IT-Governance. aus COBIT. IT-Risikomanagement in Versicherungen IT-Marketing bei einem Veränderungsprojekt. Zeitschrift des ISACA Germany Chapter e.v.

Transkript

1 Heft 11 März Jahrgang ISSN IT-Governance Zeitschrift des ISACA Germany Chapter e.v. Carsten Lehr, Alexander Robrecht Social Media Governance Ableitung einer Social Media Strategische IT-Steuerung für allegovernance Fälle aus COBIT IT-Risikomanagement in Versicherungen IT-Marketing bei einem Veränderungsprojekt Elektronischer Sonderdruck für IndiTango AG dpunkt.verlag

2 Elektronischer Sonderdruck aus: IT-Governance Zeitschrift des ISACA Germany Chapter e.v Jahrgang Heft 11 März 2012 Seiten 2 7 dpunkt.verlag GmbH ISSN

3 2 Ableitung einer Social Media Governance aus COBIT Ableitung einer Social Media Governance aus COBIT Carsten Lehr, Alexander Robrecht Steigende Internetbandbreiten, innovative Konzepte und der Boom des Web 2.0 haben in den letzten Jahren die Art der menschlichen Kommunikation und Interaktion erheblich verändert. Neue Geschäftsmodelle wie Skype, Facebook und Twitter eroberten den Markt. Jeder ist überall erreichbar und über das Internet scheinbar jederzeit vor Ort. Obwohl das Thema Social Media im privaten Sektor bereits fest etabliert ist, stellt sich vielen Unternehmen noch immer die Frage, welche Auswirkungen Social Media auf das Unternehmen hat. Social Media, Web 2.0, Collaboration, Enterprise 2.0, : viele Begriffe wenig Klarheit. Um die Unsicherheit zu reduzieren, sollte jedes Unternehmen intern eine einheitliche Begriffsdefinition etablieren und die Auswirkungen, die Social Media auf das Geschäft haben kann, erkennen. Nur so können Chancen genutzt, Herausforderungen überwunden und Risiken minimiert werden. Es stellt sich somit nicht nur die Frage, ob der Zugriff auf Facebook & Co. gesperrt werden sollte oder nicht, vielmehr ist eine ganzheitliche, an der Unternehmensstrategie ausgerichtete Betrachtung erforderlich. Der Begriff der»social Media Governance«ist geboren. Der Artikel zeigt zunächst die Relevanz des Themas und die Motivation für eine Social Media Governance. Im Anschluss wird ein generisches, vom COBIT-Framework abgeleitetes»social Media Governance«-Modell mit entsprechendem Rollen- und Prozessmodell vorgeschlagen. 1 Verständnis einer Social Media Governance Anders als es oft den Eindruck erweckt, besteht eine Social Media Governance nicht nur aus Policies und Guidelines. Diese sind zwar integraler Bestandteil einer entsprechenden Governance-Initiative, verfehlen aber ohne Berücksichtigung weiterer Aspekte ihre Wirkung. Social Media Governance sollte einen umfassenden Ordnungsrahmen für die Nutzung sozialer Medien im Unternehmen bieten und aus den Vorgaben der Corporate und IT-Governance abgeleitet werden. In der Literatur wird ein entsprechendes Social-Media- Management-Framework zur ganzheitlichen Betrachtung von Social-Media-Aktivitäten beschrieben (vgl. Abb. 1, [Smith et al. 2011]). Prozesse Policies Kultur Wertbeitrag Kontext Abb. 1: Social-Media-Management-Framework Menschen Metriken Die Prozesssicht unterscheidet Prozesse, die notwendig sind, um Social-Media-Maßnahmen nutzenstiftend umzusetzen, und Prozesse, die durch Social Media unterstützt werden sollen. Zu der ersten Kategorie zählen zum Beispiel die Social- Media-Strategieentwicklung oder die Veröffentlichung von Inhalten. Diese Prozesse sollten im Rahmen einer Social Media Governance formalisiert werden, um so die zu unterstützenden Prozesse z.b. im Marketing (Kundenkontaktpflege), im Personalbereich (Veröffentlichung von Stellenausschreibungen) oder in der IT-Abteilung (Online-Service-Desk) zu optimieren. Die Einführung und Veränderung von Geschäftsprozessen, auch im Bereich Social Media, haben Auswirkungen auf die Mitarbeiter. Daher sollte mit der Einführung von Social Media im Unternehmen eine ausführliche Kommunikations-, Trainings- und Sensibilisierungskampagne verbunden sein, mit der alle Mitarbeiter des Unternehmens auf die Herausforderungen der»neuen«, vernetzten Welt vorbereitet werden. Um den Erfolg des Engagements quantitativ und qualitativ messbar zu machen, sind zu Beginn entsprechende Metriken für alle betroffenen Prozesse zu definieren. Die Auswahl der Kennzahlen sollte sich dabei an den Geschäfts- sowie den abgeleiteten Social-Media-Zielen orientieren. Ein Beispiel für eine quantitative Kennzahl ist die Anzahl der Twitter- Follower. Zur qualitativen Bewertung von veröffentlichten Inhalten kann eine»like-rate«herangezogen werden. Im nächsten Schritt müssen diese mit monetären Kenngrößen in Verbindung gebracht werden (z.b. der generierte Umsatz pro Twitter-Follower). Als äußere Begrenzung des Social-Media-Management- Frameworks fungieren der Kontext und die Unternehmenskultur. Im Kontext werden die Wettbewerbssituation, rechtliche und regulatorische Aspekte sowie die Unternehmensstrategie zusammengefasst. Die Unternehmenskultur

4 Ableitung einer Social Media Governance aus COBIT 3 beinhaltet Gewohnheiten, Verhaltens- und Arbeitsweisen sowie Subkulturen innerhalb der Unternehmung. Mit dem Einsatz von Social Media wird im Allgemeinen eine eher offene, flexible und auf Kollaboration ausgerichtete Unternehmenskultur verbunden. 2 Notwendigkeit einer Social Media Governance Viele Unternehmen beschäftigen sich momentan mit dem Thema Social Media und dem Aufbau entsprechender Governance- Strukturen. Dieses verstärkte Interesse kann nicht allein auf den fortlaufenden»hype«in Medien und Gesellschaft zurückgeführt werden. Viele Unternehmen sehen ihre Compliance- Fähigkeit in Gefahr und versuchen daher, das durch die neuen Gegebenheiten entstehende Regulierungsvakuum zu schließen. Aus unternehmerischer Sicht sollte jedoch auch der Aspekt der Professionalisierung von Social-Media-Aktivitäten im Vordergrund stehen, sodass deren Durchführung eine verbesserte Unternehmensleistung zur Folge hat. Dies kann sich in Form einer Produktivitäts- und Motivationssteigerung oder einer Imageverbesserung ausdrücken. Durch die Verteilung von Zuständigkeiten, die Definition von Prozessen und die Kommunikation von Vorgaben und Regelungen kann zudem das Risiko von unkoordinierten, widersprüchlichen Aktivitäten bzw. der unsachgemäße Umgang mit Unternehmensgeheimnissen reduziert und verhindert werden. Die von der Fink & Fuchs Public Relations AG in Kooperation mit der Universität Leipzig durchgeführte Studie»Social Media Governance 2010«, bei der 1007 Kommunikationsverantwortliche aus Deutschland befragt wurden, zeigt, dass nur ca. 16 % der Organisationen einen ausgeprägten oder zumindest mittleren Ordnungsrahmen aufweisen [Fink & Fuchs et al. 2010]. Die Ergebnisse der Studie dokumentieren zum einen, dass dieses Thema erst in wenigen Unternehmen aktiv bearbeitet wird, und zum anderen, dass viele Unternehmen noch einen großen Bedarf an Modellen und Best Practices zu diesem Thema haben. Bevor ein vom COBIT-Framework abgeleitetes Social-Media-Governance-Modell vorgestellt wird, sollten zunächst zwei sich ergänzende Sichtweisen auf das Thema Social Media im Unternehmen unterschieden werden. Die erste Sichtweise ist die private Nutzung von sozialen Medien am Arbeitsplatz, die zweite die Nutzung von Facebook, Twitter und Co. durch die Unternehmen selbst. Dieser zweite Aspekt ist dann der Hauptbetrachtungsgegenstand im Social- Media-Governance-Modell. 3 COBIT als Social-Media-Governance- Framework Das Thema Social Media ist eine komplexe Herausforderung für Unternehmen. Um den Governance-Entwicklungsprozess zu vereinfachen, bietet es sich daher an, sich an bestehenden Governance Referenzmodellen zu orientieren. COBIT als verbreitetes IT-Governance-Framework erscheint aufgrund der klaren Strukturen und des multiperspektivischen Charakters sehr gut geeignet zu sein. Abbildung 2 zeigt das diesem Artikel zugrunde liegende Vorgehen bei der Definition eines generischen Social-Media-Governance-Modells. Einige der in COBIT definierten Prozesse sind hierbei direkt von Social-Media-Aktivitäten eines Unternehmens betroffen. Aus anderen Prozessen lassen sich benötigte Social-Media- Governance-Prozesse ableiten. Um die relevanten Prozesse zu identifizieren, wurden die einzelnen Control Objectives analysiert und bewertet [ITGI 2007]. Da COBIT aber nicht auf Social Media ausgerichtet ist, ergeben sich Governance- Lücken, die durch neue, spezifisch an Social Media ausgerichtete Prozesse abgedeckt werden müssen. 4 Social-Media-Governance-Prozesse Vergleichbar zum COBIT-Framework werden die Prozesse im hier beschriebenen Social-Media-Governance-Modell ebenfalls in die vier vom COBIT-Modell bekannten Domänen eingeteilt [ITGI 2007] (vgl. Abb. 3). Im Folgenden werden die einzelnen Domänen detailliert beschrieben. 4.1 Plan & Organise Abgeleitet aus dem COBIT-Prozess»PO1«(Define a Strategic IT Plan) ist die Entwicklung einer Social-Media-Strategie Ausgangspunkt der Social Media Governance. Jede vom Unternehmen durchgeführte Social-Media-Maßnahme sollte durch diese Strategie bestimmt und somit einem Unternehmensziel zuortbar sein. Zur strategischen Planung gehört auch eine Betrachtung und Bewertung der bestehenden Aktivitäten Auswirkungen von Social Media auf bestehende COBIT-Prozesse Ableitung von spezifischen»social Media«-Governance-Prozessen aus dem COBIT-Referenzmodell Definition zusätzlich benötigter Prozesse (nicht durch COBIT abgedeckt) 1 2 3»Social Media«Governance Abb. 2: Ableitung des Social-Media-Governance-Prozessmodells

5 4 Ableitung einer Social Media Governance aus COBIT Plan & Organise Acquire & Implement Deliver & Support Monitor & Evaluate Unique processes for Social Media Manage Campaigns (New1) Community Management (New 2) Web 2.0 Monitoring (New 3) Define a strategic Social Plan (P01) Identify Social Media Solutions (AI1) Monitor & Evaluate Social Media Performance (ME1) Derived from COBIT Define the Information Architecture (P02) Define Soc. Med. Processes, Org. Relation (P04) Manage Social Media Human Resources (P07) Manage Social Media Quality (P08) Set up Platform Account (AI2) Provide Social Media Governance (ME4) Consequences for existing COBIT Processes Assess/Manage Social Media Risks (P09) Assess/Manage IT-Risks (P09) Communicate Management Aims & Direction (P06) Enable Operation and Use (AI4) Manage 3rd-party Services (DS2) Ensure Systems Security (DS5) Educate and Train Users (DS7) Ensure Compliance with ext. Requirements (ME3) Abb. 3: Übersicht Social Media Governance Um Unternehmensdaten und -geheimnisse zu schützen, ist die Informationsarchitektur (COBIT:»PO2«, Define the Information Architecture) eines Unternehmens anzupassen. Eine umfassende Datenklassifizierung, die definiert, was gepostet/ veröffentlicht werden darf und was nicht, erscheint sinnvoll (Gruppierung in»öffentlich«,»vertraulich«,»intern«oder»top Secret«). Korrespondierend zum COBIT-Prozess»PO4«(Define IT Processes, Organisation and Relationships) sind auch für den Bereich Social Media entsprechende Prozesse und Rollen zu definieren. Ergebnis sollte eine transparente und flexible Social-Media-Organisationsstruktur sein, die die festgelegten Ziele effektiv und effizient umsetzen kann. Neben der Etablierung eines»social Media Board«auf Geschäftsführungsebene sollten klare Verantwortlichkeiten für die Themen Risiko, Sicherheit und Compliance definiert werden. Die Etablierung von Kontrollmechanismen, die sicherstellen, dass nur autorisierte Mitarbeiter im Namen des Unternehmens kommunizieren, ist ebenfalls Bestandteil dieses Social- Media-Governance-Prozesses. Der Erfolg von Social-Media-Kampagnen ist direkt mit den beteiligten Mitarbeitern verbunden. Der COBIT-Prozess»PO6«(Communicate Management Aims and Directions) ist direkt betroffen, da die Vision, Ziele und Regelungen zum unternehmerischen Einsatz von Social Media und die veränderten IT-Policies und -Guidelines fortlaufend vom Management kommuniziert werden sollten. Die Formulierung und Ausgestaltung der Guidelines sollte sich dabei an der Unternehmensstrategie und -kultur orientieren. Ergebnis dieser Maßnahmen ist eine gestärkte Mitarbeiter-Awareness sowie ein unternehmenseinheitliches Verständnis geltender Verhaltensregelungen. Angelehnt an den COBIT-Prozess»PO7«(Manage IT-Human Resources) sind Personalthemen auch separat für den Bereich Social Media zu behandeln. Um die für die Durchführung von Social-Media-Kampagnen notwendigen Fähigkeiten im Unternehmen sicherzustellen, können Mitarbeiter qualifiziert bzw. externe Ressourcen eingesetzt werden. Außerdem muss bei den Mitarbeitern die Motivation für ein Social-Media- Engagement geweckt werden. In Abstimmung mit den Verantwortlichen für die Sicherheit sind zudem Maßnahmen für die Übergabe von Unternehmensaccounts und den Entzug von Zugriffsrechten zu definieren.

6 Ableitung einer Social Media Governance aus COBIT 5 Um erfolgreiche Social-Media-Kampagnen durchzuführen, ist die Generierung und Veröffentlichung von Mehrwertinhalten in ansprechender Qualität erforderlich. Hierzu sollte ein Qualitätssicherungsprozess in Anlehnung an den COBIT-Prozess»PO8«(Manage Quality) etabliert werden. Im ersten Schritt sind daher plattformspezifische Qualitätsstandards zu entwickeln. Insgesamt sollten sich die Qualitätsvorgaben sowohl an den Wünschen und Bedürfnissen der Kunden bzw. Community-Nutzer als auch an wirtschaftlichen Überlegungen orientieren. Zu beachten ist, dass im Social Web authentische, selbst erzeugte Inhalte oftmals erfolgreicher sind als»hochglanz«-werbematerialien. Der Einsatz von Social Media im Unternehmen birgt sowohl IT-Risiken (»PO9«, Assess and Manage IT Risks) als auch spezifische Social-Media-Risiken. Die IT-Risikoprozesse sind daher den neuen Gegebenheiten anzupassen. Eine Analyse der Auswirkungen auf die IT-Landschaft ist anzufertigen. IT-Nutzungspolicies und -richtlinien sowie entsprechende Kontrollverfahren sind zu planen und umzusetzen. Maßnahmen für Risiko-Response und Monitoring sind zu erweitern. Neben den IT-Risiken birgt Social Media weitere Gefahren für ein Unternehmen. Insbesondere Fragen des Unternehmensimages, der Arbeitsproduktivität und der zunehmenden Vermischung von Arbeits- und Privatleben werden diskutiert. Um diesen Risiken entgegenzutreten, sollten ähnlich dem IT- Risikoprozess entsprechende Maßnahmen und Verfahren für Social Media entwickelt werden. Die restlichen COBIT-Prozesse (»PO3«,»PO5«,»PO10«) haben für Social Media eine geringe bzw. keine Relevanz. Technologische Entscheidungen, IT-Investments sowie das Management von IT Einführungs- und Change-Projekten sind Aufgaben des Plattformbetreibers und betreffen Unternehmen somit nur indirekt als Kunden. 4.2 Acquire & Implement Bei der»beschaffung«von Social Media steht insbesondere die Auswahl einer geeigneten Plattform im Vordergrund. Der COBIT-Prozess»AI1«(Identify Automated Solutions) sollte daher auf den Bereich Social Media übertragen werden. Es gilt hier, Potenziale für Social Media sowie geeignete Plattformen und Anbieter zu ermitteln. Hierbei sind sowohl technische, rechtliche als auch zielgruppenspezifische Anforderungen zu beachten. Durch die Anfertigung von Machbarkeitsstudien, in denen auch IT- und HR-bezogene Auswirkungen bewertet werden, kann die Auswahl methodisch durchgeführt werden. Die eigentliche Anschaffung der Software (»AI2«, Acquire and Maintain Application Software) ist im Rahmen von Social-Media-Aktivitäten durch das Anlegen und initiale Einrichten eines Unternehmensaccounts auf einer ausgewählten Plattform abgeschlossen. Bei kostenpflichtigen Plattformen ist zusätzlich ein für die Bedürfnisse des Unternehmens angepasstes Abo-Modell auszuwählen. Nach der Auswahl und Einrichtung des Unternehmensaccounts sind die Social-Media-Nutzer und die Verantwortlichen auf ihre neuen Rollen vorzubereiten (»AI4«, Enable Operation and Use). Andere Prozesse aus dem Bereich Acquire & Implement sind irrelevant (»AI3«,»AI5«,»AI6«,»AI7«). Es werden keine Infrastruktur oder weitere Ressourcen benötigt, eine Installation ist ebenfalls nicht erforderlich und das Change-Management erfolgt aufseiten der Plattformbetreiber. 4.3 Deliver & Support Aufgrund des ausgelagerten Systembetriebs sind die Plattformanbieter mit in das Lieferanten-Servicemanagement aufzunehmen (»DS2«, Manage 3rd-party Services). Dies gilt insbesondere für Anbieter kostenpflichtiger Social-Media-Angebote. Des Weiteren ist regelmäßig die erbrachte Leistung zu überprüfen, z.b. die Verfügbarkeit oder die Anzahl der Community- Nutzer. Zudem ist auf sich verändernde Nutzungs- bzw. Datenschutzbedingungen zu achten und ggf. zu reagieren. Die Nutzung sozialer Medien wird insbesondere unter dem Aspekt der IT-Sicherheit kontrovers diskutiert. Somit wird klar, dass die Nutzung Auswirkungen auf den COBIT-Prozess»DS5«(Ensure Systems Security) hat. Die Integrität, Vertraulichkeit und Verfügbarkeit der Informationssysteme darf nicht gefährdet werden. Risiken im Social Web sind insbesondere unachtsamer Umgang mit Informationen sowie Viren und Malware, die durch Online-Anwendungen auf den Rechner gelangen können. Um Risiken zu minimieren, sind alle Geräte im Unternehmensnetzwerk mit aktuellen Virenscannern auszustatten. Des Weiteren ist zu prüfen, inwie fern bestimmte In halte durch den Proxyserver gesperrt werden sollten bzw. welche Sperren aufgehoben werden müssen, um eine sinnvolle Social-Media-Nutzung zu ermöglichen. In Abstimmung mit der Informationsarchitektur bieten spezielle technische Systeme die Möglichkeit, den Abfluss kritischer Informationen aus dem Unternehmensnetzwerk zu verhindern. Bestehende Monitoring- und Testverfahren sowie die Incident-Definition der IT sind den neuen Gegebenheiten und Gefahren anzupassen. Ein wichtiges Mittel, die Sicherheit der anderen IT-Systeme zu schützen, ist das Training der Mitarbeiter. Daher ist der COBIT-Prozess»DS7«(Educate and Train Users) ebenfalls von der Nutzung sozialer Medien betroffen. Es sind Schulungsmaßnahmen für alle Mitarbeiter durchzuführen, in denen der verantwortungsvolle Umgang mit sozialen Medien geschult werden soll. Spezielle Trainingsmaßnahmen für die Verantwortlichen der Unternehmensaccounts, zum Beispiel im Bereich Kommunikation, Rhetorik und Content-Erstellung, sollten in Betracht gezogen werden. Die restlichen COBIT-Prozesse der Domäne Deliver & Support sind für Social Media irrelevant (»DS1«,»DS3«,»DS4«,»DS6«und»DS8«bis»DS13«). Diese betreffen überwiegend Aufgaben, die durch den Plattformbetreiber abgedeckt werden (Capacity, Continuous Service etc.). Service Level werden in der Regel nicht definiert. Solange keine Social- Media-Abteilung im Unternehmen aufgebaut wird, kann auch die Kostenverrechnung vernachlässigt werden.

7 6 Ableitung einer Social Media Governance aus COBIT 4.4 Monitor & Evaluate Um den Erfolg einer Social-Media-Kampagne bewerten zu können, ist ein entsprechender Bewertungsprozess (COBIT:»ME1«, Monitor & Evaluate IT Performance) für Social Media einzuführen. Hierzu sind zunächst relevante Erfolgskennzahlen und Messverfahren zu definieren und anschließend anzuwenden. Der COBIT-Prozess»ME3«(Ensure Compliance with External Requirements) ist durch Social Media ebenfalls stark betroffen. Es muss sichergestellt sein, dass die Compliance- Anforderungen an das Unternehmen auch nach Aufnahme der Social-Media-Aktivitäten erfüllt werden. Dazu sind zunächst alle relevanten Gesetze und Regelungen zu identifizieren. Diese Anforderungen sind zu kommunizieren und ihre Einhaltung ist regelmäßig zu überprüfen. Wie in»me4«(provide IT Governance) ist auch die Etablierung einer effektiven Social Media Governance sicherzustellen. 4.5 Zusätzliche Prozesse Für die erfolgreiche Durchführung von Social-Media- Maßnahmen sind weitere Prozesse, die nicht von COBIT abgeleitet werden können, notwendig. In der Domäne Deliver & Support sollten das Kampagnenund das Community-Management ergänzt werden. Im Kampagnenmanagement sind die strategischen und taktischen Überlegungen aus der Planungsphase umzusetzen. Hierzu sind für die Zielgruppe geeignete Mehrwertinhalte auszuwählen, zu erstellen und auf ausgewählten Plattformen zu veröffentlichen. Auch die Auswahl einer entsprechenden Darstellungsform (Text, Bild, Sound, Video, ) ist vorzunehmen. Um die Vorteile von Social Media ausschöpfen zu können, muss die Zielgruppe zunächst von den neuen Angeboten erfahren. Daher ist es sinnvoll, Social-Media-Kampagnen mit klassischen Marketingaktivitäten in Verbindung zu setzen. Aufgabe des Community-Managements ist es, eingehende Anfragen aus der Community gemäß den Richtlinien und Policies des Unternehmens zu beantworten. Des Weiteren ist darauf zu achten, dass innerhalb der Community die Gesetze und Policies eingehalten werden und kein Cybermobbing gegen Mitarbeiter oder andere Community-Teilnehmer betrieben wird. Das Monitoring des Web 2.0 sollte als zusätzlicher Prozess in der Domäne Monitor & Evaluate ergänzt werden. Hier sollten alle Äußerungen, die Kunden, Mitarbeiter oder andere Stakeholder in sozialen Medien tätigen, erfasst und analysiert werden. Die gesammelten Daten sollten für Abteilungen wie Marketing oder F&E nutzbar gemacht werden. Bei kritischen Äußerungen ist zudem eine angemessene Antwort durch Community-Manager zu platzieren. 5 Zusammenfassung Social Media ist nach wie vor ein aktuelles und viel diskutiertes Thema. Dabei verlässt die Diskussion immer mehr die Fragestellung,»ob«Social Media sinnvoll ist, und widmet sich eher den Fragen»Was ist sinnvoll?«und»wie ist es sinnvoll?«. Diese Fragestellungen sollen mit einer ausgewogenen Social Media Governance beantwortet werden. Durch die verschiedenen Perspektiven, die das COBIT- Referenzmodell bietet, konnte in diesem Artikel ein umfassendes Social-Media-Governance-Modell entwickelt werden. Die durch COBIT vorgegebene Struktur machte eine systematische Analyse der Auswirkungen von Social Media auf IT und IT-Governance in einem hohen Detaillierungsgrad (auf Niveau von Control Objects) möglich. In einem zweiten Schritt konnten Ableitungen aus dem COBIT-Modell für Social Media gebildet werden. Durch die Ergänzung spezifischer Social-Media-Prozesse wird das Modell vervollständigt, sodass eine weitgehende Betrachtung des Themas erreicht werden konnte. Im Vordergrund stehen dabei die strategische Ausrichtung, die Risikominimierung, der Aufbau von User- Awareness und das Monitoring. Da jedes Unternehmen andere Schwerpunkte setzt, ist das Modell an die jeweiligen Bedürfnisse anzupassen. Nicht jedes Unternehmen benötigt jeden Prozess. Aufbauend auf der Prozessdefinition ergibt sich die Frage, inwiefern ein Maturity Level für Social-Media-Prozesse realisierbar und sinnvoll ist. Kommunikation ist etwas Freies und geschieht in der Regel spontan, sodass unter diesem Aspekt ein niedriges Maturity Level gewählt werden müsste. Auf der anderen Seite birgt Social Media Risiken und hat Auswirkungen auf die Compliance-Fähigkeit eines Unternehmens. Unter diesem Gesichtspunkt ergibt sich ein Bedarf nach starker Regulierung. Um sowohl die Risiken zu minimieren als auch eine aktive und kundenorientierte Kommunikation zu ermöglichen, muss jedes Unternehmen einen geeigneten Mittelweg finden. Es erscheint sinnvoll, die sicherheitsrelevanten Prozesse zu optimieren und Kommunikationsprozesse, wenn eine entsprechende User-Awareness etabliert ist, offen zu lassen. Die Ausrichtung an der Unternehmensstrategie sollte jedoch in jedem Fall Ausgangspunkt eines Social-Media-Engagements sein, da nur so sichergestellt wird, dass Social Media einen nachhaltigen Wertbeitrag für ein Unternehmen leisten kann. 6 Literatur [Fink & Fuchs et al. 2010] Fink & Fuchs Public Relations AG; Universität Leipzig; Magazin Pressesprecher: Social Media Governance 2010, Leipzig, Wiesbaden, 2010, Folie 52, social_media_governance_2010_en.html; Zugriff am [ITGI 2007] IT Governance Institute: COBIT 4.1. Rolling Meadows, 2007, S. 24 ff. [Smith et al. 2011] Smith, N.; Wollan, R.; Zhou, C.: The Social Media Management Handbook. John Wiley & Sons Inc., Hoboken, NJ, 2011, S. 22 ff. und S. 254 ff.

8 Ableitung einer Social Media Governance aus COBIT 7 Carsten Lehr ist seit 2009 bei der IndiTango AG als Berater im Bereich IT Management Consulting tätig. Neben der Beratung innerhalb von IT-Outsourcing-Projekten beschäftigt er sich mit den Schwerpunktthemen IT Strategy und Governance. Dipl.-Wirtsch.-Inf. Carsten Lehr IndiTango AG IT-Management und -Consulting Gänsemarkt Hamburg carsten.lehr@inditango.com Alexander Robrecht studiert IT-Management und -Consulting an der Universität Hamburg und hat im Rahmen eines Kooperationsprojekts mit der Universität Hamburg das Thema Entwicklung einer»social Media Governance«bei der IndiTango AG erfolgreich abgeschlossen. Alexander Robrecht B.Sc. Universität Hamburg IndiTango AG IT-Management und -Consulting Gänsemarkt Hamburg alexander.robrecht@studium.uni-hamburg.de Anzeige des ISACA Germany Chapters Der deutsche Berufsverband ISACA Germany Chapter e.v. hat dem Gebiet der IT-Governance und IT-Compliance bereits über beim ISACA Germany Chapter - dem ISACA Germany Chapter bei -