IT-Governance & Qualitätsmanagement. TÜV Informationstechnik GmbH. -TÜViT -

Transkript

1 IT-Governance & Qualitätsmanagement TÜV Informationstechnik GmbH -TÜViT -

2 Inhalt dieser Präsentation Rechtliche Forderungen & Corporate Governance Corporate Governance & IT-Governance IT-Governance & IT-Qualität Unternehmensvision & Prozesskennzahlen Qualität & Qualitätsmerkmale Standards & Best Practices Audits & Assessments Zertifikate & Prüfzeichen TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 2

3 Hintergrund International operierende Unternehmen unterliegen heute hohen, teils gesetzlichen Anforderungen an ihre Steuerungs- und Kontrollmechanismen (Transparenz) Auslöser für die Gesetzgeber-Initiativen waren spektakuläre Firmenpleiten wie Enron, WorldCom (USA), Schneider (D) und Balsam (D). KonTraG, Basel II, Solvency II und Sarbanes-Oxley (SOX) sind die bekanntesten Vertreter dieser neuen gesetzlichen Anforderungen. Diese neuen gesetzlichen Anforderungen erhöhen das persönliche zivil- und strafrechtliche Haftungsrisiko von Führungskräften dramatisch (D & O Versicherungen) TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 3

4 KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, umfangreiches Artikelgesetz, trat am in Kraft Ziel: die Corporate Governance in deutschen Kapitalgesellschaften zu verbessern Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Kapitalgesellschaften erweitert Der Vorstand wird verpflichtet geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. (Quelle: 91 Abs. 2, AktG) TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 4

5 US Sarbanes-Oxley Act of 2002 (SOX) US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom Ziel: das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen Gilt für inländische und ausländische Unternehmen, die an US-Börsen gelistet sind, sowie für ausländische Tochterunternehmen amerikanischer Gesellschaften Verschärfte Haftung von Wirtschaftsprüfern und Vorständen Nach Section 404 des Sarbanes-Oxley Acts müssen Unternehmensprozesse beschrieben, definiert und Kontrollverfahren festgelegt werden, die das Risiko eines falschen Bilanzausweises minimieren sollen. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 5

6 Basel II Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht (G10) in den letzten Jahren vorgeschlagen wurden. Die Regeln treten in Deutschland Anfang 2007 in Kraft mit dem Ziel der Sicherung einer angemessenen Eigenkapitalausstattung von Banken Schaffung einheitlicher Wettbewerbsbedingungen sowohl für die Kreditvergabe als auch für den Kredithandel Umsetzung in deutsches Recht Mindestanforderungen an das Risikomanagement (MaRisk), ersetzt MaH, MaIT, MaK Solvabilitätsverordnung (SolvV), s. auch Solvency II TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 6

7 Was ist Corporate Governance? Corporate Governance ist das System, durch das Kapitalgesellschaften geführt und kontrolliert werden. (Quelle: OECD) Corporate Governance umfasst Standards und Leitlinien für eine gute Unternehmensführung zur systematischen Erreichung der Unternehmensziele zum verantwortungsvollen Umgang mit den Ressourcen des Unternehmens zum angemessenen Umgang mit Risiken, also Risiko-Management TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 7

8 Deutscher Corporate Governance Kodex Deutscher Corporate Governance Kodex, verabschiedet am , besitzt über die Entsprechenserklärung gemäß 161 AktG (Aktiengesetz) eine gesetzliche Grundlage In der Entsprechenserklärung erklären die Vorstände und Aufsichtsräte der börsennotierten Gesellschaften in Deutschland jährlich, dass den vom Bundesministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt gemachten Empfehlungen der Regierungskommission Deutscher Corporate Governance Kodex entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden. Die Erklärung ist den Aktionären dauerhaft zugängig zu machen. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 8

9 IT doesn t matter 1 (?) IT wird vom Vorstand oder der GF oft nur als reiner Kostenfaktor wahrgenommen oder nur dann, wenn sie nicht funktioniert! IT durchdringt alle Bereiche der Unternehmen, auch die kritischen, und wird damit für diese zur notwendigen Basis! IT schafft neue Abhängigkeiten und hohe neue Risiken IT ist somit ein kritischer Erfolgsfaktor für die Unternehmensleitung zur 1 Leistungserbringung berühmter Artikel von Nicholas G. Carr Zielerreichung und (Harvard Business Review, 5/2003) zum Risikomanagement TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 9

10 IT so selbstverständlich wie Strom? TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 10

11 Was ist IT-Governance? IT-Governance ist das Subsystem der Corporate Governance, durch das IT innerhalb von Unternehmen gelenkt und kontrolliert wird. (Quelle: OECD) Regelwerke zur IT-Governance stellen den Beitrag der IT zur Unternehmensführung sicher durch Verständnis für die Rolle der IT im Unternehmen zur Erreichung der Unternehmensziele systematische Unterstützung und Umsetzung der Unternehmensstrategie aktive Steuerung des IT-Einsatzes im Unternehmen Definition der Qualitätsanforderungen an die IT und erfolgreiche Umsetzung der Qualitätsmaßnahmen TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 11

12 Von Unternehmensvisionen zu Prozesskennzahlen Vision wird zu Ziele stehen entgegen Risiken sollen erreicht werden durch Strategien sollen beherrscht werden durch werden umgesetzt durch Qualitätsmanagement Taktiken werden umgesetzt durch Maßnahmen werden kontrolliert durch Kennzahlen TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 12

13 Qualität: Sichtweisen einiger Stakeholder Auftraggeber Interne Revision Aufsichtsrat?????? Wirtschaftlichkeit Korrektheit Korrektheit Anwender Wirtschaftsprüfer Entwickler Korrektheit Wartbarkeit Korrektheit IT-System Administrierbarkeit Korrektheit Korrektheit Ergonomie??? Konzernrevision Benutzer Controlling Betreiber??? TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 13

14 Qualitätsmerkmale in der IT (Auszug) Effektivität Korrektheit Unverfälschbarkeit Transparenz Gebrauchstauglichkeit Effizienz Konformität Erwartungskonformität Performance Verfügbarkeit Lernförderlichkeit Erweiterbarkeit Fehlertoleranz Vertraulichkeit Stabilität Steuerbarkeit Robustheit Verlässlichkeit Vertrauenswürdigkeit Compliance Wirtschaftlichkeit Kompatibilität Wartbarkeit Sicherheit Integrität Authentizität Funktionalität Ordnungsmäßigkeit Portabilität Wiederverwendbarkeit TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 14

15 Warum Standards so wichtig sind (I) Standards liefern im Idealfall Best Practices, die von zahlreichen Fachleuten aus verschiedenen Unternehmen zusammengestellt wurden. Man profitiert also von den Erfahrungen anderer und muss das Rad nicht neu erfinden. Durch den einheitlichen Maßstab werden die Prozesse unterschiedlicher Unternehmen oder Organisationseinheiten prinzipiell vergleichbar (Benchmarking). Für die Bewertung und Auswahl von Lieferanten können einheitliche, anerkannte Maßstäbe angewandt werden. Die Qualität der Prozesse wird transparent für das Unternehmen und seine Kunden. Reduzierung von Personenabhängigkeiten TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 15

16 Warum Standards so wichtig sind (II) Vermutung, dass aktuelle Standards den allgemein anerkannten Regeln der Technik entsprechen Nachweis, seine Hausaufgaben gemacht zu haben Einhaltung von Standards, Best Practices und Normen kann vor Gericht bei Haftungsfragen eine entscheidende Rolle spielen Anerkannte Regeln der Technik (Bauleistungen, VOB) Regeln, die sich praktisch bewährt haben Stand der Technik (PatG) basiert auf gesicherten Erkenntnissen von Wissenschaft und Technik, beinhaltet auch, dass er wirtschaftlich durchführbar ist Stand von Wissenschaft und Technik (Atomgesetz) Umschreibung technischer Spitzenleistungen, die wissenschaftlich gesichert sind BVT (EU-Recht) Beste verfügbare (erhältliche) Technik TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 16

17 Standards & Gesetze in der IT (Auszug) ISO 9000 ISO 9241 IEEE DIN EN ISO IEC ISO ISO ISO (Umwelt) BSI-100 ISO (SPICE) etom Solvency II (Versicherungen) CC / ISO (Security) CobiT UMAG ITIL / BS15000 IDW PS 330 (WPs) SixSigma TransPuG IEC (Safety) EN/AS 9100 (Aerospace) BilKoG Basel II FDA (Pharma) VDA 6.x (Automotive) Sarbanes-Oxley Act CMM/CMMI GOBS US-GAAP IFRS SAS No. 70 MaH OPDV 1/94 KonTraG MaK MaRisk MaIT HGB CGK AktG ESA (SAP) TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 17

18 Einführung von Standards und Best Practices Durchgesetzt haben sich heute prozessorientierte Sichtweisen, die oft ein Prozessmodell definieren und die vorkommenden Rollen und Verantwortlichkeiten adressieren Allerdings: eine Bewertung der Prozessqualität anhand von Standardmodellen ist nicht immer möglich oder sinnvoll Werden Standards nur auf Druck von außen (z. B. einer Kundenforderung) eingeführt, so bleiben Aufwand/Nutzen oft hinter den Erwartungen zurück Empfehlungen: mit einem Pilotprojekt starten (Wie ißt man einen Elefanten?) Externe Unterstützung (Third Party) einbinden TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 18

19 Warum Externe (Third Party)? Blick von außen, oft wirksames Mittel, wenn man intern den Wald vor lauter Bäumen nicht sieht. Spezielles Methoden Know-how ist oft stärker vorhanden als im Unternehmen (Know-how-Transfer) Externe müssen keine oder deutlich weniger Rücksichtnahme auf interne Befindlichkeiten nehmen als interne Parteien Externe haben Einblick und damit Vergleich mit anderen Firmen und können daher Best Practices auch bei der Einführung von Best Practices vermitteln Externe haben kein anderes Tagesgeschäft, das sie behindert und setzen Vereinbarungen konsequenter um. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 19

20 Vorteile externer Audits & Assessments Positiver Einfluss auf das Rating eines Unternehmens, bessere Ausgangsposition bei Kapitalbeschaffung und Versicherungskonditionen Vertrauenssicherung gegenüber Kunden, Partnern und Shareholdern Interne Verbesserung und Steigerung der Effektivität und Effizienz der Prozesse Steuerungsmöglichkeiten anhand der Informationen aus dem Reporting über Prozesse Vertrauensnachweis für die Marktpositionierung, da mit der Erteilung anerkannter Zertifikate und Prüfzeichen die besonderen Anstrengungen hinsichtlich der Prozessqualität dokumentiert werden und ein Wettbewerbsvorteil herausgestellt werden kann TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 20

21 TÜViT-Prüfzeichen & TÜViT-Zertifikate Weitere Beispiele: (Zertifizierungen) TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 21

22 Resumée Forderungen nach mehr Qualität und Transparenz kommen von verschiedenen Seiten, z. B. nationale und internationale Gesetze sowie Branchenstandards IT Governance ist wesentlicher Bestandteil der Corporate Governance Standards & Best Practices definieren die Meßlatte Audits & Asssessments durch unabhängige Dritte als Prüfung und Nachweis der Erfüllung der Anforderungen Zertifikate helfen, nach innen und außen zu belegen, dass man gut aufgestellt ist TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 22

23 TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans Günter Siebert Produktmanager Langemarckstraße 20 D Essen Telefon: +49 (0) 2 01/ Telefax: +49 (0) 2 01/ Mobil: +49 (0) H.Siebert@tuvit.de URL: TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Hans G. Siebert SQS 2006: IT-Governance & Qualitätsmanagement 23