbesondere darauf, das COBIT 5-Framework vor allem für mittelständische Unternehmen leichter adaptierbar zu machen. Darüber hinaus wurden aktuelle Themen wie DevOps und Agilität sowie Cloud in die Weiterentwicklung aufgenommen.