Referenzmodelle für IT-Governance (eBook)

Dr. Wolfgang Johannsen ist geschäftsführender Mitinhaber der It's Okay Ltd. & Co. KG in Bensheim. Er verfügt über umfangreiche Managementerfahrungen aus seinen Tätigkeiten als Bereichsleiter im IT/Operations der Deutschen Bank und als Berater bei Accenture. Er ist als Lehrbeauftragter für Wirtschaftsinformatik an der Frankfurt School of Finance & Management tätig und Mitinitiator des Kompetenzzentrums "IT-Governance-Practice-Network". Dr. Johannsen beteiligt sich durch Seminare, Vorträge und Veröffentlichungen am wissenschaftlichen und praxisorientierten Diskurs zur Thematik IT-Governance. Prof. Dr. Matthias Goeken ist Juniorprofessor für Wirtschaftsinformatik an der Frankfurt School of Finance & Management und Mitbegründer des IT-Governance-Practice-Network, einem Kompetenzzentrum zu Themen der IT-Governance. Im Rahmen dieses Kompetenzzentrums widmet er sich verschiedenen Fragestellungen der IT-Governance in Forschungsprojekten sowie bei Vorträgen, Trainings und Beratungsaktivitäten. Zu seinen Forschungsgebieten zählen darüber hinaus benachbarte Themen wie Informationsmangement und Anwendungsarchitekturen sowie Business Intelligence.

Vorwort zur 2. Auflage 8
Vorwort zur 1. Auflage 10
Danksagung 12
Inhaltsu¨bersicht 14
Inhaltsverzeichnis 16
1 Einleitung 24
2 Einführung und Grundlagen 30
2.1 Die neue Rolle der IT 30
2.2 Trends und Treiber 31
2.2.1 Wertbeitrag von IT 31
2.2.2 Business-IT-Alignment 36
2.2.3 Compliance 39
2.2.4 Risikomanagement 41
2.2.5 Prozess- und Serviceorientierung 41
2.3 Geschäftsarchitektur für IT-Governance 43
2.4 IT-Governance: Begriff und Aufgaben 45
2.5 Unterstützende Referenzmodelle 48
2.6 Akzeptanz von IT-Governance 50
2.6.1 Weltweite Untersuchungen 50
2.6.2 Ergebnisübersicht 51
2.6.3 Die Ergebnisse der ITGI-Studie 53
3 Das CobiT-Referenzmodell 64
3.1 Einleitung und Übersicht 65
3.1.1 Entstehung und Geschichte 65
3.1.2 Zielsetzungen und Zielgruppen 66
3.1.3 (Basis-)Referenzmodelle und Standards 69
3.1.4 Die CobiT-IT-Governance-Perspektive 71
3.2 CobiT-Merkmale 72
3.2.1 Best Practices 72
3.2.2 Geschäftsorientierung (Business-focused) 74
3.2.3 Prozessorientierung (Process-oriented) 75
3.2.4 Steuerungs- und Kontrollorientierung (Control-based) 76
3.2.5 Messung von Leistungen und Risiken (Measurement-driven) 78
3.3 CobiT-Komponenten 79
3.3.1 Der CobiT-Informationsraum 79
3.3.2 Kontrollziele 80
3.3.3 IT-Ressourcen 82
3.3.4 Informationskriterien 83
3.3.5 Domänen und IT-Prozesse 84
3.3.6 Interdependenzen im CobiT-Informationsraum 91
3.3.7 Ziele, Erfolgsmessung und IT-Geschäftsarchitektur 94
3.3.8 Controls 102
3.3.9 Das CobiT-Reifegradmodell 110
3.4 Das CobiT-Gesamtmodell 114
3.4.1 Makrostruktur: Prozessorientierte Anordnung der Domänen 114
3.4.2 Mikrostruktur: Der Aufbau der IT-Prozesse 116
3.4.3 Funktionalität der IT-Prozesse 124
3.5 CobiT-Produkte 126
3.5.1 Überblick 126
3.5.2 Implementierung von IT-Governance 127
3.5.3 Der IT Assurance Guide 133
3.5.4 Control Practices 141
3.5.5 CobiT-Quickstart 143
3.5.6 CobiT-Online 145
3.6 CobiT und COSO 145
3.7 CobiT in der Umsetzung des Sarbanes-Oxley Act 149
3.7.1 Der Sarbanes-Oxley Act (SOX) 149
3.7.2 Herstellung von SOX-Compliance 151
3.8 Zertifizierung und Qualifizierung 162
3.9 Einordnung und Bewertung 162
4 Das Val-IT-Referenzmodell 166
4.1 Überblick 166
4.2 Zielsetzung von Val IT 167
4.3 Abgrenzung zu CobiT 168
4.4 Aufbau und Komponenten des Val-IT-Frameworks 169
4.4.1 Val-IT-Prinzipien 169
4.4.2 Domänen und Prozesse in Val IT 170
4.4.3 Die Prozessbeschreibungen in Val IT 171
4.4.4 Reifegradmodelle 173
4.5 Der Business Case 173
4.5.1 Ziele, Nutzen und Aufgaben 173
4.5.2 Komponenten des Business Case 175
4.5.3 Entwicklung und Wartung 176
4.6 Einordnung und Bewertung 186
5 Das Risk-IT-Referenzmodell (Risk IT) 188
5.1 Einleitung und Zielsetzung 188
5.2 Adressaten und deren spezifischer Nutzen 189
5.3 Aufbau des Risk-IT-Referenzmodells 190
5.3.1 Prinzipien von Risk IT 191
5.3.2 Risk-IT-Domänen 192
5.3.3 Das Risk-IT-Prozessmodell 201
5.4 Weitere Produkte in Risk IT 208
5.5 Einordnung und Bewertung 210
6 Weitere IT-Governance-Referenzmodelle 212
6.1 Der Standard ISO/IEC 38500: Corporate Governance of IT 212
6.1.1 Einleitung und Übersicht 212
6.1.2 Zielsetzung und grundlegendes Verständnis 213
6.1.3 Zielgruppen 214
6.1.4 Komponenten des Standards 215
6.1.5 Modell der Corporate Governance der IT 216
6.1.6 Zusammenhang mit CobiT 217
6.1.7 Schlussbemerkungen 218
6.2 Das ITIL-Referenzmodell 219
6.2.1 Einleitung und Übersicht 219
6.2.2 Band I: Service Strategy 226
6.2.3 Band II: Service Design 231
6.2.4 Band III: Service Transition 238
6.2.5 Band IV: Service Operation 244
6.2.6 Band V: Continual Service Improvement 249
6.2.7 ITIL-Zertifizierung 250
6.2.8 Einordnung und Bewertung 251
6.3 ISO/IEC 20000 252
6.3.1 Ziele und Zielgruppen 252
6.3.2 Struktur von ISO/IEC 20000 254
6.4 Informationssicherheitsmanagement 259
6.4.1 Sicherheitsstandards 259
6.4.2 Einordnung und Bewertung 264
6.5 CMMI 265
6.5.1 Einleitung und Übersicht 265
6.5.2 Aufbau und Komponenten 267
6.5.3 Fähigkeits- und Reifegrade 271
6.5.4 Einordnung und Bewertung 274
7 Vergleich und Integration von Referenzmodellen 276
7.1 Einleitung und Übersicht 276
7.2 Vergleich der Referenzmodelle 278
7.2.1 Vergleich mittels zweidimensionaler Matrizen 278
7.2.2 Vergleich mittels Merkmalkatalogen 280
7.3 Kombination und Integration der Referenzmodelle 285
7.3.1 Abgleich von CobiT, ITIL V3 und ISO/IEC 27002 285
7.3.2 Das Integrationsprojekt CobiT Mapping 289
7.4 Bewertung 295
8 SOA- und Cloud-Computing- Governance 296
8.1 Einleitung und Übersicht 296
8.2 SOA-Governance 298
8.2.1 Merkmale und Nutzen serviceorientierter Architekturen 298
8.2.2 Governance-Herausforderung SOA 299
8.2.3 SOA-Governance-Aufgabenbereiche 302
8.2.4 SOA-Conformance 304
8.2.5 SOA-Lifecycle-Management 305
8.2.6 Ein Maturitätsmodell für die SOA-Governance 306
8.2.7 SOA-Governance-Infrastruktur 309
8.3 Cloud-Computing-Governance 311
8.3.1 Merkmale und Nutzen des Cloud Computing 312
8.3.2 Cloud Computing als Governance-Herausforderung 314
8.3.3 Aufgabenbereiche der Cloud-Computing-Governance 318
8.4 Service-Governance als gemeinsame Aufgabenstellung 319
9 Praxisbeispiel: Prüfung und Bewertung eines Governance-Konzepts für die IT 322
9.1 Ausgangssituation und Motivation 322
9.2 Methodische Aspekte einer Prüfung 325
9.2.1 Grundlagen für die geplanten Prüfungshandlungen 325
9.2.2 IT-Governance-Konzept als Gegenstand der Prüfung 326
9.2.3 Definition der Kriterien für die Prüfung 329
9.2.4 Referenzmodell für die IT-Governance 336
9.2.5 Zeitlicher Ablauf und Aufwand für die Prüfung 341
9.2.6 Ergebnisse und Nutzen für den Mandanten 342
9.3 Zusammenfassung 342
10 Schlussbetrachtung 344
Abkürzungsverzeichnis 346
Literaturverzeichnis 350
Index 362

3 Das COBIT-Referenzmodell (S. 41-42)

In diesem Kapitel wird das Referenzmodell COBIT (Control Objectives for Information and Related Technology) vorgestellt. COBIT gilt derzeit als bestes Beispiel für einen systematischen Ansatz zur methodischen Unterstützung der IT-Governance. COBIT ist für die IT-Governance von besonderem Interesse, weil es die Brücke über den häufig beklagten Abgrund zwischen den geschäftlichen Bereichen und der IT in Unternehmen schlägt. Die folgende Darstellung orientiert sich an den frei zugänglichen englisch- und deutschsprachigen Dokumenten zu COBIT1. Wir werden zunächst einige Grundlagen erläutern und neben Geschichte, Zielen und Zielgruppen sowie der IT-Governance-Perspektive von COBIT die wesentlichen Merkmale darstellen (Abschnitt 3.2). Daran schließt sich eine Erläuterung der wesentlichen COBIT-Komponenten an (Abschnitt 3.3). Die Komponenten werden in ihrem Zusammenhang als Gesamtmodell dargestellt (Abschnitt 3.4), und das Kernkonzept von COBIT – die IT-Prozesse – wird ausführlich behandelt. Der Rahmen des Gesamtmodells wird dann um weitere COBIT-Produkte (Abschnitt 3.5) ergänzt. COBIT wird in Verbindung mit COSO diskutiert (Abschnitt 3.6), und ein Anwendungskontext – der Einsatz COBITs zur Herstellung von Sarbanes-Oxley-Compliance sowie Entwurfsgesichtspunkte eines »Control Framework« – wird vorgestellt (Abschnitt 3.7). Das Kapitel schließt mit Hinweisen zu Zertifizierung und Qualifizierung und einem Fazit.

3.1 Einleitung und Übersicht

3.1.1 Entstehung und Geschichte

Grundidee von COBIT COBIT ist ein IT-Governance-Referenzmodell (IT-Governance-Framework), das branchen- und betriebsgrößenunabhängig angewendet werden kann und allgemeine sowie international akzeptierte Grundsätze und Ziele für die IT definiert.2 Es bietet dem Management eine methodische Unterstützung zur effizienteren und effektiveren Nutzung und Steuerung der IT und soll sicherstellen, dass die IT die geschäftlichen Anforderungen unterstützt. Im Kern beschreibt COBIT ein generisches Prozessmodell, das die Prozesse, die man üblicherweise in einer IT-Abteilung oder Organisation findet (bzw. finden sollte), darstellt.

Herausgegeben wird COBIT von dem internationalen Prüferverband Information Systems Audit and Control Association (ISACA, vormals ISACF) und dem IT Governance Institute (ITGI). Das erstmals im Jahre 1996 veröffentlichte Referenzmodell (2nd Edition 1998; 3rd Edition 2000) wurde im Jahr 2005 grundlegend überarbeitet und erschien im Dezember 2005 mit der Versionsnummer 4.0. Die deutsche Übersetzung [ITGI 2006e] liegt seit 2006 vor, eine modifizierte englische Version 4.1 seit 2007 [ITGI 2007b].

Während die erste Version den Schwerpunkt auf sogenannte Kontrollziele (Control Objectives, s.u.) legte und damit Gesichtspunkte der Wirtschaftsprüfung (Audits) in den Mittelpunkt stellte, bietet die heute vorliegende Version eine zweckmäßige Ergänzung der Methoden des IT-Managements. Damit geht deren Zielsetzung über die der Unterstützung von Audits hinaus und adressiert methodische Hilfen sowie eine Vielzahl betriebswirtschaftlicher Aspekte. Neben dem Referenzmodell ist eine Reihe weiterer Dokumente entstanden, die ebenfalls von ISACA & ITGI weiterentwickelt werden. Diese sogenannten COBIT-Produkte erweitern das Referenzmodell inhaltlich und geben Hinweise für seine Implementierung und Anwendung. Zum Teil wurden bereits in der Version COBIT 4.0 verschiedene vormals unabhängige Dokumente integriert.