Governance Flashcards
(19 cards)
Governance
Governance bedeutet die strategische Unternehmensführung und ist vornehmlich nach
außen gerichtet (stellt die Regeln auf)
Corporate Governance
Corporate Governance stellt Managementsysteme für die Umsetzung der strategischen
Ziele nach festgelegten Regeln im Unternehmen zur Verfügung und ist demzufolge eher nach innen gerichtet (setzt die Regeln um)
IT-Governance
IT-Governance übernimmt für den IT-Bereich die Aufgaben der Governance, das ITManagement, die der Corporate Governance.
ISO/IEC 38500
Die Prinzipien der Norm sind Verantwortlichkeit, Strategie, Beschaffung, Performanz,
Konformität und Verhalten. Diese Prinzipien werden durch drei grundlegende Aufgaben
der Governance ergänzt. Das sind Evaluate, Direct und Monitor.
Für die Umsetzung der IT-Governance empfiehlt sich der Einsatz von Referenzmodellen.
Für den IT-Bereich hat sich z. B. das Referenzmodell COBIT etabliert. Relevant zur Einführung solcher Modelle ist:
- der betriebliche Kontext,
- welches Modell bzw. welche
Teile davon eingeführt werden, - wie die konkrete Umsetzung erfolgt.
Mögliche Schwachstellen sollten bei der erfolgreichen Umsetzung der IT-Governance identifiziert werden, damit
- Mitarbeiter sensibilisiert werden,
- ein fehlerfreies Reporting gewährleistet wird
- belastbare Einschätzungen erfolgen können (in scope, out of scope, MVP, etc.).
COBIT-Framework
Das COBIT-Framework ist ein IT-Governance-Referenzmodell, das IT-Governanceziele, -maßnahmen und -prozesse für eine effektive und effiziente Steuerung des IT-Bereichs
definiert.
Die Zielgruppe von COBIT/der IT-Governance sind die Linienverantwortlichen im
Geschäfts- und IT-Management und die (Fach-)Verantwortlichen für die IT-Geschäftsprozesse. Das sind:
- das strategische Management (Geschäftsführung, Vorstand, Top-Management, Aufsichtsgremien),
- das Geschäfts- und IT-Management (Corporate Governance – SGE-Ebene),
- die Spezialisten der Bereiche Governance, Sicherheit, Compliance und IT-Experten.
Geschäftsvorteile von COBIT lt. ISACA
- Strategische Ausrichtung des IT-Bereichs anhand von Unternehmenszielen
- Effektive Werkzeuge für die Unterstützung der Unternehmensziele
- Transparente und planbare IT-Kosten des gesamten IT-Lebenszyklus
- Zeitnahe und aussagekräftige Informationen aus dem IT-Bereich
- Möglichkeit der Erfolgsmessung
- Wertsteigerung der IT-Dienstleistungen und erfolgreichere Projekte
- Effektives Management der IT-bezogenen Risiken
COBIT Governance System Prinzipien
- „Mehrwert für die Anspruchsgruppen bereitstellen.“
- „Ganzheitlicher Ansatz.“
- „Dynamisches Governance-System.“
- „Governance getrennt vom Management.“
- „Zugeschnitten auf die Bedürfnisse des Unternehmens.“
- „End-to-End-Government-System“
COBIT Governance Framework Prinzipien
- „Ein Governance-Framework sollte auf einem konzeptionellen Modell basieren.“
- „Ein Governance-Framework sollte offen und flexibel sein.“
- „Ein Governance-Framework sollte sich an relevante wichtige einschlägige Standards,
Rahmen und Vorschriften anpassen.“
Komponenten eines Governance Systems
- Prinzipien, Richtlinien, Rahmenwerke
- Prozesse
- Operationsstrukturen
- Kultur, Ethik, Verhalten
- Informationen
- Services, Infra, Anwendungen
- Mitarbeiter, Kompetenzen, Fähigkeiten
COBIT Implementierungszyklus
- Programm initiieren
- Probleme & Chancen definieren
- Roadmap festlegen
- Programm planen
- Plan ausführen
- Nutzen realisieren
- ## Effektivität prüfenProgrammmanagement
Änderungen ermöglichen
KVP
Betrieblichen Kontext berücksichtigen
Schwachstellen identifizieren, bewerten und damit umgehen
Chancenmanagement
Plan-Do-Check-Zyklus
Plan: Schwachstellenidentifikation und –analyse (warum, was, wie)
Do: Implementierung,
Changemanagement (Ablauf und Aufbauorganisation, Technologie etc.)
Check: Monitoring +
Proof of Concept/Work sowie Reporting
Normen
- DIN - Deutsches Institut für Normung
- EN - Europäische Norm: Standards, die von einem der drei europäischen Komitees
für Standardisierung (CEN, CENELEC oder ETSI) ratifiziert worden sind - ISO - International Organization for Standardization. Die Abkürzung ISO stammt von
isos, griechisch: gleich. - IEC - International Electrotechnical Commission
Compliance
„Im betriebswirtschaftlich-rechtswissenschaftlichen Kontext umschreibt Compliance die
Regeltreue (auch Regelkonformität) von Unternehmen gegenüber extern vorgegebenen und intern aufgestellten Regeln.“
Compliance betrifft somit „die Einhaltung von gesetzlichen Vorschriften und weiteren für
das Unternehmen relevanten Regelwerken. Diese müssen analysiert und zu einem
unternehmensindividuellen Compliance-Portfolio zusammengefasst werden.“
Die IT-Compliance als Subsystem der Compliance bildet folglich die Regelkonformität für
den IT-Bereich ab.
IT-Compliance und IT-Governance
„Zwischen IT-Compliance und IT-Governance besteht eine enge Verzahnung. Die Sicherstellung der Compliance der Unternehmens-IT ist ein zentrales Handlungsfeld der IT-Governance.
Compliance Gesetzliche Auflagen und Regulatorik:
- MiFID: Markets in Financial Instruments Directive – Eine EU-Richtlinie zur Harmonisierung der Finanzmärkte innerhalb der Europäischen Union, die Transparenz und Anlegerschutz gewährleisten soll.
- MAR: Market Abuse Regulation – Eine EU-Verordnung, die Marktmissbrauch, wie
Insiderhandel und Marktmanipulation, verhindern soll. - ESG: Environmental, Social, and Governance – Kriterien, die Unternehmen zur Bewertung ihrer Umwelt-, Sozial- und Governance-Standards anwenden, oft im
Zusammenhang mit nachhaltiger Unternehmensführung. - AML: Anti-Money Laundering – Maßnahmen und Vorschriften zur Bekämpfung
von Geldwäsche, um illegale finanzielle Aktivitäten aufzudecken und zu verhindern. - KYC: Know Your Customer – Ein Verfahren, bei dem Unternehmen die Identität ihrer Kunden überprüfen, um Finanzkriminalität zu bekämpfen und gesetzliche
Anforderungen zu erfüllen.
Compliance und IKS
In diesem Kontext spielt somit das Risk Management (IKS) eine wichtige Rolle, um Risiken
rechtzeitig zu identifizieren, zu bewerten und entsprechende Gegenmaßnahmen ergreifen
zu können, wie z. B. die der Risikodiversifikation.
