Glossar
zum Schwerpunktthema IT-Governance
Glossar zu HMD 250, erschienen im August 2006.
C
- CobiT
-
CobiT (Control Objectives for Information and Related
Technology) ist ein
Referenzmodell für
IT-Governance, das seit den 90er Jahren von den
internationalen Gremien des Verbandes der IT-Revisoren
"Information Systems Audit and Control Association"
(ISACA) im Zuständigkeitsbereich des "IT Governance
Institute" (ITGI) entwickelt wird. Die aktuelle
Version ist CobiT 4.0 (Dezember 2005).
Der Fokus von CobiT liegt auf den Bereichen IT-Alignment, Wertbeitrag der IT, Performance Measurement sowie Ressourcen- und Risikomanagement.
Im Mittelpunkt von CobiT stehen Kontrollziele (control objectives), die auf oberster Ebene prozessorientiert strukturiert werden. Die Basis bilden 34 IT-Prozesse, die jeweils mit einem High-Level- Kontrollziel sowie mit mehreren detaillierteren Kontrollzielen verknüpft sind. Die Prozesse selbst sind den vier Bereichen (domains) Planung und Organisation, Beschaffung und Implementierung, Lieferung und Unterstützung sowie Überwachung und Evaluierung zugeordnet und decken damit nahezu alle Aufgabenbereiche der Unternehmens-IT ab (vgl. www.isaca.org/cobit). - Compliance
- Unter Compliance wird die Einhaltung gesetzlicher und aufsichtsrechtlicher Regelwerke oder auch freiwilliger Kodizes verstanden. Beispiele für solche regulatorischen Anforderungen sind Basel II, GDPdU, KonTraG oder der Sarbanes-Oxley Act (SOX). Die Sicherstellung von Compliance im Allgemeinen ist eine wesentliche Aufgabe der Corporate Governance, liegt ein Bezug zur IT vor, dann auch der IT-Governance.
- Corporate Governance
-
Der Begriff "Corporate Governance" wird in der Regel
normativ interpretiert und umfasst die Gestaltung der
Steuerung und Überwachung von Unternehmen. Sie
betrifft damit das Beziehungsgeflecht zwischen
Management, Aufsichtsorganen sowie Share- und
Stakeholdern und die damit verbundenen Regeln und
Prozesse der Entscheidungsfindung.
Corporate Governance liefert auch "den strukturellen Rahmen für die Festlegung der Unternehmensziele, die Identifizierung der Mittel und Wege zu ihrer Umsetzung und die Modalitäten der Erfolgskontrolle. Ein gutes Corporate-Governance-System sollte dem Aufsichtsorgan und der Unternehmensleitung die richtigen Anreize zur Verfolgung der im Interesse des Unternehmens und seiner Aktionäre liegenden Ziele geben und eine wirkungsvolle Überwachung erleichtern" (OECD- Grundsätze der Corporate Governance, Neufassung 2004, www.oecd.org/dataoecd/57/19/32159487.pdf, S. 11).
I
- IT-Architektur
- Unter IT-Architektur versteht man die strukturierende Abstraktion existierender und geplanter IT-Systeme eines Unternehmens. Es handelt sich um eine Gesamtsicht, die in engem Zusammenhang zur Geschäftsarchitektur eines Unternehmens steht und in ihrer Gestaltung maßgeblich von der IT-Strategie beeinflusst wird. Üblicherweise wird die IT-Architektur aufgrund ihrer Komplexität in verschiedene Ebenen unterteilt, z.B. Informationssysteme und Infrastruktur, oder aus verschiedenen Sichten betrachtet.
- IT-Governance
- Unter Governance werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, welche möglichst effizient zur Unterstützung und Durchsetzung der Unternehmensstrategien und ziele beitragen sollen. Als integraler Teil der Unternehmensführung und abgeleitet aus der Corporate Governance strebt IT-Governance nach einer Ausrichtung der IT auf die Geschäftstätigkeit (IT-(Business-)Aligment), einem verantwortungsvollen Umgang mit IT-Ressourcen und den damit verbundenen Risiken sowie dem Erkennen und Nutzen von IT-inhärenten Wettbewerbsvorteilen. Sofern IT direkt betroffen ist oder auch nur mittelbar dazu beiträgt, gehört auch die Sicherstellung von Compliance in den Bereich der IT-Governance. Mit CobiT liegt ein bekanntes Referenzmodell vor, das die Umsetzung von IT-Governance in Unternehmen unterstützen soll.
P
- Projektportfolio
- Ein Projektportfolio bezeichnet einen systematisch geordneten Bestand an (i.d.R. geplanten) Projekten, der in der Phase der strategischen Informationsplanung zur Priorisierung von Projekten zum Einsatz kommt. Üblicherweise wird mit Kriterienkatalogen zur Einstufung von Projekten gearbeitet, die sich insgesamt auf jeweils zwei Dimensionen verdichten lassen. Gängig ist z.B. die Betrachtung von Nutzen und Risiko. Prinzipiell sind aber auch andere Dimensionen denkbar.
S
- Sarbanes-Oxley Act (SOX)
-
Infolge einer Reihe von Bilanzskandalen ist 2002 ein
nach seinen Verfassern benanntes US-Gesetz zur
Verbesserung der Unternehmensberichterstattung und
Wiederherstellung von Vertrauen in die Richtigkeit
veröffentlichter Finanzdaten entstanden. SOX ist
bindend für alle in- und ausländischen Unternehmen,
die bei der amerikanischen Börsenaufsicht SEC
(Securities and Exchange Commission)
registrierungspflichtig sind, sowie deren
Tochtergesellschaften. Darüber hinaus betrifft das
Gesetz Wirtschaftsprüfungsgesellschaften, sofern diese
bei der SEC registrierungspflichtig sind oder die
Jahresabschlüsse von Unternehmen, die bei SEC
registriert sind, prüfen.
Für das IT-Management ist insbesondere Abschnitt 404 relevant, der die Korrektheit, Nachvollziehbarkeit und Sicherheit der Berichtsprozesse regelt. Dafür müssen diese Prozesse beschrieben und definiert werden, und es sind zudem Kontrollverfahren festzulegen. Die eingesetzten Kontrollen umfassen auch alle IT-Systeme, die in die Erstellung der Finanzberichte einbezogen sind.
W
- Wertbeitrag der IT
-
Abgeleitet aus der angloamerikanischen
Forschungstradition zum "Business Value of IT" wird in
der deutschsprachigen Literatur heute auch vom
Wertbeitrag der IT gesprochen (früher eher Nutzen der
IT). Darunter ist der Beitrag von IT auf die
Leistungsfähigkeit von Unternehmen zu verstehen. In
der Literatur finden sich verschiedene Ansätze zur
Klassifizierung des Wertbeitrags. So unterteilen
beispielsweise Mirani & Lederer den Wertbeitrag in
folgende Kategorien:
- Strategische Vorteile (Wettbewerbsvorteil, strategische Übereinstimmung, Kundenbindung)
- Informationsorientierter Nutzen (Zugang zu Information, Qualität der Information, Flexibilität der Information)
- Transaktionsorientierter Nutzen (Effizienz der Kommunikation, Effizienz der Systementwicklung, Effizienz von Geschäftsabläufen)
