IVS-Governance: Unterschied zwischen den Versionen
(19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
=== Wikipedia === | === Wikipedia === | ||
− | Gemäß Wikipedia <ref>Wikipedia Artikel (2017): Governance. Online verfügbar unter https://de.wikipedia.org/wiki/Governance, zuletzt aktualisiert am 22.10.2017, zuletzt geprüft am 08.11.2017.</ref> wird der Begriff '''Governance''' (von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als '''Regierungs-, Amts- bzw. Unternehmensführung''', auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet. | + | Gemäß Wikipedia <ref>Wikipedia Artikel (2017): Governance. Online verfügbar unter https://de.wikipedia.org/wiki/Governance, zuletzt aktualisiert am 22.10.2017, zuletzt geprüft am 08.11.2017.</ref> wird der Begriff '''Governance''' "(von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als '''Regierungs-, Amts- bzw. Unternehmensführung''', auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet". |
− | |||
− | |||
=== ISO/IEC 38500 Standard === | === ISO/IEC 38500 Standard === | ||
Zeile 27: | Zeile 25: | ||
:Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten. | :Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten. | ||
− | <u>Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet</u> | + | <u>Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet:</u> |
;Bewertung | ;Bewertung | ||
Zeile 40: | Zeile 38: | ||
=== COBIT === | === COBIT === | ||
− | Das COBIT 5 Prozess Referenzmodell der ISACA | + | Das COBIT 5 Prozess Referenzmodell der ISACA Organisation<ref>ISACA: Das COBIT 5 Prozess Referenzmodell. Online verfügbar unter http://www.isaca.org/COBIT/Pages/default.aspx, zuletzt geprüft am 08.11.2017.</ref> unterteilt die IT-relevanten Aktivitäten der Unternehmensführung in die Bereiche '''Governance''' und '''Management''' und grenzt diese damit gegeneinander ab: |
*The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined. | *The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined. | ||
Zeile 46: | Zeile 44: | ||
COBIT 5 for Information Security examines each of the processes from an information security perspective. | COBIT 5 for Information Security examines each of the processes from an information security perspective. | ||
− | |||
− | |||
== Governance vs. Management == | == Governance vs. Management == | ||
− | Wichtig ist, dass zwischen Governance und Management | + | Wichtig ist, dass zwischen Governance und Management differenziert werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich |
*ihres Zwecks, | *ihres Zwecks, | ||
Zeile 59: | Zeile 55: | ||
<u>Während '''Governance''' sich darauf fokussiert</u> | <u>Während '''Governance''' sich darauf fokussiert</u> | ||
− | *zu '''bewerten''' (über Ziele, die erreicht werden sollen abzustimmen und festzulegen), | + | *zu '''bewerten''' (über Ziele, die erreicht werden sollen, abzustimmen und festzulegen), |
*zu '''lenken''' (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden) und | *zu '''lenken''' (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden) und | ||
*zu '''überwachen''' (damit Ziele durch ausgeführte Aktivitäten erreicht werden), | *zu '''überwachen''' (damit Ziele durch ausgeführte Aktivitäten erreicht werden), | ||
Zeile 72: | Zeile 68: | ||
von Aktivitäten zur Erreichung der Ziele. | von Aktivitäten zur Erreichung der Ziele. | ||
− | Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen | + | Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen (nach COBIT 5.0, Prinzip 5). |
− | |||
− | ( | ||
== Übertragung des Governance-Konzepts auf IVS == | == Übertragung des Governance-Konzepts auf IVS == | ||
Zeile 80: | Zeile 74: | ||
=== Warum "Governance" und nicht "Management" von IVS-Diensten === | === Warum "Governance" und nicht "Management" von IVS-Diensten === | ||
− | IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS- | + | IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpfungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständigen verändernden Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen. |
− | Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein- | + | Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslösungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen oder es fehlt an der notwendigen Anpassungsfähigkeit an dem sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande, wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen. |
[[File:Cobit-Governance.png|thumb|right|300px|COBIT: Abgrenzung von Governance und Management]] | [[File:Cobit-Governance.png|thumb|right|300px|COBIT: Abgrenzung von Governance und Management]] | ||
− | Vor diesem Hintergrund wird deutlich, dass "Management" als | + | Vor diesem Hintergrund wird deutlich, dass "Management" als klassisches Instrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zielerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen. |
An dieser Stelle setzt das '''Governance-Prinzip und -Konzept''' an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild. | An dieser Stelle setzt das '''Governance-Prinzip und -Konzept''' an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild. | ||
− | |||
− | |||
=== Bedeutung von Governance für IVS === | === Bedeutung von Governance für IVS === | ||
− | Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele | + | Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele erreicht werden, aber auch, dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen sowie Performance überwacht werden. |
Dies geschieht durch Vorgaben ('''Richtung vorgeben'''), '''Überwachung''' der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben ('''Evaluierung'''). | Dies geschieht durch Vorgaben ('''Richtung vorgeben'''), '''Überwachung''' der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben ('''Evaluierung'''). | ||
− | Die Vorgaben können sich z.B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht. | + | Die Vorgaben können sich z. B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht. |
Beispiele sind: | Beispiele sind: | ||
Zeile 104: | Zeile 96: | ||
*Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden. | *Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden. | ||
− | *Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten | + | *Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig (z. B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance). |
− | *Im Bereich der Serviceorientierung | + | *Im Bereich der Serviceorientierung spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden. |
− | *Zentral ist es auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien zu etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können. | + | *Zentral ist es, auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien zu etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können. |
− | * | + | *SLAs für IVS-Dienste, SLAs für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden und auch hier sollten Governance-Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt. |
=== Notwendigkeit von IVS-Governance === | === Notwendigkeit von IVS-Governance === | ||
− | Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung | + | Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung zur konkreten Ausführung der Governance geschaffen werden. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden (COBIT, ITIL)). |
'''Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF)''': | '''Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF)''': | ||
Zeile 120: | Zeile 112: | ||
*das Managen von Governance-Prozessen, | *das Managen von Governance-Prozessen, | ||
*das Bewerten der Übereinstimmung mit den definierten Vorgaben, | *das Bewerten der Übereinstimmung mit den definierten Vorgaben, | ||
− | *das Festlegen von Service Level Agreements und Operational Level Agreements | + | *das Festlegen von Service Level Agreements und Operational Level Agreements, |
− | * | + | *die Nutzung von Vorlagen, Anpassung und Wiederverwendung und |
*die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support. | *die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support. | ||
Zeile 128: | Zeile 120: | ||
=== Überblick === | === Überblick === | ||
− | Die Ausführung von Governance-Aktivitäten | + | Die Ausführung von Governance-Aktivitäten unterscheidet sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und muss dementsprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet. |
− | *'''Vorgaben''' treffen, um Ziele zu erreichen | + | *'''Vorgaben''' treffen, um Ziele zu erreichen, |
− | *'''Zuständigkeiten''' festlegen, wer Vorgaben macht | + | *'''Zuständigkeiten''' festlegen, wer Vorgaben macht, |
− | *'''Service Level Agreements''' (SLA’s) definieren | + | *'''Service Level Agreements''' (SLA’s) definieren, |
− | *'''Überwachung und Reporting''' | + | *'''Überwachung und Reporting.''' |
=== Vorgaben für IVS-Governance === | === Vorgaben für IVS-Governance === | ||
Zeile 147: | Zeile 139: | ||
**Rechtliche Gestaltung der Zusammenarbeit | **Rechtliche Gestaltung der Zusammenarbeit | ||
**Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...) | **Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...) | ||
− | **Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding...) | + | **Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding ...) |
*Finanzierung gemeinsamer Ressourcen | *Finanzierung gemeinsamer Ressourcen | ||
Zeile 154: | Zeile 146: | ||
**Verteilung der Einkünfte | **Verteilung der Einkünfte | ||
− | *Organisation | + | *Organisation des Operativen Betriebs |
**Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter) | **Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter) | ||
**Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen | **Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen | ||
Zeile 171: | Zeile 163: | ||
Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Die Zusammenhänge können in einer Matrix dargestellt werden, wie hier ein Beispiel aus dem Bereich der Enterprise Architekturen zeigt: | Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Die Zusammenhänge können in einer Matrix dargestellt werden, wie hier ein Beispiel aus dem Bereich der Enterprise Architekturen zeigt: | ||
− | [[File:Festlegung von Zuständigkeiten Governance.jpg|thumb| | + | [[File:Festlegung von Zuständigkeiten Governance.jpg|thumb|center|400px|Beispiel: Festlegung von Zuständigkeiten]] |
− | |||
− | |||
=== Service Level Agreements === | === Service Level Agreements === | ||
Zeile 179: | Zeile 169: | ||
'''Service Level Agreement (SLA)''' | '''Service Level Agreement (SLA)''' | ||
− | Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen | + | Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen werden. Verträge stellen ein ergebnisorientiertes Kontrollinstrument dar. Das Definieren von Service Level Agreements dient somit der Überwachung und Sicherstellung zur Zielerreichung. Hierfür werden u.a. eine Service-Qualität und Leistungsmerkmale festgelegt, die dem Dienst bzw. dem Dienstvertrag zugeordnet sind. Die festgelegten Kriterien dienen der späteren Ergebniskontrolle (Überwachung und Reporting). Festgelegte Kennzahlen schränken zudem opportunistisches Verhalten der Service-Lieferanten ein. |
'''Operational Level Agreement (OLA)''' | '''Operational Level Agreement (OLA)''' | ||
− | Wikipedia definiert den Begriff OLA als eine Vereinbarung, die üblicherweise innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird und der Absicherung eines übergeordneten SLAs der Organisation gegenüber einem Dritten dient. Somit ist das OLA im Gegensatz zum SLA eine organisationsinterne, nicht vertragliche Vereinbarung zur Absicherung der höherwertigen Vereinbarung. Beide Dokumenttypen verwenden jedoch in der Regel identische Strukturen und enthalten vergleichbare konkrete Details zu Absprachen über die Erbringung von definierten Services (IT- oder TK-Leistungen).<ref> https://de.wikipedia.org/wiki/Operational_Level_Agreement </ref> | + | Wikipedia definiert den Begriff OLA als eine Vereinbarung, die üblicherweise innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird und der Absicherung eines übergeordneten SLAs der Organisation gegenüber einem Dritten dient. Somit ist das OLA im Gegensatz zum SLA eine organisationsinterne, nicht vertragliche Vereinbarung zur Absicherung der höherwertigen Vereinbarung. Beide Dokumenttypen verwenden jedoch in der Regel identische Strukturen und enthalten vergleichbare konkrete Details zu Absprachen über die Erbringung von definierten Services (IT- oder TK-Leistungen).<ref>Wikipedia Artikel (2016): Operational Level Agreement. Online verfügbar unter https://de.wikipedia.org/wiki/Operational_Level_Agreement, zuletzt aktualisiert am 23.12.2016, zuletzt geprüft am 08.11.2017.</ref> |
=== Überwachung und Reporting === | === Überwachung und Reporting === | ||
− | Eine Überwachung erfolgt bspw. mithilfe eines Performance-Managements. Das Performance-Management ist eng verbunden mit dem Prozess der kontinuierlichen Verbesserung und umfasst Überwachung, Steuern und die Erstellung von | + | Eine Überwachung erfolgt bspw. mithilfe eines Performance-Managements. Das Performance-Management ist eng verbunden mit dem Prozess der kontinuierlichen Verbesserung und umfasst Überwachung, Steuern und die Erstellung von Leistungsberichten und Leistungsauswertungen. Mithilfe eines Performance-Managements wird sichergestellt, dass Aktivitäten und Services mit den festgelegten Kriterien übereinstimmen. Eine Überwachung erfolgt durch einen Vergleich von durchgeführten Aktivitäten und Services mit festgelegten Vorgaben und mit Reportings.<ref>TOGAF® Version 9.1: The Open Group. Online verfügbar unter http://pubs.opengroup.org/architecture/togaf9-doc/arch/, zuletzt geprüft am 02.11.2017.</ref> |
=== Was gehört zu IVS-Governance === | === Was gehört zu IVS-Governance === | ||
Zeile 194: | Zeile 184: | ||
*Policy Management | *Policy Management | ||
− | **Dieser formale Prozess muss sicherstellen, dass anfallende Architektur-Änderungen, Verträge oder allgemeine Informationen richtig aufgenommen, wenn nötig aktualisiert, validiert und publiziert | + | **Dieser formale Prozess muss sicherstellen, dass anfallende Architektur-Änderungen, Verträge oder allgemeine Informationen richtig aufgenommen, wenn nötig aktualisiert, validiert und publiziert werden. Somit wird durch diesen Governance-Prozess die Integration in bestehende Governance-Strukturen ermöglicht und bereits bestehender Governance-Inhalt gemanagt und auditiert. |
*Compliance (Sicherstellung der Übereinstimmung) | *Compliance (Sicherstellung der Übereinstimmung) | ||
− | **Regelmäßige "Compliance-Assessments" müssen durchgeführt werden, zur Sicherstellung der Einhaltung von SLAs, OLAs, Standards und regulatorischen Anforderungen. Nach der Durchführung der Assessments | + | **Regelmäßige "Compliance-Assessments" müssen durchgeführt werden, zur Sicherstellung der Einhaltung von SLAs, OLAs, Standards und regulatorischen Anforderungen. Nach der Durchführung der Assessments werden diese entweder akzeptiert oder bei nicht eingehaltenen Vorgaben abgelehnt. |
*Dispensation | *Dispensation | ||
− | **Wird eine Compliance-Assessment abgelehnt, da Vorgaben nicht eingehalten worden sind, werden durch den Prozess der Dispensation alternative Möglichkeiten und Aktivitäten erarbeitet, um den internen Vorgaben wieder zu entsprechen und somit flexibel reagieren und vor allem SLAs und OLAs | + | **Wird eine Compliance-Assessment abgelehnt, da Vorgaben nicht eingehalten worden sind, werden durch den Prozess der Dispensation alternative Möglichkeiten und Aktivitäten erarbeitet, um den internen Vorgaben wieder zu entsprechen und somit flexibel reagieren und vor allem SLAs und OLAs einhalten zu können. |
*Monitoring, Reporting | *Monitoring, Reporting | ||
Zeile 206: | Zeile 196: | ||
*Business Control | *Business Control | ||
− | **Ein Vorgang der Entscheidungsfindung, | + | **Ein Vorgang der Entscheidungsfindung, in dem entsprechende Entscheidungslogik auf die Auswahl eines Ansatzes zur korrekten Ausführung eines Prozesses hinsichtlich der dafür gültigen Vorgaben (Governance- Kriterien) angewendet wird. |
*Environment Management | *Environment Management | ||
− | **Dieser Prozess dient der Sicherstellung einer stabilen Governance-Umgebung. Hierunter fallen administrative Prozesse, bspw. User-Management und | + | **Dieser Prozess dient der Sicherstellung einer stabilen Governance-Umgebung. Hierunter fallen administrative Prozesse, bspw. User-Management und Definieren/Einhalten interner SLAs. |
==== Inhalte einer IVS-Governance ==== | ==== Inhalte einer IVS-Governance ==== | ||
Zeile 217: | Zeile 207: | ||
*Autoritätsstrukturen | *Autoritätsstrukturen | ||
*Standards und | *Standards und | ||
− | *ein Repository | + | *ein Repository. |
== Literaturverzeichnis == | == Literaturverzeichnis == |
Aktuelle Version vom 13. Februar 2018, 10:16 Uhr
Inhaltsverzeichnis
Herkunft und Verwendung des Governance-Begriffs
Wikipedia
Gemäß Wikipedia [1] wird der Begriff Governance "(von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als Regierungs-, Amts- bzw. Unternehmensführung, auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet".
ISO/IEC 38500 Standard
Im ISO/IEC 38500 Standard - Corporate Governance in Information Technology [2] ist der Begriff "Governance" mit dem Ziel eingeführt, Institutionen bei der Einrichtung ihrer IT-Prozesse so zu unterstützen, dass zum einen gesetzliche Vorschriften aber auch branchenspezifische Regularien eingehalten werden und dass die Prozesse diesen entsprechen.
Grundbestandteil des ISO/IEC 38500 Standards sind sechs Prinzipien für gute Unternehmensführung in der IT
- Responsibility (Verantwortung)
- Die Verantwortung für die IT-Belange muss von der Unternehmensleitung (Topmanagement) getragen werden.
- Strategy (Strategie)
- Die IT-Strategien leiten sich aus Unternehmensstrategien ab, um das IT-Potenzial zu erweitern. Die Unternehmensstrategien definieren die Anforderungen an die derzeitige und zukünftige Ausrichtung der IT.
- Acquisition (Beschaffung)
- Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.
- Performance (Leistung)
- Die Leistung der IT-Services soll entsprechend den Anforderungen der Fach- und Organisationsbereiche gestaltet werden.
- Conformance (Konformität)
- Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.
- Human Behaviour (der menschliche Faktor)
- Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten.
Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet:
- Bewertung
- Kontinuierliche Beurteilung des IT-Einsatzes unter Berücksichtigung aller Einflussfaktoren.
- Leitung
- Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.
- Kontrolle
- Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.
COBIT
Das COBIT 5 Prozess Referenzmodell der ISACA Organisation[3] unterteilt die IT-relevanten Aktivitäten der Unternehmensführung in die Bereiche Governance und Management und grenzt diese damit gegeneinander ab:
- The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined.
- The four Management domains are in line with the responsibility areas of plan, build, run and monitor (PBRM).
COBIT 5 for Information Security examines each of the processes from an information security perspective.
Governance vs. Management
Wichtig ist, dass zwischen Governance und Management differenziert werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich
- ihres Zwecks,
- ihrer Verantwortlichkeiten und
- ihrer Aktivitäten.
Während Governance sich darauf fokussiert
- zu bewerten (über Ziele, die erreicht werden sollen, abzustimmen und festzulegen),
- zu lenken (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden) und
- zu überwachen (damit Ziele durch ausgeführte Aktivitäten erreicht werden),
fokussiert sich Management auf
- das Planen,
- das Festlegen,
- das Durchführen und
- das Überwachen
von Aktivitäten zur Erreichung der Ziele.
Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen (nach COBIT 5.0, Prinzip 5).
Übertragung des Governance-Konzepts auf IVS
Warum "Governance" und nicht "Management" von IVS-Diensten
IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpfungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständigen verändernden Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen.
Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslösungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen oder es fehlt an der notwendigen Anpassungsfähigkeit an dem sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande, wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen.
Vor diesem Hintergrund wird deutlich, dass "Management" als klassisches Instrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zielerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen.
An dieser Stelle setzt das Governance-Prinzip und -Konzept an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild.
Bedeutung von Governance für IVS
Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele erreicht werden, aber auch, dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen sowie Performance überwacht werden.
Dies geschieht durch Vorgaben (Richtung vorgeben), Überwachung der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben (Evaluierung).
Die Vorgaben können sich z. B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht.
Beispiele sind:
- Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden.
- Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig (z. B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance).
- Im Bereich der Serviceorientierung spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden.
- Zentral ist es, auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien zu etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können.
- SLAs für IVS-Dienste, SLAs für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden und auch hier sollten Governance-Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt.
Notwendigkeit von IVS-Governance
Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung zur konkreten Ausführung der Governance geschaffen werden. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden (COBIT, ITIL)).
Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF):
- das Managen von Governance-Prozessen,
- das Bewerten der Übereinstimmung mit den definierten Vorgaben,
- das Festlegen von Service Level Agreements und Operational Level Agreements,
- die Nutzung von Vorlagen, Anpassung und Wiederverwendung und
- die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support.
Governance-Aktivitäten
Überblick
Die Ausführung von Governance-Aktivitäten unterscheidet sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und muss dementsprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet.
- Vorgaben treffen, um Ziele zu erreichen,
- Zuständigkeiten festlegen, wer Vorgaben macht,
- Service Level Agreements (SLA’s) definieren,
- Überwachung und Reporting.
Vorgaben für IVS-Governance
- Arten von Vorgaben für IVS-Wertschöpfungsketten
- räumlich/verkehrspolitisch
- wirtschaftlich, förderungstechnisch
- rechtlich (EU, national, regional)
- normativ (Richtlinien und Standards)
- Gesetzliche und rechtliche Grundlagen
- Europäische und nationale Gesetze und Regulierungen (rechtlich, fachlich)
- Rechtliche Gestaltung der Zusammenarbeit
- Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...)
- Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding ...)
- Finanzierung gemeinsamer Ressourcen
- Finanzielle Beteiligung der Partner
- Förderquellen
- Verteilung der Einkünfte
- Organisation des Operativen Betriebs
- Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter)
- Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
- Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
- Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
- Time-Out Kriterien
- Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten
- Räumlich/Verkehrspolitisch
- Wirtschaftlich, Förderungstechnisch
- Rechtlich (EU, national, regional)
- Normativ (Richtlinien und Standards)
Festlegung von Zuständigkeiten für IVS-Governance-Vorgaben
Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Die Zusammenhänge können in einer Matrix dargestellt werden, wie hier ein Beispiel aus dem Bereich der Enterprise Architekturen zeigt:
Service Level Agreements
Service Level Agreement (SLA)
Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen werden. Verträge stellen ein ergebnisorientiertes Kontrollinstrument dar. Das Definieren von Service Level Agreements dient somit der Überwachung und Sicherstellung zur Zielerreichung. Hierfür werden u.a. eine Service-Qualität und Leistungsmerkmale festgelegt, die dem Dienst bzw. dem Dienstvertrag zugeordnet sind. Die festgelegten Kriterien dienen der späteren Ergebniskontrolle (Überwachung und Reporting). Festgelegte Kennzahlen schränken zudem opportunistisches Verhalten der Service-Lieferanten ein.
Operational Level Agreement (OLA)
Wikipedia definiert den Begriff OLA als eine Vereinbarung, die üblicherweise innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird und der Absicherung eines übergeordneten SLAs der Organisation gegenüber einem Dritten dient. Somit ist das OLA im Gegensatz zum SLA eine organisationsinterne, nicht vertragliche Vereinbarung zur Absicherung der höherwertigen Vereinbarung. Beide Dokumenttypen verwenden jedoch in der Regel identische Strukturen und enthalten vergleichbare konkrete Details zu Absprachen über die Erbringung von definierten Services (IT- oder TK-Leistungen).[4]
Überwachung und Reporting
Eine Überwachung erfolgt bspw. mithilfe eines Performance-Managements. Das Performance-Management ist eng verbunden mit dem Prozess der kontinuierlichen Verbesserung und umfasst Überwachung, Steuern und die Erstellung von Leistungsberichten und Leistungsauswertungen. Mithilfe eines Performance-Managements wird sichergestellt, dass Aktivitäten und Services mit den festgelegten Kriterien übereinstimmen. Eine Überwachung erfolgt durch einen Vergleich von durchgeführten Aktivitäten und Services mit festgelegten Vorgaben und mit Reportings.[5]
Was gehört zu IVS-Governance
Prozesse einer IVS-Governance
- Policy Management
- Dieser formale Prozess muss sicherstellen, dass anfallende Architektur-Änderungen, Verträge oder allgemeine Informationen richtig aufgenommen, wenn nötig aktualisiert, validiert und publiziert werden. Somit wird durch diesen Governance-Prozess die Integration in bestehende Governance-Strukturen ermöglicht und bereits bestehender Governance-Inhalt gemanagt und auditiert.
- Compliance (Sicherstellung der Übereinstimmung)
- Regelmäßige "Compliance-Assessments" müssen durchgeführt werden, zur Sicherstellung der Einhaltung von SLAs, OLAs, Standards und regulatorischen Anforderungen. Nach der Durchführung der Assessments werden diese entweder akzeptiert oder bei nicht eingehaltenen Vorgaben abgelehnt.
- Dispensation
- Wird eine Compliance-Assessment abgelehnt, da Vorgaben nicht eingehalten worden sind, werden durch den Prozess der Dispensation alternative Möglichkeiten und Aktivitäten erarbeitet, um den internen Vorgaben wieder zu entsprechen und somit flexibel reagieren und vor allem SLAs und OLAs einhalten zu können.
- Monitoring, Reporting
- siehe Performance-Management
- Business Control
- Ein Vorgang der Entscheidungsfindung, in dem entsprechende Entscheidungslogik auf die Auswahl eines Ansatzes zur korrekten Ausführung eines Prozesses hinsichtlich der dafür gültigen Vorgaben (Governance- Kriterien) angewendet wird.
- Environment Management
- Dieser Prozess dient der Sicherstellung einer stabilen Governance-Umgebung. Hierunter fallen administrative Prozesse, bspw. User-Management und Definieren/Einhalten interner SLAs.
Inhalte einer IVS-Governance
- Anforderungen
- SLAs und OLAs
- Autoritätsstrukturen
- Standards und
- ein Repository.
Literaturverzeichnis
- ↑ Wikipedia Artikel (2017): Governance. Online verfügbar unter https://de.wikipedia.org/wiki/Governance, zuletzt aktualisiert am 22.10.2017, zuletzt geprüft am 08.11.2017.
- ↑ ISO/IEC 38500 (2008): Corporate governance of information technology. Online verfügbar unter https://www.iso.org/ru/standard/51639.html, zuletzt geprüft am 08.11.2017.
- ↑ ISACA: Das COBIT 5 Prozess Referenzmodell. Online verfügbar unter http://www.isaca.org/COBIT/Pages/default.aspx, zuletzt geprüft am 08.11.2017.
- ↑ Wikipedia Artikel (2016): Operational Level Agreement. Online verfügbar unter https://de.wikipedia.org/wiki/Operational_Level_Agreement, zuletzt aktualisiert am 23.12.2016, zuletzt geprüft am 08.11.2017.
- ↑ TOGAF® Version 9.1: The Open Group. Online verfügbar unter http://pubs.opengroup.org/architecture/togaf9-doc/arch/, zuletzt geprüft am 02.11.2017.