ITM: IT-Governance

COSO             --> Referenzmodell -->  Corporate Governance

COBIT            --> Referenzmodell -->  IT-Governance

Val IT             -->  Referenzmodell -->  IT-Governance (Teil von CobiT)

BSC                 -->  Referenzmodell -->  Strategie

ITIL                -->  Referenzmodell -->  Servicemanagement

EFQM             -->  Referenzmodell -->  Qualitätsmanagement

CMM/CMMI -->  Referenzmodell -->  Maturity Assessment

IT Grundschutz -->  Referenzmodell -->  Sicherheitsmanagement

ISO/ISEC 20‘0000 -->  Internationaler ISO-Standard -->  Servicemanagement

ISO/9000,9001 -->  Internationaler ISO-Standard -->  Qualitätsmanagement

CobiT = Control Objectives for Information and Related

Grundprinzip: IT-Ressourcen werden durch IT-Prozesse gemanagt, um IT-Ziele zu erreichen, die auf  Unternehmenserfordernisse ausgerichtet sind.

• Konzentration aufs Wesentliche!

• Best Practice-Ansatz (allerdings noch nicht so viele Best Practice Beispiele vorhanden)

• Fokus eindeutig auf klar dokumentierten Kontrollziele und Kenngrössen, weniger auf Prozessbeschreibungen (sehr stark auf KPI's)

• Flexibles Modell: Befolgung der Control Objectives vorrangig - einheitliche Implementierung der Prozesse ist kein Muss!

• CobiT-Maturity Assessment erlaubt Standortbestimmung im Unternehmen

• Kontrollansatz nicht intuitiv verständlich

1. Projektinitiierung  (Erwartungen abstimmen und Mitwirkung vereinbaren  / Projektleiter vom Business führt zur Akzeptanz seitens Business / sehr politisches Vorhaben )
2. Auftrag des Unternehmens an die IT (Was ist der Nutzen? Was bringt die IT-Governance? Identifizirung  Reibungsverlsute BU - IT)
3. IT Strategie und Business Alignment (IT-Strategie ist keine Voraussetzung. Mit der IT-Gov. Wird der Prozess beschrieben zum eine IT-Strategie zu entwickeln)
4. Orangisatorische Einbindung (richtige Zusammenspiel BU’s und IT-Organ. Erfordert klare Verantwortlichkeiten)
5. IT Entscheidungen (IT-Governance unterstützt als Entschiedungssystem. Entscheidungsbefugnis unter C-Lvl sollte gegeben werden(Gremien))
6. Implementierung (IT-Governance möglichst schlank und pragmatisch halten / Kooperationsgrundsätze)
    

1. Welche konkreten Ziele werden verfolgt & Nutzen?
2. Welche Defizite existieren aktuell in der IT-Steuerung?
3. Wer übernimmt die Verantwortung für das Projekt, wer arbeitet mit? (Business PL führ zu Akzeptanz bei Busi-ness)
    

1. Wie lautet der aktuelle Auftrag des Unternehmesn an die IT?
2. Wie gut sind die Ziele des Unternehmens aund die Zeile der IT aneinander ausgerichtet und wie sind die Unter-nehmensziele im Auftrag der IT verankert?
3. Welche Rolle spielt die IT als Business enabler und bei Innovationen?
    

1. Wie werden Anforderungen der Fachbereicht in der IT bearbeitet?
2. Wie wird die IT-Strategie mit der Unternehmenszielen und den Anforderungen der Fachbereiche verzahnt?
3. Wie werden Innovationsimpulse der IT in den Fachbereichen aufgenommen und verarbeitet?
4. Wie wird der Wertbeitrag der IT in den Prozessen optimiert?
    

1. Wie wurden Rollen und Verantwortl. In der IT definiert und dokumentiert?
2. Welche Trennung besteht zwischen Steuerungs- und operativen Aufgaben in der IT?
3. In welcher Form berichtet die IT an Vorstand/GF über das operative Geschäft, Projekte sowie Technolog-Innovationen?
4. Welche Gremien existieren zur Einbeziehung der Fach-/Geschäftsbereiche in der IT-Steuerung?
    

1. Auf welcher Grundlage werden strategische IT Entscheidungen getroffen?
2. Welche Stakeholder sind in diese Entscheidungsprozesse involviert?
3. Wie werden Zielkonflikte der Geschäftseinheiten in Bezug auf die IT und deren Ressourcen geregelt?
    

1. Welche Elemente einer IT-Governance bestehen bereits und können integriert werden?
2. Wie kann die IT-Governance pragmatische gehalten werden?
3. Wie kann der angestrebte Nutzen der IT-Governance transparent gemacht werden?
4. Wer trägt für die Einführung und die Anwendung der IT Governance die Verantwortung?
    

• Mitverantwortung der Fachbereich für die Steuerung der Unternehmens IT (stärkere Verzahung (Business/IT-Alignment)
• Stärkere Ausrichtung der IT auf Geschäftsprozesse und Anforderungen der Fachbereiche
• Abgestimmte Mittelverwendung
• Gemeinsam getragene IT-Entscheidungen
• Gemeinsame Priorisierung bei Budgetbeschränkungen Kapazitätsengpässen
• Verbesserung der Beziehung zwischen Fachbereich und IT
• Transparenz für die Unternehmensleitung hinsichtlich der strategischen Ausrichtung der IT
• Stärkung der Innovationskraft und des IT-Beitrages zur Geschäftsentwicklung
   

1. Einrichtung eines IT-Governance Frameworks (CobiT)

2. Abgleichen der IT Strategie mit den Unternehmenszielen

3. Risiko und Compliance-Verständnis

4. Definition von Zielbereichen (BSC / KPI’s)

5. Analyse der aktuellen Ressourcen; Identifikation von Lücken

6. Entwicklung von Verbesserungsstrategien

7. Messen von Resultaten (Einführung einer Balanced Scorecard zur Messung der aktuellen Performance)

8. Regelmässiges Wiederholen der Schritte 2-7

• Strategic-Alignment: Sicherstellung des Verbunds von Unternehmens- und IT Zielen
• Value Delivery: Realisierung des Werbeitrags im Leistungszyklus
• Risk Management: Schaffung von Transparenz bzgl. der Risikobereitschaft
• Resource Management: Optimierung von Investionen in IT Ressourcen
• Performance Measurement: Verfolgung und Überwachung der Leistungserbringung

IT Goevernance liegt in der Verantwortung des Vorstands und des Management und ist ein wesentlicher Bestandteil der Unternehmensfürhung

IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und –ziele unterstützt.

Corporate Governance

• Ist ein Teil der Unternehmensführung, Leitbild des Unternehmens, Löhne des Top-Management, Ist oft öffentlich

IT-Governance

• Regelwerk auf sehr hohem Level, Beschreibt Verfahren und die Gelten als Regelwerk, Es ist nicht die IT-Strategie, sondern die Regeln die sicherstellen, dass die IT-Strategie das Business unterstützt, Führungsprinzipen

• Strategic-Alignment: Sicherstellung des Verbunds von Unternehmens- und IT Zielen
• Value Delivery: Realisierung des Wertbeitrags im Leistungszyklus
• Risk Management: Schaffung von Transparenz bzgl. der Risikobereitschaft
• Resource Management: Optimierung von Investitionen in IT Ressourcen
• Performance Measurement: Verfolgung und Überwachung der Leistungserbringung

• Klare Positionierung der IT im Gesamtspektrum der Leitungskompenten und Ressourcen durch das Unternehmen
• Fokussierung auf hochpriorisierte Themen
• IT-Entscheidungen und Priorisierungen basieren auf abgestimmten Prozeduren und führen zu optimalen Ausrichtung der IT
• Weniger Fehlinvestitionen durch gemeinsam getroffene und dadurch abgesicherte Invest-Entscheidungen
• Bessere Kommunikation und mehr gegenseitiges Verständnis zwischen IT und Fachbereichen und dadurch kürzere Durchlaufzeiten von IT-Entscheid.
• Risikominimierung durch Prüfung von Entscheidungen in Gremien mit unterschiedlichen Perspektiven

Bei Unternehmen mit IT-Governance steht die strategische Ausrichtung und Steuerung der IT sowie das Business Alignment im Vordergrund, bei denen ohne, eher operative Themenstellungen

Prioritätenkonflikte mit anderen Projekten sowie die unzureichende Kenntnisse über Nutzenpotenziale stehen der Einführung einer IT-Governance entgegen. Je Unternehmensgrösse steht auch die fehlende interne Ressourcen und das fehlende Budget ein Hemmnis dar.

Unternehmen mit IT-Governance sehen die Verantwortung eher bei der IT und nicht bei der Unternehmensleitung. Die Unternehmensleitung sollte für die IT-Governance zuständig sein. Wenn die IT-Governance nicht wichtig für die GL ist, ist ein Projekt zur Einführung nicht Sinnvoll.

ITIL eignet sich für das Operative IT-Management und CobiT für das strategische IT-Management (Einsatz dieser Methoden, eher bei Unternehmen mit IT-Governance). Weitere Instrumtente: Scorecards / TCO, eher selten Six Sigma / CMMI

Einhaltung von anwendbaren Normen durch Unternehmen.

Aus ENRON "Skandal" entstanden--> Abschlüsse wurden manipuliert

SOX (Standard) ist Relevant für Unternehmen an der NY-Börse

GRC-System (Governance Risk Compliance) gleich wie IT-Governance zu verstehen

GRC steht für eine ganzheitliche Steuerung und Kontrolle der unternehmensinternen Prozesse und Risiken.Verwaltung der strategischen Richtlinien und Regeln, nach denen ein Unternehmen handelt. Erkennung und Bewertung der Risiken und deren potenziellen Auswirkung. Compliance umfasst taktische Massnahmen zur Minimierung von Risiken.

• IT Prinzipien  --> Abklärung der Rolle der IT im Unternehmen
• IT-Architektur --> Definition der Anforderungen für Integration und Standarisierung
• IT-Infrastruktur  --> Festlegung der gemeinsamen und freigegebenen Services
• Geschäftsapplikationsbedarf --> Spezifizierung. der Unternehmensanforderungen für gekaufte und intern entwickelte IT-Applikationen
• IT-Investitionen und Priorisierung --> Auswahl der IT-Projekte und deren Ressourcenbedarf

• Business-Monarchie --> oberstes Mangement ist bemächtigt und nimmt IT-Entscheidungen zentral vor
• IT-Monarchie --> IT-Spezialisten/experten entscheiden
• Feudalsystem --> Jede Geschäftseinheit trifft unabhängig Entscheidungen (Gut bei dezentralem IT-Umfeld)
• Föderalistisches System --> Kombination der Geschäftseinheiten zusammen mit der Unternehmenszentrale entscheiden mit oder ohne Unterstützung der IT
• IT-Duopol --> Entscheidungen werden gemeinsam durch Vertreter von IT- und Business-Kader getroffen
• Anarchie --> Entscheidungen individuell oder durch kleine Gruppen
•  

Mapping von Governace typen zu Decsion Domains, als Teil vom Governace Modell