IVS-Governance: Unterschied zwischen den Versionen

Aus IVS-Wiki
Zur Navigation springen Zur Suche springen
 
(72 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
== IVS-Governance ==
 
=== Installierung der IVS-Wertschöfungskette ===
 
  
===Rechtsform und vertragliche Gestaltung der Zusammenarbeit ===
+
== Herkunft und Verwendung des Governance-Begriffs ==
* Kooperationsvereinbarung/MoU-Memorandum of Understanding
 
  
===Finanzierung gemeinsamer Ressourcen ===  
+
=== Wikipedia ===
  
=== Organisation der Operativen Betriebs ===
+
Gemäß Wikipedia <ref>Wikipedia Artikel (2017): Governance. Online verfügbar unter https://de.wikipedia.org/wiki/Governance, zuletzt aktualisiert am 22.10.2017, zuletzt geprüft am 08.11.2017.</ref> wird der Begriff '''Governance'''&nbsp;"(von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als '''Regierungs-, Amts- bzw. Unternehmensführung''', auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet".
*Kontaktpunkte der beteiligten IVS-Akteure
 
** Adresse
 
** Verantwortliche Person 
 
** Stellvertreter
 
*Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
 
*Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
 
*Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
 
*Time-Out Kriterien
 
  
=== Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten ===
+
=== ISO/IEC 38500 Standard ===
*Räumlich/Verkehrspolitisch
+
 
*Wirtschaftlich, Förderungstechnisch
+
Im '''ISO/IEC 38500 Standard - Corporate Governance in Information Technology''' <ref>ISO/IEC 38500 (2008): Corporate governance of information technology. Online verfügbar unter https://www.iso.org/ru/standard/51639.html, zuletzt geprüft am 08.11.2017.</ref> ist der Begriff "Governance" mit dem Ziel eingeführt, Institutionen bei der Einrichtung ihrer IT-Prozesse so zu unterstützen, dass zum einen '''gesetzliche Vorschriften''' aber auch '''branchenspezifische Regularien''' eingehalten werden und dass die Prozesse diesen entsprechen.
*Rechtlich (EU, national, regional)
+
 
*Normativ
+
<u>Grundbestandteil des ISO/IEC 38500 Standards sind '''sechs Prinzipien für gute Unternehmensführung in der IT'''</u>
 +
 
 +
;Responsibility (Verantwortung)
 +
:Die Verantwortung für die IT-Belange muss von der Unternehmensleitung (Topmanagement) getragen werden.
 +
;Strategy (Strategie)
 +
:Die IT-Strategien leiten sich aus Unternehmensstrategien ab, um das IT-Potenzial zu erweitern. Die Unternehmensstrategien definieren die Anforderungen an die derzeitige und zukünftige Ausrichtung der IT.
 +
;Acquisition (Beschaffung)
 +
:Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.
 +
;Performance (Leistung)
 +
:Die Leistung der IT-Services soll entsprechend den Anforderungen der Fach- und Organisationsbereiche gestaltet werden.
 +
;Conformance (Konformität)
 +
:Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.
 +
;Human Behaviour (der menschliche Faktor)
 +
:Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten.
 +
 
 +
<u>Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet:</u>
 +
 
 +
;Bewertung
 +
:Kontinuierliche Beurteilung des IT-Einsatzes unter Berücksichtigung aller Einflussfaktoren.
 +
;Leitung
 +
:Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.
 +
;Kontrolle
 +
:Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.
 +
 
 +
----
 +
 
 +
=== COBIT ===
 +
 
 +
Das COBIT 5 Prozess Referenzmodell der ISACA Organisation<ref>ISACA: Das COBIT 5 Prozess Referenzmodell. Online verfügbar unter http://www.isaca.org/COBIT/Pages/default.aspx, zuletzt geprüft am 08.11.2017.</ref> unterteilt die IT-relevanten Aktivitäten&nbsp;der Unternehmensführung in die Bereiche '''Governance''' und '''Management''' und grenzt diese damit gegeneinander ab:
 +
 
 +
*The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined.
 +
*The four Management domains are in line with the responsibility areas of plan, build, run and monitor (PBRM).
 +
 
 +
COBIT 5 for Information Security examines each of the processes from an information security perspective.
 +
 
 +
== Governance vs. Management ==
 +
 
 +
Wichtig ist, dass zwischen Governance und Management differenziert&nbsp;werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich
 +
 
 +
*ihres Zwecks,
 +
*ihrer Verantwortlichkeiten und
 +
*ihrer Aktivitäten.
 +
 
 +
<u>Während '''Governance''' sich darauf fokussiert</u>
 +
 
 +
*zu '''bewerten''' (über Ziele, die erreicht werden sollen, abzustimmen und festzulegen),
 +
*zu '''lenken''' (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden) und
 +
*zu '''überwachen''' (damit Ziele durch ausgeführte Aktivitäten erreicht werden),
 +
 
 +
<u>fokussiert sich '''Management''' auf</u>
 +
 
 +
*das Planen,
 +
*das Festlegen,
 +
*das Durchführen und
 +
*das Überwachen
 +
 
 +
von Aktivitäten zur Erreichung der Ziele.
 +
 
 +
Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen (nach COBIT 5.0, Prinzip 5).
 +
 
 +
== Übertragung des Governance-Konzepts auf IVS ==
 +
 
 +
=== Warum "Governance" und nicht "Management" von IVS-Diensten ===
 +
 
 +
IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpfungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständigen verändernden&nbsp;Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen.
 +
 
 +
Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslösungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen oder es fehlt an der notwendigen Anpassungsfähigkeit an dem sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande, wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen.
 +
 
 +
[[File:Cobit-Governance.png|thumb|right|300px|COBIT: Abgrenzung von Governance und Management]]
 +
 
 +
Vor diesem Hintergrund wird deutlich, dass "Management" als klassisches&nbsp;Instrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zielerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen.
 +
 
 +
An dieser Stelle setzt das '''Governance-Prinzip und -Konzept''' an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild.
 +
 
 +
=== Bedeutung von Governance für IVS ===
 +
 
 +
Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele&nbsp;erreicht werden, aber auch, dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen sowie&nbsp;Performance überwacht werden.
 +
 
 +
Dies geschieht durch Vorgaben ('''Richtung vorgeben'''), '''Überwachung''' der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben ('''Evaluierung''').
 +
 
 +
Die Vorgaben können sich z. B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht.
 +
 
 +
Beispiele sind:
 +
 
 +
*Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden.
 +
 
 +
*Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten&nbsp;etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig&nbsp;(z. B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance).
 +
 
 +
*Im Bereich der Serviceorientierung spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden.
 +
 
 +
*Zentral ist es, auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien zu etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können.
 +
 
 +
*SLAs für IVS-Dienste, SLAs für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden und auch hier sollten Governance-Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt.
 +
 
 +
=== Notwendigkeit von IVS-Governance ===
 +
 
 +
Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung zur konkreten Ausführung der Governance&nbsp; geschaffen werden. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden (COBIT, ITIL)).
 +
 
 +
'''Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF)''':
 +
 
 +
*das Managen von Governance-Prozessen,
 +
*das Bewerten der Übereinstimmung mit den definierten Vorgaben,
 +
*das Festlegen von Service Level Agreements und Operational Level Agreements,
 +
*die Nutzung von Vorlagen, Anpassung und Wiederverwendung und
 +
*die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support.
 +
 
 +
== Governance-Aktivitäten ==
 +
 
 +
=== Überblick ===
 +
 
 +
Die Ausführung von Governance-Aktivitäten unterscheidet&nbsp;sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und muss dementsprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet.
 +
 
 +
*'''Vorgaben''' treffen, um Ziele zu erreichen,
 +
*'''Zuständigkeiten''' festlegen, wer Vorgaben macht,
 +
*'''Service Level Agreements''' (SLA’s) definieren,
 +
*'''Überwachung und Reporting.'''
 +
 
 +
=== Vorgaben für IVS-Governance ===
 +
 
 +
*Arten von Vorgaben für IVS-Wertschöpfungsketten
 +
**räumlich/verkehrspolitisch
 +
**wirtschaftlich, förderungstechnisch
 +
**rechtlich (EU, national, regional)
 +
**normativ (Richtlinien und Standards) 
 +
 
 +
*Gesetzliche und rechtliche Grundlagen
 +
**Europäische und nationale Gesetze und Regulierungen (rechtlich, fachlich)
 +
**Rechtliche Gestaltung der Zusammenarbeit
 +
**Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...)
 +
**Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding ...) 
 +
 
 +
*Finanzierung gemeinsamer Ressourcen
 +
**Finanzielle Beteiligung der Partner
 +
**Förderquellen
 +
**Verteilung der Einkünfte 
 +
 
 +
*Organisation des&nbsp;Operativen Betriebs
 +
**Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter)
 +
**Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
 +
**Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
 +
**Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
 +
**Time-Out Kriterien 
 +
 
 +
*Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten
 +
**Räumlich/Verkehrspolitisch  
 +
**Wirtschaftlich, Förderungstechnisch  
 +
**Rechtlich (EU, national, regional)  
 +
**Normativ (Richtlinien und Standards) 
 +
 
 +
=== Festlegung von Zuständigkeiten für IVS-Governance-Vorgaben ===
 +
 
 +
Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Die Zusammenhänge können in einer Matrix dargestellt werden, wie hier ein Beispiel aus dem Bereich der Enterprise Architekturen zeigt:
 +
 
 +
[[File:Festlegung von Zuständigkeiten Governance.jpg|thumb|center|400px|Beispiel: Festlegung von Zuständigkeiten]]
 +
 
 +
=== Service Level Agreements ===
 +
 
 +
'''Service Level Agreement (SLA)'''
 +
 
 +
Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen werden. Verträge stellen ein ergebnisorientiertes Kontrollinstrument dar. Das Definieren von Service Level Agreements dient somit der Überwachung und Sicherstellung zur Zielerreichung. Hierfür werden u.a. eine Service-Qualität und Leistungsmerkmale festgelegt, die dem Dienst bzw. dem Dienstvertrag zugeordnet sind. Die festgelegten Kriterien dienen der späteren Ergebniskontrolle (Überwachung und Reporting). Festgelegte Kennzahlen schränken zudem opportunistisches Verhalten der Service-Lieferanten ein.
 +
 
 +
'''Operational Level Agreement (OLA)'''
 +
 
 +
Wikipedia definiert den Begriff OLA als eine Vereinbarung, die üblicherweise&nbsp;&nbsp;innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird und der Absicherung eines übergeordneten SLAs der Organisation gegenüber einem Dritten dient. Somit ist das OLA im Gegensatz zum SLA eine organisationsinterne, nicht vertragliche Vereinbarung zur Absicherung der höherwertigen Vereinbarung. Beide Dokumenttypen verwenden jedoch in der Regel identische Strukturen und enthalten vergleichbare konkrete Details zu Absprachen über die Erbringung von definierten Services (IT- oder TK-Leistungen).<ref>Wikipedia Artikel (2016): Operational Level Agreement. Online verfügbar unter https://de.wikipedia.org/wiki/Operational_Level_Agreement, zuletzt aktualisiert am 23.12.2016, zuletzt geprüft am 08.11.2017.</ref>
 +
 
 +
=== Überwachung und Reporting ===
 +
 
 +
Eine Überwachung erfolgt bspw. mithilfe eines Performance-Managements. Das Performance-Management ist eng verbunden mit dem Prozess der kontinuierlichen Verbesserung und umfasst Überwachung, Steuern und die Erstellung von Leistungsberichten und Leistungsauswertungen. Mithilfe eines Performance-Managements wird sichergestellt, dass Aktivitäten und Services mit den festgelegten Kriterien übereinstimmen. Eine Überwachung erfolgt durch einen Vergleich von durchgeführten Aktivitäten und Services mit festgelegten Vorgaben und mit Reportings.<ref>TOGAF® Version 9.1: The Open Group. Online verfügbar unter http://pubs.opengroup.org/architecture/togaf9-doc/arch/, zuletzt geprüft am 02.11.2017.</ref>
 +
 
 +
=== Was gehört zu IVS-Governance ===
 +
 
 +
==== Prozesse einer IVS-Governance ====
 +
 
 +
*Policy Management
 +
**Dieser formale Prozess muss sicherstellen, dass anfallende Architektur-Änderungen, Verträge oder allgemeine Informationen richtig aufgenommen, wenn nötig aktualisiert, validiert und publiziert werden. Somit wird durch diesen Governance-Prozess die Integration in bestehende Governance-Strukturen ermöglicht und bereits bestehender&nbsp;Governance-Inhalt gemanagt und auditiert. 
 +
 
 +
*Compliance (Sicherstellung der Übereinstimmung)
 +
**Regelmäßige "Compliance-Assessments" müssen durchgeführt werden, zur Sicherstellung der Einhaltung von SLAs, OLAs, Standards und regulatorischen Anforderungen. Nach der Durchführung der Assessments werden diese entweder akzeptiert oder bei nicht eingehaltenen Vorgaben&nbsp;abgelehnt. 
 +
 
 +
*Dispensation
 +
**Wird eine Compliance-Assessment abgelehnt, da Vorgaben nicht eingehalten worden sind, werden durch den Prozess der Dispensation alternative Möglichkeiten und Aktivitäten erarbeitet, um den internen Vorgaben wieder zu entsprechen und somit flexibel reagieren und vor allem SLAs und OLAs einhalten zu können. 
 +
 
 +
*Monitoring, Reporting
 +
**siehe Performance-Management 
 +
 
 +
*Business Control
 +
**Ein Vorgang der Entscheidungsfindung, in dem entsprechende Entscheidungslogik auf die Auswahl eines Ansatzes zur korrekten Ausführung eines Prozesses hinsichtlich der dafür gültigen Vorgaben (Governance- Kriterien) angewendet wird. 
 +
 
 +
*Environment Management
 +
**Dieser Prozess dient der Sicherstellung einer stabilen Governance-Umgebung. Hierunter fallen administrative Prozesse, bspw. User-Management und Definieren/Einhalten interner SLAs. 
 +
 
 +
==== Inhalte einer IVS-Governance ====
 +
 
 +
*Anforderungen
 +
*SLAs und OLAs
 +
*Autoritätsstrukturen
 +
*Standards und
 +
*ein Repository.
 +
 
 +
== Literaturverzeichnis ==
 +
 
 +
<references />
 +
 
 +
----
 +
 
 +
[[Hauptseite|<< Zurück zur Hauptseite]]

Aktuelle Version vom 13. Februar 2018, 10:16 Uhr

Herkunft und Verwendung des Governance-Begriffs

Wikipedia

Gemäß Wikipedia [1] wird der Begriff Governance "(von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als Regierungs-, Amts- bzw. Unternehmensführung, auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet".

ISO/IEC 38500 Standard

Im ISO/IEC 38500 Standard - Corporate Governance in Information Technology [2] ist der Begriff "Governance" mit dem Ziel eingeführt, Institutionen bei der Einrichtung ihrer IT-Prozesse so zu unterstützen, dass zum einen gesetzliche Vorschriften aber auch branchenspezifische Regularien eingehalten werden und dass die Prozesse diesen entsprechen.

Grundbestandteil des ISO/IEC 38500 Standards sind sechs Prinzipien für gute Unternehmensführung in der IT

Responsibility (Verantwortung)
Die Verantwortung für die IT-Belange muss von der Unternehmensleitung (Topmanagement) getragen werden.
Strategy (Strategie)
Die IT-Strategien leiten sich aus Unternehmensstrategien ab, um das IT-Potenzial zu erweitern. Die Unternehmensstrategien definieren die Anforderungen an die derzeitige und zukünftige Ausrichtung der IT.
Acquisition (Beschaffung)
Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.
Performance (Leistung)
Die Leistung der IT-Services soll entsprechend den Anforderungen der Fach- und Organisationsbereiche gestaltet werden.
Conformance (Konformität)
Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.
Human Behaviour (der menschliche Faktor)
Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten.

Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet:

Bewertung
Kontinuierliche Beurteilung des IT-Einsatzes unter Berücksichtigung aller Einflussfaktoren.
Leitung
Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.
Kontrolle
Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.

COBIT

Das COBIT 5 Prozess Referenzmodell der ISACA Organisation[3] unterteilt die IT-relevanten Aktivitäten der Unternehmensführung in die Bereiche Governance und Management und grenzt diese damit gegeneinander ab:

  • The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined.
  • The four Management domains are in line with the responsibility areas of plan, build, run and monitor (PBRM).

COBIT 5 for Information Security examines each of the processes from an information security perspective.

Governance vs. Management

Wichtig ist, dass zwischen Governance und Management differenziert werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich

  • ihres Zwecks,
  • ihrer Verantwortlichkeiten und
  • ihrer Aktivitäten.

Während Governance sich darauf fokussiert

  • zu bewerten (über Ziele, die erreicht werden sollen, abzustimmen und festzulegen),
  • zu lenken (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden) und
  • zu überwachen (damit Ziele durch ausgeführte Aktivitäten erreicht werden),

fokussiert sich Management auf

  • das Planen,
  • das Festlegen,
  • das Durchführen und
  • das Überwachen

von Aktivitäten zur Erreichung der Ziele.

Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen (nach COBIT 5.0, Prinzip 5).

Übertragung des Governance-Konzepts auf IVS

Warum "Governance" und nicht "Management" von IVS-Diensten

IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpfungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständigen verändernden Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen.

Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslösungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen oder es fehlt an der notwendigen Anpassungsfähigkeit an dem sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande, wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen.

COBIT: Abgrenzung von Governance und Management

Vor diesem Hintergrund wird deutlich, dass "Management" als klassisches Instrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zielerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen.

An dieser Stelle setzt das Governance-Prinzip und -Konzept an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild.

Bedeutung von Governance für IVS

Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele erreicht werden, aber auch, dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen sowie Performance überwacht werden.

Dies geschieht durch Vorgaben (Richtung vorgeben), Überwachung der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben (Evaluierung).

Die Vorgaben können sich z. B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht.

Beispiele sind:

  • Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden.
  • Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig (z. B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance).
  • Im Bereich der Serviceorientierung spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden.
  • Zentral ist es, auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien zu etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können.
  • SLAs für IVS-Dienste, SLAs für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden und auch hier sollten Governance-Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt.

Notwendigkeit von IVS-Governance

Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung zur konkreten Ausführung der Governance  geschaffen werden. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden (COBIT, ITIL)).

Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF):

  • das Managen von Governance-Prozessen,
  • das Bewerten der Übereinstimmung mit den definierten Vorgaben,
  • das Festlegen von Service Level Agreements und Operational Level Agreements,
  • die Nutzung von Vorlagen, Anpassung und Wiederverwendung und
  • die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support.

Governance-Aktivitäten

Überblick

Die Ausführung von Governance-Aktivitäten unterscheidet sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und muss dementsprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet.

  • Vorgaben treffen, um Ziele zu erreichen,
  • Zuständigkeiten festlegen, wer Vorgaben macht,
  • Service Level Agreements (SLA’s) definieren,
  • Überwachung und Reporting.

Vorgaben für IVS-Governance

  • Arten von Vorgaben für IVS-Wertschöpfungsketten
    • räumlich/verkehrspolitisch
    • wirtschaftlich, förderungstechnisch
    • rechtlich (EU, national, regional)
    • normativ (Richtlinien und Standards)
  • Gesetzliche und rechtliche Grundlagen
    • Europäische und nationale Gesetze und Regulierungen (rechtlich, fachlich)
    • Rechtliche Gestaltung der Zusammenarbeit
    • Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...)
    • Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding ...)
  • Finanzierung gemeinsamer Ressourcen
    • Finanzielle Beteiligung der Partner
    • Förderquellen
    • Verteilung der Einkünfte
  • Organisation des Operativen Betriebs
    • Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter)
    • Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
    • Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
    • Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
    • Time-Out Kriterien
  • Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten
    • Räumlich/Verkehrspolitisch
    • Wirtschaftlich, Förderungstechnisch
    • Rechtlich (EU, national, regional)
    • Normativ (Richtlinien und Standards)

Festlegung von Zuständigkeiten für IVS-Governance-Vorgaben

Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Die Zusammenhänge können in einer Matrix dargestellt werden, wie hier ein Beispiel aus dem Bereich der Enterprise Architekturen zeigt:

Beispiel: Festlegung von Zuständigkeiten

Service Level Agreements

Service Level Agreement (SLA)

Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen werden. Verträge stellen ein ergebnisorientiertes Kontrollinstrument dar. Das Definieren von Service Level Agreements dient somit der Überwachung und Sicherstellung zur Zielerreichung. Hierfür werden u.a. eine Service-Qualität und Leistungsmerkmale festgelegt, die dem Dienst bzw. dem Dienstvertrag zugeordnet sind. Die festgelegten Kriterien dienen der späteren Ergebniskontrolle (Überwachung und Reporting). Festgelegte Kennzahlen schränken zudem opportunistisches Verhalten der Service-Lieferanten ein.

Operational Level Agreement (OLA)

Wikipedia definiert den Begriff OLA als eine Vereinbarung, die üblicherweise  innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird und der Absicherung eines übergeordneten SLAs der Organisation gegenüber einem Dritten dient. Somit ist das OLA im Gegensatz zum SLA eine organisationsinterne, nicht vertragliche Vereinbarung zur Absicherung der höherwertigen Vereinbarung. Beide Dokumenttypen verwenden jedoch in der Regel identische Strukturen und enthalten vergleichbare konkrete Details zu Absprachen über die Erbringung von definierten Services (IT- oder TK-Leistungen).[4]

Überwachung und Reporting

Eine Überwachung erfolgt bspw. mithilfe eines Performance-Managements. Das Performance-Management ist eng verbunden mit dem Prozess der kontinuierlichen Verbesserung und umfasst Überwachung, Steuern und die Erstellung von Leistungsberichten und Leistungsauswertungen. Mithilfe eines Performance-Managements wird sichergestellt, dass Aktivitäten und Services mit den festgelegten Kriterien übereinstimmen. Eine Überwachung erfolgt durch einen Vergleich von durchgeführten Aktivitäten und Services mit festgelegten Vorgaben und mit Reportings.[5]

Was gehört zu IVS-Governance

Prozesse einer IVS-Governance

  • Policy Management
    • Dieser formale Prozess muss sicherstellen, dass anfallende Architektur-Änderungen, Verträge oder allgemeine Informationen richtig aufgenommen, wenn nötig aktualisiert, validiert und publiziert werden. Somit wird durch diesen Governance-Prozess die Integration in bestehende Governance-Strukturen ermöglicht und bereits bestehender Governance-Inhalt gemanagt und auditiert.
  • Compliance (Sicherstellung der Übereinstimmung)
    • Regelmäßige "Compliance-Assessments" müssen durchgeführt werden, zur Sicherstellung der Einhaltung von SLAs, OLAs, Standards und regulatorischen Anforderungen. Nach der Durchführung der Assessments werden diese entweder akzeptiert oder bei nicht eingehaltenen Vorgaben abgelehnt.
  • Dispensation
    • Wird eine Compliance-Assessment abgelehnt, da Vorgaben nicht eingehalten worden sind, werden durch den Prozess der Dispensation alternative Möglichkeiten und Aktivitäten erarbeitet, um den internen Vorgaben wieder zu entsprechen und somit flexibel reagieren und vor allem SLAs und OLAs einhalten zu können.
  • Monitoring, Reporting
    • siehe Performance-Management
  • Business Control
    • Ein Vorgang der Entscheidungsfindung, in dem entsprechende Entscheidungslogik auf die Auswahl eines Ansatzes zur korrekten Ausführung eines Prozesses hinsichtlich der dafür gültigen Vorgaben (Governance- Kriterien) angewendet wird.
  • Environment Management
    • Dieser Prozess dient der Sicherstellung einer stabilen Governance-Umgebung. Hierunter fallen administrative Prozesse, bspw. User-Management und Definieren/Einhalten interner SLAs.

Inhalte einer IVS-Governance

  • Anforderungen
  • SLAs und OLAs
  • Autoritätsstrukturen
  • Standards und
  • ein Repository.

Literaturverzeichnis

  1. Wikipedia Artikel (2017): Governance. Online verfügbar unter https://de.wikipedia.org/wiki/Governance, zuletzt aktualisiert am 22.10.2017, zuletzt geprüft am 08.11.2017.
  2. ISO/IEC 38500 (2008): Corporate governance of information technology. Online verfügbar unter https://www.iso.org/ru/standard/51639.html, zuletzt geprüft am 08.11.2017.
  3. ISACA: Das COBIT 5 Prozess Referenzmodell. Online verfügbar unter http://www.isaca.org/COBIT/Pages/default.aspx, zuletzt geprüft am 08.11.2017.
  4. Wikipedia Artikel (2016): Operational Level Agreement. Online verfügbar unter https://de.wikipedia.org/wiki/Operational_Level_Agreement, zuletzt aktualisiert am 23.12.2016, zuletzt geprüft am 08.11.2017.
  5. TOGAF® Version 9.1: The Open Group. Online verfügbar unter http://pubs.opengroup.org/architecture/togaf9-doc/arch/, zuletzt geprüft am 02.11.2017.

<< Zurück zur Hauptseite