Wolfgang Goltsche COBIT kompakt und verständlich
Aus dem Bereich IT erfolgreich gestalten Visual Basic.NET mit Methode von Heinrich Rottmann Warum ausgerechnet.net? von Heinrich Rottmann Requirements Analysis realisieren von Karl Scharbert Management der Software- Entwicklung von Carl Steinweg Das neue PL/I von Eberhard Sturm Projektmanagement der SW-Entwicklung von Werner Mellis Profikurs ABAP von Patrick Theobald SAP R/3 Kommunikation mit RFC und Visual Basic von Patrick Theobald Six Sigma in der SW-Entwicklung von Thomas Michael Fehlmann Profikurs Eclipse 3 von Gottfried Wolmeringer und Thorsten Klein User Interface-orientierte Softwarearchitektur von Paul Chlebek Erfolgreiche Datenbankanwendung mit SQL3 von Jörg Fritze und Jürgen Marsch Web-basierte Systemintegration von Harry Marsh Sneed und Stephan Henry Sneed Terminalserver mit Citrix Metaframe XP von Thomas Joos Exchange Server 2000 von Thomas Joos Profikurs PHP-Nuke von Jens Ferner Unternehmensweites Datenmanagement von Rolf Dippold, Andreas Meier, Walter Schnider und Klaus Schwinn Netzarchitektur Kompass für die Realisierung von Thomas Spitz, Markus Blümle und Holger Wiedel SIP Die Technik von Andreas Kanbach IT-Sicherheit Make or Buy von Marco Kleiner, Lucas Müller und Mario Köhler Mehr IT-Sicherheit durch Pen-Tests von Enno Rey, Michael Thumann und Dominick Baier IT-Risiko-Management mit System von Hans-Peter Königs IT-Sicherheit mit System von Klaus-Rainer Müller Der IT Security Manager von Heinrich Kersten und Gerhard Klett COBIT kompakt und verständlich von Wolfgang Goltsche www.vieweg.de
Wolfgang Goltsche COBIT kompakt und verständlich Der Standard zur IT Governance So gewinnen Sie Kontrolle über Ihre IT So steuern Sie Ihre IT und erreichen Ihr Ziele Mit 92 Abbildungen
Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar. Das in diesem Werk enthaltene Programm-Material ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Der Autor übernimmt infolgedessen keine Verantwortung und wird keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programm-Materials oder Teilen davon entsteht. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne von Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürfen. Höchste inhaltliche und technische Qualität unserer Produkte ist unser Ziel. Bei der Produktion und Auslieferung unserer Bücher wollen wir die Umwelt schonen: Dieses Buch ist auf säurefreiem und chlorfrei gebleichtem Papier gedruckt. Die Einschweißfolie besteht aus Polyäthylen und damit aus organischen Grundstoffen, die weder bei der Herstellung noch bei der Verbrennung Schadstoffe freisetzen. 1. Auflage September 2006 Alle Rechte vorbehalten Friedr.Vieweg & Sohn Verlag GWV Fachverlage GmbH, Wiesbaden 2006 Lektorat: Günter Schulz / Andrea Broßler Der Vieweg-Verlag ist ein Unternehmen von Springer Science+Business Media. www.vieweg.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Konzeption und Layout des Umschlags: Ulrike Weigel, www.corporatedesigngroup.de Umschlagbild: Nina Faber de.sign, Wiesbaden Druck- und buchbinderische Verarbeitung: MercedesDruck, Berlin Printed in Germany ISBN-10 3-8348-0141-0 ISBN-13 978-3-8348-0141-8
Vorwort Der Begriff der IT-Governance und der des IT Service Managements ist heute in aller Munde. Dies können Sie leicht feststellen, wenn Sie nur die einschlägigen Fachzeitschriften oder auch das Internet bemühen und nach diesen beiden Begriffen suchen. Dabei werden Sie höchstwahrscheinlich zwei Dinge feststellen: Erstens ist weder der Begriff der IT-Governance noch der Begriff des IT Service Managements einheitlich geklärt, und zweitens beziehen sich viele Autoren auf die beiden Begriffe COBIT und ITIL. COBIT steht für Control Objectives for Information and related Technology ein vom IT-Governance Institute geprägter Ausdruck, und ITIL für IT Infrastructure Library, eine Abkürzung, die vom Office of Government Commerce geprägt wurde. Beide Begriffe werden in diesem Buch erläutert und in einen Kontext gestellt. Dieses Buch soll in COBIT einführen und verwendet daher auch die Definitionen von COBIT. Im ersten Schritt wird erläutert, was bei COBIT unter Governance und speziell unter IT-Governance zu verstehen ist und was ihre Funktion darstellt. Es folgt danach eine allgemeine Einführung in COBIT und in die Grundlagen oder Quellen von COBIT. Eine komplette Auflistung der Prozesse mit jeweils einer kurzen Beschreibung runden das Bild ab. In diesem Rahmen wird auch auf die Kontrollziele von COBIT eingegangen. Diese Einführung kann von allen IT-Interessierten, vom CIO bis zum Laien, genutzt werden, um sich ein Bild von COBIT zu machen und zu verstehen, worum es in diesem Modell geht. Da viele der Abkürzungen feststehende oder allgemeine gebräuchliche Begriffe innerhalb der IT sind, wurde auf eine Übersetzung dieser Begriffe ins Deutsche verzichtet und die englische Originalabkürzung beibehalten. Diese werden aber im Glossar übersetzt, und es sollte mithin keine Schwierigkeiten bei der Verwendung der Begriffe geben. Jeder einzelne Prozess wird im Überblick erläutert. Für eine Implementierung von COBIT sind weitergehende Informationen notwendig. Diese Ausarbeitung gibt Ihnen aber einen guten Ü- berblick über die Gesamtheit von COBIT, und Sie haben dadurch die Möglichkeit, die Implementierungen zu bewerten, in V
Vorwort dem diese den Prozessen und den angeführten Kontrollen gegenübergestellt werden. COBIT ist ein lebender Standard. Es ist daher möglich, dass sich bereits mehr Informationen finden lassen, als ich sie hier aufnehmen konnte. Bitte benutzen Sie für die Suche nach aktuellen Informationen die im Kapitel COBIT Publikationen und Literaturverzeichnis aufgeführten Links und Literaturhinweise. Diese Ausarbeitung beruht auf der Version 4 von COBIT. Auch wenn es sich empfiehlt, die ersten Kapitel zunächst zu lesen, müssen Sie diese Ausarbeitung nicht Kapitel für Kapitel durcharbeiten. Nach dem Lesen der ersten Kapitel können Sie das Werk auch als Nachschlagewerk benutzen. Haben Sie Anregungen oder Fragen, Verbesserungen an dem Text? Bitte schreiben Sie mir. Jede Anregung ist willkommen. Ich wünsche Ihnen viel Spaß und Freude beim Lesen, denn Sie werden einen umfassenden Standard für die IT-Governance kennen lernen, der in den nächsten Jahren immer bedeutender werden wird. Ritterhude, im Juli 2006, Wolfgang Goltsche VI
Inhaltsverzeichnis 1 Einführung...1 1.1 IT-Governance Eine Einführung...1 1.2 Modelle und Initiativen...7 1.2.1 COSO...8 1.2.2 ITIL...9 1.2.3 COBIT...11 1.2.4 Sonstige Frameworks...13 1.3 Qualität, Reifegradmodelle und Steuerungsinstrumente...13 1.3.1 Kontrollzyklus nach Deming...13 1.3.2 Normen...14 1.3.3 EFQM-Modell...15 1.3.4 Modellvergleich...16 1.3.5 CMM / Spice (ISO/IEC 15504)...17 1.3.6 Steuerungsinstrumente BSC & Co...21 2 Die Struktur von COBIT...25 2.1 Der Governance-Würfel...25 2.2 Die Dimension der COBIT-Prozesse...27 2.2.1 Planung und Organisation (PO)...28 2.2.2 Akquisition & Implementierung...30 2.2.3 Delivery & Support...31 2.2.4 Monitoring und Evaluierung...33 2.3 Ressourcen...34 2.4 Geschäftsanforderungen...35 2.5 Gesamtprozessübersicht...42 VII
Inhaltsverzeichnis 3 COBIT-Prozessbeschreibung...45 3.1 Die verwendete Prozessdarstellung...45 3.2 PO Planung und Organisation...51 3.2.1 PO1 Definieren eines strategischen Plans...51 3.2.2 PO2 Definieren der Informationsarchitektur...54 3.2.3 PO3 Festlegen der technischen Ausrichtung...57 3.2.4 PO4 Definieren der IT-Organisation und ihrer Beziehungen...60 3.2.5 PO5 IT-Investitionsmanagement...64 3.2.6 PO6 Kommunizieren der Management-Ziele und Strategien...67 3.2.7 PO7 Personalführungsmanagement...70 3.2.8 PO8 Qualitätsmanagement...73 3.2.9 PO9 Risikomanagement...76 3.2.10 PO10 Projektmanagement...79 3.3 AI Akquisition und Implementierung...83 3.3.1 AI1 Identifizierung automatisierter Lösungen...83 3.3.2 AI2 Erwerb und Pflege von Applikationssoftware...86 3.3.3 AI3 Erwerb und Pflege der technischen Infrastruktur...89 3.3.4 AI4 Befähigen des Betriebes...92 3.3.5 AI5 Zur Verfügung stellen von IT-Ressourcen...95 3.3.6 AI6 Change Management...98 3.3.7 AI7 Installieren und Abnehmen von Systemen und Änderungen.101 3.4 DS Delivery und Support... 104 3.4.1 DS1 Service Level Management...104 3.4.2 DS2 Lieferanten-Management (Third Party Services)...108 3.4.3 DS3 Performance und Kapazitätsmanagement...111 3.4.4 DS4 Continuity Management... 114 3.4.5 DS5 Security Management...117 3.4.6 DS6 Kostenmanagement...120 3.4.7 DS7 Anwenderschulung und Training... 123 3.4.8 DS8 Anwenderunterstützung...126 VIII
Inhaltsverzeichnis 3.4.9 DS9 Konfigurationsmanagement...129 3.4.10 DS10 Problem Management... 132 3.4.11 DS11 Data Management...135 3.4.12 DS12 Facility Management... 138 3.4.13 DS13 Operationsmanagement...141 3.5 ME Monitoring und Überwachung (Monitoring and Evaluation)...144 3.5.1 ME1 Überwachen und evaluieren der IT-Performance...144 3.5.2 ME2 Überwachung und Begutachtung der internen Kontrollen...147 3.5.3 ME3 Sicherstellung der Einhaltung gesetzlicher Vorschriften...150 3.5.4 ME4 Sorgen für IT-Governance...153 4 IT-Governance-Implementierung... 157 4.1 Einführung von COBIT... 157 4.2 Methodisches Vorgehen...158 4.3 Verfügbare Tools...160 5 COBIT-Publikationen und Literaturverzeichnis...163 5.1 Struktur der Publikationen...163 5.1.1 Board Briefings...164 5.1.2 Framework und Control Objectives...164 5.1.3 Management Guidelines...164 5.1.4 IT Assurance Guide... 166 5.1.5 IT Control Objectives for SOA...167 5.1.6 Implementation Guide...167 5.2 Weitere Publikationen...168 Glossar...169 Schlagwortverzeichnis...171 IX
1 Einführung In diesem Kapitel werden Sie die wesentlichen Strömungen im Rahmen von IT-Governance und IT Service Management kennen lernen. Nach der Vorstellung verschiedener Definition von IT- Governance und deren Zusammenhang mit-unternehmensgovernance und IT Service Management folgen die Erläuterungen zu COBIT, ITIL, EFQM, CMM und zum allgemeinen Verbesserungsmodell von Prozessen nach Deming. 1.1 IT-Governance Eine Einführung Die Informationstechnologie (IT) dient zur Unterstützung fast aller Geschäftsprozesse in den Unternehmen, und ohne die Nutzung der IT ist die Durchführung vieler Prozesse nicht mehr möglich oder doch wesentlich erschwert. Gleichzeitig stellt die effiziente Nutzung vielfach einen Wettbewerbsvorteil dar, auf den nicht verzichtet werden kann. Die IT ist daher nicht nur Unterstützer der Geschäftsprozesse, sondern macht viele Abläufe erst möglich. Von besonderer Bedeutung ist es daher, dass die IT an der Gesamtstrategie und den Zielen des Unternehmens ausgerichtet wird. Genau dies ist, wie wir noch zeigen werden, eine der wesentlichen Aufgaben der IT-Governance. Governance und auch IT-Governance wird heute als Begriff in vielen Publikationen auch aus anderen Gründen verwendet und erlebt eine große Aufmerksamkeit. Zu einem großen Teil liegt das an den Skandalen, welche vor einigen Jahren die Aktienmärkte erschüttert haben. Durch fehlende Kontrolle und unzureichendes Risikomanagement der verantwortlichen Manager der Unternehmen wurden dabei erhebliche Werte vernichtet. Durch eine entsprechende Gesetzgebung in den Vereinigten Staaten und auch in Europa wurde auf diese Missstände reagiert. Stichworte in diesem Zusammenhang sind der Sarbanes Oxley Act (SOA) aus den USA und der Winter Report (Empfehlungen einer EU-Expertengruppe), die Regeln für die Governance der Unternehmen aufstellen. Da die Informationstechnik in den Unternehmen, als ein das Kerngeschäft unterstützender Bereich, seine Daseinberechtigung nur aus dieser Unterstützung gewinnt, ist es nur logisch, dass die 1
1 Einführung Regeln, die für das Kerngeschäft einer Unternehmung gelten, sinngemäß auch für die IT-Organisation anzuwenden sind. Neben der Auswirkung dieses geänderten Umfeldes kommen für die IT eine Reihe von Themen hinzu, die auch heute noch in vielen IT-Organisationen ungelöst sind. Zum einen ist das die immer noch fehlende Kundenorientierung vieler dezentraler oder auch zentraler IT-Organisationen, obwohl anerkannt werden muss, dass auch in diesem Bereich inzwischen Verbesserungen erkennbar sind. Die Herausforderungen im Projektmanagement und auch im Risikomanagement sind weiterhin groß. Nicht umsonst berichtet die Gartner Group, das weltweit führende Unternehmen für Analyse und Forschung im Bereich der IT, regelmäßig über die Schwierigkeiten mit-projekten in der IT. Bei einer Fehlerquote von 70% der IT-Projekte in Bezug auf entweder Kosten, Zeit oder Qualität kann von einem wirklichen Erfolg bei der Umsetzung dieser Projekte nicht gesprochen werden. Gleichzeitig nehmen die Risiken, die in der IT liegen, immer mehr zu. Dies liegt zum einen daran, dass die IT immer mehr als eigentlicher Motor der Kerngeschäftsprozesse eingesetzt wird, und zum anderen daran, dass die Technologie in Sprüngen vorwärts eilt und dadurch zersplitterte, kaum handhabbare IT HW / SW Landschaften entstehen. All diesen Herausforderungen muss mit einer geeigneten Strategie begegnet werden. Diese kann nur im Aufbau einer Governancestruktur für die IT liegen, denn nur dadurch werden die Leitlinien festgelegt, welche die IT am Kerngeschäft eines Unternehmens ausrichtet, die Risiken reduziert und die Chancen nützt. Standardisierung der Prozesse und der Aufbau einer Prozessorientierten Organisation, die in der Lage ist, diese Probleme zu lösen, müssen dem Modell zu Grunde liegen. Für diese Standardisierungsbemühungen taucht in letzter Zeit auch der Begriff Industrialisierung der IT auf, der allerdings ein wenig mehr aussagt, nämlich das Bemühen, die Prozesse auch so zu gestalten, dass sie industriellen Maßstäben genügt. In vielen IT- Organisationen ist es jedoch so, dass die Prozesse durch stark individuelle Züge der handelnden Personen geprägt sind, standardisiert zwar, aber keiner industriellen Güte genügend. Eine dieser Bemühungen, Ordnung in die Prozesse der IT Landschaft zu bringen und ein übergeordnetes Governancemodell zu etablieren, ist COBIT. COBIT als Begriff steht dabei für Control Objectives of Information and related Technology, es geht also um Kontrolle, genauer um Kontrollziele der Informationen und der 2
1.1 IT-Governance Eine Einführung damit verbundenen Technologie und dem Aufbau eines internen Kontrollsystems (IKS). COBIT als Standard für IT-Governance steht allerdings nicht alleine in der Welt und ist auch nicht einfach so entstanden, sondern hat seine Wurzeln in vielfältigen Vorläufern. Um einen Gesamtrahmen zu schaffen ist es daher wichtig die Beziehung zu den anderen Governance Frameworks darzustellen und zu erläutern. Dem umfangreichsten Framework, welchem man in der Literatur begegnet, ist ein Diskussionspapier von der CIMA (Chartered Institute of Management Accountants). In diesem Diskussionspapier werden die Begriffe Enterprise Governance, Corporate Governance und Business Governance benutzt. Enterprise Governance ist dabei der Oberbegriff für das Framework, welches die beiden Aspekte der Corporate Governance und der Business Governance, zwischen denen in dem Framework unterschieden wird, abdeckt. Die Grafik zeigt den Zusammenhang zwischen den verschiedenen Begriffen. Enterprise Governance Corporate Governance Conformance Business Governance Performance Verantwortlichkeit Gewissheit Erzeugung von Werten Ressourcen Nutzung Abb. 1-1 CIMA Framework CIMA benutzt die folgende Definitionen für Enterprise Governance: Definition Enterprise Governance Enterprise Governance ist die Summe der Verantwortlichkeiten und Praktiken, ausgeführt vom Oberen Management, sowie dem ausführenden Management mit dem Ziel, die strategische Richtung vorzugeben. Dabei muss sichergestellt werden, dass die gesetzten Ziele erreicht werden, indem Risiken behandelt werden und nachgeprüft wird, dass die Ressourcen des Unternehmens verantwortlich genutzt werden. 3
1 Einführung Gemäß CIMA gibt es zwei Dimensionen des Enterprise Governance: Anpassung (Conformance) und Durchführung (Performance). Die Anpassungsdimension beinhaltet die retrospektiven Sicht (rückwärts betrachtet), während die Leistungsdimension die prospektive Sicht (Zukunftsbetrachtung) repräsentiert. Die Verbindungen in Abb. 1-1 CIMA Framework zeigen, dass der Bereich Anpassung direkt mit Verantwortlichkeit und Gewissheit zu tun hat und die Performance direkt zur Werteschaffung und Ressourcennutzung führt. Es gilt andererseits auch, dass die beiden Dimensionen der Governance sich gegenseitig beeinflussen, so dass also zum Beispiel Corporate Governance die Werteschaffung und Ressourcennutzung beeinflusst. Wenn im täglichen Sprachgebrauch über Governance gesprochen wird, so ist meistens der Aspekt der Corporate Governance gemeint. Auf diesen Aspekt zielen die vor einiger Zeit in der Presse berichteten und bereits erwähnten Skandale. Unmittelbar nach diesen Skandalen, die auch das Ende eines der großen fünf Buchprüfungsunternehmens einleiteten, wurden in vielen Ländern, u.a. in den USA und in Europa, neue Regelungen entworfen und eingeführt, um die Unternehmensführung zu verstärken. In den USA, wurde aus diesem Grund der Sarbanes-Oxley Act umgesetzt. In Europa gab der Winterreport Empfehlungen für einen modern geregelten Rahmen des Gesellschaftsrechts heraus, welcher der Europäischen Kommission zur Verfügung gestellt wurde. Als Beispiel mag eine der Empfehlungen dienen. Diese besagt, dass Firmen, deren Anteile auf dem freien Markt, also an den Börsen gehandelt werden, eine umfassende Beschreibung der Kernelemente ihrer Governance-Strukturen und Richtlinien auf ihren Internetseiten und in ihren jährlichen Berichten veröffentlichen sollen. Es gibt neben der Definition der Governance nach CIMA auch noch die Definition der Organisation der ökonomischen Zusammenarbeit und Entwicklung (OECD). Sie definiert Corporate Governance folgendermaßen: Definition Corporate Governance (OECD) Corporate Governance ist das System, durch das Kapitalgesellschaften geführt und gesteuert werden. Die Struktur der Corporate Governance spezifiziert die Verteilung von Rechten und von Verantwortlichkeiten unter unterschiedlichen Teilnehmern in dem Unternehmen, wie dem Direktorium, den Managern, den 4
1.1 IT-Governance Eine Einführung Aktieninhabern und anderen Beteiligten und diktiert die Richtlinien sowie die Verfahren für das Treffen von Entscheidungen in Firmenangelegenheiten. Indem es dies tut, liefert es auch die Struktur, durch die die Firmenziele festgelegt werden, die Mittel zur Erreichung jener Ziele sowie generell die Überwachung von Leistung. Inzwischen ist es weltweit anerkannt, dass Corporate Governance notwendig ist. Alle an einem Unternehmen interessierte Gruppen haben ein Anrecht auf verlässliche Informationen und auf eine gute Behandlung, respektive Abwehr, von Einflüssen, denen das Unternehmen ausgesetzt ist. Ein Großteil der Skandale war auf das Wirken von nicht ausreichend kontrollierten CEOs zurückzuführen, so dass es in diesem Zusammenhang auch darum geht, eine Balance zwischen dem Aufsichtsrat bzw Aufsichtsgremien und dem CEO herzustellen, so dass solche Auswüchse, wie sie vorgekommen sind, unwahrscheinlicher werden. Am Ende bedeutet es die Macht eines CEOs einzuschränken. Auf der anderen Seite haben wir die Business Governance, welche sich auf die realen Aufgaben der Rolle des Aufsichtsrates/Aufsichtsgremiums konzentriert. Diese bestehen auf der einen Seite im Treffen strategischer Entscheidungen, die konkrete Behandlung von Risiken und deren Beurteilung und Diskussion und auf der anderen Seite in den Erkenntnissen über die wesentlichen Treiber für das Geschäftsergebnis. Die Informationstechnologie ist in den meisten Firmen eine das Kerngeschäft des Unternehmens unterstützende Abteilung. In einigen Fällen bildet die IT selbst das Kerngeschäft. Dies trifft zum Beispiel für Outsourcer zu, die Anlagen für andere Firmen betreiben. Die internen IT-Abteilungen sollten keine wirkliche Sonderstellung genießen, sondern als eine, wenn auch wichtige Abteilung behandelt werden. Aus diesem Grund ist klar, dass auch die für die Unterstützung der Geschäftsprozesse eingesetzten Prozesse in geeigneter Weise gesteuert werden müssen. Wie sieht es damit aber in den IT-Abteilungen aus? Da diese Frage vielfach nicht hinreichend beantwortet werden kann wird IT-Governance als offene Frage immer drängender. Und da die IT einen wesentlichen Teil der Kerngeschäftsprozesse abbildet bzw. diese vielfach ohne die Unterstützung der IT nicht mehr durchgeführt werden können, gilt: Die IT-Governance ist wesentlicher Bestandteil der Corporate Governance. 5
1 Einführung Die Definition der IT-Governance orientiert sich daher an der Corporate Governance Definition. Im Rahmen von COBIT wird die IT-Governance folgendermaßen definiert. Definition IT-Governance IT-Governance ist eine Struktur von Beziehungen und Prozessen zur Steuerung und Führung eines IT-Unternehmens oder IT- Bereiches, um die Geschäftsziele zu erreichen. Der Wertzuwachs wird dabei durch das Ausbalancieren von Risiko und Ertrag der IT und ihrer Prozesse erreicht. Sie ist eine Aufgabe der Führungskräfte und der Aufsichtsgremien. Dies bedeutet in anderen Worten, IT-Governance legt die Verteilung von Rechten und Pflichten unter den unterschiedlichen Teilnehmern (Aufsichtsräten/Geschäfts- und IT-Managern, etc) fest und bestimmt, wie Entscheidungen getroffen werden, um eine möglichst hohe Transparenz zu schaffen. Damit stellt IT-Governance sicher, dass die IT in richtiger Art und Weise an den Geschäftsprozessen ausgerichtet und entsprechend organisiert ist sowie im Sinne des Geschäftes gesteuert wird. IT- Governance liefert die Struktur, IT-Prozesse, IT-Ressourcen und Informationen, die mit den Unternehmensstrategien und deren Zielsetzungen verknüpft sind. IT-Governance integriert und institutionalisiert Best Practice-Modelle. Sie organisiert, erwirbt, führt ein, liefert, stützt und überwacht IT-Leistungen, um sicherzugehen, dass die Informationen und die damit in Verbindung stehende Technologie des Unternehmens die Unternehmensziele unterstützt. IT-Governance ermöglicht es dem Unternehmen, den vollen Nutzen aus seinen Informationen zu ziehen. Dadurch maximiert es den Nutzen und kapitalisiert die Chancen, die dadurch zu einem Wettbewerbsvorteil führen. In der folgende Tabelle sind die drei vorgestellten Begriffe noch einmal zusammengefasst. 6
1.2 Modelle und Initiativen Tabelle 1-1 Governancebereiche Corporate Governance Business Governance IT-Governance Trennung von Eigentümerschaft und Kontrolle Verantwortung der Leitung Gesetzliche und kaufmännische Compliance & Kontrolle Shareholder Rechte Ethik & Integrität Geschäftsdurchführung, Risiken & Kontrolle Kostenrechnung und Berichterstattung Asset Management Risiko Management Führung und Kontrolle des Geschäftes Geschäftsziele Geschäftsstrategie und Planung Geschäftsaktivitäten und Prozesse Innovation und Forschungsfähigkeit Kapital an Wissen und Intellekt Information und ITS Management Personal Management Kundenservice und Beziehungsmanagement Interne und externe Kommunikation Leistungskontrolle Führung und Kontrolle der IT IT-Ziele Ausrichtung der IT an den Geschäftszielen IT-Ressourcen Informations- und Wissensmanagement IT-Strategie und Planung IT-Einkauf und Einführung IT-Betrieb, Risiko und Kontrolle IT-Asset Management IT-Risiko Manage-ment IT-Projekte 1.2 Modelle und Initiativen Im Bereich der IT-Governance oder auch ergänzend für das IT Service Management gibt es eine ganze Reihe von bereits vorhandenen Modellen und Initiativen, von denen an dieser Stelle die wichtigsten vorgestellt werden sollen. Die in diesem Rahmen betrachteten Modelle sind in zwei Kategorien eingeteilt, in öffentliche und kommerzielle. COSO, ITIL und COBIT gehören zur Gruppe der auch Public Domain genannten frei zugänglichen Frameworks, und als kommerzielle Angebote stehen unter anderem MOF (Microsoft Operational Framework) und SOF (Siemens Operational Framework) zur Verfügung Auf jedes der öffentlichen Modelle werden wir kurz eingehen und die wichtigsten Elemente vorstellen. 7
1 Einführung 1.2.1 COSO Im Jahr 1992 gab das Committee of Sponsoring Organizations of the Treadway Commission das Internal Control Integrated Framework heraus. In dieser Publikation wurde ein Rahmen zur internen Steuerung vorgestellt. Darüber hinaus enthielt es Auswertetools, die Firmen und andere Organisationen benutzen können, um ihre Steuerungssysteme zu analysieren. Das Framework benennt und beschreibt fünf zusammenhängende Bestandteile, die für eine wirkungsvolle interne Steuerung notwendig sind. In Internal Control Integrated Framework, definierte COSO die interne Prozesssteuerung, die durch die Aufsichtsgremien einer Organisation, dem Management und anderem Personal ausgeführt wird. Diese Steuerung wurde entwickelt, um eine angemessene Sicherheit über die Erreichung von Zielsetzungen in Bezug auf die folgenden Kategorien zur Verfügung zu stellen: Wirksamkeit und Leistungsfähigkeit des Betriebes (Aktivitäten) Zuverlässigkeit des finanziellen Berichtes Befolgung der anwendbaren Gesetze und Regelungen In 2004 ist das Enterprise Risk Management (ERM) von COSO erschienen. In diesem Framework werden die hauptsächlichen ERM-Komponenten definiert, die Schlüsselprinzipien und Konzepte diskutiert, eine einheitliche Sprache vorgeschlagen und eine klare Richtung für das Enterprise Risk Management vorgegeben. ERM ist daher weiter gefasst als die interne Steuerung. Es erweitert und durchdringt die interne Steuerung, um eine stabilere Basis zu schaffen, die auf das Erkennen und Behandeln von Risiken ausgerichtet ist. Der Enterprise Risk Management -Rahmen erweitert den internen Steuerrahmen wie folgt: Vier Kategorien der Zielsetzungen werden spezifiziert: Operationen, Berichte, Einhaltung von Regeln und strategische Zielsetzungen. Die Berichte umfassen jene Reports, die innerhalb des Managements verwendet und solche, die zu externen Parteien herausgegeben werden. 8
1.2 Modelle und Initiativen Strategische Zielsetzungen sind als neue Kategorie hinzugefügt worden. ERM betrachtet Risiken aus einer Portfolio -Perspektive. Der Rahmen bezieht die Menge der Risiken mit ein, die eine Firma bereit ist hinzunehmen, um ihre Ziele zu erreichen. Ereignisse, die die Firma beeinflussen können, werden identifiziert. Diejenigen mit potentiell negativer Auswirkung stellen Risiken dar. Die Risikobeurteilung wird erweitert. ERM benennt vier Reaktionsmöglichkeiten auf Gefahren - vermeiden, verringern, teilen und akzeptieren. Antworten werden für einzelne Risikoarten und für gesamte Risikogruppen betrachtet. ERM erweitert den Informations- und den Kommunikationsbestandteil und betrachtet Daten aus der Vergangenheit, der Gegenwart in Bezug auf die möglichen zukünftigen Ereignisse. ERM beschreibt die Rolle und die Verantwortlichkeiten der Risiko-Manager und erweitert dies auf die Rolle des Aufsichtsgremiums der Gesellschaft / Firma. 1.2.2 ITIL ITIL ist die Abkürzung für die IT Infrastructure Library. Es sind Richtlinien und Empfehlungen, die ursprünglich durch das CCTA (heute OGC) in Norwich, England, für die britische Regierung entwickelt wurden. ITIL ist ein praxisnaher Rahmen für IT Service Management und wird als der globale de facto-standard in diesem Bereich angesehen. Zum Beispiel stellt ITIL die Grundlage für das Microsoft Operations Framework und für das HP IT Service Management Reference Model zur Verfügung. Das von Siemens Business Services erstellte Modell Siemens Operational Framework beruht ebenfalls auf ITIL, integriert wesentliche Teile der Modelle und fügt neue Aspekte hinzu. ITIL besteht aus einer Reihe Büchern, die Best Practice- Empfehlungen für IT Service-Management geben. ITIL erklärt dabei was, getan werden soll, aber niemals wie. Die Empfehlung, einen Servicedesk einzurichten, der die Schnittstelle zum Anwender abbilden soll, bildet in diesem Fall die einzige Aus- 9