IT Governance - Wie kann und wie soll die IT in meinem Unternehmen gesteuert werden?

Seit einigen Jahren beschäftige ich nich mit der Zusammenführung von internationalen Standards und Best Practices zum Thema IT Management und gelte als internationaler Experte auf diesem Gebiet.

Wie alles begann: Vor etwa 15 Jahren begannen unabhängig von einander englische Regierungsorganisationen sowie die internationale IT Prüfervereinigung ISACA mit der Definition von IT Prozessmodellen. Aus Großbritannien hat sich ITIL als weltweiter de-facto-Standard für Prozesse im IT Service Management entwickelt, die Prüfersicht wurde im Framework COBIT manifestiert. Zusätzlich wurden, zumeist auch von britischen Institutionen Modelle und Standards, wie zB die Sicherheitsnorm BS 7799 entwickelt, die in der Folge von der ISO zur internationalen Norm ISO/IEC 17799 weiterentwickelt wurde. Auch die Prüfersicht wurde - zusätzlich zu COBIT - um einen Standard zur Prüfung und Zertifizierungen von Webauftritten (WebTrust) und den entsprechenden Serviceprovidern (SysTrust) erstellt, die später zusammengefasst als TrustServices Prüfungsstandard herausgegeben wurden.

Um für eine umfassende Prozessmodellierung ein einheitliches und gesamthaftes Modell zur Hand zu haben, habe ich in den vergangenen Jahren nationale und internationale Modelle und Standards verglichen, aufgeteilt und dem Umfassendsten dieser Frameworks - COBIT - zugeordnet. Diese Arbeit wurde mittlerweile auch vom IT Governance Institute, dem weltweit führenden Gremium zu den Themen IT Governance, Audit und Assurance aufgegriffen und als so genanntes ?COBIT Mapping Project" international veröffentlicht. Das Mapping Project besteht derzeit aus einer Übersicht über die internationalen Modelle COBIT, ITIL, COSO,   ISO 17799, 13335, NIST und TickIT mit einem High-Level Mapping der Standards zu COBIT sowie aus einem äußerst detaillierten Mapping zwischen 17799 und COBIT. In Vorbereitung befindet sich auch das detaillierte Mapping zwischen ITIL und COBIT. Am im November   2005 veröffentlichten und stark überarbeiteten Version 4.0 von COBIT habe ich, sowohl als Leiter von div. Arbeitsgrupen, als auch als Mitglied des COBIT Steering Committe maßgeblich mitgewirkt und meine Erfahrungen in COBIT einfließen lassen.

Neben dieser online verfügbaren Publikationen ist seit Oktober 2005 auch das Buch von Jimmy Heschl und Dirk Middelhoff mit dem Titel "IT Governance - Modelle zur Umsetzung und Prüfung" verfügbar. Das Buch enthält neben den unterschiedlichen (österreichischen, deutschen, britischen und US-amerikanischen) gesetzlichen und gesetzesnahen Vorgaben für die Etablierung eines Kontrollsystems (der Pflicht von Vorständen, Aufsichtsräten, Geschäftsführern, etc) die wesentlichen Modelle (ITIL, COBIT, BSI-Grundschutzhandbuch, TrustServices, ISO 17799, CommonCriteria, etc.), die auch für Laien und nicht IT Spezialisten verständlich beschrieben werden. Zusätzlich wurden Anforderungen der unterschiedlichen Standards in sehr hoher Detaillierung den Anforderungen von COBIT zugeordnet. Das Buch enthält folglich - sortiert nach den Prozessen und Control Objectives von COBIT sämtliche relevante Anforderungen an eine geregelte Implementierung, Steuerung aber auch Prüfung der IT und IT Prozesse. Der detaillierte Teil eignet sich folglich für IT Verantwortliche im Unternehmen, um ein für die Geschäftsführung angemessenes Kontrollsystem etablieren zu können.

Vom Umschlag: ?Ein oft gezogener Vergleich von der Kontrolle über die Ressource Kapital mit jener über die Ressource Information zeigt, dass auf Seite der Kapitalkontrolle neben Verantwortlichkeiten in den höchsten Führungsebenen der Organisationen auch anerkannte Bewertungsmodelle verfügbar sind. Die Kontrolle der Informationsverarbeitung obliegt jedoch bei einer Vielzahl der Unternehmen den Managern der zweiten oder dritten Führungsebene. Umfangreiche und aussagekräftige Modelle und Kontrollen, die im IT Prozess zu integrieren sind, stehen nicht - oder nur auf Teilaufgaben beschränkt - zur Verfügung. Aus der Kombination der immer größer werdenden Abhängigkeit mit der Nichtverfügbarkeit von Systemen zur Kontrolle ergibt sich die Forderung, ein Modell zur umfassenden Kontrolle des IT Prozesse zu entwerfen. Das vorliegende Buch zeigt einen Versuch, die derzeit verfügbaren Modelle in ein umfassendes Modell zu integrieren, damit bei einer Modellierung des IT Prozesses die derzeit verfügbaren Standards berücksichtigt werden können."

Das Buch umfasst 272 Seiten und ist im Verlag BoD GmbH, Norderstedt, unter der ISBN 3833433620 erschienen.
Sie können es bei Amazon bestellen.

 

Wer Fragen hat, kann mir ja auch eine Mail schreiben.

 

§

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

COBIT & IT-Governance