FH Stralsund. IT Governance. PwC. Ein strategischer Ansatz für Ausrichtung, Steuerung und Überwachung der IT im Unternehmen - Eine Übersicht.

FH Stralsund IT Governance Ein strategischer Ansatz für Ausrichtung, Steuerung und Überwachung der IT im Unternehmen - Eine Übersicht.. Die Vorausdenker. Senior Manager PwC

0. Einleitung Angaben zur Person Was ich vor und nach diesem Vortrag mache... Beruflicher Werdegang 1987-1993: Studium der Informatik an der Universität Erlangen-Nürnberg 1994-1999: Promotion an der TU Dresden 1999-2003: Unternehmensberatung bei der PwC Deutsche Revision 2003-2005: Leitung des IT Client Service im IT-Bereich der bei PwC 2005-2008: Senior Manager im Bereich Process Assurance der PwC ab 01.07.08: Partner bei PwC Fachbücher Workflow-. Facetten einer neuen Technologie, dpunkt-verlag Entwicklung von Workflow-Typen, Springer-Verlag IT Governance. Leitfaden für eine praxisgerechte Implementierung, Gabler Verlag WPG AG Wirtschaftsprüfung und Steuerberatung ca. 10.000 in D, ca. 150.000 weltweit die größte der Big Four Aktuelle Aufgaben Verantwortung für Entwicklung und Vermarktung von IT Governance bei Process Assurance Projekt- und Mandanten-Verantwortung Zusammen mit einem zweiten Partner: Leitung des CIO-Bereichs, 60 Mitarbeiter, 10 Standorte Lehrauftrag an der FH Stralsund für das Wintersemester 2008/2009 (geplant) Aktuelle Projekte IT Risk (Bank) IT Governance (Banken, IT-Dienstleister) IT Compliance (Software-Hersteller) Folie 2

0. Einleitung Anstatt eines Vorwort Was Referenten aus der Praxis oft behaupten... Statistiken zu Beginn eines Vortrags sollen beweisen, dass der Vortrag höchst wichtig ist. Diesmal: Keine Faktensammlung als Beweis Vorträge sollen ein Thema darstellen und den Zuhörern eine umfassende Übersicht geben. Hier: Keine vollständige Darstellung von IT Governance Vorträge vermitteln oft den Eindruck, dass Gebiet sei schon erschlossen und man hätte bereits alle Probleme gelöst Heute: Keine abschließenden Aussagen zu IT Governance Vorträge sollten die theoretischen Grundlagen des Themas beleuchten und zum Ausgangspunkt der Darstellung machen Derzeit: Keine fundierte Theorie für IT Governance Referenten werben oft für ihr Unternehmen gerne unter Hochschulabsolventen Keine Werbung für PwC als Arbeitgeber (nur ein wenig) Folie 3

0. Einleitung IT Governance Begriffsbestimmung als Einstieg in das Thema Governance governance, engl.. Regieren, Herrschaft, Regierung, Staatsführung, Steuerung gubernare, lat.... steuern, seinerseits Entsprechung von kybernân kybernân, gr... ein Schiff steuern, Schiffssteuerkunst (Kybernetik) IT (Information technology) Gesamtheit der Informationstechnologie, hier: IT in einem Unternehmen, mit Anwendungssystemen, IT-Infrastruktur, Prozessen, Ressourcen, Daten usw. IT Governance (Governance over IT) Regierung der IT Herrschaft über die IT Steuerung der IT Verwandte Begriffe Corporate Governance (Unternehmensführung) Global Governance (Politik) Good Governance (Sozialwissenschaften) Folie 4

0. Einleitung IT Governance Weitere Möglichkeiten zur Einordnung und Abgrenzung Reifegrad Orientierung IT-Infra- struktur- IT-Service IT Governance intern extern IT- IT- Governance Zeit Bereitstellung von Technologie Bereitstellung von Dienstleistungen Strategische Partnerschaft Gegenwart Zukunft Abbildungen aus: Johannsen/Goeken, 2007 Folie 5

Inhaltsübersicht Themen des Vortrags (Teil 1) 1. Ausgangssituation. Die Rolle der IT im Unternehmen, die Änderungen in Sichtweise, Auftrag und Leistung im Wandel der Zeit. 2. Realität. Ergebnisse aus Umfragen und Studien, Leistungsversprechen und Erwartungshaltung bei Nutzern und Anbietern von IT-Diensten. 3. Anforderungen. Herausforderungen und Aufgaben, IT im Spannungsfeld zwischen Leistung, Kosten, Compliance und Flexibität. 4. Lösungsansatz. IT Governance als ganzheitlicher Ansatz zur Ausrichtung, Steuerung und Überwachung der IT im Unternehmen. 5. Entwicklungsstand. Stand von Forschung, Praxis und der Realtität in den Unternehmen zum Thema IT Governance. Folie 6

1. Ausgangssituation Rahmenbedingungen für die IT im Unternehmen IT als kritischer Erfolgsfaktor in einer komplexen Umgebung Globalisierung betrifft nicht nur große Konzerne, sondern auch mittelgroße Unternehmen, da sie zunehmend globale Geschäftsbeziehungen aufbauen Entwicklungen außerhalb von Deutschland und Europa wirken sich unmittelbar aus, z.b. Nachfrageverhalten und Marktentwicklung, aber auch Gesetze und regulatorische Vorgaben Informationstechnologie (IT) ist zwingende Voraussetzung fast aller Dienstleistungen und vieler Produkte, IT wird von einer zentralen Funktion zu einem erfolgskritischen Faktor Parallel zur Bedeutung der IT steigen Ansprüche und Erwartungen, insbesondere von - Geschäftsführung: Wertbeitrag, Kosteneinsparung, Risikovermeidung - Fachabteilungen: Reaktionsgeschwindigkeit, spezifische Leistungen - Anwender: umfassende Betreuung, individuelle Hilfe Qualität, Flexibilität, Innovationsfähigkeit und Effizienz der IT reichen nicht mehr aus, gesetzliche und regulatorische Vorgaben sind nachweisbar durch die IT zu erfüllen Aufgabe: Effektive Steuerung der IT in einem dynamischen Umfeld, permanente Balance zwischen Geschäftsanforderungen, Compliance, Effizienz und Kosten Folie 7

2. Realität IT Governance Status Report 2008 Umfrage unter 750 Unternehmen, weltweit (Juli bis Oktober 2007) Folie 8

2. Realität IT Governance Status Report 2008 Zusammenfassung der wichtigsten Ergebnisse 1. IT Governance ist zwar ein Vorstandsthema, in der Praxis aber weiterhin eher die Sache von CIO oder IT-Leitung. 2. Die Bedeutung der IT für das Unternehmen wird als weiterhin zunehmend gesehen. 3. Es gibt zunehmend häufiger ein Self- Assessment zum Stand der IT Governance. 4. Austausch zwischen Fachabteilung und IT besserst sich, allerdings nur langsam. 5. Corporate Governance und IT Governance müssen noch weiter harmonisiert werden. 6. Es gibt weiterhin IT-bezogene Probleme, vor allem bei IT-Security und IT-Compliance. 7. Externe Unterstützung zur Implementierung effektiver IT Governance ist bekannt, wird aber nur bedingt nachgefragt/genutzt. 8. Verfahren für effektive IT Governance sind bekannt, aber nur bedingt im Einsatz. 9. Frameworks und Best Practices für eine effektive IT Governance werden genutzt. 10. CobiT ist bei 50% bekannt, aber nur bei 30% der Unternehmen auch im Einsatz. 11. Gegenüber 2006 gibt es mehr Aktivitäten für eine effektive IT Governance. 12. Val IT ist bei 50% bekannt, aber die Nutzung ist noch sehr gering. Folie 9

3. Anforderungen CIO im Mittelpunkt der Erwartungshaltung Anforderungen innerhalb und außerhalb des Unternehmens Unternehmensleitung Fachbereiche Externe Gruppen Unterstützung der Geschäftsstrategie Volle Transparenz bei den Kosten der IT Nutzung von Synergien und Konsolidierung Wertbeitrag für das Unternehmen durch IT Sicherheit, Risikovorsorge und -vermeidung Hochwertige und skalierbare IT-Services Volle Unterstützung der Produktionsabläufe Flexible Gestaltung der Leistungsabrechnung Individuelle Betreuung der einzelnen Bereiche Hohe Reaktionsfähigkeit bei Änderungen Einhaltung von Gesetzen und Regularien Beachtung branchenspezifischer Vorgaben Nachweis der Einhaltung gegenüber Dritten IT als potentieller Provider für Dritte Keine Behinderungen durch die IT bei M&A CIO Folie 10

3. Anforderungen CIO als Gestalter seiner Rolle und der IT als Funktion Herausforderungen aus aktuellen Trends CIO Risk und Compliance von IT-Services Umgang mit Strukturänderungen Gestaltung der Rolle als CIO Einführung eines IT Risiko-s zum Schutz des Unternehmens Herstellung, Erhalt und Nachweis der IT-Compliance Nutzung der IT-Compliance zur Performance-Verbesserung in der IT Standardisierung, Professionalisierung und Optimierung einer gestiegenen Zahl externer Dienstleister Angleichung und Qualitätserhalt bei der Endanwender-Unterstützung Umgang mit Zukauf und Abtrennung von Unternehmensbereichen Integration der eigenständigen IT unter Wahrung ihrer Handlungsfähigkeit Konsolidierung von IT-Infrastruktur zur Hebung von Synergiepotentialen Neuordnung der Zuständigkeiten, und Entscheidungsbefugnisse Ausgestaltung der Funktion in Zusammenarbeit mit CFO und IT-Leitern Proaktive Gestaltung von bereichsübergreifenden Querschnittsthemen Folie 11

4. Lösungsansatz IT Governance Erläuterung IT Governance umfaßt prinzipielle, dokumentierte und unternehmensweit geltende Regelungen zu Entscheidungsrechten, Rollen und Verantwortlichkeiten sowie zur Organisation der IT, die durch ihr klar geregeltes Zusammenwirken sicherstellen, dass die IT im Unternehmen die Geschäftsziele erkennbar unterstützt, gesetzliche/regulatorische Vorgaben erfüllt, transparente Prozesse, Zuständigkeiten und Entscheidungswege aufweist, Risiken erkennt und vermeidet sowie Ressourcen effizient und effektiv nutzt. Je nach Unternernehmen erstreckt sich die Governance auf Assets wie Personal Investitionen Technische Infrastruktur Intellectual property Informationen und Daten Beziehungen zu Externen Gegenstand der Entscheidung sind IT Prinzipien IT Architektur IT Infrastruktur-Strategie Umsetzung Geschäftsanforderungen Investitionen. Folie 12

4. Lösungsansatz IT Governance Einordnung und inhaltliche Abgrenzung Einordnung Ziele Themenfelder Unternehmen Corporate Governance IT Governance IT- IT-Operation Profit Growth Accountability Responsibility Transparency Fairness Strategic Alignment Value Delivery Risk Performance Measurement Resource Performance Compliance Quality Cost IT-Strategie IT-Mission IT-Vision Aufbauorganisation Rollen/Funktionen Kompetenzen Entscheidungen Betriebsmodelle Services/Produkte Prozesse Kontrollen Policy & Standards Kennzahlen Service-Levels IT-Sicherheit Folie 13

5. Entwicklungsstand Definitionen von IT Governance (Auswahl) Große Vielfalt, wenig Konsens, jedoch auch einige gemeinsame Elemente Ministry Of Int. Trade & Industry (1999) The organisational capacity to control the formulation and implementation of IT strategy and guide to proper direction for the purpose of achieving competitive advantages for the corporation. ISACA (2001) A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes. IT Governance Institute (2001) IT Governance liegt in der Verantwortung des Vorstands und des s und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Van Grembergen (2002) IT governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT Rüter, Schröder, Göldner (2006) Unter IT Governance werden Grundsätze, Verfahren und Maßnahmen zusammengefaßt, die sicherstellen sollen, dass mit Hilfe der IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden. Weill/Ross (2004) Specifying the decision rights and accountability framework to encourage desirable behaviour in the use of IT. Johannsen, Goeken (2007) Verantwortungsvolle, nachhaltige und auf langfristige Wertschöpfung ausgerichtete Organisation und Steuerung von Aktivitäten und damit dem gesamten System interner und externer Leistungs-, Kontroll- und Überwachungsmechanismen. Forrester (2005) IT governance is the process by which decisions are made around IT investments. How decisions are made, who makes the decisions, who is held accountable, and how the results of decisions are measured and monitored are all parts of IT governance. Based on this definition, everyone has some form of IT governance. PwC (2007) IT Governance umfaßt prinzipielle Regelungen zu Entscheidungsrechten, Rollen und Verantwortlichkeiten sowie zur Organisation der IT, die sich jeweils auf die Domänen Strategic Alignment, Value Delivery, Resource, Risk und Performance Measurement beziehen. Folie 14

5. Entwicklungsstand Konsolidierung der Definitionen von IT Governance Wiederkehrende/gemeinsame Elemente und (Minimal)-Konsens Verantwortung: Wer? Vorstand / Board Geschäftsführung / Senior IT- Gegenstand: Was? IT insgesamt, insbesondere Investitionen in der IT Sicherstellung der Fusion von Geschäft und IT Kontrolle über IT-Strategie-Formulierung/Umsetzung Angemessener/zielgerichteter Einsatz der IT Grundsätze, Verfahren und Maßnahmen Zielsetzung: Warum? Wettbewerbsvorteile für das Unternehmen Erreichung der Unternehmensziele Unterstützung der Unternehmensstrategie Balance zwischen Risiko und Nutzung der Resourcen Bestandteil der Unternehmensführung Langfristige und verantwortungsvolle Wertschöpfung Mittel: Wie? Strukturen, Prozesse und Mechanismen der Steuerung Festlegungen der Verantwortlichkeiten in/für IT Spezifikation der Entscheidungsrechte Entscheidungsverfahren und Berichtswege Messung und Überwachung der IT Organisation und Steuerung von Aktivitäten in der IT Folie 15

Inhaltsübersicht Themen des Vortrags (Teil 2) 6. Inhalte und Mechanismen. Ausgestaltung der IT Governance an einem exemplarischen Framework. 7. Implementierung. Konzepte und Methoden für die Einführung einer wirksamen IT Governance in Unternehmen. 8. Werkzeuge. Hilfsmittel, ihr Beitrag und die Grenzen ihrer Eignung für die Implementierung der IT Governance. 9. Vorgehensweise. Vorgehensweise für die Planung, Implementierung und Einführung von IT Governance. 10. Zusammenfassung. Ergebnisse aus dieser Übersicht und Ausblick auf die Möglichkeiten der weiteren Entwicklung des Themas. Folie 16

6. Inhalte Inhalte von IT Governance Beispiel: Vorschläge des IT Governance Institute zur inhaltlichen Ausgestaltung IT Governance Institute (ITGI): 1998 als nicht-kommerzielle Stiftung in den USA gegründet, u.a. durch Spenden finanziert. Risk Strategic Alignment Value Delivery IT Governance Performance Measurement Resource Domains der IT Governance gemäß Vorschlag des ITGI Enge Verbindung zur Information Systems Audit and Controls Association (ISACA) als Berufsverband der IT-Prüfer / IT-Auditoren. ITGI und ISACA geben gemeinsam CobiT(Controls Objectives for Information and Related Technology) heraus. CobiT soll als Referenzmodell für IT Governance platziert werden, ist aber auch in neuester Version 4.1 unvollständig und hat keine wissenschaftlich fundierte Basis. Dennoch: Beispiel für ein Framework und trotz der Mängel in einigen Unternehmen bereits in Teilen im Einsatz. Folie 17

6. Inhalte Strategic Alignment Ausrichtung der IT auf das Unternehmen, seine Ziele und seine Strategie Strategic Alignment Value Delivery Risk Performance Measurement Resource Prüfung, Bewertung und Einführung von Organisationsstrukturen und Prozessen für die Entscheidungsfindung, Steuerung und Überwachung der IT Zielsetzung IT-Strategie und Unternehmensstrategie befinden sich im Einklang IT-Investitionen stehen im Einklang mit den Zielen des Unternehmens Betrieb der IT unterstützt die Erreichung der Unternehmensziele Leistungen der IT werden als Services definiert und erbracht Verfahren (Auswahl) Systematische Abbildung der Geschäftsstrategie auf die IT-Strategie Prüfung und Anpassung der IT-Strategie auf die Geschäftsstrategie Entwicklung von Organisationsstrukturen für das Alignment der IT Folie 18

6. Inhalte Value Delivery Beitrag der IT zur Wertschöpfung im Unternehmen Strategic Alignment Value Delivery Risk Performance Measurement Resource Prüfung, Bewertung und Einführung von Organisationsstrukturen und Prozessen für die Entscheidungsfindung, Steuerung und Überwachung der IT Zielsetzung Erforderliches Budget und Ressourcen für die IT werden bereitgestellt Ausgaben für die IT sind überprüfbar und im Rahmen der Möglichkeiten reduziert Nutzen von Projekten und Investitionen in IT können bewertet werden Wertbeitrag der IT für das Unternehmen ist sichergestellt und nachgewiesen Verfahren (Auswahl) Optimierung der Kosten für IT durch Analyse und Vergleich Identifikation von Einsparungs- und Optimierungspotential im Betrieb der IT Umsetzung von Optimierungsmaßnahmen in den IT-Prozessen Verrechnungsmodelle für IT-Kosten Folie 19

6. Inhalte Risk Umgang mit Risiken in und durch die IT Strategic Alignment Value Delivery Risk Performance Measurement Resource Prüfung, Bewertung und Einführung von Organisationsstrukturen und Prozessen für die Entscheidungsfindung, Steuerung und Überwachung der IT Zielsetzung Transparenz über die Risiken in und durch IT für das Unternehmen besteht Überwachung des Betriebs von IT und Minimierung möglicher Risiken erfolgt Informationen und IT-Assets sind vor Mißbrauch und Verlust geschützt Prozesse und Vorgaben für den IT- Betrieb sind risiko-orientiert gestaltet Verfahren (Auswahl) Kartierung von IT-Risiken durch IT Risk Register und IT Controls Inventory Unterstützung bei der mandantenspezifischen Ausgestaltung der Controls Gestaltung von IT Risk - Prozessen zugehörigen Gremien Ausarbeitung oder Redesign von risikoorientierten Policies & Standards Folie 20

6. Inhalte Performance Measurement Messung von Leistung, Qualität und Compliance Strategic Alignment Value Delivery Risk Performance Measurement Resource Prüfung, Bewertung und Einführung von Organisationsstrukturen und Prozessen für die Entscheidungsfindung, Steuerung und Überwachung der IT Zielsetzung Überwachung der Services der IT für das Unternehmen Ergebnisse von IT-Projekten sind erkennbar und werden nachgewiesen Verfahren (Auswahl) Ableitung von Steuerungsfeldern aus der Unternehmens- und IT-Strategie Konzeption von Kennzahlensystemen für die IT-Organisation und den IT-Betrieb Implementierung von Kennzahlen in die IT-Betriebsorganisation Leistungsbeurteilung und Benchmarking aus Erfahrungen aus IT Due Diligence Folie 21

6. Inhalte Resource Verantwortungsvoller Umgang und sinnvoller Einsatz von Ressourcen in der IT Strategic Alignment Value Delivery Risk Performance Measurement Resource Prüfung, Bewertung und Einführung von Organisationsstrukturen und Prozessen für die Entscheidungsfindung, Steuerung und Überwachung der IT Zielsetzung Optimale Verwendung von Ressourcen für und in der IT Ressourcen sind: Prozesse, Mitarbeiter, Anwendungen, Infrastruktur und Daten Verfahren (Auswahl) Prüfung von Sourcing-Modellen für IT- Services und Begleitung der Verhandlung Prüfung von Beziehungen zu internen und externen Dienstleister (SLA etc.) Gestaltung von Beziehungen zu externen Dienstleister (inc. Contract ) Portfolio- für IT-Projekte Folie 22

6. Inhalte Inhalte der IT Governance Zusammenfassung und Überleitung Die Geschäftsführung muß mehrere Bereiche bezüglich ihrer IT beachten: - Strategische Ausrichtung (Strategic Alignment) - Wertbeitrag (Value Delivery) - Risikomanagement (Risk ) - Ressourcennutzung (Resource ) - Leistungsmessung (Performance Measurement) Für jeden Bereich gibt es Ziele und (teilweise bereits bekannte und etablierte) Verfahren in der IT, mit denen diese Ziele erreicht werden können Effektive IT Governance erfordert, dass diese Verfahren in der IT implementiert werden, wobei es dazu unterschiedliche Ansätze gibt (Abschnitt 7). Standards, Best Practices und Frameworks unterstützen diese Implementierung, müssen aber unternehmensspezifisch ausgewählt, angepaßt und kombiniert werden (Abschnitt 8) Für die Implementierung und die Einführung der IT Governance gibt es unterschiedliche Vorgehensmodelle, je nach Zielsetzung und Reifegrad des Unternehmens (Abschnitt 9). Folie 23

7. Implementierung Implementierung effektiver IT Governance Ansatz zur Umsetzung im Unternehmen Strategic Alignment Value Delivery Organisationsstrukturen und Prozesse für die Entscheidungsfindung, Steuerung und Überwachung der IT Risk IT Governance Performance Measurement Resource Implementierung der fünf Domains durch Verfahren und Prozesse in und für die IT Domains der IT Governance gemäß Vorschlag des ITGI Folie 24

7. Implementierung Implementierung effektiver IT Governance Entscheidungsfindung: Rechte, Rollen und Verantwortlichkeiten Grundsätzliche Aufgaben Entscheidung über die Themen in der IT die aus Sicht der Unternehmensleitung relevant sind (Assets) Mögliche Umsetzungen Architektur Grundsätze / Prinzipien Infrastruktur Anforderungen Investment Priorisierung Festlegung wer zu den Entscheidungen beiträgt, wie und von wem entschieden wird (Modalitäten) Business Monarchy IT Monarchy Feudal Federal IT Duopoly Anarchy Festlegungen, Besetzung und Einführung der Rollen, Funktionen und Gremien (Organe) IT Board Investment Approval Board IT Steering Committee Folie 25

7. Implementierung Implementierung effektiver IT Governance Beispiele für Entscheidungs-Archetypen (nach Weill/Ross 2006) Grundprinzip Business Monarchy IT Monarchy Feudal Federal IT Duopoly Anarchy Beschreibung Eine (kleine) Gruppe in der Geschäftsführung oder den Fachbereichen entscheidet über die IT. Die IT-Abteilung entscheidet eigenständig über Fragen der IT, Priorisierung von IT-Projekten und Art und Umfang der IT-Services Fachbereiche und deren Vertreter entscheiden über Fragen der IT. Leitungsebene von Fachbereichen und IT entscheiden in gleichberechtiger Rolle über Fragen der IT. Leitung des IT-Bereichs und einige/wenige ausgewählte Vertreter der Fachbereiche/Produktion entscheiden über die IT. Einzelne Benutzer haben weitreichende Entscheidungsrechte. Folie 26

7. Implementierung Implementierung effektiver IT Governance Konkrete Ausprägung im Unternehmen (Beispiel: PwC) IT Governance- Matrix bei PwC Lines of Service und Internal Firm Services IT Leitlinien IT Architektur & Roadmap Business Needs & Services IT Investment Input Decision Input Decision Input Decision Input Decision IT Council ITBMG IFLeader IT Council ITBMG IFLeader IT Council ITBMG IFLeader ITBMG COO IT Council ITBMG IFLeader ITS ITS OL ITS OL CIO AB ITS OL ITS OL Vorstand COO Vorstand COO Vorstand COO Folie 27

7. Implementierung Implementierung effektiver IT Governance Funktionale Dekomposition der Domains (illustrativ) Implementierungs-Ansatz Strategic Alignment Value Delivery Risk Performance Measurement Resource IT-Strategie Information Anwendungsarchitektur Aufbau und Ablauforganisation Infrastruktur und Technologie Service Sourcing und Vendor Informations- und IT-Sicherheit Investitionen und Projekte Folie 28

7. Implementierung Implementierung effektiver IT Governance Herleitung und Aufbau eines Control Frameworks zur Überwachung der IT Vorgaben Risiko-Einschätzung Kontrollmechanismen Unternehmensspezifika Konsolidierte Anforderungen an die IT-Governance Kontrollziel Kontrollmechanismen Kontrollziel Kontrollziel Kontrollziel Kontrollziel Kontrollmechanismen Kontrollmechanismen Standards Rahmenwerke Folie 29

7. Implementierung Implementierung effektiver IT Governance Beispiel: Konkretisierung der Vorgaben des Sarbanes Oxley-Act (illustrativ) Geltende Vorgabe bestimmen Sarbanes Oxley-Act Rechtsform des Unternehmens (z.b. AG) Handelsplatz der Aktien (z.b. US-Börse) US-börsennotiert Sicherheit der IT-Systeme Schutz des Netzwerks Überwachung der Firewall ISO 17799 COBIT Kontrollziele (z.b. aus COBIT) Kontrollmechanism. (z.b. aus Standard wie ISO 17799) Folie 30

7. Implementierung Implementierung effektiver IT Governance Zusammenfassung und Überleitung Implementierung effektiver IT Governance im Unternehmen bedeutet Einführung von - Organisationsstrukturen und Prozessen für die Entscheidungsfindung, Steuerung und Überwachung der IT - Umsetzung der fünf Domains durch Verfahren und Prozesse Es müssen alle für die Geschäftsleitung relevante Themen identifiziert und die Mechanismen für die Entscheidung und den Umgang mit ihnen definiert werden. Es gibt grundlegende Entscheidungs-Archetypen, die je nach Unternehmen zur Entscheidung über die Themen herangezogen werden können. Die für die IT Govenance relevante Domains können durch funktionale Dekomposition implementiert werden. Ein Control Framework erlaubt die Überwachung der IT, insbesondere der IT-Prozesse auf Einhaltung von regulatorischen und gesetzlichen Vorgaben. Folie 31

8. Werkzeuge und Hilfsmittel Hilfsmittel zur Implementierung Frameworks, Standards und Best Practices Aufgaben bei der Implementierung Hilfreiche Beiträge durch Gestaltung von IT-Prozesse und Services, Aufbau und Ablauforganisation für den effektiven Betrieb der IT ITIL-Referenzmodell, ISO 2000x, Demand/Supply-Organisationen für IT- Betrieb, CMMI, BSC Einführung von Kontroll- und Überwachungsmechanismen zur Risiko-Vermeidung und Einhaltung der Compliance Control-Frameworks ITIL (z.b. COSO, CobiT), Vorgaben der WP-Gesellschaften, Prüfungs- und Berichtstandards Implementierung von Querschnittsfunktionen wie IT-Sicherheit, Projektmanagement etc. IT-Security (z.b. ISO 13335, 2700x), IT-Grundschutz, PRINCE Folie 32

8. Werkzeuge und Hilfsmittel Hilfsmittel zur Implementierung Integriertes Prozess & Kontroll-Rahmenwerk Anforderungen des Unternehmens Unternehmens- und IT-Strategie, Policies & Standards etc. Regulatorische Bestimmungen Lokale oder branchenspezifische Anforderungen und Vorgaben ITIL Customer RfC yes Change Manager Filter and 1 initial logging Change Manager 2 Allocate priority Process Activity 1. Filter and initial logging Filter and record the RfC and, where applicable, enter it into a support tool. Deliverables: Initial recorded change form. 2. Allocate priority Every RfC should be allocated a priority that is based on the impact of the change and the urgency for the remedy. In case of high priority changes (urgent) shortened procedures will be used. Deliverables: Updated change form, inclusive priority. Control RfC as described in minimal requirements (e.g. electronic ticket, hardcopy request) RfC is formally approved by authorized customer Following subject is addressed within the RfC: Evidence that assignment of change is adequate and no project organization is needed (in this case link to SDLC) Priorities predefined as described in minimal requirements Priority is added to RfC Priority urgent change is set in accordance with policy or service level agreement COSO COBIT Urgent? no Change Manager 3 Decide category 3. Decide category Examine each RfC and decide how to proceed based on the (predefined) category into which the RfC falls. Forward the change in case of standard change. Deliverables: Updated change form, inclusive category. C Categories predefined as described in minimal requirements Category is added to RfC Categories (standard change, regular change) are set in accordance with policy or service level agreement yes BS 7799 A B Standard? no C Best Practice Kontrollperspektive Prozessperspektive Folie 33

8. Werkzeuge und Hilfsmittel Werkzeuge und Hilfsmittel Kodifizierung der Vorgaben: Policies, Standards und Guidelines Voraussetzung für wirksame IT Governance: explizite Dokumentation Das Unternehmen muss getroffene Entscheidungen und die notwendigen Prozesse festlegen. Bewährt hat sich eine hierarchisch gegliederte Struktur von Dokumenten und eine sorgsam geplante Verteilung der Inhalte darauf. -Prozess für den Umgang mit dieser Dokumentation, Herausforderungen in großen Unternehmen, Prozess der Erstellung, Freigabe, Kommunikation und Anwendung. Typischer Aufbau der Dokumente als Hierarchie Detaillierung Umfang Policy Standards Guidelines Procedures Geltungsbereich Lebensdauer Folie 34

9. Vorgehensmodelle Vorgehensweise Beispiel: Entwicklung einer IT-Governance-Strategie (für einen IT-Dienstleister) Anforderungen aus dem Geschäft (IT-Services) Gesetzliche und branchenspezifische Anforderungen Erwartete zukünftige Entwicklungen Expertise aus Projekten mit anderen Kunden Best Practise etc. Anforderungen an die strategische Ausrichtung der IT-Governance Entscheidungsstrukturen zur Gestaltung und Steuerung der IT Prozesse und Mechanismen zur Umsetzung Messung und Sicherstellung der Ergebnisse Bewertung von derzeitiger Funktionsfähigkeit, Wirksamkeit und Reifegrad Entwicklung von Gestaltungsvorschlägen und Begleitung der Umsetzung Folie 35

10. Zusammenfassung Zusammenfassung Kernaussagen zur IT Governance IT Governance ist ein Konzept, um die IT eines Unternehmens langfristig auszurichten, zu steuern und zu überwachen. Die Ziele dabei sind Erhöhung der Wertschöpfung der IT für das Unternehmen ( Value Delivery ) Vermeidung und Verhinderung von Schäden ( Risk ) und erreicht wird dies insbesondere durch Mittel wie Ausrichtung der IT auf Ziele und Strategie des Unternehmens ( Strategic Alignment ), Messung und Überwachung der Leistungen ( Performance Measurement ) und Effektivem Umgang mit den IT-Ressourcen ( Resource ) IT Governance ist sowohl für Forschung als auch Praxis ein interessantes Thema, für Unternehmen eine Herausforderung. Nicht alles an IT Governance ist neu, aber viele bekannte (Einzel)-Konzepte werden darin kombiniert, integriert, und damit entsteht doch etwas Neuartiges. Folie 36

Literatur Auswahl Grundlagen und Übersichtsdarstellungen Folie 37

Literatur Grundlagen und Übersichtsdarstellungen IT Governance. Leitfaden für eine praxisgerechte Implementierung; Fröhlich, Martin; Glasner, Kurt (Hrsg.), Gabler-Verlag, 2007. IT-Governance in der Praxis. Rüter, Andreas; Schröder, Jürgen; Göldner, Axel (Hrsg.), Springer Verlag, 2006. Von der Unternehmensarchitektur zur IT-Governance. Niemann, Klaus D. vieweg, 2005. IT Governance based on COBIT. A pocked Guide. Brand, Koen; Boonen, Harry, Van Haren Publishing, 2005. IT-Governance. Fröschle, Hans-Peter; Strahinger, Susanne (Hrsg.), dpunkt.verlag, 2006. IT Governance. Modelle zur Umsetzung und Prüfung, Heschl, J.; Middelhoff, D, 2005. IT Governance. How Top Performers Manage IT Decision Rights for Superior Results, Weill, Peter; Ross, W. Jeanne (Eds.), Harvard Business School, 2004 Folie 38

Kontaktdaten Senior Manager AG WPG Olof-Palme-Straße 35 60439 Frankfurt Main markus.boehm@de.pwc.com 069 / 9585 1664 0175 / 570 88 61 Folie 39