contentTop
NetObjects Web Design Placeholder

Olaf Bormann - CISA

IT-Audit,
IT-Beratung, Corporate Governance over Information Technology
Informationssicherheit

 
contentBottom

Corporate Governance der Informationstechnologie

Die  Corporate Governance der Informationstechnologie ist ein Bestandteil der Corporate Governance des Unternehmens und liegt daher in der  Verantwortung der Geschäftsleitung und ist ein wesentlicher Bestandteil  der Unternehmensführung.

Hierbei handelt es sich um die Methode,  nach der der derzeitige und zukünftige IT-Einsatz gelenkt und gesteuert  wird. Corporate Governance der IT umfasst die Bewertung und Steuerung  der IT-Nutzung, um die Organisation sowie die Überwachung des  IT-Einsatzes zur Erreichung von Unternehmenszielen zu unterstützen. Sie  beinhaltet die IT-Strategie sowie IT-Richtlinien des Unternehmens.

Corporate Governance

Aktueller Stand in den Unternehmen

Die Informationstechnologie ist nicht im Fokus der Geschäftsleitung und  wird nicht als wesentlicher Bestandteil der Geschäftstätigkeit gesehen.  In der Regel steht die IT nur dann auf der Tagesordnung, wenn es zu Ausfällen  gekommen ist. Daneben sind Berichte häufig auf einer technischen Ebene,  die von Anwendern nicht verstanden wird. Daher wird die Überwachung und  Steuerung oftmals der IT selber überlassen.

Aktuell liegt der Fokus der IT-Governance auf der IT-Sicherheit sowie der Bereitstellung von  IT-Infrastruktur und Applikationen. Die Nutzung der IT spielt eine  Nebenrolle. Ãœbergreifende IT-Prozesse werden vernachlässigt.

Daraus folgt:

  • Synergieeffekte werden nicht gehoben.
  • Risiken werden nicht identifiziert
  • Geschäfts- und IT-Prozesse werden getrennt gesteuert
  • Anforderungen werden nicht korrekt identifiziert
  • Die Anwender- und Kundenzufriedenheit ist nicht zufriedenstellend erreicht.

Prinzipien der Coporate Governance nach ISO 38500:2008

Die Governance-Funktionen sind nach 6 Prinzipien aufgeteilt:

  • Verantwortlichkeit,
  • Strategie,
  • Beschaffung,
  • Ausführung,
  • Erfüllung von Anforderungen und
  • menschliches Verhalten.

Hauptaufgaben der IT-Governance

1. Beurteilung des aktuellen und zukünftigen IT-Einsatzes

  • Beinhaltet Strategien, Angebote und Liefervereinbarungen
  • Externe und interne Einflüsse auf den Geschäftsprozess, z.B. technologische, wirtschaftliche und soziale Veränderungen
  • Durchführung einer kontinuierlichen Beurteilung
  • Berücksichtigung der aktuellen und zukünftigen Geschäftsanforderungen

2. Regelung der Entwicklung und Einführung von Zielen und Richtlinien zur Sicherstellung,
    dass der IT-Einsatz mit den Geschäftszielen übereinstimmt.

  • Zuweisung von Verantwortlichkeiten zur Erstellung und Einführung von Zielen und Richtlinien.
  • Berücksichtigung der Einflüsse von Projekten auf die Geschäfts- und IT-Prozesse.

3. Überwachung der Einhaltung von Richtlinien und Anforderungen sowie Erfüllung der
    definierten Ziele

  • Überwachung des IT-Einsatzes durch angemessene Management-Informations-Systeme.
  • Schwerpunkt auf Erfüllung der Geschäftsziele durch die IT.
  • Die IT erfüllt die externen (regulatorisch, rechtlich, vertraglich) und internen Anforderungen.

Vorteile einer übergreifenden IT-Governance

Durch die Verknüpfung der Geschäfts- und IT-Ziele ist ein effektiver  IT-Betrieb unter Berücksichtigung der Geschäftsziele möglich.Die  Verbesserung des Verständnisses der Bedürfnisse der Geschäftsbereiche an die IT ermöglicht eine Identifizierung von Fehlinvestitionen.

Aufgrund des breiteren Fokus ist eine Identifizierung und Steuerung der über die IT-Sicherheit hinausgehenden IT-Risiken möglich. Hierdurch werden  gesetzliche Vorgaben (z.B. des KontraG, § 25a KWG, § 64a VAG, EuroSOX)  oder auch vertragliche Anforderungen eingehalten.

Vorgehensmodell zur Einführung von IT-Governance Prozessen

Die Einführung erfolgt in Abhängigkeit der Unternehmensgröße und basiert auf vorhanden Richtlinien und Prozessen.

  1. Aufnahme der bestehenden Unternehmensstrategie und Geschäftsziele
  2. Aufnahme der bestehenden IT-Strategie und Richtlinien.

Anschließend erfolgt die Aufnahme bestehender IT-Prozesse, z.B.

  • IT-Sicherheit,
  • IT-Betrieb, IT Services,
  • IT-Investitionen,
  • Anwendungsentwicklung, -anschaffung- wartung und
  • Projekte mit IT-Beteiligung

Die aufgenommen Strategien und Prozesse werden bewertet und die sich  hieraus ergebenen Management- und Governanceinformationen identifiziert.

Basierend hierauf werden effiziente Prozesse zur Steuerung der IT entwickelt.


(c) Olaf Bormann, 05.09.2013
[Home] [Über mich] [Artikel] [Die Grenzen und Möglichkeiten des Database Marketing] [IT Governance] [Revision und ISMS-Audit] [ISMS auf Basis von Geschäftsprozessen] [Kontakt]