Petra Maria Asprion, Gerhard Knolmayer
Dieser Beitrag gibt einen Überblick über das Begriffsverständnis, berücksichtigt insbesondere den Zusammenhang mit “Corporate Governance” sowie die Abgrenzung zum “IT-Management”. Zudem wird auf Standards und Werkzeuge zur Umsetzung und Sicherstellung der IT-Governance hingewiesen.
Corporate Government
Corporate Governance wird häufig normativ im Sinne der Principal-Agent-Theorie verstanden, die sich mit Problemen der Delegation von Aufgaben, Kompetenzen und Verantwortlichkeiten und Methoden zu deren Lösung beschäftigt. Gesetzgeber und Aufsichtsbehörden haben Regelungen verabschiedet, welche vor allem Offenlegungs- und Rechenschaftspflichten gegenüber Aktionären und anderen Stakeholdern festlegen und entsprechende Nachweise verlangen. Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) formulierte (erstmals 1999) Vorschläge und Orientierungshilfen zur Erstellung von entsprechenden Richtlinien für Gesetzes- und Regulierungsinitativen sowie für Unternehmen; die aktuelle Version der „OECD Principles of Corporate Governance“ wurde im Jahr 2015 lanciert und gilt als internationaler Maßstab (vgl. OECD, 2015).
IT-Governance
Außengerichtete Sichtweise der IT-Governance
Die Führung und Organisation der Informatik-Abteilungen und ihre Aufgaben, Kompetenzen und Verantwortlichkeiten werden unter dem Begriff “IT- Governance” (ITG) zusammengefasst. ITG kann aus zwei Perspektiven betrachtet werden [Knolmayer, Loosli 2006]: Eine außengerichtete Sichtweise leitet den Begriff aus dem Konzept der Corporate Governance ab und sieht ITG primär als Instrument zur Unterstützung der sich daraus ergebenden Anforderungen. Bei dieser Sichtweise legt ITG Rahmenbedingungen für das IT-Management fest. Conformance, nicht Performance steht im Mittelpunkt der ITG [vgl. Weill, Ross 2004, S. 8; ISO, 2015]. In COBIT 5, einem vielbeachteten „Rahmenwerk für Governance und Management der Unternehmens-IT“ [ISACA, 2012] manifestiert sich die außengerichtete Sichtweise in einer expliziten Domäne, welche fünf ITG-Prozesse beinhaltet. Der im Jahr 2008 erstmalig veröffentlichte Standard ISO/IEC 38500, aktuell in der zweiten Version erhältlich [ISO, 2015], empfiehlt ein „Model for Corporate Governance of IT“; in diesem wird ITG als Zyklus, bestehend aus „Evaluate“, „Direct“ und „Monitor“ dargestellt, der von externen oder internen Anforderungen sowie aktuellen und künftigen Zielen eines Unternehmens beeinflusst wird.
Innengerichtete Sichtweise der IT-Governance
Die innenbezogene Sichtweise der ITG beschäftigt sich mit der möglichst wirtschaftlichen Gestaltung von IT-Systemen und den damit verbundenen organisatorischen Strukturen und Prozessen. Dabei stehen (unter Berücksichtigung der aus der Corporate Governance folgenden Anforderungen) die Entscheidungs-, Gestaltungs- und Umsetzungsprozesse im IT-Bereich im Vordergrund, die auch unter den Begriff IT-Management [Van Grembergen 2004; Weill, Ross 2004, S. 11 ff.] subsumiert werden können. Performance, nicht Conformance steht im Vordergrund dieser Sichtweise [Bhimani, Soonawalla 2005; Van Grembergen, De Haes 2005; ISO, 2015].
In COBIT 5 schlägt sich neben der außengerichteten auch die innengerichtete Sichtweise nieder, wobei 32 in vier Domänen zusammengefasste Prozesse berücksichtigt werden. Diese Systematik soll eine konsistente Abdeckung aller IT-bezogenen Aufgaben- und Problemstellungen sicherstellen [ISACA, 2012]. Gemäß der Information Systems Audit and Control Association (ISACA) ist ITG “… the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives” [ITGI 2003]. Seit 2012 wird von der ISACA statt ITG die Bezeichnung “Governance and Management of Enterprise IT” verwendet [ISACA 2012].
IT Governance Frameworks
Zur Umsetzung der ITG können Unternehmen Rahmenwerke (Referenzmodelle) verwenden, die sich allerdings inhaltlich teilweise überschneiden bzw. unterscheiden [vgl. etwa ITGI 2008; Johannsen, Goeken 2011]; besonders relevante Rahmenwerke zur Etablierung und Sicherstellung einer ITG in Unternehmen sind
-
das vom Committee of Sponsoring Organizations of the Treadway Commission 1992 entwickelte und 2013 aktualisierte COSO-Framework, welches eine Systematik zur Etablierung eines internen Kontrollsystems entwickelt. Es kann als übergeordnetes Referenzmodell, vorwiegend zur Kontrolle der finanzrelevanten Prozesse eines Unternehmens angesehen werden. Die Systematiken und grundlegenden Kontrollanforderungen sollten für IT-relevante Prozesse und Aktivitäten unter Zuhilfenahme der folgenden ITG-Frameworks berücksichtigt werden.
-
das von der ISACA erstmals 1995 veröffentlichte COBIT (Control Objectives for Information and related Technology)-Rahmenwerk, welches in der aktuellen Version 5 wesentliche Elemente von vorhandenen Referenzmodellen integriert (z.B. ITIL, PRINCE2, TOGAF) und sich somit als übergeordnetes Rahmenwerk für „Governance und Management der Unternehmens-IT“ präsentiert. Das Rahmenwerk basiert unter anderem auf fünf „Key Principles“ sowie fünf Governance- und 32 IT-Management-Prozessen, welche in einem Prozessreferenzmodell zusammengefasst sind (ISACA 2012; Gaulke 2014],
-
die von der britischen CCTA seit 1989 entwickelte Information Technology Infrastructure Library (ITIL), die einen Schwerpunkt auf das Service Management legt und vor allem in Europa für diesen Bereich zu einem Quasi-Standard geworden ist,
-
die auf ITIL aufbauende und diese ergänzende ISO/IEC 20000, welche als messbarer Qualitätsstandard für IT Service Management (ITSM) dient, sowie eine (auf drei Jahre befristete) Zertifizierung von Organisationseinheiten ermöglicht
-
die ISO/IEC 27001, die aus dem britischen Standard BS 7799-2:2002 entwickelt wurde und seit 2005 zur 2700x Normenfamilie gehört, welche Anforderungen für Entwicklung, Einführung, Betrieb, Wartung, Verbesserung und Kontrolle eines Informationssicherheitsmanagementsystems unter Berücksichtigung entsprechender Risiken spezifiziert, sowie eine (auf drei Jahre befristete) Zertifizierung von Organisationseinheiten ermöglicht,
-
die ISO/IEC 27002, die aus der ISO/IEC 17799 entwickelt wurde und seit 2007 zur 2700x Normenfamilie gehört, welche Kontrollmechanismen, Methoden und Verfahren umfassen, die zur Gewährleistung der IT-Sicherheit beitragen,
-
die ISO/IEC 38500, die 2008 erstmalig aufgelegt wurde und seit 2015 in einer aktualisierten Version erhältlich ist. Der Standard steht für “Information technology – Governance of IT for the organization” und betont, dass die IT essentieller Bestandteil der Geschäftsprozesse und damit eines Unternehmens ist und dass die die Verantwortung für die IT aufseiten der Unternehmensführung liegt.
Literatur
Bhimani, Alnoor; Soonawalla, Kazbi: From conformance to performance: the corporate responsibilities continuum. In: Journal of Accounting and Public Policy, 24 (2005), Nr. 3, S.165 – 174.
Gaulke, Markus: Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. 2. Auflage. Heidelberg: dpunkt-Verlag, 2014.
ISACA: COBIT 5 – A Business Framework for the Governance and Management of Enterprise IT, 2012. http://www.isaca.org/COBIT/Pages/Product-Family.aspx (Abruf 2017-10-31).
ISO: ISO/IEC 38500:2015 – Information technology – Governance of IT for the organization, 2015. https://www.iso.org/standard/62816.html (Abruf 2017-10-31).
ITGI: Board Briefing on IT Governance, 2nd ed. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Board-Briefing-on-IT-Governance-2nd-Edition.aspx (Abruf 2017-10-31).
Johannsen, Wolfgang; Goeken, Matthias: Referenzmodelle für IT-Governance: Methodische Unterstützung der Unternehmens-IT mit COBIT, ITIL & Co. 2. Auflage. Heidelberg: dpunkt-Verlag, 2011.
Knolmayer, Gerhard F.; Loosli, Gabriela: IT Governance. In: Zaugg, Robert J. (Hrsg.): Handbuch Kompetenzmanagement. Bern et al.: Haupt Verlag, 2006, S. 449 – 457.
OECD: OECD Principles of Corporate Governance, 2015. http://www.oecd-ilibrary.org/governance/g20-oecd-principles-of-corporate-governance-2015_9789264236882-en (Abruf 2017-10-31).
Shleifer, Andrei; Vishny, Robert W.: A Survey of Corporate Governance. In: The Journal of Finance 52 (1997), Nr. 2, S. 737 – 783.
Van Grembergen, Wim: Strategies for Information Technology Governance, Hershey: IGI Global, 2004.
Van Grembergen, Wim; De Haes, Steven: IT Governance Structures, Processes and Relational Mechanisms: Achieving IT/Business Alignment in a Major Belgian Financial Group. In: Proceedings of the 38th Annual Hawaii International Conference, (2005), S. 1 – 10.
Weill, Peter; Ross, Jeanne W.: IT Governance. How Top Performers Manage IT Decision Rights for Superior Results. Boston: Harvard Business School Press, 2004.