IVS-Governance
Inhaltsverzeichnis
Herkunft und Verwendung des Governance-Begriffs
Wikipedia
Gemäß Wikipedia [1] wird der Begriff Governance (von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als Regierungs-, Amts- bzw. Unternehmensführung, auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet.
ISO/IEC 38500 Standard
Im ISO/IEC 38500 Standard - Corporate Governance in Information Technology [2] ist der Begriff "Governance" mit dem Ziel eingeführt, Institutionen bei der Einrichtung ihrer IT-Prozesse so zu unterstützen, dass zum einen gesetzliche Vorschriften aber auch branchenspezifische Regularien eingehalten werden und dass die Prozesse diesen entsprechen.
Grundbestandteil des ISO/IEC 38500 Standards sind sechs Prinzipien für gute Unternehmensführung in der IT
- Responsibility (Verantwortung)
- Die Verantwortung für die IT-Belange muss von der Unternehmensleitung (Topmanagement) getragen werden.
- Strategy (Strategie)
- Die IT-Strategien leiten sich aus Unternehmensstrategien ab, um das IT-Potenzial zu erweitern. Die Unternehmensstrategien definieren die Anforderungen an die derzeitige und zukünftige Ausrichtung der IT.
- Acquisition (Beschaffung)
- Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.
- Performance (Leistung)
- Die Leistung der IT-Services soll entsprechend den Anforderungen der Fach- und Organisationsbereiche gestaltet werden.
- Conformance (Konformität)
- Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.
- Human Behaviour (der menschliche Faktor)
- Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten.
Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet
- Bewertung
- Kontinuierliche Beurteilung des IT-Einsatzes unter Berücksichtigung aller Einflussfaktoren.
- Leitung
- Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.
- Kontrolle
- Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.
COBIT
Das COBIT 5 Prozess Referenzmodell der ISACA Organsiation[3] unterteilt die IT-relevanten Aktivititäten der Unternehmensführung in die Bereiche Governance und Management und grenzt diese damit gegeneinander ab:
- The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined.
- The four Management domains are in line with the responsibility areas of plan, build, run and monitor (PBRM).
COBIT 5 for Information Security examines each of the processes from an information security perspective.
Governance vs. Management
Wichtig ist, dass zwischen Governance und Management diefferenziert werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich
- ihres Zwecks,
- ihrer Verantwortlichkeiten und
- ihrer Aktivitäten.
Während Governance sich darauf fokussiert
- zu bewerten (über Ziele, die erreicht werden sollen abzustimmen und festzulegen),
- zu lenken (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden)
- und zu überwachen (damit Ziele durch ausgeführte Aktivitäten erreicht werden),
fokussiert sich Management auf
- das Planen,
- das Festlegen,
- das Durchführen
- und das Überwachen
von Aktivitäten zur Erreichung der Ziele.
Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen.
Übertragung des Governance-Konzepts auf IVS
Warum "Governance" und nicht "Management" von IVS-Diensten
IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständige veränderenden Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen.
Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslöungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen, oder es fehlt an der notwendigen Anpassungsfähigkeit an den sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen.
Vor diesem Hintergrund wird deutlich, dass "Management" als klassiches Intrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zilerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen.
An dieser Stelle setzt das Governance-Prinzip und -Konzept an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild.
Bedeutung von Governance für IVS
Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele, erreicht werden, aber auch dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen, Performance überwacht werden.
Dies geschieht durch Vorgaben (Richtung vorgeben), Überwachung der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben (Evaluierung).
Die Vorgaben können sich z.B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht.
Beispiele sind:
- Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden.
- Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten, etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig. (z.B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance.)
- Im Bereich der Serviceorientierung, spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden.
- Zentral ist es auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können.
- SLA für IVS-Dienste, SLA’s für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden auch hier sollten Governance Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt.
Notwendigkeit von IVS-Governance
Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung geschaffen werden zur konkreten Ausführung der Governance. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden. (COBIT, ITIL))
Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF):
- das Managen von Governance-Prozessen,
- das Bewerten der Übereinstimmung mit den definierten Vorgaben,
- das Festlegen von Service Level Agreements und Operational Level Agreements
- sowie die Nutzung von Vorlagen, Anpassung und Wiederverwendung,
- die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support.
Governance-Aktivitäten
Überblick
Die Ausführung von Governance-Aktivitäten unterscheiden sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und müssen demensprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet.
- Vorgaben treffen, um Ziele zu erreichen
- Zuständigkeiten festlegen, wer Vorgaben macht
- Service Level Agreements (SLA’s) definieren
- Überwachung und Reporting
Vorgaben für IVS-Governance
- Arten von Vorgaben für IVS-Wertschöpfungsketten
- räumlich/verkehrspolitisch
- wirtschaftlich, förderungstechnisch
- rechtlich (EU, national, regional)
- normativ (Richtlinien und Standards)
- Gesetzliche und rechtliche Grundlagen
- Europäische und nationale Gesetze und Regulierungen (rechtlich, fachlich)
- Rechtliche Gestaltung der Zusammenarbeit
- Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...)
- Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding...)
- Finanzierung gemeinsamer Ressourcen
- Finanzielle Beteiligung der Partner
- Förderquellen
- Verteilung der Einkünfte
- Organisation der Operativen Betriebs
- Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter)
- Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
- Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
- Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
- Time-Out Kriterien
- Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten
- Räumlich/Verkehrspolitisch
- Wirtschaftlich, Förderungstechnisch
- Rechtlich (EU, national, regional)
- Normativ (Richtlinien und Standards)
Festlegung von Zuständigkeiten für Governanc- Vorgaben
Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Hier ein Beispiel aus dem Bereich der Enterprise Architekturen:
Service Level Agreements
...
Überwachung un Reporting
...
Was gehört zu IVS-Governance
Prozesse einer IVS-Governance
- Policy Management
- Compliance (Sicherstellung der Übereinstimmung)
- Dispensation
- Monitoring, Reporting
- Business Control
- Environment Management
Prozesse einer IVS-Governance
- Anforderungen
- SLAs und OLAs
- Autoritätsstrukturen
- Standards und
- ein Repository
Literaturverzeichnis
- ↑ https://de.wikipedia.org/wiki/Governance
- ↑ ISO/IEC 38500: Corporate Governance in Information Technology (2008)
- ↑ https://www.isaca.org/Pages/default.aspx?cid=1000270&Appeal=SEM