IT Governance – was für wen?!

Ordnungsmerkmale

erschienen in: <kes> 2005^#2, Seite 50

Zusammenfassung: Dieser Beitrag erörtert IT Governance und ihre Zielgruppen sowie die Verbindung zu bestehenden Regularien und Richtlinien.

In jüngster Vergangenheit hat die IT Governance als Schnittstelle zur Corporate Governance einen bedeutenden Stellenwert erhalten. Ursprünglich entwickelt durch die Information System Audit and Control Association (ISACA), weiterentwickelt durch das IT Governance Institute (ITGI), ist IT Governance, das CoBIT als Framework nutzt, in erster Linie für Management, Geschäftsanwender von IT und Wirtschaftsprüfer gedacht.

IT Governance wird definiert als ein System, durch das IT innerhalb von Unternehmen gelenkt und kontrolliert wird. Die IT-Governance-Struktur spezifiziert die Verteilung von Rechten und Pflichten unter verschiedenen Beteiligten und gibt Regeln und Verfahren für die Entscheidungsfindung vor. IT Governance stellt sowohl Strukturen zur Definition von IT-Zielen als auch Mittel zum Erreichen dieser Ziele und zur Überwachung der Performance bereit.

Zusätzlich kann eine breite Palette anderer Disziplinen, Aufgaben- und Funktionsbereiche einen Nutzen aus den zur Verfügung gestellten Richtlinien ziehen: So können beispielsweise Berater dem Management mit Ratschlägen zu Fragen der Kontrolle zur Seite stehen und Fachleute des IT-Service-Managements können Wissen über Kontrollziele einsetzen, um ihre Prozesse zu verbessern; betrachtet werden in diesem Zusammenhang die Zielgruppen Unternehmensführung, IT-Management, IT-Sicherheitsmanagement, IT-Revision und Wirtschaftsprüfung.

Die Unternehmensführung ist für den Aufbau eines adäquaten Enterprise Risk Management (ERM) verantwortlich. Das verlangen aktuelle Regularien wie der Sarbanes-Oxley Act (SOX 2002), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG 1998), Basel II und Solvency II. Zukünftig dürften die Auswirkungen für die Unternehmensführung bei Nichtbefolgung der Grundsätze deutlich spürbar werden, es drohen sogar mehrjährige Haftstrafen.

Für die Transparenz der IT ist das IT-Management verantwortlich. Zur Schaffung von Transparenz sind Investitionen notwendig, die von der Unternehmensführung aufgrund der genannten Punkte getragen werden müssen. Dem IT-Management stehen dabei Best-Practice-Ansätze zur Verfügung: unter anderem SOX-IT, die Information Technology Infrastructure Library (ITIL) und der British Standard (BS) 15 000.

IT-Risiken sind in erster Linie Themen des IT-Sicherheitsmanagements (Business Continuity Management bzw. Desaster Recovery). IT-Sicherheit spielt eine maßgebliche Rolle im gesamten ERM und bildet eine entscheidende Schnittstelle zwischen Corporate und IT Governance; bedeutsam hierfür sind etwa das BSI-Grundschutzhandbuch und der BS 7799 (bzw. ISO 17 799).

Die IT-Revision kann das CoBIT Framework als Grundlage zur Einführung des IT-Governance-Prozesses nutzen. Dabei kommen unter anderem Tools der Firmen Methodware ( www.methodware.com) und EzCobiT ( www.ezcobit.com) sowie CoBIT online des ITGI ( www.isaca.org) zum Einsatz, die ein Assessment (bzw. Benchmarking) ermöglichen. Hier sind 34 IT-Prozesse und 318 zugehörige Kontrollziele zu betrachten. Sind Kontrollen vorhanden, lassen sich IT Risk Management (IRM) etablieren und IT-Risiken minimieren.

Nicht zuletzt werden zukünftig Wirtschaftsprüfer entsprechende Prüfmaßnahmen einleiten (IDW PS330). Ob ein Negativurteil eine Testatverweigerung für ein gesamtes Unternehmen zur Folge haben wird, bleibt abzuwarten – die Tendenz geht in die Richtung.

Aktuelle Publikation

Seit 2003 beschäftigt sich eine internationale Arbeitsgruppe mit der Erstellung eines berufsverbandübergreifenden IT Governance Frameworks, dessen erste Ergebnisse Ende 2005 zu erwarten sind. Im ersten Schritt wurde in englischer Sprache der "IT Governance – a pocket guide based on CoBIT" erarbeitet. Im Januar 2005 ist bei Van Haren Publishing ( www.vanharen.net) die deutsche Übersetzung als Taschenbuch "IT Governance – basierend auf CoBIT" erschienen. Die Übersetzung wurde gemeinsam mit einem Review-Team aus Deutschland und der Schweiz ermöglicht und kann über den Verfasser des vorliegenden Artikels bezogen werden; eine Leseprobe ist unter  www.serima.ch/ITGov_sample verfügbar. (Jörn Kettler)

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005^#2, Seite 50