Johannsen / Goeken Referenzmodelle für IT-Governance
2. aktualisierte und erweiterte Auflage 2010
ISBN: 978-3-89864-893-6
Verlag: dpunkt
Format: PDF
Kopierschutz: 1 - PDF Watermark
Methodische Unterstützung der Unternehmens-IT mit COBIT, ITIL & Co
E-Book, Deutsch, 356 Seiten
ISBN: 978-3-89864-893-6
Verlag: dpunkt
Format: PDF
Kopierschutz: 1 - PDF Watermark
Dr. Wolfgang Johannsen ist geschäftsführender Mitinhaber der It's Okay Ltd. & Co. KG in Bensheim. Er verfügt über umfangreiche Managementerfahrungen aus seinen Tätigkeiten als Bereichsleiter im IT/Operations der Deutschen Bank und als Berater bei Accenture. Er ist als Lehrbeauftragter für Wirtschaftsinformatik an der Frankfurt School of Finance & Management tätig und Mitinitiator des Kompetenzzentrums 'IT-Governance-Practice-Network'. Dr. Johannsen beteiligt sich durch Seminare, Vorträge und Veröffentlichungen am wissenschaftlichen und praxisorientierten Diskurs zur Thematik IT-Governance. Prof. Dr. Matthias Goeken ist Juniorprofessor für Wirtschaftsinformatik an der Frankfurt School of Finance & Management und Mitbegründer des IT-Governance-Practice-Network, einem Kompetenzzentrum zu Themen der IT-Governance. Im Rahmen dieses Kompetenzzentrums widmet er sich verschiedenen Fragestellungen der IT-Governance in Forschungsprojekten sowie bei Vorträgen, Trainings und Beratungsaktivitäten. Zu seinen Forschungsgebieten zählen darüber hinaus benachbarte Themen wie Informationsmangement und Anwendungsarchitekturen sowie Business Intelligence.
Zielgruppe
IT-Leiter und -Führungskräfte
- Prozessmanager, Risikomanager und Controller
- Lernende und Studierende der IT-Fachrichtungen
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort zur 2. Auflage;8
2;Vorwort zur 1. Auflage;10
3;Danksagung;12
4;Inhaltsu¨bersicht;14
5;Inhaltsverzeichnis;16
6;1 Einleitung;24
7;2 Einführung und Grundlagen;30
7.1;2.1 Die neue Rolle der IT;30
7.2;2.2 Trends und Treiber;31
7.3;2.2.1 Wertbeitrag von IT;31
7.4;2.2.2 Business-IT-Alignment;36
7.5;2.2.3 Compliance;39
7.6;2.2.4 Risikomanagement;41
7.7;2.2.5 Prozess- und Serviceorientierung;41
7.8;2.3 Geschäftsarchitektur für IT-Governance;43
7.9;2.4 IT-Governance: Begriff und Aufgaben;45
7.10;2.5 Unterstützende Referenzmodelle;48
7.11;2.6 Akzeptanz von IT-Governance;50
7.12;2.6.1 Weltweite Untersuchungen;50
7.13;2.6.2 Ergebnisübersicht;51
7.14;2.6.3 Die Ergebnisse der ITGI-Studie;53
8;3 Das CobiT-Referenzmodell;64
8.1;3.1 Einleitung und Übersicht;65
8.2;3.1.1 Entstehung und Geschichte;65
8.3;3.1.2 Zielsetzungen und Zielgruppen;66
8.4;3.1.3 (Basis-)Referenzmodelle und Standards;69
8.5;3.1.4 Die CobiT-IT-Governance-Perspektive;71
8.6;3.2 CobiT-Merkmale;72
8.7;3.2.1 Best Practices;72
8.8;3.2.2 Geschäftsorientierung (Business-focused);74
8.9;3.2.3 Prozessorientierung (Process-oriented);75
8.10;3.2.4 Steuerungs- und Kontrollorientierung (Control-based);76
8.11;3.2.5 Messung von Leistungen und Risiken (Measurement-driven);78
8.12;3.3 CobiT-Komponenten;79
8.13;3.3.1 Der CobiT-Informationsraum;79
8.14;3.3.2 Kontrollziele;80
8.15;3.3.3 IT-Ressourcen;82
8.16;3.3.4 Informationskriterien;83
8.17;3.3.5 Domänen und IT-Prozesse;84
8.18;3.3.6 Interdependenzen im CobiT-Informationsraum;91
8.19;3.3.7 Ziele, Erfolgsmessung und IT-Geschäftsarchitektur;94
8.20;3.3.8 Controls;102
8.21;3.3.9 Das CobiT-Reifegradmodell;110
8.22;3.4 Das CobiT-Gesamtmodell;114
8.23;3.4.1 Makrostruktur: Prozessorientierte Anordnung der Domänen;114
8.24;3.4.2 Mikrostruktur: Der Aufbau der IT-Prozesse;116
8.25;3.4.3 Funktionalität der IT-Prozesse;124
8.26;3.5 CobiT-Produkte;126
8.27;3.5.1 Überblick;126
8.28;3.5.2 Implementierung von IT-Governance;127
8.29;3.5.3 Der IT Assurance Guide;133
8.30;3.5.4 Control Practices;141
8.31;3.5.5 CobiT-Quickstart;143
8.32;3.5.6 CobiT-Online;145
8.33;3.6 CobiT und COSO;145
8.34;3.7 CobiT in der Umsetzung des Sarbanes-Oxley Act;149
8.35;3.7.1 Der Sarbanes-Oxley Act (SOX);149
8.36;3.7.2 Herstellung von SOX-Compliance;151
8.37;3.8 Zertifizierung und Qualifizierung;162
8.38;3.9 Einordnung und Bewertung;162
9;4 Das Val-IT-Referenzmodell;166
9.1;4.1 Überblick;166
9.2;4.2 Zielsetzung von Val IT;167
9.3;4.3 Abgrenzung zu CobiT;168
9.4;4.4 Aufbau und Komponenten des Val-IT-Frameworks;169
9.5;4.4.1 Val-IT-Prinzipien;169
9.6;4.4.2 Domänen und Prozesse in Val IT;170
9.7;4.4.3 Die Prozessbeschreibungen in Val IT;171
9.8;4.4.4 Reifegradmodelle;173
9.9;4.5 Der Business Case;173
9.10;4.5.1 Ziele, Nutzen und Aufgaben;173
9.11;4.5.2 Komponenten des Business Case;175
9.12;4.5.3 Entwicklung und Wartung;176
9.13;4.6 Einordnung und Bewertung;186
10;5 Das Risk-IT-Referenzmodell (Risk IT);188
10.1;5.1 Einleitung und Zielsetzung;188
10.2;5.2 Adressaten und deren spezifischer Nutzen;189
10.3;5.3 Aufbau des Risk-IT-Referenzmodells;190
10.4;5.3.1 Prinzipien von Risk IT;191
10.5;5.3.2 Risk-IT-Domänen;192
10.6;5.3.3 Das Risk-IT-Prozessmodell;201
10.7;5.4 Weitere Produkte in Risk IT;208
10.8;5.5 Einordnung und Bewertung;210
11;6 Weitere IT-Governance-Referenzmodelle;212
11.1;6.1 Der Standard ISO/IEC 38500: Corporate Governance of IT;212
11.2;6.1.1 Einleitung und Übersicht;212
11.3;6.1.2 Zielsetzung und grundlegendes Verständnis;213
11.4;6.1.3 Zielgruppen;214
11.5;6.1.4 Komponenten des Standards;215
11.6;6.1.5 Modell der Corporate Governance der IT;216
11.7;6.1.6 Zusammenhang mit CobiT;217
11.8;6.1.7 Schlussbemerkungen;218
11.9;6.2 Das ITIL-Referenzmodell;219
11.10;6.2.1 Einleitung und Übersicht;219
11.11;6.2.2 Band I: Service Strategy;226
11.12;6.2.3 Band II: Service Design;231
11.13;6.2.4 Band III: Service Transition;238
11.14;6.2.5 Band IV: Service Operation;244
11.15;6.2.6 Band V: Continual Service Improvement;249
11.16;6.2.7 ITIL-Zertifizierung;250
11.17;6.2.8 Einordnung und Bewertung;251
11.18;6.3 ISO/IEC 20000;252
11.19;6.3.1 Ziele und Zielgruppen;252
11.20;6.3.2 Struktur von ISO/IEC 20000;254
11.21;6.4 Informationssicherheitsmanagement;259
11.22;6.4.1 Sicherheitsstandards;259
11.23;6.4.2 Einordnung und Bewertung;264
11.24;6.5 CMMI;265
11.25;6.5.1 Einleitung und Übersicht;265
11.26;6.5.2 Aufbau und Komponenten;267
11.27;6.5.3 Fähigkeits- und Reifegrade;271
11.28;6.5.4 Einordnung und Bewertung;274
12;7 Vergleich und Integration von Referenzmodellen;276
12.1;7.1 Einleitung und Übersicht;276
12.2;7.2 Vergleich der Referenzmodelle;278
12.3;7.2.1 Vergleich mittels zweidimensionaler Matrizen;278
12.4;7.2.2 Vergleich mittels Merkmalkatalogen;280
12.5;7.3 Kombination und Integration der Referenzmodelle;285
12.6;7.3.1 Abgleich von CobiT, ITIL V3 und ISO/IEC 27002;285
12.7;7.3.2 Das Integrationsprojekt CobiT Mapping;289
12.8;7.4 Bewertung;295
13;8 SOA- und Cloud-Computing- Governance;296
13.1;8.1 Einleitung und Übersicht;296
13.2;8.2 SOA-Governance;298
13.3;8.2.1 Merkmale und Nutzen serviceorientierter Architekturen;298
13.4;8.2.2 Governance-Herausforderung SOA;299
13.5;8.2.3 SOA-Governance-Aufgabenbereiche;302
13.6;8.2.4 SOA-Conformance;304
13.7;8.2.5 SOA-Lifecycle-Management;305
13.8;8.2.6 Ein Maturitätsmodell für die SOA-Governance;306
13.9;8.2.7 SOA-Governance-Infrastruktur;309
13.10;8.3 Cloud-Computing-Governance;311
13.11;8.3.1 Merkmale und Nutzen des Cloud Computing;312
13.12;8.3.2 Cloud Computing als Governance-Herausforderung;314
13.13;8.3.3 Aufgabenbereiche der Cloud-Computing-Governance;318
13.14;8.4 Service-Governance als gemeinsame Aufgabenstellung;319
14;9 Praxisbeispiel: Prüfung und Bewertung eines Governance-Konzepts für die IT;322
14.1;9.1 Ausgangssituation und Motivation;322
14.2;9.2 Methodische Aspekte einer Prüfung;325
14.3;9.2.1 Grundlagen für die geplanten Prüfungshandlungen;325
14.4;9.2.2 IT-Governance-Konzept als Gegenstand der Prüfung;326
14.5;9.2.3 Definition der Kriterien für die Prüfung;329
14.6;9.2.4 Referenzmodell für die IT-Governance;336
14.7;9.2.5 Zeitlicher Ablauf und Aufwand für die Prüfung;341
14.8;9.2.6 Ergebnisse und Nutzen für den Mandanten;342
14.9;9.3 Zusammenfassung;342
15;10 Schlussbetrachtung;344
16;Abkürzungsverzeichnis;346
17;Literaturverzeichnis;350
18;Index;362
(S. 41-42)
In diesem Kapitel wird das Referenzmodell COBIT (Control Objectives for Information and Related Technology) vorgestellt. COBIT gilt derzeit als bestes Beispiel für einen systematischen Ansatz zur methodischen Unterstützung der IT-Governance. COBIT ist für die IT-Governance von besonderem Interesse, weil es die Brücke über den häufig beklagten Abgrund zwischen den geschäftlichen Bereichen und der IT in Unternehmen schlägt. Die folgende Darstellung orientiert sich an den frei zugänglichen englisch- und deutschsprachigen Dokumenten zu COBIT1. Wir werden zunächst einige Grundlagen erläutern und neben Geschichte, Zielen und Zielgruppen sowie der IT-Governance-Perspektive von COBIT die wesentlichen Merkmale darstellen (Abschnitt 3.2). Daran schließt sich eine Erläuterung der wesentlichen COBIT-Komponenten an (Abschnitt 3.3). Die Komponenten werden in ihrem Zusammenhang als Gesamtmodell dargestellt (Abschnitt 3.4), und das Kernkonzept von COBIT – die IT-Prozesse – wird ausführlich behandelt. Der Rahmen des Gesamtmodells wird dann um weitere COBIT-Produkte (Abschnitt 3.5) ergänzt. COBIT wird in Verbindung mit COSO diskutiert (Abschnitt 3.6), und ein Anwendungskontext – der Einsatz COBITs zur Herstellung von Sarbanes-Oxley-Compliance sowie Entwurfsgesichtspunkte eines »Control Framework« – wird vorgestellt (Abschnitt 3.7). Das Kapitel schließt mit Hinweisen zu Zertifizierung und Qualifizierung und einem Fazit.
3.1 Einleitung und Übersicht
Grundidee von COBIT COBIT ist ein IT-Governance-Referenzmodell (IT-Governance-Framework), das branchen- und betriebsgrößenunabhängig angewendet werden kann und allgemeine sowie international akzeptierte Grundsätze und Ziele für die IT definiert.2 Es bietet dem Management eine methodische Unterstützung zur effizienteren und effektiveren Nutzung und Steuerung der IT und soll sicherstellen, dass die IT die geschäftlichen Anforderungen unterstützt. Im Kern beschreibt COBIT ein generisches Prozessmodell, das die Prozesse, die man üblicherweise in einer IT-Abteilung oder Organisation findet (bzw. finden sollte), darstellt.
Herausgegeben wird COBIT von dem internationalen Prüferverband Information Systems Audit and Control Association (ISACA, vormals ISACF) und dem IT Governance Institute (ITGI). Das erstmals im Jahre 1996 veröffentlichte Referenzmodell (2nd Edition 1998; 3rd Edition 2000) wurde im Jahr 2005 grundlegend überarbeitet und erschien im Dezember 2005 mit der Versionsnummer 4.0. Die deutsche Übersetzung [ITGI 2006e] liegt seit 2006 vor, eine modifizierte englische Version 4.1 seit 2007 [ITGI 2007b].
Während die erste Version den Schwerpunkt auf sogenannte Kontrollziele (Control Objectives, s.u.) legte und damit Gesichtspunkte der Wirtschaftsprüfung (Audits) in den Mittelpunkt stellte, bietet die heute vorliegende Version eine zweckmäßige Ergänzung der Methoden des IT-Managements. Damit geht deren Zielsetzung über die der Unterstützung von Audits hinaus und adressiert methodische Hilfen sowie eine Vielzahl betriebswirtschaftlicher Aspekte. Neben dem Referenzmodell ist eine Reihe weiterer Dokumente entstanden, die ebenfalls von ISACA & ITGI weiterentwickelt werden. Diese sogenannten COBIT-Produkte erweitern das Referenzmodell inhaltlich und geben Hinweise für seine Implementierung und Anwendung. Zum Teil wurden bereits in der Version COBIT 4.0 verschiedene vormals unabhängige Dokumente integriert.
