1 Einleitung
Unternehmen investieren oftmals erhebliche finanzielle Mittel und Personalkapazität in ihre IT. Die erwartete Rentabilität dieser Investitionen, der Return on Investment, lässt sich jedoch oftmals nicht realisieren. Grund dafür ist die Fokussierung auf technische, finanzielle und planerische Aspekte der IT statt auf deren geschäftlichen Kontext.
ISO/IEC 38500
Unter diesem Fokus veröffentlichte die ISO im Februar 2015 die überarbeitete Fassung der ISO/IEC 38500, Information technology – Governance of IT for the organization [1]. Der Standard wendet sich an das Management von Unternehmen und beschreibt zum einen Definitionen und ein Modell für eine gute Governance der IT und nennt zum anderen grundlegende Prinzipien. Der Standard zielt darauf ab, die oberste Leitungsebene einer Organisation darin zu unterstützen, ihren gesetzlichen, regulatorischen und ethischen Verpflichtungen im Hinblick auf die Nutzung der IT durch das Unternehmen nachzukommen.
Unter diesem Fokus veröffentlichte die ISO im Februar 2015 die überarbeitete Fassung der ISO/IEC 38500, Information technology – Governance of IT for the organization [1]. Der Standard wendet sich an das Management von Unternehmen und beschreibt zum einen Definitionen und ein Modell für eine gute Governance der IT und nennt zum anderen grundlegende Prinzipien. Der Standard zielt darauf ab, die oberste Leitungsebene einer Organisation darin zu unterstützen, ihren gesetzlichen, regulatorischen und ethischen Verpflichtungen im Hinblick auf die Nutzung der IT durch das Unternehmen nachzukommen.
Governance der IT
Governance der IT definiert der Standard als ein System, mittels dessen die gegenwärtige und zukünftige Nutzung der IT gelenkt und überwacht wird. Governance der IT ist Teil der Governance des Unternehmens.
Governance der IT definiert der Standard als ein System, mittels dessen die gegenwärtige und zukünftige Nutzung der IT gelenkt und überwacht wird. Governance der IT ist Teil der Governance des Unternehmens.
ISO/IEC TS 38501, ISO/IEC TR 38502
Zu den Standards der ISO/IEC-38500-Familie gehören die Standards ISO/IEC TS 38501 und ISO/IEC TR 38502. Die technische Spezifikation ISO/IEC TS 38501, Information technology – Governance of IT – Implementation guide [2], gibt Anleitung dazu, wie sich eine effektive Governance der IT in einer Organisation implementieren lässt. Der technische Report ISO/IEC TR 38502, Information technology – Governance of IT – Framework and model [3], stellt Informationen über ein Rahmenwerk und ein Modell bereit, mit dem sich die Begrenzungen und die Beziehungen zwischen Governance und Management der aktuellen und künftigen IT einer Organisation etablieren lassen.
Zu den Standards der ISO/IEC-38500-Familie gehören die Standards ISO/IEC TS 38501 und ISO/IEC TR 38502. Die technische Spezifikation ISO/IEC TS 38501, Information technology – Governance of IT – Implementation guide [2], gibt Anleitung dazu, wie sich eine effektive Governance der IT in einer Organisation implementieren lässt. Der technische Report ISO/IEC TR 38502, Information technology – Governance of IT – Framework and model [3], stellt Informationen über ein Rahmenwerk und ein Modell bereit, mit dem sich die Begrenzungen und die Beziehungen zwischen Governance und Management der aktuellen und künftigen IT einer Organisation etablieren lassen.
Die Anfangskapitel des Standards gehen nach dem Vorwort und der Einleitung ein auf den Geltungsbereich des Standards sowie Begriffe und deren Definitionen.
Kapitelüberblick
Diesen Anfangskapiteln schließen sich die folgenden Kapitel an:
Diesen Anfangskapiteln schließen sich die folgenden Kapitel an:
| • | Nutzen der guten Governance der IT |
| • | Prinzipien und Modell für eine gute Governance der IT |
| • | Anleitung für die Governance der IT |
2 Prinzipien und Modell für eine gute Governance der IT
Sechs Prinzipien
Der Standard nennt folgend sechs grundlegende Prinzipien für eine gute Governance der IT:
Der Standard nennt folgend sechs grundlegende Prinzipien für eine gute Governance der IT:
| • | Verantwortlichkeit:
Einzelne und Gruppen verstehen und akzeptieren ihre Verantwortlichkeit für die IT. |
| • | Strategie:
Die IT erfüllt die aktuellen und künftigen Anforderungen der Geschäftsstrategie. |
| • | Anschaffungen:
Sowohl Kosten, Nutzen, Chancen und Risiken als auch kurz- und langfristige Aspekte werden bei Anschaffungen berücksichtigt. |
| • | Leistungsfähigkeit:
Die IT erfüllt aktuelle und künftige geschäftliche Anforderungen. |
| • | Konformität:
Die Nutzung der IT ist konform zu Gesetzen und regulatorischen Vorgaben. |
| • | Menschliches Verhalten:
IT-Regelungen zeigen Respekt vor dem menschlichen Verhalten. |
Modell
Zur Beherrschung der IT stellt die ISO/IEC 38500 ein Modell vor, das drei Hauptaufgaben des Managements identifiziert:
Zur Beherrschung der IT stellt die ISO/IEC 38500 ein Modell vor, das drei Hauptaufgaben des Managements identifiziert:
| • | Bewertung (evaluate) der gegenwärtigen und zukünftigen Nutzung der IT |
| • | Lenkung (direct) der IT durch Vorbereitung und Lenkung von Strategien und Regelungen |
| • | Überwachung (monitor) der Konformität der IT mit Vorgaben sowie hinsichtlich der Leistungsfähigkeit bezogen auf die Strategien |
3 Anleitung für die Governance der IT
In diesem Kapitel unterteilt die Norm jedes der sechs Prinzipien einer guten IT-Governance entsprechend dem zuvor genannten Modell in die drei Elemente Bewertung (B), Lenkung (L) und Nutzung (N). Folgende auszugsweisen Beispiele veranschaulichen dies:
| Prinzip 2: | Strategie |
| • | B: Damit die IT auch künftige Geschäftsanforderungen unterstützt, sollten Entscheidungsträger Trends in der IT und in den Geschäftsprozessen bewerten. |
| • | L: Entscheidungsträger sollten die Erstellung von Strategien und Regelungen anordnen, damit das Unternehmen von Entwicklungen im Bereich der IT profitiert. |
| • | M: Den Fortschritt genehmigter IT-Vorhaben sollten Entscheidungsträger verfolgen. |
| Prinzip 4: | Leistungsfähigkeit |
| • | B: Entscheidungsträger sollten bewerten, ob empfohlene Pläne geeignet sind, den Geschäftsprozessen die geforderten Leistungsmerkmale und die benötigte Kapazität zur Verfügung zu stellen. Ebenfalls zu bewerten sind der Einfluss der IT auf die Geschäftskontinuität sowie die Risiken der IT. |
| • | L: Entscheidungsträger sollten dafür sorgen, dass unter den gegebenen Rahmenbedingungen ausreichend Ressourcen bereitgestellt werden, damit die IT die Anforderungen des Unternehmens erfüllt. |
| • | M: Entscheidungsträger sollten überwachen, in welchem Umfang die IT das Geschäft unterstützt und Regelungen eingehalten werden. |
| Prinzip 5: | Konformität |
| • | B: Zu den Aufgaben von Entscheidungsträgern gehört die regelmäßige Bewertung der Einhaltung externer und unternehmenseigener Vorgaben. |
| • | L: Entscheidungsträger sollten anordnen, dass Regelungen etabliert und befolgt werden, damit die IT externe und unternehmenseigene Vorgaben einhält. |
| • | M: Durch Berichte und Audits sollten Entscheidungsträger die Compliance und Konformität der IT überwachen. |
Den Schluss des Standards bildet das Literaturverzeichnis, in dem u. a. die OECD Principles of Corporate Governance angegeben sind.
Quellen
1
ISO/IEC 38500 – Information technology – Governance of IT for the organization, 2015
2
ISO/IEC TS 38501 – Information technology – Governance of IT – Implementation guide, 2015
3
ISO/IEC TR 38502 – Information technology – Governance of IT – Framework and model, 2014
