IVS-Governance

Aus IVS-Wiki
Zur Navigation springen Zur Suche springen

Herkunft und Verwendung des Governance-Begriffs

Wikipedia

Gemäß Wikipedia [1] wird der Begriff Governance (von französisch gouverner („verwalten, leiten, erziehen“), aus lateinisch gubernare; gleichbedeutend griechisch κυβερνάω bzw. κυβερνῶ (kontr.) / kybernáo bzw. kybernō: das Steuerruder führen; vgl. Kybernetik) oft übersetzt als Regierungs-, Amts- bzw. Unternehmensführung, auch Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, privater oder öffentlicher Organisation. Häufig wird es auch im Sinne von Steuerung oder Regelung einer jeglichen Organisation (etwa einer Gesellschaft oder eines Betriebes) verwendet.


ISO/IEC 38500 Standard

Im ISO/IEC 38500 Standard - Corporate Governance in Information Technology [2] ist der Begriff "Governance" mit dem Ziel eingeführt, Institutionen bei der Einrichtung ihrer IT-Prozesse so zu unterstützen, dass zum einen gesetzliche Vorschriften aber auch branchenspezifische Regularien eingehalten werden und dass die Prozesse diesen entsprechen.

Grundbestandteil des ISO/IEC 38500 Standards sind sechs Prinzipien für gute Unternehmensführung in der IT

Responsibility (Verantwortung)
Die Verantwortung für die IT-Belange muss von der Unternehmensleitung (Topmanagement) getragen werden.
Strategy (Strategie)
Die IT-Strategien leiten sich aus Unternehmensstrategien ab, um das IT-Potenzial zu erweitern. Die Unternehmensstrategien definieren die Anforderungen an die derzeitige und zukünftige Ausrichtung der IT.
Acquisition (Beschaffung)
Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am Bedarf orientieren.
Performance (Leistung)
Die Leistung der IT-Services soll entsprechend den Anforderungen der Fach- und Organisationsbereiche gestaltet werden.
Conformance (Konformität)
Die IT hat mit allen rechtlichen Vorgaben, Normen, internen Standards etc. konform zu gehen.
Human Behaviour (der menschliche Faktor)
Die IT-Konzepte müssen die Bedürfnisse der internen und externen Nutzer beachten.

Jedem dieser sechs Prinzipien sind von ISO/IEC 38500 jeweils drei Funktionen zugeordnet

Bewertung
Kontinuierliche Beurteilung des IT-Einsatzes unter Berücksichtigung aller Einflussfaktoren.
Leitung
Steuerung einer Business-gerechten Fokussierung der IT-Maßnahmen.
Kontrolle
Systematische Überwachung von Regelkonformität (Compliance) und Leistungsfähigkeit der IT.

COBIT

Das COBIT 5 Prozess Referenzmodell der ISACA Organsiation[3] unterteilt die IT-relevanten Aktivititäten der Unternehmensführung in die Bereiche Governance und Management und grenzt diese damit gegeneinander ab:

  • The Governance domain contains five governance processes; within each process, evaluate, direct and monitor (EDM) practices are defined.
  • The four Management domains are in line with the responsibility areas of plan, build, run and monitor (PBRM).

COBIT 5 for Information Security examines each of the processes from an information security perspective.

Governance vs. Management

Wichtig ist, dass zwischen Governance und Management diefferenziert werden muss. Beide Disziplinen unterscheiden sich in ihren Gestaltungsbereichen und hinsichtlich

  • ihres Zwecks,
  • ihrer Verantwortlichkeiten und
  • ihrer Aktivitäten.

Während Governance sich darauf fokussiert

  • zu bewerten (über Ziele, die erreicht werden sollen abzustimmen und festzulegen),
  • zu lenken (damit Ziele erreicht werden, müssen Priorisierungen durchgeführt und Entscheidungen getroffen werden)
  • und zu überwachen (damit Ziele durch ausgeführte Aktivitäten erreicht werden),

fokussiert sich Management auf

  • das Planen,
  • das Festlegen,
  • das Durchführen
  • und das Überwachen

von Aktivitäten zur Erreichung der Ziele.

Das Management stellt also sicher, dass Aktivitäten durchgeführt und überwacht werden. Außerdem stellt es sicher, dass die Aktivitäten so gelenkt werden, wie es die Vorgaben der Governance festlegen.

Übertragung des Governance-Konzepts auf IVS

Warum "Governance" und nicht "Management" von IVS-Diensten

IVS-Dienste, die den ständig wachsenden und sich verändernden Ansprüchen heutiger End-Nutzer entsprechen wollen, weisen eine komplexe Geschäftsarchitektur auf. An IVS-Akteure, die sich in ein IVS-Wertschöpfungsnetzwerk integrieren wollen, werden hohe organisatorische und technologische und auch finanzielle Anforderungen gestellt. Zudem sind IVS-Wertschöpungsnetzwerke nicht unbedingt über viele Jahre stabil; vielmehr müssen sie in der Lage sein, sich dem aktuell ständige veränderenden Verkehrs-, Transport- und Mobilitätsmarkt schnell und zielgerichtet anzupassen.

Erfahrungen im IVS-Sektor haben gezeigt, dass traditionelle "Ein-Unternehmenslöungen", die "umfassende, ganzheitliche IVS-Dienste" anbieten wollen und an denen unterschiedliche eigenständige Institutionen/Unternehmen beteiligt (wie z.B. "PPP-Betreibermodelle") sind, weil ein Unternehmen allein nicht in der Lage ist, das ganzheitliche IVS-Diensteprofil abzudecken, in der Regel nicht erfolgreich sind. Entweder fehlt ein wirtschaftlich tragendes Geschäftsmodell oder die beteiligten Partner sehen sich nicht dauerhaft in der Lage, sich auf gemeinsame Ziele und Realisierungsstrukturen zu einigen, oder es fehlt an der notwendigen Anpassungsfähigkeit an den sich verändernden Markt. Insofern kommen heutige IVS-Dienste bis auf wenigen Ausnahmen (Google-Maps, TomTom ...) nur zustande wenn mehrere IVS-Akteure sich zu IVS-Wertschöpfungsnetzwerken dauerhaft oder auch ad hoc zusammenschließen.

COBIT: Abgrenzung von Governance und Management

Vor diesem Hintergrund wird deutlich, dass "Management" als klassiches Intrument der Unternehmensführung für die Steuerung, das Controlling und die Bewertung nicht geeignet ist, für die Zilerreichung heterogener IVS-Wertschöpfungsketten Sorge zu tragen.

An dieser Stelle setzt das Governance-Prinzip und -Konzept an, das auf die Kooperation unabhängig gemanagter Institutionen, die in IVS-Geschäftsprozessen mit jeweils "lose gekoppelten" Aktivitäten zusammenarbeiten, ausgerichtet ist. Das Prinzip zeigt nebenstehendes Bild.

Bedeutung von Governance für IVS

Vom Grunde her soll IVS-Governance also sicherstellen, dass zuvor gesetzte übergreifende IVS-Ziele, erreicht werden, aber auch dass die Interessen der beteiligten IVS-Akteure und -Stakeholder gewahrt werden. Dazu müssen Priorisierungen durchgeführt, Entscheidungen getroffen, Performance überwacht werden.

Dies geschieht durch Vorgaben (Richtung vorgeben), Überwachung der Ergebnisse und Bewertung der Ergebnisse auf Einhaltung der Vorgaben (Evaluierung).

Die Vorgaben können sich z.B. auf Prozesse beziehen oder auf den Einsatz vorbestimmter Tools. Überdies muss eine Entscheidung getroffen werden, WER die jeweiligen Vorgaben in WELCHEM Bereich macht.

Beispiele sind:

  • Bei der Entwicklung von realen IVS-Diensten sollten die Vorgaben, die von Rahmen- und Referenzarchitektur aufgestellt wurden, beachtet werden.
  • Innerhalb des IVS-Projekts und im späteren Betrieb, muss sichergestellt werden, dass die teilnehmenden IVS-Akteure Informationen, Daten, etc. austauschen können/müssen und das möglichst reibungslos. Auch hierzu sind Governance-Strukturen notwendig. (z.B. Vertraglich geregelte Governance (SLAs) und relationale Governance hinsichtlich der Austauschperformance.)
  • Im Bereich der Serviceorientierung, spielen SLAs eine große und gewinnbringende Rolle, da lose gekoppelte Dienste aus verschiedenen Verantwortungsbereichen und Organisationen möglichst stabil und reibungslos zusammenarbeiten müssen. Daher sollten beispielsweise Schnittstellen definiert werden.
  • Zentral ist es auch bei unternehmensübergreifenden IVS-Diensten gemeinsame Gremien etablieren, die Entscheidungen bezüglich des IVS-Dienstes treffen können.
  • SLA für IVS-Dienste, SLA’s für alle Beteiligten zur Bereitstellung eines IVS-Dienstes. Ein Monitoring muss stattfinden auch hier sollten Governance Strukturen hinterlegt werden. Definierte SLAs werden ebenso in einem Repository abgelegt.

Notwendigkeit von IVS-Governance

Governance ist deswegen von hoher Bedeutung, um sicherzustellen, dass alle Artefakte nach Vorgaben oder Vorschlägen „produziert“ werden und damit schlussendlich den gewünschten Nutzen zu erreichen. Um sicherzustellen, dass hierfür definierte Prozesse und Artefakte existieren und ausgeführt werden können, sollte eine passende Umgebung geschaffen werden zur konkreten Ausführung der Governance. (Zur Überwachung der angebrachten Durchführung der Projekte können Referenzdaten aus existierenden Standards und Regularien verwendet und angewendet werden. (COBIT, ITIL))

Schlüsselfaktoren für den Erfolg zur Schaffung einer funktionierenden Governance sind (laut TOGAF):

  • das Managen von Governance-Prozessen,
  • das Bewerten der Übereinstimmung mit den definierten Vorgaben,
  • das Festlegen von Service Level Agreements und Operational Level Agreements
  • sowie die Nutzung von Vorlagen, Anpassung und Wiederverwendung,
  • die Festlegung von Vorgaben, Rollen, Fähigkeiten, dafür notwendige Strukturen und Service Support.

Governance-Aktivitäten

Überblick

Die Ausführung von Governance-Aktivitäten unterscheiden sich hinsichtlich Größe, Struktur und Komplexität in der auszuführenden Organisation und müssen demensprechend ausgerichtet werden. Nachfolgend werden mögliche Governance-Aktivitäten aufgelistet.

  • Vorgaben treffen, um Ziele zu erreichen
  • Zuständigkeiten festlegen, wer Vorgaben macht
  • Service Level Agreements (SLA’s) definieren
  • Überwachung und Reporting

Vorgaben für IVS-Governance

  • Arten von Vorgaben für IVS-Wertschöpfungsketten
    • räumlich/verkehrspolitisch
    • wirtschaftlich, förderungstechnisch
    • rechtlich (EU, national, regional)
    • normativ (Richtlinien und Standards)
  • Gesetzliche und rechtliche Grundlagen
    • Europäische und nationale Gesetze und Regulierungen (rechtlich, fachlich)
    • Rechtliche Gestaltung der Zusammenarbeit
    • Rechtsform der Zusammenarbeit (Zusammenarbeit eigenständiger Partner, GmbH ...)
    • Vertragsform (Kooperationsvertrag, Kooperationsvereinbarung, MoU-Memorandum of Understanding...)
  • Finanzierung gemeinsamer Ressourcen
    • Finanzielle Beteiligung der Partner
    • Förderquellen
    • Verteilung der Einkünfte
  • Organisation der Operativen Betriebs
    • Kontaktpunkte der beteiligten IVS-Akteure (Verantwortliche Organisationseinheit mit Adresse, Ansprechpartner und Stellvertreter)
    • Medien (inkl. Fall-Back) für die Kommunikation der IVS-Akteure auf allen Ebenen
    • Sprachen für die Kommunikation (bei Cross-Border Kooperationen)
    • Regeln und Konditionen für Kommunikation (Wer ist Client, wer ist Server)
    • Time-Out Kriterien
  • Regeln und Rahmenbedingungen für IVS-Wertschöpfungsketten
    • Räumlich/Verkehrspolitisch
    • Wirtschaftlich, Förderungstechnisch
    • Rechtlich (EU, national, regional)
    • Normativ (Richtlinien und Standards)

Festlegung von Zuständigkeiten für IVS-Governance-Vorgaben

Im ersten Schritt bei der Etablierung von Governance muss zunächst festgelegt werden, wer in welchem Bereich Entscheidungen bezüglich der Vorgaben machen soll. Hier ein Beispiel aus dem Bereich der Enterprise Architekturen:

Beispiel: Festlegung von Zuständigkeiten


Service Level Agreements

Hierbei handelt es sich um Verträge, die zwischen Service-Konsument und Service-Lieferanten geschlossen wird. Verträge stellen ein ergebnisorientiertes Kontrollinstrument dar. Das definieren von Service Level Agreements dient somit der Überwachung und Sicherstellung zur Zielerreichung. Hierfür werden u.a. eine Service-Qualität und Leistungsmerkmale festgelegt, die dem Dienst, bzw. dem Dienstvertrag zugeordnet sind. Die festgelegten Kriterien, dienen der späteren Ergebniskontorolle (Überwachung und Reporting). Festgelegte Kennzahlen schränken zudem opportunistisches Verhalten der Service-Lieferanten ein.

Überwachung un Reporting

...

Was gehört zu IVS-Governance

Prozesse einer IVS-Governance

  • Policy Management
  • Compliance (Sicherstellung der Übereinstimmung)
  • Dispensation
  • Monitoring, Reporting
  • Business Control
  • Environment Management

Prozesse einer IVS-Governance

  • Anforderungen
  • SLAs und OLAs
  • Autoritätsstrukturen
  • Standards und
  • ein Repository

Literaturverzeichnis

  1. https://de.wikipedia.org/wiki/Governance
  2. ISO/IEC 38500: Corporate Governance in Information Technology (2008)
  3. https://www.isaca.org/Pages/default.aspx?cid=1000270&Appeal=SEM

<< Zurück zur Hauptseite