ebook img

IT Governance: Leitfaden für eine praxisgerechte Implementierung PDF

304 Pages·2007·4.751 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview IT Governance: Leitfaden für eine praxisgerechte Implementierung

Martin Fröhlich | Kurt Glasner (Hrsg.) IT Governance Martin Fröhlich | Kurt Glasner (Hrsg.) IT Governance Leitfaden für eine praxisgerechte Implementierung Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar. Dr. Martin Fröhlich, Certified Information Systems Auditor (CISA), ist Partner im Bereich Process Assurance von PricewaterhouseCoopers WPG AG, Düsseldorf. Seine Schwerpunkte sind Prüfung und Beratung in den Bereichen Financial Service und IT-Governance. Dr. Kurt Glasner, ebenfalls CISA, ist Partner bei der PricewaterhouseCoopers WPG AG, Essen. Er leitet den Bereich Performance Improvement. Die Schwerpunkte seiner Beratungstätigkeit liegen im Bereich IT-Effectiveness und Projektmanagement. 1. Auflage 1980 1. Auflage April 2007 Alle Rechte vorbehalten ©Betriebswirtschaftlicher Verlag Dr.Th.Gabler | GWVFachverlage GmbH, Wiesbaden 2007 Lektorat: Ulrike M. Vetter Der Gabler Verlag ist ein Unternehmen von Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. indiesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: Nina Faber de.sign, Wiesbaden Druck und buchbinderische Verarbeitung: Wilhelm &Adam, Heusenstamm Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 978-3-8349-0325-9 Vorwort Es gibt Worte und Begriffe, die sich innerhalb kurzer Zeit so in dem allgemeinen oder auch nur geschäftsbezogenen Sprachgebrauch ausbreiten, dass sie als selbstverständlicher Bestand- teil des Sprachschatzes angesehen werden und unter günstigen Umständen sogar die Weihen der Aufnahme in den Duden erfahren dürfen. Gute Kandidaten hierfür scheinen sicherlich die Begriffe Governance, und hier speziell Corporate Governance und IT Governance sowie Compliance zu sein. Nutzt man nun die derzeit wohl größte und leistungsfähigste Suchmaschine der Welt, um – bei aller gebotenen Vorsicht hinsichtlich der tatsächlichen Relevanz der Ergebnisse – den Gebrauch der obigen Begriffe im Zeitverlauf zu ermitteln, so erkennt man, dass sich interna- tional die Begriffe Governance und Compliance einer ungebrochenen Häufigkeit der Ver- wendung erfreuen. Unbestrittener Auslöser hierfür sind die viel zitierten Bilanzskandale um Enron und Worldcom, in deren Gefolge der Sarbanes-Oxley Act im Jahre 2002 verabschiedet wurde. Für den deutschen Sprachraum ist festzustellen, dass Compliance erst seit ca. zwei Jahren als häufig benutzter Begriff Einzug gefunden hat. PricewaterhouseCoopers hat sich als führende Prüfungs- und Beratungsgesellschaft von Be- ginn an in die inhaltliche Arbeit in diesen Themengebieten aktiv eingebracht. So wurde im vorletzten Jahr eine Publikation zur Corporate Governance in Deutschland erarbeitet [PwC05], die die Grundlagen und aktuellen Entwicklungen zusammenstellt. Eine umfassende Darstellung, was diese Fragestellungen für die Corporate Compliance bedeuten und wie die Unternehmen diesen Anforderungen heute und in Zukunft möglichst umfassend, effektiv und effizient gerecht werden können, findet sich in [Menz06]. Governance und Compliance finden sich als Herausforderung und Aufgabenstellung aller- dings nicht nur auf der Ebene der Unternehmensführung, sondern müssen innerhalb der Un- ternehmen auf alle Unternehmensteile heruntergebrochen und konkretisiert werden. Speziell die Informationstechnik (IT) spielt hier eine wesentliche Rolle, da heute in einem typischen Unternehmen kein relevanter Geschäftsprozess ohne mehr oder minder ausgeprägte IT- Unterstützung existiert. Interessanterweise teilt sich die Diskussion um diese spezielle Aus- prägung von Governance und Compliance in zwei deutlich unterschiedliche Strömungen auf: Einerseits begegnen wir evaluierenden Aspekten um implementierte Governance und Compliance, die in dem Rahmenwerk CObIT des IT Governance Institutes bzw. der ISACA umfassend ausgearbeitet sind. Andererseits wird die Konstruktion, also Konzeption und Um- setzung von IT Governance, häufig mit dem ITIL Rahmenwerk in Verbindung gebracht. 6 Vorwort Eine Recherche mit Hilfe der oben genannten Suchmaschine bringt übrigens wiederum ein recht interessantes Ergebnis: Der Begriff CObIT wird seit Jahren mehr oder weniger konstant genutzt, während ITIL sich einer steigenden Nachfrage erfreut. Die Vermutung liegt nahe, dass der Berufsstand der IT-Revisoren und damit verwandten Berufe als Community CObIT kennt und nutzt. Eine über diese Gemeinschaft hinausgehende Verbreitung gelingt scheinbar nicht, denn dies müsste steigende Referenzierungen zur Folge haben, wie es bei ITIL zu beo- bachten ist. PricewaterhouseCoopers als Dienstleister, der nicht nur Prüfung, sondern auch Beratung als Dienstleistung anbietet, möchte mit diesem Buch einen Beitrag dazu leisten, diese ungerechtfertigte Trennung in der Diskussion und im Umgang mit IT Governance zu überwinden. Nach einer Einführung in die relevanten Rahmenwerke und Regularien im ersten Teil wird aufgezeigt, wie IT Governance in der betrieblichen Praxis sinnvoll implementiert werden kann. Mit erfolgter Implementierung ist allerdings die Aufgabe nur zur Hälfte erledigt, denn Unternehmens- und IT-Führung müssen Vorsorge treffen, dass Compliance und Performance sich erstens an veränderte regulatorische wie wirtschaftliche Rahmenbedingungen anpassen und zweitens ständige und stetige Verbesserungen die Wettbewerbsposition des Unterneh- mens optimieren. Diese Aspekte werden im dritten Teil des Buches zusammen mit ausge- wählten Praxisbeispielen vorgestellt. Frankfurt, im März 2007 Prof. Dr. Georg Kämpfer Martin Scholich Mitglied des Vorstands Mitglied des Vorstands Leiter des Geschäftsbereich Assurance Leiter des Geschäftsbereich Advisory PricewaterhouseCoopers AG PricewaterhouseCoopers AG Inhaltsverzeichnis 7 Inhaltsverzeichnis Vorwort ............................................................................................................................ 5 Abbildungsverzeichnis...................................................................................................11 Abkürzungsverzeichnis..................................................................................................15 Einleitung........................................................................................................................17 I. Grundlagen..................................................................................................................23 1. Einführung..........................................................................................................23 1.1 Auslöser und Treiber...................................................................................24 1.2 IT Governance als Teil des Unternehmens..................................................27 2. IT als integraler Teil des Unternehmens...........................................................32 2.1 Umwelt........................................................................................................32 2.2 Unternehmen...............................................................................................35 2.3 Governance..................................................................................................38 3. IT Governance-Framework...............................................................................44 3.1 IT Governance.............................................................................................45 3.1.1 Prinzipien.......................................................................................45 3.1.2 Domänen........................................................................................49 3.2 IT-Management...........................................................................................55 3.2.1 Entscheidungsfelder.......................................................................55 3.2.2 Steuerung.......................................................................................57 3.3 IT-Produktion..............................................................................................58 3.3.1 Projekte..........................................................................................58 3.3.2 Regelbetrieb...................................................................................59 II. Standards, Rahmenwerke und Best Practices........................................................61 1. Standards und Normen......................................................................................63 1.1 IT-Sicherheit................................................................................................63 1.2 IT-Service Management..............................................................................66 2. Regulatorische und gesetzliche Anforderungen...............................................67 2.1 Sarbanes-Oxley Act.....................................................................................67 8 Inhaltsverzeichnis 2.2 Transparente Leistungserbringung und deren Nachweis.............................68 3. Rahmenwerke für interne Kontrollsysteme......................................................73 3.1 COSO...........................................................................................................74 3.2 CObIT..........................................................................................................77 4. Optimierung der IT-Prozesse.............................................................................83 4.1 IT-Service Management...............................................................................85 4.2 IT Infrastructure Library..............................................................................87 5. Reifegradmodelle.................................................................................................96 6. Fazit......................................................................................................................99 III. IT Governance in der Praxis.................................................................................101 1. ISACA und ITGI...............................................................................................102 2. Umfragen und Studien von ITGI / ISACA und PwC.....................................104 2.1 Ziele der Studien........................................................................................104 2.2 Auswahl der Teilnehmer............................................................................105 3. Ergebnisse der Umfragen.................................................................................107 3.1 Reifegrad....................................................................................................107 3.2 Status der Implementierung nach Domänen..............................................109 3.3 Wahrnehmung............................................................................................111 3.4 Wahrgenommener Nutzen von IT Governance.........................................113 3.5 Verbreitung von IT Governance................................................................114 3.6 Verbindung zwischen IT Governance und Corporate Governance...........116 3.7 Verbreitung von Frameworks.....................................................................117 3.8 Übernahme der Verantwortung für IT Governance...................................119 3.9 Kommunikation als Erfolgsrezept.............................................................120 3.10 Fazit............................................................................................................121 IV. Ausgestaltung des IT Governance-Frameworks..................................................123 1. Einleitung...........................................................................................................123 2. Ausprägung der IT Governance-Prinzipien...................................................125 2.1 Methodischer Ansatz..................................................................................126 2.2 Stellenwert der IT im Unternehmen..........................................................129 2.3 Die organisatorische Grundordnung..........................................................131 2.3.1 Klassifizierungsschema................................................................131 2.3.2 Entscheidungsrechte.....................................................................134 2.3.3 Organisation..................................................................................142 2.3.4 Verantwortlichkeiten.....................................................................153 3. IT Governance-Domänen und Entscheidungsfelder......................................160 4. Entscheidungsfelder des IT-Managements.....................................................164 4.1 Positionierung der Entscheidungsfelder....................................................166 4.1.1 Umfang und Vorgehensweise.......................................................166 4.1.2 Positionierung am Beispiel von Anwendungen............................169 4.2 IT-Business Management...........................................................................171 Inhaltsverzeichnis 9 4.2.1 IT-Strategie...................................................................................174 4.2.2 Informationen...............................................................................175 4.2.3 Anwendungen..............................................................................176 4.2.4 IT-Organisation............................................................................178 4.2.5 Infrastruktur und Technologie......................................................178 4.2.6 Sourcing.......................................................................................179 4.2.7 Sicherheit.....................................................................................180 4.2.8 IT-Service Management und Support..........................................184 4.3 Investition und Priorisierung.....................................................................186 4.3.1 Business Alignment.....................................................................190 4.3.2 Business Case...............................................................................191 4.3.3 Priorisierung.................................................................................192 4.3.4 Projektportfolio............................................................................193 5. Steuerung...........................................................................................................196 5.1 Überblick...................................................................................................196 5.2 Rahmenwerk für Ziel- und Messgrößen...................................................199 5.2.1 Operationalisierung von Zielen...................................................199 5.2.2 Definition von Steuerungsgrößen................................................200 5.3 Messverfahren...........................................................................................203 5.3.1 Standortbestimmungen................................................................205 5.3.2 Interne Messung...........................................................................207 5.3.3 Externe Überprüfungen................................................................210 5.4 Verbesserung.............................................................................................216 5.5 Fazit...........................................................................................................217 V. IT-Produktion...........................................................................................................221 1. Projekte..............................................................................................................221 1.1 Organisation von Projekten.......................................................................222 1.2 Nachhalten des geplanten Nutzens............................................................224 2. Regelbetrieb.......................................................................................................226 2.1 Rahmenbedingungen.................................................................................227 2.2 Design von Prozessen und Kontrollen......................................................229 2.3 Modellierung eines Prozess & Kontroll-Rahmenwerkes..........................233 2.4 Präzisierung anhand des Change Management-Prozesses........................236 2.4.1 Ziel und Umfang des Prozesses...................................................236 2.4.2 Kontroll- und Prozessziele...........................................................237 2.4.3 Rollenkonzept..............................................................................239 2.4.4 Prozessaktivitäten........................................................................239 2.4.5 Metriken.......................................................................................241 2.4.6 Integration der ausgewählten Standards und Best Practices........242 2.5 Fazit...........................................................................................................249 3. Softwareunterstützung für die Steuerung der IT..........................................251 3.1 Einleitung..................................................................................................251 10 Inhaltsverzeichnis 3.2 Typisierung der Software zur Steuerung der IT.........................................252 3.3 Verknüpfung von Compliance und Performance.......................................257 VI. Praxisbeispiele........................................................................................................261 1. IT Governance bei einem IT-Service-Provider im Konzernverbund...........261 1.1 Kurzdarstellung des IT-Service-Providers.................................................261 1.2 Projektziele................................................................................................263 1.3 Projektorganisation....................................................................................263 1.4 Projektvorgehen.........................................................................................264 1.5 Projektdurchführung..................................................................................266 1.6 Außenwirkung............................................................................................268 1.7 Ausblick.....................................................................................................269 1.8 Projekterfahrungen.....................................................................................269 1.9 Fazit............................................................................................................271 2. Aufbau einer zentralen Betriebsorganisation.................................................273 2.1 Prozesse und Strukturen.............................................................................273 2.2 Digitalisierung des Service-Katalogs.........................................................277 3. IT Governance @ PwC.....................................................................................281 3.1 Grundlegende Entscheidungen zur IT bei PwC.........................................282 3.2 Aufbauorganisation der IT-Abteilung von PwC........................................282 3.3 IT Governance Arrangements Matrix........................................................283 3.4 Die IT Governance für den Regelbetrieb...................................................285 3.5 Die IT Governance für Projekte.................................................................286 3.6 Fazit............................................................................................................288 Fazit & Ausblick............................................................................................................289 Literaturverzeichnis.....................................................................................................293 Stichwortverzeichnis.....................................................................................................297 Die Autoren....................................................................................................................299

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.