IT-Governance

Corporate Governance

Corporate Governance wird häufig normativ im Sinne der Principal-Agent-Theorie verstanden, die sich mit Problemen der Delegation von Aufgaben, Kompetenzen und Verantwortlichkeiten und Methoden zu deren Lösung beschäftigt. Gesetzgeber und Aufsichtsbehörden haben Regelungen verabschiedet, welche vor allem Offenlegungs- und Rechenschaftspflichten gegenüber Aktionären und anderen Stakeholdern festlegen und entsprechende Nachweise verlangen.

IT Governance

Außengerichtete Sichtweise der IT Governance

Die Führung und Organisation der Informatik und ihre Aufgaben, Kompetenzen und Verantwortlichkeiten werden unter dem Begriff "IT Governance" (ITG) zusammengefasst. ITG kann aus zwei Perspektiven betrachtet werden [Knolmayer, Loosli 2006]: Eine außengerichtete Sichtweise leitet den Begriff aus dem Konzept der Corporate Governance ab und sieht ITG primär als Instrument zur Unterstützung der sich daraus ergebenden Anforderungen. Bei dieser Sichtweise legt ITG Rahmenbedingungen für das IT-Management fest. Conformance, nicht Performance steht im Mittelpunkt der ITG [vgl. Shleifer, Vishny 1997, S. 737, Weill, Ross 2004, S. 8].

Innengerichtete Sichtweise der IT Governance

Eine innenbezogene Sichtweise der ITG beschäftigt sich mit der möglichst wirtschaftlichen Gestaltung von IT-Systemen und den damit verbundenen organisatorischen Strukturen und Prozessen. Dabei stehen (unter Berücksichtigung der aus der Corporate Governance folgenden Anforderungen) die Entscheidungs-, Gestaltungs- und Umsetzungsprozesse im IT-Bereich im Vordergrund, die auch unter den Begriff IT-Management [Weill, Ross 2004, S. 11 ff.] subsumiert werden können. Performance, nicht Conformance steht im Vordergrund dieser Sichtweise.

Gemäß der Information Systems Audit and Control Association (ISACA) und des (von der ISACA 1998 gegründeten) IT Governance Institute (ITGI) ist ITG "… the responsibility of executives and the board of directors, and consists of the leadership, organisational structures and processes that ensure that the enterprise’s IT sustains and extends the organisation’s strategies and objectives" [ISACA 2007; vgl. auch ITGI 2003].

IT Governance Frameworks

Zur Umsetzung der ITG können Unternehmen Frameworks (Referenzmodelle) verwenden, die sich allerdings inhaltlich teilweise überschneiden bzw. unterscheiden [vgl. etwa Johannsen, Goeken 2007, ITGI 2008]; besonders relevante ITG-Frameworks sind

• das vom Committee of Sponsoring Organizations of the Treadway Commission seit 1992 entwickelte COSO-Framework, das sich insbesondere mit internen Kontrollen beschäftigt. Es kann als übergeordnetes Referenzmodell, vorwiegend für die finanzrelevanten Prozesse eines Unternehmens betrachtet werden. Die Systematiken und grundlegenden Kontrollanforderungen müssen, zum Beispiel unter Zuhilfenahme der folgenden ITG-Frameworks für die Prozesse und Aktivitäten berücksichtigt werden,
• das von der ISACA erstmals 1995 veröffentlichte COBIT (Control Objectives for Information and related Technology)- Framework, welches IT-Systeme und -Prozesse detaillierter als COSO betrachtet und 34 Prozesse in den vier Domänen Planung und Organisation, Beschaffung und Einführung, Auslieferung und Unterstützung sowie Überwachung unterscheidet,
• die von der britischen CCTA seit 1989 entwickelte Information Technology Infrastructure Library (ITIL), die einen Schwerpunkt auf das Service Management legt und vor allem in Europa für diesen Bereich zu einem Quasi-Standard geworden ist,
• die auf ITIL aufbauende und diese ergänzende ISO/IEC 20000, welche als Qualitätsstandard für IT Service Management dient,
• die ISO/IEC 27002, die aus der ISO/IEC 17799 entwickelt wurde und seit 2007 zur 2700x Normenfamilie gehört, welche Kontrollmechanismen, Methoden und Verfahren umfassen, die sich zur Gewährleistung der IT-Sicherheit bewährt haben,
• die ISO/IEC 38500, die seit 2008 vorliegt und auf der australischen Norm AS8015:2005 basiert. Die Norm definiert den Begriff der „IT Governance“ und verdeutlicht, dass die IT essentieller Bestandteil der Geschäftsprozesse und damit eines Unternehmen ist und dass die Verantwortung für die IT auf seiten der Unternehmensführung liegt.

Literatur

ISACA: COBIT 4.1 Excerpt. Executive Summary Framework.
http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT4.pdf (Abruf 2011-08-24).

ITGI: Board Briefing on IT Governance. 2nd ed.
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Board-Briefing-on-IT-Governance-2nd-Edition.aspx (Abruf 2011-08-24).

ITGI: COBIT Mapping. Mapping of ITIL V3 With COBIT 4.1. Rolling Meadows: ISACA & ITGI, 2008. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/COBIT-Mapping-Mapping-of-ITIL-V3-With-COBIT-4-11.aspx (Abruf 2011-08-24).

Johannsen, Wolfgang; Goeken, Matthias: Referenzmodelle für IT-Governance: Methodische Unterstützung der Unternehmens-IT mit COBIT, ITIL & Co. 2. Auflage. Heidelberg: Dpunkt-Verlag, 2011.

Knolmayer, Gerhard F.; Loosli, Gabriela: IT Governance. In: Zaugg, Robert J. (Hrsg.): Handbuch Kompetenzmanagement. Durch Kompetenz nachhaltig Werte schaffen. Bern et al.: Haupt Verlag, 2006, S. 449 - 457.

Shleifer, Andrei; Vishny, Robert W.: A Survey of Corporate Governance. In: The Journal of Finance 52(1997), Nr. 2, S. 737 - 783.

Weill, Peter; Ross, Jeanne W.: IT Governance. How Top Performers Manage IT Decision Rights for Superior Results. Boston: Harvard Business School Press, 2004.