Management und Organisation - Kapitel 6

Aus FernFH MediaWiki
Zur Navigation springen Zur Suche springen

Ablauforganisation

Ziele der Lektion

  • Verständnis über den Zusammenhang zwischen den Qualitäts- und Risikomanagementsystemen, dem Internen Kontrollsystem und der Aufbau- und Ablauforganisation

Dokumentation

Zuweilen wird die Existenz von einheitlichen Vorlagen und qualitätsgesicherten Dokumenten unterschätzt. In vielen Unternehmen ist es üblich, dass für gleiche Anforderungen auch gleiche vorgefertigte Templates verwendet werden, die der Corporate Identity (CI) entsprechen. Als Anwendungsfälle bieten sich Angebote, Rechnungen, Spezifikationen, Verträge, Besprechungsprotokolle, Projektunterlagen oder wiederkehrende Dokumente, wie Risikomanagement- oder SLA-Dokumente, Policies, Arbeitsanweisungen, Richtlinien. Ihnen gemein ist das einheitliche Layout, das bei allen Personen, die dieses Dokument adressiert, den Wiedererkennungsfaktor erhöht und die Orientierung innerhalb des Dokumentes erleichtert. Weiters wird dadurch auch die inhaltliche Qualität sichergestellt, da durch die Vorgaben immer die erforderlichen Informationen anzugeben sind. Somit können CI-konforme Dokumente gezielt als Qualitätssicherungsinstrument eingesetzt werden und erleichtern dadurch das Management der behandelten Aspekte und Themen. Policies (Richtlinien), Standards, Handlungsabläufe und Anleitungen stellen die primären Dokumentationen für die Umsetzung von Prozessen dar. Jede Organisation muss über grundlegende Richtlinien (Policies) verfügen, die auf alle Aktivitäten im Rahmen und Geltungsbereich der Prozesse angewandt werden. Unterstützt durch geeignete Standards, sind sie das Kriterium für die Auswahl neuer Technologien und legen die Mindestanforderungen für bestehende und neue Prozesse fest. Richtlinien sollten generell unabhängig von der eingesetzten Technologie sein. Wenn Tätigkeiten auf spezielle Art und Weise durchgeführt oder Daten aufgrund von regulatorischen oder hochsicherheitsrelevanten Anforderungen speziell behandelt werden müssen, kann dies aber nicht immer verfolgt werden. Richtlinien, die auf bestimmte Situationen abgestimmt sind, gelten eher für Prozesse als für Technologien, beeinflussen aber die Anforderungen für diese Technologien maßgeblich. Aufgabe von IT-Manager*innen ist die Entwicklung und Veröffentlichung von Standards, die die allgemein gehaltenen Richtlinien auf bestimmte betriebliche Anforderungen und Beschränkungen umlegen. Standards werden genutzt, um jene durch die Richtlinien vorgegeben Grenzen für Personen, Prozesse und Technologien festzusetzen. Standards sind oft mit Beschreibungen einer schrittweisen Prozessabarbeitung oder detailliert beschriebenen Handlungsabläufen ergänzt, die als Anweisungen für das Personal gelten (z.B. Konfigurationen von Hardware oder Software etc.). Diese Verfahren und Abläufe sind für den Betrieb bestimmt und müssen daher von operativen Einheiten auf Basis der entsprechenden Standards entwickelt werden. Bei Änderungen von Risiken, Technologien, Geschäftstätigkeiten oder Baselines müssen auch die Standards und Verfahren, konform mit der gültigen Richtlinie, angepasst und geändert werden. Richtlinien ändern sich weniger häufig, da sie allgemeiner gehalten sind und sich an der IT-Strategie orientieren [CIS10, S158].

Datei:Fig/bild6.png
Stufenweise Detaillierung von Policies zu Guidelines

Pläne / Roadmaps

Die Verbindungen und Beziehungen zwischen den einzelnen Bausteinen sind natürlich komplex und auch ständig Änderungen unterworfen. Um den gewünschten Zustand zu erreichen, werden typischerweise Initiativen und Projekte aufgesetzt, die auch über ein geordnetes Projektmanagement abzuhandeln sind. Das heißt, es müssen Ziele, Nichtziele, Projektumwelten, Projektplan, Meilensteine, Arbeitspakete und ein Projektbudget definiert werden. Die verschiedenen Zeithorizonte der Projekte müssen dabei in Einklang gebracht werden. Über die Roadmap wird versucht, den Gesamtüberblick zu behalten [CIS10, S58f].

Policies (Richtlinien)

Policies sind High-Level-Statements des Managements, sie repräsentieren deren Erwartungen und die grundsätzliche Richtung, die das Unternehmen verfolgt. Policies bilden gewissermaßen die „Verfassung“ für IT-Governance. Daher sollten Policies möglichst selten Änderungen unterworfen sein. Sie müssen klar und in möglichst kurzen Sätzen formuliert, einfach verstanden und jedem Betroffenen kommuniziert werden. Policies adressieren spezielle Themen und sollten in Summe in überschaubarer Anzahl vorliegen. Beispiel: Informationsressourcen sollen in einer kontrollierten Art und Weise zugänglich gemacht werden, sodass unautorisierter Zugriff unterbunden wird.

Procedures (Abläufe)

Die Definition von Abläufen ist primär operative Verantwortung. Sie müssen klar und widerspruchsfrei formuliert sein und alle notwendigen Schritte, erwartetes Ergebnis, Anzeigen, Vorbedingungen sowie Fehlerbehandlungen enthalten. Beispiel: Nach Betätigen des Buttons „Passwort ändern“ werden Sie aufgefordert, das aktuelle Passwort einzugeben. Anschließend geben Sie Ihr neues Passwort gemäß den Passwortrichtlinien an. Dieses müssen Sie im Anschluss zur Bestätigung nochmals eingeben. Daraufhin wird das Passwort im System geändert. Schlägt die Bestätigungseingabe fehl oder entspricht das Passwort nicht der Passwortrichtlinie, erscheint eine Fehlermeldung und Sie müssen von vorne beginnen.

Guidelines (Anleitungen)

Guidelines Guidelines sind ebenfalls operativ ausgerichtet und bieten hilfreiche Information für die Ausführung von Abläufen. Sie beinhalten Abhängigkeiten, Vorschläge und Beispiele, Hintergrundinformationen, Toolanforderungen sowie Erklärungen zu den Abläufen. Beispiel [BSI10]: Werden in einem IT-System oder einer Anwendung Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass die Passwörter korrekt gebraucht werden. Dafür ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und die IT-Benutzer diesbezüglich zu unterweisen. [...] Folgende Regeln zum Passwortgebrauch sollten deshalb beachtet werden:

  • Das Passwort darf nicht leicht zu erraten sein. Namen, Kfz-Kennzeichen, Geburtsdatum usw. dürfen deshalb nicht als Passwörter gewählt werden.
  • Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden, das kein Buchstabe ist (Sonderzeichen oder Zahl).
  • Wenn für das Passwort alphanumerische Zeichen gewählt werden können, sollte es mindestens 8 Zeichen lang sein.

Standards

Standards Standards sind die Metriken, klare erlaubte Grenzwerte oder der angewandte Prozess zur Bestimmung, ob Abläufe, Prozesse oder Systeme den Anforderungen der Policies entsprechen. Die angegebenen Werte dürfen dabei aber nicht zu restriktiv gestaltet sein. Standards müssen naturgemäß dann adaptiert werden, wenn sich technische Anforderungen oder Technologien ändern. Beispiel: Passwörter für IT-Systeme sollen mindestens acht Zeichen in Form von Groß- und Kleinbuchstaben sowie mindestens eine Ziffer und ein Sonderzeichen aufweisen.

IT Compliance

Bei der IT Compliance steht die nachweisliche Übereinstimmung der Tätigkeiten mit allen, für ein Unternehmen relevanten gesetzlichen und regulativen Vorgaben im Vordergrund. Die Vorgaben können dabei durch das Unternehmen selbst auferlegt, durch Verträge vorgegeben, branchenbedingt oder durch Gesetze bestimmt sein. Ein wesentlicher Aspekt der IT Compliance ist, dass die Konformität mit den Vorgaben und Einhaltung der Regulativen jederzeit nachgewiesen werden kann. Daraus ergibt sich die Notwendigkeit, die Steuerungs- und Kontrollmethoden zur Sicherstellung der Einhaltung und Erfüllung in einem internen Kontrollsystem (IKS) zu strukturieren, zu systematisieren und zu dokumentieren. Die Einführung und der Betrieb eines formalisierten IKS stellt für viele Unternehmen selbst eine gesetzliche Verpflichtung dar. Regulative Vorgaben haben im Allgemeinen direkte und signifikante Auswirkungen auf die IT. Einerseits kann die IT selbst Gegenstand von Compliance-Anforderungen sein, andererseits kann die IT andere Unternehmensbereiche bei der Umsetzung von Compliance-Anforderungen unterstützen, indem beispielswiese notwendige Maßnahmen durch die IT umgesetzt oder automatisiert werden, oder das Berichtwesen von Unternehmensbereichen ermöglicht und unterstützt wird [MKD08]. Die Umsetzung von Compliance-Anforderungen kann bis zu einem gewissen Grad automatisiert werden und dadurch zu einem effizienten Umgang mit Compliance führen [SSA08]. Meist erweist sich die Herstellung von Konformität und Einhaltung der Regulativen allerdings als sehr komplex, wodurch Kontrollen und Steuerungsmaßnahmen zu einem erheblichen Teil manuell durch- und ausgeführt werden müssen. Bei der Umsetzung von IT Compliance kann der unterstützende Einsatz von Referenzmodellen hilfreich sein. COSO (Committee of Sponsoring Organizations of the Treadway Commission) dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems (mit Fokus auf die Finanzberichterstattung), COBIT ist ein Instrument zur Sicherstellung der Einhaltung gesetzlicher Anforderungen, die ISO 2700x Standards unterstützen das Sicherheitsmanagement und ISO 22399 bietet ein Referenzmodell für das Business Continuity Management.

Risikomanagementsystem

Mit dem Thema Risiko beschäftigen sich viele unterschiedliche Funktionen und Prozesse in einem Unternehmen:

  • Unternehmensweites Risikomanagement – hier geht es um die Risiken, die ein Unternehmen während seiner normalen Geschäftstätigkeit oder bei der Veränderung seiner normalen Geschäftstätigkeit bedrohen (im Wesentlichen sind das strategische Risiken).
  • Business Continuity Management – hier geht es um Risiken, die den Fortbestand eines Unternehmens in besonderen Situationen (Höhere Gewalt, absichtliche oder unabsichtliche Handlungen von Menschen oder Organisationen) bedrohen.
  • Disaster Recovery – kann als Teil des Business Continuity gesehen werden und bezieht sich auf die technische Bewältigung einer Krisensituation.
  • IT Service Continuity Management – wie Business Continuity Management, nur eingeschränkt auf IT-Services
  • Qualitätsmanagement – hier geht es um Risiken, welche die Qualität der an Kunden gelieferte Produkte oder Dienstleistungen bedrohen.
  • Informationssicherheitsmanagement – hier geht es um Risiken, welche die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen bedrohen.
  • Internes Kontrollsystem – hier geht es um Risiken, welche die Ordnungsmäßigkeit (Compliance) der Geschäftsabläufe bedrohen.
  • Projektmanagement – Risiken in Zusammenhang mit der Durchführung von Projekten.

Gemeinsames Ergebnis all dieser Facetten von Risikomanagement sind risikomindernde Maßnahmen, die entweder technischer oder organisatorischer Natur sein können. Organisatorische Maßnahmen sind risikomindernde Aktivitäten in Prozessen auf der jeweiligen Management-Ebene (strategisch, taktisch oder operativ). Jede Risikomanagement-Funktion in einem Unternehmen sieht nur die für sie relevanten Risiken, die operativen Funktionen in einem Unternehmen müssen aber die risikomindernden Maßnahmen aller Risikomanagement-Disziplinen durchführen. Im Sinne der Effizienz des Gesamtsystems ist es daher sinnvoll, alle Facetten des Risikomanagements unter einem "Schirm“ zusammenzufassen und mit einer einheitlichen Methodik durchzuführen und zu dokumentieren; das Unternehmensweite Risikomanagementsystem bietet sich dafür an, es ist lediglich erforderlich, die Menschen innerhalb der Funktion „Unternehmensweites Risikomanagement“ davon zu überzeugen, dass es nicht nur strategische Risiken gibt, und dass auch taktische und operative Risiken – auch im Bereich IT – durchaus das Potenzial haben können, die Geschäftstätigkeit eines Unternehmens massiv zu bedrohen.

Internes Kontrollsystem (IKS)

in effektives Internes Kontrollsystem (IKS) – eigentlich ein Steuerungssystem – versetzt Manager*innen in die Lage, Prozessabläufe auf Geschäftsfallbasis zu steuern. Das heißt, dass nicht-konforme Geschäftsfälle durch Steuerungsaktivitäten aufgezeigt werden, sodass Aktivitäten zur Wiedereinbindung in einen ordnungsgemäßen Prozessablauf gezielt gesetzt werden können. Diese Aktivitäten können präventiver (verhindernder), detektiver (aufzeigender), korrigierender oder kompensierender Natur sein. Gerade im Zuge von verstärkter Transparenz und Nachvollziehbarkeit im Zuge diverser Auflagen für Unternehmen (z.B. SOX, „Euro-SOX“, branchenspezifische Gesetzgebungen, etwa für Versicherungen, Banken und Finanzdienstleister etc.) wurde dieser Managementbaustein zuletzt immer wichtiger. Zusätzlich wird es einfacher, frühzeitig Fehlläufe zu erkennen und so möglichst zeitnahe Korrekturen anbringen zu können. Diese Steuerungsaktivitäten sind auch ideale Messpunkte für KPIs und erlauben so die Gewinnung von Managementkennzahlen. Alle Steuerungsaktivitäten sollten in IT-Prozessen immer auf der richtigen Management-Ebene (strategisch, taktisch oder operativ) eingebettet sein, auf der jeweiligen Ebene also im Rahmen der normalen Arbeitsabläufe durchgeführt werden, weil sie nur so auch wirklich alle Geschäftsfälle abdecken. An Abteilungsschnittstellen können Steuerungsaktivitäten in zwei Fällen problematisch werden:

  • Jede Abteilung verlässt sich darauf, dass die jeweils andere Abteilung die Steuerungsaktivität durchführt; Ergebnis: keine der beiden Abteilungen führt die Steuerungsaktivität durch, diese ist also nicht effektiv
  • Keine Abteilung verlässt sich darauf, dass die jeweils andere Abteilung die Steuerungsaktivität durchführt; Ergebnis: beide Abteilungen führen die Steuerungsaktivität durch, diese ist also nicht effizient

Diese Problematik kann nur durch Kommunikation zwischen den Abteilungen in jedem einzelnen Geschäftsfall oder durch eindeutige Zuweisung von Verantwortlichkeiten gelöst werden. Es ist Aufgabe der internen IT Revision oder eines IT Audits, die Effektivität und Effizienz des Internen Kontrollsystems der IT zu überprüfen.

Wiederholungsaufgaben

  1. Wie stehen die Bausteine Policies, Standards, Abläufe, Guidelines zueinander in Beziehung (Hierarchie, Änderungsbedarf, Ausrichtung/Ziele etc.)?
  2. Beschreiben Sie die Unterschiede und Zusammenhänge zwischen Policies, Standards, Procedures und Guidelines!
  3. Beschreiben Sie kurz, was man unter IT Compliance versteht? Welche Arten von Regeln oder Vorgaben müssen bei der Einführung von IT Compliance berücksichtigt werden?
  4. Was ist ein „Internes Kontrollsystem“?

Die Lösungen zu den Wiederholungsaufgaben finden Sie im Anhang.

Abgerufen von „https://mediawiki.fernfh.ac.at/mediawiki/index.php?title=Management_und_Organisation_-_Kapitel_6&oldid=253