Inhaltsübersicht Inhaltsübersicht Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Abkürzungsverzeichnis IX XI XVII XIX XXI 1 Einleitung 1 1.1 Problemstellung 1 1.2 Zielsetzung und Forschungsfragen 3 1.3 Forschungsansatz 5 1.4 Aufbau der Arbeit 7 2 Einordnung der lt-compliance in den Kontext der Governance, des Risikomanagements und der Compliance (GRC) 9 2.1 Governance, Risikomanagement und Compliance - Begriffsbestimmung und Abgrenzung 9 2.2 Weitere betriebswirtschaftliche Disziplinen mit Relevanz in der IT-Compliance. 52 2.3 Untersuchung der Gemeinsamkeiten und Zusammenhänge von Governance, Risikomanagement und Compliance 58 2.4 IT-Compliance im Kontext 75 3 Qualitätsanforderungen an eine Methode im Kontext des Methoden-Engineerings 81 3.1 Identifikation von Qualitätsanforderungen 81 3.2 Analyse und Auswahl der Qualitätsanforderungen 83 3.3 Konkretisierung der Qualitätsanforderungen 84 4 IT-Compliance Management - Anforderungen und Status Quo 87 4.1 Problem- und Anforderungsanalyse 87 4.2 Analyse des Status Quo 102 4.3 Fazit 111 5 Entwicklung einer Methode für das risikoorientierte IT-Compliance-Management 113 5.1 Metamodell 113 IX http://d-nb.info/1051704367
INHALTSÜBERSICHT 5.2 Rollenmodell 114 5.3 Vorgehensmodell, Ergebnisse und Techniken 120 6 Praxisevaluation 193 6.1 Fallstudie 1: Automobil-Finanzdienstleister (Volkswagen Financial Services AG) 195 6.2 Fallstudie 2: Versicherungskonzern 203 6.3 Fallstudie 3: Deutsches Kreditinstitut 209 6.4 Zusammenfassung 215 7 Überprüfung der Qualitätsanforderungen 217 7.1 Vollständigkeit 217 7.2 Korrektheit / Konsistenz 220 7.3 Relevanz 221 7.4 Anwendbarkeit 222 7.5 Fazit der Evaluation 222 8 Schlussbetrachtung 225 8.1 Zusammenfassende Betrachtung 225 8.2 Kritische Würdigung 225 8.3 Weiterer Forschungsbedarf und Ausblick 226 Anhang 227 A.l Definitionen 227 A.2 Ergebnisse der strukturierten Literaturanalyse 233 Literaturverzeichnis 237 X
Inhaltsverzeichnis Inhaltsübersicht Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Abkürzungsverzeichnis IX XI XVII XIX XXI 1 Einleitung 1 1.1 Problemstellung 1 1.1.1 Zunehmende Bedeutung der IT-Compliance 1 1.1.2 Unklares Verständnis von IT-Compliance im Kontext von GRC 2 1.1.3 Herausforderungen in der Compliance 3 1.2 Zielsetzung und Forschungsfragen 3 1.2.1 Zielsetzung 3 1.2.2 Forschungsfragen 4 1.3 Forschungsansatz 5 1.3.1 Design Science 5 1.3.2 Methoden-Engineering 6 1.4 Aufbau der Arbeit 7 2 Einordnung der IT-Compliance in den Kontext der Governance, des Risikomanagements und der Compliance (GRC) 9 2.1 Governance, Risikomanagement und Compliance - Begriffsbestimmung und Abgrenzung 9 2.1.1 Corporate Governance 9 2.1.1.1 Begriffsverständnis und Entwicklung 9 2.1.1.1.1 Theoretische Erklärungsansätze der Corporate Governance 10 2.1.1.1.2 Prinzipien der Corporate Governance 12 2.1.1.1.3 Verständnis in dieser Arbeit 13 2.1.1.2 Ausgestaltung der Corporate Governance 13 2.1.1.2.1 Mechanismen der Corporate Governance 13 2.1.1.2.2 System der Corporate Governance 14 2.1.1.3 Besonderheiten im Bankensektor 15 XI
2.1.1.4 Abgrenzung 16 2.1.1.4.1 Management 16 2.1.1.4.2 Unternehmensverfassung 16 2.1.2 IT-Govemance 17 2.1.2.1 Das IT-Verständnis in dieser Arbeit 17 2.1.2.2 Begriffsverständnis 17 2.1.2.3 Ausgestaltung der IT-Govemance 19 2.1.2.3.1 Strategie Alignment Model 19 2.1.2.3.2 Corporate Governance of Information Technology (ISO/IEC 38500:2008) 20 2.1.3 Betriebswirtschaftliches Risikomanagement 21 2.1.3.1 Risikoverständnis 21 2.1.3.1.1 Risikobegriff 21 2.1.3.1.2 Systematisierung von Risiken 24 2.1.3.2 Begriff des Risikomanagements 26 2.1.3.2.1 Systematisierung des Risikomanagements 27 2.1.3.2.2 Verständnis des Risikomanagements in dieser Arbeit.. 27 2.1.3.3 Ausgestaltung des Risikomanagements 29 2.1.3.3.1 Bestandteile eines Risikomanagements 29 2.1.3.3.2 Risikomanagementprozess 33 2.1.3.4 Besonderheiten im Bankensektor 36 2.1.3.5 Abgrenzungen 36 2.1.4 IT-Risikomanagement 37 2.1.4.1 Verständnis von IT-Risiken 38 2.1.4.2 Ausgestaltung des IT-Risikomanagements 39 2.1.5 Corporate Compliance 41 2.1.5.1 Begriff und Entwicklung 41 2.1.5.1.1 Aufgaben, Ziele und Funktionen 42 2.1.5.1.2 Verständnis in dieser Arbeit 44 2.1.5.2 Der Compliance-Prozess 45 2.1.5.3 Compliance-Management-System 46 2.1.5.4 Besonderheiten im Bankensektor 48 2.1.6 IT-Compliance 49 2.1.6.1 Begriff und Entwicklung 49 2.1.6.2 Ziele und Aufgaben 50 2.2 Weitere betriebswirtschaftliche Disziplinen mit Relevanz in der IT-Compliance.. 52 2.2.1 Geschäftsprozessmanagement 52 2.2.1.1 BegrifHichkeiten 52 2.2.1.2 System des Geschäftsprozessmanagements 54 2.2.2 Qualitätsmanagement 55 2.2.2.1 Begrifflichkeiten 55 2.2.2.2 Qualitätsmanagementsystem 56 2.2.3 Controlling 57 XII
2.3 Untersuchung der Gemeinsamkeiten und Zusammenhänge von Governance, Risikomanagement und Compliance 58 2.3.1 GRC in einer ganzheitlichen Sichtweise 58 2.3.2 GRC und andere Managementdisziplinen 60 2.3.2.1 Prozessmanagement 60 2.3.2.2 Qualitätsmanagement 60 2.3.2.3 Controlling 61 2.3.3 Identifikation von Überschneidungsbereichen 61 2.3.4 Analyse der Überschneidungen anhand der STOPE View 63 2.3.4.1 Strategie 63 2.3.4.2 Technologie 65 2.3.4.3 Organisation und Menschen 66 2.3.4.4 Externe Faktoren 69 2.3.5 Integrierte Sichtweise im Rahmen dieser Arbeit 74 2.4 IT-Compliance im Kontext 75 2.4.1 IT-Compliance im IT-Kontext 76 2.4.2 IT-Compliance im GRC-Kontext 77 2.4.3 IT-Comp\iance-Risiken 78 2.4.4 Fazit 80 3 Qualitätsanforderungen an eine Methode im Kontext des Methoden-Engineerings 81 3.1 Identifikation von Qualitätsanforderungen 81 3.2 Analyse und Auswahl der Qualitätsanforderungen 83 3.3 Konkretisierung der Qualitätsanforderungen 84 3.3.1 Vollständigkeit 84 3.3.2 Korrektheit / Konsistenz 85 3.3.3 Relevanz 85 3.3.4 Anwendbarkeit im Unternehmen 86 4 IT-Compliance Management - Anforderungen und Status Quo 87 4.1 Problem-und Anforderungsanalyse 87 4.1.1 Vorgehen bei der Literaturrecherche 87 4.1.2 Durchführung der Literaturrecherche 88 4.1.3 Relevante Herausforderungen für das IT-Compliance-Management 90 4.1.3.1 Herausforderungen in den regulierten Unternehmen 91 4.1.3.2 Herausforderungen durch die Regulierung 95 4.1.3.3 Herausforderungen durch fehlende Lösungen 95 4.1.4 Anforderungen an das IT-Compliance-Management 96 4.1.4.1 Übergreifende Anforderungen 98 4.1.4.2 Querschnitts-Anforderungen 99 4.1.4.3 Phasenbezogene Anforderungen 101 4.2 Analyse des Status Quo 102 4.3 Fazit 111 XU1
5 Entwicklung einer Methode für das risikoorientierte IT-Compliance-Management 113 5.1 Metamodell 113 5.2 Rollenmodell 114 5.2.1 Beschreibung der Rollen 114 5.2.2 Zuweisung der Rollen zu Aktivitäten 117 5.3 VorgehensmodeU, Ergebnisse und Techniken 120 5.3.1 Ableitung eines Rahmenmodells für das Vorgehensmodell aus den Anforderungen 120 5.3.1.1 Analyse geeigneter Best Practices 120 5.3.1.2 Auswahl der Methodenbasis 126 5.3.1.3 Ableitung weiterer Designentscheidungen aus den Anforderungen 126 5.3.1.4 Rahmenkonzept für ein Vorgehensmodell zum risikoorientierten IT-Compliance-Management 127 5.3.2 Phase 0: Bestimmung der Rahmenbedingungen 130 5.3.2.1 Aktivität 0.1: Identifikation von determinierenden Einflussfaktoren 130 5.3.2.2 Aktivität 0.2: Schaffung eines einheitlichen Rahmens 131 5.3.2.3 Aktivität 0.3: Sicheistellung von Kommunikations- und Dokumentationsanforderungen 132 5.3.2.4 Techniken Phase 0 134 5.3.3 Phase 1: Voibereitungsphase 145 5.3.3.1 Aktivität 1.1: Festlegung des Analyseobjektes 146 5.3.3.2 Aktivität 1.2: Untersuchung und Einbindung des Analyseumfelds. 146 5.3.3.3 Aktivität 1.3: Aktivitätenplanung 147 5.3.3.4 Techniken Phase 1 148 5.3.4 Phase 2: Strukturanalyse 151 5.3.4.1 Aktivität 2.1: Geschäftsprozessanalyse 151 5.3.4.2 Aktivität 2.2: Analyse beteiligter IT-Services 152 5.3.4.3 Aktivität 2.3: Analyse beteiligter IT-Assets 153 5.3.4.4 Techniken Phase 2 153 5.3.5 Phase 3: Compliance-Analyse 157 5.3.5.1 Aktivität 3.1: Identifikation IT-relevanter externer Anforderungen. 157 5.3.5.2 Aktivität 3.2: Identifikation interner Anforderungen 158 5.3.5.3 Aktivität 3.3: Intemalisierung externer Anforderungen und Konsolidierung 159 5.3.5.4 Aktivität 3.4: Identifikation und Bewertung existierender Controls 159 5.3.5.5 Techniken Phase 3 161 5.3.6 Phase 4: Risikoanalyse 166 5.3.6.1 Aktivität 4.1: High Level Risikobewertung 166 5.3.6.2 Aktivität 4.2: Identifikation von Bedrohungen 167 5.3.6.3 Aktivität 4.3: Identifikation von Schwachstellen 168 5.3.6.4 Aktivität 4.4: Identifikation von Konsequenzen 169 5.3.6.5 Aktivität 4.5: Risikoschätzung 169 5.3.6.6 Techniken Phase 4 171 XIV
5.3.7 Phase 5: Risikoevaluation 175 5.3.7.1 Aktivität 5.1: Abgleich Risikolevel mit Kriterien 175 5.3.7.2 Aktivität 5.2: Bestimmung des risikobezogenen IT-Compliance- Status 176 5.3.8 Phase 6: risikoorientierte IT-Compliance-Steuerung 178 5.3.8.1 Aktivität 6.1: Identifizierung und Bewertung von Maßnahmenalternativen 178 5.3.8.2 Aktivität 6.2: Risikosteuerung 180 5.3.8.3 Techniken Phase 6 181 5.3.9 Phase 7: Risikoakzeptanz 185 5.3.10 Phase 8: IT-Risiko und Compliance-Überwachung 186 5.3.10.1 Aktivität 8.1: Überwachung der Methode 186 5.3.10.2 Aktivität 8.2: Überwachung der Risikofaktoren 187 5.3.10.3 Aktivität 8.3: Umsetzungsüberwachung 188 5.3.10.4 Techniken Phase 8 188 6 Praxisevaluation 193 6.1 Fallstudie 1: Automobil-Finanzdienstleister (Volkswagen Financial Services AG). 195 6.1.1 Verständnis der IT-Compliance 195 6.1.2 Wesentliche Vorgehensweisen und Konzepte in der IT-Compliance 196 6.1.3 Steuerung interner Anforderungen an die IT 197 6.1.4 Bewertung 198 6.2 Fallstudie 2: Versicherungskonzem 203 6.2.1 Verständnis der IT-Compliance 203 6.2.2 Wesentliche Vorgehensweisen und Konzepte in der IT-Compliance 203 6.2.3 Bewertung 205 6.3 Fallstudie 3: Deutsches Kreditinstitut 209 6.3.1 Verständnis der IT-Compliance 209 6.3.2 Wesentliche Vorgehensweisen und Konzepte in der IT-Compliance 209 6.3.3 Bewertung 211 6.4 Zusammenfassung 215 7 Überprüfung der Qualitätsanforderungen 217 7.1 Vollständigkeit 217 7.2 Korrektheit / Konsistenz 220 7.3 Relevanz 221 7.4 Anwendbarkeit 222 7.5 Fazit der Evaluation 222 8 Schlussbetrachtung 225 8.1 Zusammenfassende Betrachtung 225 8.2 Kritische Würdigung 225 8.3 Weiterer Forschungsbedarf und Ausblick 226 xv
Anhang 227 A.l Definitionen 227 A.2 Ergebnisse der strukturierten Literaturanalyse 233 Literaturverzeichnis 237 xvi