IVS-Governance
Inhaltsverzeichnis
Herkunft und Verwendung des Governance-Begriffs
Wikipedia
Gemäß Wikipedia [1] wird der Begriff Governance (von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als Regierungs-, Amts- bzw. Unternehmensführung, auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet.
ISO/IEC 38500 Standard
Im ISO/IEC 38500 Standard - Corporate Governance in Information Technology [2] ist der Begriff "Governance" mit dem Ziel eingeführt, Institutionen bei der Einrichtung ihrer IT-Prozesse so zu unterstützen, dass zum einen gesetzliche Vorschriften aber auch branchenspezifische Regularien eingehalten werden und dass die Prozesse diesen entsprechen.
Grundbestandteil des ISO/IEC 38500 Standards sind sechs Prinzipien für gute Unternehmensführung in der IT
- Responsibility (Verantwortung)
- Die Verantwortung für die IT-Belange muss von der Unternehmensleitung (Topmanagement) getragen werden.
- Strategy (Strategie)
- Die IT-Strategien leiten sich aus Unternehmensstrategien ab, um das IT-Potenzial zu erweitern. Die Unternehmensstrategien definieren die Anforderungen an die derzeitige und zukünftige Ausrichtung der IT.
- Acquisition (Beschaffung)
- Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.
- Performance (Leistung)
- Die Leistung der IT-Services soll entsprechend den Anforderungen der Fach- und Organisationsbereiche gestaltet werden.
- Conformance (Konformität)
- Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.
- Human Behaviour (der menschliche Faktor)
- Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten.
Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet
- Bewertung
- Kontinuierliche Beurteilung des IT-Einsatzes unter Berücksichtigung aller Einflussfaktoren.
- Leitung
- Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.
- Kontrolle
- Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.
COBIT
Das COBIT 5 Prozess Referenzmodell der ISACA Organsiation[3] unterteilt die IT-relevanten Aktivititäten der Unternehmensführung in die Bereiche Governance und Management und grenzt diese damit gegeneinander ab:
- The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined.
- The four Management domains are in line with the responsibility areas of plan, build, run and monitor (PBRM).
COBIT 5 for Information Security examines each of the processes from an information security perspective.
Governance vs. Management
Wichtig ist, dass zwischen Governance und Management diefferenziert werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich
- ihres Zwecks,
- ihrer Verantwortlichkeiten und
- ihrer Aktivitäten.
Während Governance sich darauf fokussiert
- zu bewerten (über Ziele, die erreicht werden sollen abzustimmen und festzulegen),
- zu lenken (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden)
- und zu überwachen (damit Ziele durch ausgeführte Aktivitäten erreicht werden),
fokussiert sich Management auf
- das Planen,
- das Festlegen,
- das Durchführen
- und das Überwachen
von Aktivitäten zur Erreichung der Ziele.
Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen.
(Nach COBIT 5.0, Prinzip 5)
Übertragung des Governance-Konzepts auf IVS
Warum "Governance" und nicht "Management" von IVS-Diensten
IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständige veränderenden Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen.
Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslöungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen, oder es fehlt an der notwendigen Anpassungsfähigkeit an dem sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen.
Vor diesem Hintergrund wird deutlich, dass "Management" als klassiches Intrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zilerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen.
An dieser Stelle setzt das Governance-Prinzip und -Konzept an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild.
Bedeutung von Governance für IVS
Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele, erreicht werden, aber auch dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen, Performance überwacht werden.
Dies geschieht durch Vorgaben (Richtung vorgeben), Überwachung der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben (Evaluierung).
Die Vorgaben können sich z.B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht.
Beispiele sind:
- Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden.
- Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten, etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig. (z.B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance.)
- Im Bereich der Serviceorientierung, spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden.
- Zentral ist es auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien zu etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können.
- SLA für IVS-Dienste, SLA’s für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden auch hier sollten Governance Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt.
Notwendigkeit von IVS-Governance
Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung geschaffen werden zur konkreten Ausführung der Governance. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden. (COBIT, ITIL))
Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF):
- das Managen von Governance-Prozessen,
- das Bewerten der Übereinstimmung mit den definierten Vorgaben,
- das Festlegen von Service Level Agreements und Operational Level Agreements
- sowie die Nutzung von Vorlagen, Anpassung und Wiederverwendung,
- die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support.
Governance-Aktivitäten
Überblick
Die Ausführung von Governance-Aktivitäten unterscheiden sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und müssen demensprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet.
- Vorgaben treffen, um Ziele zu erreichen
- Zuständigkeiten festlegen, wer Vorgaben macht
- Service Level Agreements (SLA’s) definieren
- Überwachung und Reporting
Vorgaben für IVS-Governance
- Arten von Vorgaben für IVS-Wertschöpfungsketten
- räumlich/verkehrspolitisch
- wirtschaftlich, förderungstechnisch
- rechtlich (EU, national, regional)
- normativ (Richtlinien und Standards)
- Gesetzliche und rechtliche Grundlagen
- Europäische und nationale Gesetze und Regulierungen (rechtlich, fachlich)
- Rechtliche Gestaltung der Zusammenarbeit
- Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...)
- Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding...)
- Finanzierung gemeinsamer Ressourcen
- Finanzielle Beteiligung der Partner
- Förderquellen
- Verteilung der Einkünfte
- Organisation der Operativen Betriebs
- Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter)
- Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
- Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
- Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
- Time-Out Kriterien
- Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten
- Räumlich/Verkehrspolitisch
- Wirtschaftlich, Förderungstechnisch
- Rechtlich (EU, national, regional)
- Normativ (Richtlinien und Standards)
Festlegung von Zuständigkeiten für IVS-Governance-Vorgaben
Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Die Zusammenhänge können in einer Matrix dargestellt werden, wie hier ein Beispiel aus dem Bereich der Enterprise Architekturen zeigt:
Service Level Agreements
Service Level Agreement (SLA)
Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen wird. Verträge stellen ein ergebnisorientiertes Kontrollinstrument dar. Das definieren von Service Level Agreements dient somit der Überwachung und Sicherstellung zur Zielerreichung. Hierfür werden u.a. eine Service-Qualität und Leistungsmerkmale festgelegt, die dem Dienst, bzw. dem Dienstvertrag zugeordnet sind. Die festgelegten Kriterien, dienen der späteren Ergebniskontorolle (Überwachung und Reporting). Festgelegte Kennzahlen schränken zudem opportunistisches Verhalten der Service-Lieferanten ein.
Operational Level Agreement (OLA)
Wikipedia definiert den Begriff OLA als eine Vereinbarung, die üblicherweise innerhalb einer Organisation zwischen unterschiedlichen Organisationseinheiten getroffen wird und der Absicherung eines übergeordneten SLAs der Organisation gegenüber einem Dritten dient. Somit ist das OLA im Gegensatz zum SLA eine organisationsinterne, nicht vertragliche Vereinbarung zur Absicherung der höherwertigen Vereinbarung. Beide Dokumenttypen verwenden jedoch in der Regel identische Strukturen und enthalten vergleichbare konkrete Details zu Absprachen über die Erbringung von definierten Services (IT- oder TK-Leistungen).[4]
Überwachung und Reporting
Eine Überwachung erfolgt bspw. mithilfe eines Performance-Managements. Das Performance-Management ist eng verbunden mit dem Prozess der kontinuierlichen Verbesserung und umfasst Überwachung, Steuern und die Erstellung von Leistungsbereichten und Leistungsauswertungen. Mithilfe eines Performance-Managements wird sichergestellt, dass Aktivitäten und Services mit den festgelegten Kriterien übereinstimmen. Eine Überwachung erfolgt durch einen Vergleich von durchgeführten Aktivitäten und Services mit festgelegten Vorgaben und mit Reportings. (siehe TOGAF 9.1)
Was gehört zu IVS-Governance
Prozesse einer IVS-Governance
- Policy Management
- Dieser formale Prozess muss sicherstellen, dass anfallende Architektur-Änderungen, Verträge oder allgemeine Informationen richtig aufgenommen, wenn nötig aktualisiert, validiert und publiziert und werden. Somit wird durch diesen Governance-Prozess die Integration in bestehende Governance-Strukturen ermöglicht und bereits bestehnder Governance-Inhalt gemanagt und auditiert.
- Compliance (Sicherstellung der Übereinstimmung)
- Regelmäßige "Compliance-Assessments" müssen durchgeführt werden, zur Sicherstellung der Einhaltung von SLAs, OLAs, Standards und regulatorischen Anforderungen. Nach der Durchführung der Assessments, werden diese entweder akzeptiert oder, bei nicht eingehaltenen Vorgaben, abgelehnt.
- Dispensation
- Wird eine Compliance-Assessment abgelehnt, da Vorgaben nicht eingehalten worden sind, wird durch den Prozess der Dispensation alternative Möglichkeiten und Aktivitäten erarbeitet, um den internen Vorgaben wieder zu entsprechen und somit flexibel reagieren zu können und vor allem SLAs und OLAs einzuhalten.
- Monitoring, Reporting
- siehe Performance-Management
- Business Control
- Ein Vorgang der Entscheidungsfindung, wo entsprechende Entscheidungslogik auf die Auswahl eines Ansatzes zur korrekten Ausführung eines Prozesses hinsichtlich der dafür gültigen Vorgaben (Governance- Kriterien) angewendet wird.
- Environment Management
- Dieser Prozess dient zur Sicherstellung einer stabilen Governance-Umgebung. Hierunter fallen administrative Prozesse zur Ausführung einer Service- und Prozessumgebung. Hierunter fallen bspw. Prozesse wie User-Management und interne SLAs.
Inhalte einer IVS-Governance
- Anforderungen
- SLAs und OLAs
- Autoritätsstrukturen
- Standards und
- ein Repository
Literaturverzeichnis
- ↑ https://de.wikipedia.org/wiki/Governance
- ↑ ISO/IEC 38500: Corporate Governance in Information Technology (2008)
- ↑ https://www.isaca.org/Pages/default.aspx?cid=1000270&Appeal=SEM
- ↑ https://de.wikipedia.org/wiki/Operational_Level_Agreement