Was ist IT Governance? IT als Stütze der Unternehmensziele

Jetzt Artikel teilen:

Die IT Governance bildet einen regulatorischen Rahmen, der die Informationstechnik (IT) mit der Unternehmensstrategie verzahnt. Damit soll sichergestellt werden, dass die IT strategisch und planvoll eingesetzt wird und so die Unternehmensziele optimal und nachhaltig unterstützt. Das wesentliche Ziel der IT Governance ist es, IT-Risiken zu minimieren und dazu beizutragen, den Unternehmenswert zu steigern. Als Teil der Corporate Governance liegt die Verantwortlichkeit hierfür beim Management eines Unternehmens.

Whitepaper Multi-Cloud

Governance in der Multi-Cloud

Wenn mehrere Clouds in die Unternehmens-IT eingebunden werden, ist IT-Governance von großer Bedeutung. Was es noch beim Thema Multi-Cloud zu beachten gilt, erfahren Sie im kostenfreien Whitepaper.

Jetzt anschauen

Prozesse und Zuständigkeiten definieren

Grundsätzlich geht es bei IT Governance um das gegenseitige Verstehen: Einerseits die IT aus der Perspektive der Unternehmensprozesse. Andererseits die Bedeutung der IT für die Erreichung der Unternehmensziele. Dabei gilt es zunächst, ganz allgemeine Fragen zu beantworten. Beispielsweise: Passt die IT sinnvoll und optimal zur aktuellen Unternehmensstrategie? Sollte die IT inhouse betrieben oder ganz oder in Teilen ausgelagert werden? Werden Datenschutzbestimmungen durchgängig eingehalten? Wie kann die IT Unternehmensprozesse optimieren?

Im Anschluss definiert man Prozesse, die die Umsetzung der IT Governance innerhalb des Unternehmens regeln. Sie umfassen im Rahmen des Risikomanagements auch konkrete Maßnahmen zur Risikominimierung. Diese sollen sicherstellen, dass die IT beispielsweise durch Unterbrechungen oder Ausfälle nicht die Unternehmensprozesse nachhaltig beeinträchtigt. Die Umsetzung der IT-Governance-Prozesse ist dann meist die Aufgabe des IT-Managements im Unternehmen.

Darstellung Bereiche der IT Governance

Kernbereiche der IT Governance. Quelle: Jaxenter

Zusammenarbeit mit externen Partnern einbeziehen

Heute laufen IT-Systeme zunehmend in der Cloud. Das heißt, sie sind nicht mehr komplett unter der physischen Kontrolle des einzelnen Unternehmens. Das hat in den letzten Jahren wesentlich dazu beigetragen, die strategischen Unternehmensziele vieler Firmen zu optimieren. Denn sie konnten durch die Auslagerung der internen IT in die Cloud ihre Kosten nachhaltig senken und ihre Effizienz deutlich steigern.

Durch die Zusammenarbeit mit externen Managed-Cloud-Providern wie plusserver können Unternehmen sich heute zunehmend auf ihre Kernkompetenzen fokussieren. Das hilft ihnen dabei, agiler und wettbewerbsfähiger zu sein. Doch es bedeutet nicht, dass die IT Governance keine Rolle mehr spielt. Deshalb ist es von Bedeutung, dass externe Partner hier einbezogen werden und diese unterstützen.

Gesetzliche und regulatorische Vorschriften einhalten

IT-Systeme zählen heute mehr denn je zur kritischen Infrastruktur in Unternehmen. Deshalb gibt es inzwischen eine Reihe von gesetzlichen Vorschriften, welche Unternehmen im Rahmen der IT Governance einhalten müssen. Die Rahmenbedingungen, basierend auf Gesetzen, behördlichen Vorgaben, Verordnungen, Richtlinien und Standards, sind mittlerweile sehr komplex.

Eine Reihe von Regelwerken und Frameworks soll daher bei der Umsetzung und Einhaltung der diversen IT-Governance-Vorgaben unterstützen. Unternehmen und externe Dienstleister können sich entsprechend von unabhängigen Institutionen zertifizieren lassen.

Die wichtigsten IT Governance Frameworks

ISO/IEC 38500:2015

Hierbei handelt es sich um einen internationalen Standard für die Governance der Informationstechnologie. Er wurde gemeinsam von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht.
ISO/IEC 38500: 2015 enthält Leitprinzipien, die einen effektiven, effizienten und akzeptablen Einsatz von Informationstechnologie (IT) in Organisationen fördern soll. Dieser Standard definiert IT-Governance als essentiellen Bestandteil der Geschäftsprozesse in Unternehmen und sieht die Verantwortung hierfür der Unternehmensführung.

COBIT

COBIT gilt als eines der wichtigsten Frameworks für die Umsetzung der IT-Governance. Es wurde von der Information Systems Audit and Control Association (ISACA) erstellt. COBIT umfasst ein Prozessmodell mit generell anwendbaren und international akzeptierten IT-prozessbezogenen Anforderungen. Das Framework definiert dabei nicht vorrangig wie diese Anforderungen umzusetzen sind, sondern vielmehr was umzusetzen ist.

Die jeweiligen Prozesspraktiken sind in COBIT nach einem Modell strukturiert, das alle IT-Funktionen umfasst. Insgesamt werden 40 Governance- und Managementziele unterschieden. Sie lassen sich alle den fünf grundlegenden Prinzipien für das Management und die Governance der IT im Unternehmen zuordnen.

Diese fünf Grundprinzipien sind:

  • die Erfüllung der Anforderungen der einzelnen Anspruchsgruppen
  • die Abdeckung des gesamten Unternehmensbereichs
  • die Anwendung eines einheitlichen und integrierten Rahmenwerks
  • die Umsetzung eines ganzheitlichen Ansatzes
  • die Abgrenzung zwischen Governance und Management

Letztes Jahr wurde mit COBIT 2019 der Nachfolger der bis dahin gültigen Version COBIT 5 eingeführt. Der Schwerpunkt der Weiterentwicklung lag besonders darin, das COBIT 5 Framework vor allem für mittelständische Unternehmen leichter adaptierbar zu machen. Zudem flossen aktuelle Themen wie DevOps und Agilität sowie Cloud in die Weiterentwicklung mit ein.

ISO /IEC 20000

Dieser Standard beschäftigt sich mit der Umsetzung des IT-Service-Management. Der Standard dient sozusagen als messbares Qualitätskriterium für das IT-Service-Management. ISO/IEC 20000 spezifiziert dazu die notwendigen Mindestanforderungen an Prozesse, die eine Organisation umsetzen muss. Erst dann kann die Organisation IT-Services in definierter Qualität bereitstellen und managen. Das Regelwerk dahinter besteht aus mehreren Teilen, die beiden wichtigsten sind:

  • ISO/IEC 20000-1 zur Definition der Anforderungen, die ein (IT-)Service-Managementsystem erfüllen muss, um zertifiziert werden zu können.
  • ISO/IEC 20000-2 für Best Practices, die den Unternehmen bei der Umsetzung helfen.

ITIL

ITIL managt IT-Services über den gesamten Lebenszyklus hinweg. Das Framework bietet eine Sammlung vordefinierter Prozesse, Funktionen und Rollen, die in der IT-Infrastruktur mittlerer und großer Unternehmen vorkommen. Eine Kernanforderung an die Prozesse ist die Messbarkeit. Die Zuweisung der jeweiligen Tätigkeiten erfolgt anhand von Rollen und Funktionen. Bei ITIL handelt es sich um Vorschläge für Best Practices, die dann entsprechend der Bedürfnisse des jeweiligen Unternehmens angepasst werden.

TOGAF

The Open Group Architecture Framework (TOGAF) beschäftigt sich vorwiegend mit der Struktur von Organisationen. Es bietet quasi ein Modell für Entwurf, Planung, Implementierung und Wartung von Unternehmensarchitekturen. Unternehmen können damit effiziente Architekturen planen und/oder bestehende Strukturen optimieren.

ISO/IEC-27000-Reihe

Die ISO/IEC-27000-Reihe bezeichnet mehrere Standards, welche die Informationssicherheit in Unternehmen regeln. Am bekanntesten ist ISO/IEC 27001. Darin wird die Bereitstellung von Anforderungen für ein Informations-Sicherheits-Management-System (ISMS) geregelt.

IT-Grundschutz-Kataloge

Speziell in Deutschland gibt es noch die IT-Grundschutz-Kataloge. Hierbei handelt es sich um eine Sammlung von Dokumenten des deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie sollen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen dienen. Für Unternehmen und Behörden bilden die IT-Grundschutz-Kataloge die Basis zum Erlangen einer entsprechenden Zertifizierung. Die Zertifizierung bestätigt einem Unternehmen, geeignete Maßnahmen zur Absicherung seiner IT-Systeme gegen IT-Sicherheitsbedrohungen unternommen zu haben.

Jetzt Artikel teilen:

Das könnte Sie auch interessieren