Analysten-Kolumne

Zentrale Komponenten von IT-Governance identifizieren

Peter Ratzer ist Partner bei Deloitte. Er arbeitet dort seit 1998. Er ist auf die Beratung von CIOs bei der Entwicklung von strategischen Konzepten bis hin zur operativen Umsetzung einzelner Konzeptkomponenten fokussiert.
Im Kontext strategischer IT-Fragestellungen spielt IT Governance eine zentrale Rolle. Unter ihr versteht man eine organisierte Funktion, um die Formulierung von IT-Strategie und IT-Plänen zu steuern, die Entwicklung und Implementierung von Initiativen zu lenken sowie zu kontrollieren. Überdies können so IT-Operationen mit dem Ziel, das Risiko zu minimieren, überwacht, der Gewinn maximiert und ein aktueller und zukünftiger Nutzen aufgebaut werden.

Vor diesem Hintergrund lassen sich im Wesentlichen vier zentrale Komponenten von IT Governance herausarbeiten:

  1. Struktur, Verantwortlichkeit und Kompetenz

    Organisations- und Gremienstruktur; definierte Rollen, Verantwortlichkeiten und Kompetenzen innerhalb der IT-Organisation; Controlling-Kultur, Ethik und Werte

  2. Prozesse und Koordination

    Festgelegte Abläufe für IT-Aufgaben, Entscheidungszyklen, strategische und taktische Planung, Risiko-Management, programmbezogenes Governance-Reporting

  3. Ziele und Erfolgsmessung

    Definition von Leistungszielen sowie Zielerreichungsermittlung und -bewertung; Information und Kommunikation, die Managern die Geschäfts- und IT-Steuerung ermöglicht; Transparenz von Geschäftsabläufen und Leistungsständen

  4. Compliance

    Einhaltung von internen wie externen Regelungen bzw. Gesetzen; gezielte Steuerungsmitteilungen an Einzelpersonen, Abteilungen und das Management, Korrelation von Leistung und Belohnung, Monitoring von internen Kontrollprozessen

Insbesondere IT-Compliance gewinnt durch die wachsende Zahl relevanter Gesetze und Vorschriften zunehmend an Bedeutung. Diese basieren auf Geschäftsprozessanforderungen, die sich beispielsweise in handelsrechtlichen Vorschriften für Buchführung und Bilanzierung (GoB) widerspiegeln.

Weitere prominente Beispiele sind der US-amerikanische Sarbanes-Oxley-Act und Basel II sowie branchenspezifische Regularien wie das Kreditwesengesetz (KWG), das Telekommunikationsgesetz (TKG), das Teledienstegesetz (TDG), der "Health Insurance Portability and Accountability Act" (HIPAA) sowie die Verlautbarungen der Food and Drug Association (FDA). Die daraus resultierenden Anforderungen an die unterstützenden IT-Systeme folgen den Kriterien Qualität, Sicherheit und Ordnungsmäßigkeit. Konkrete - jedoch nicht abschließende - Arbeitsfelder sind Effizienz, Zuverlässigkeit, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten.

Zur Startseite