Broschüre zu IT-Compliance verfügbar

Diese vom dpunkt Verlag bereit gestellte Broschüre liefert Ihnen einen Überblick über alle Aspekte der IT-Compliance. Sie zeigt den Zusammenhang zwischen IT-Compliance, IT-Governance und IT-Risikomanagement auf, sodass Sie den Nutzen von IT-Compliance für Ihr Unternehmen besser einschätzen können. Darüber hinaus werden die relevanten Regelwerke erläutert, die eine Einhaltung der wichtigen Vorgaben nachweislich sicherstellen. Auf dieser Basis kann ein Compliance-Management für die IT etabliert werden, das die verschiedenen beteiligten Personen und Gruppen im Unternehmen einbezieht und koordiniert."Broschüre "IT-Compliance"".

Artikel zur IT-Compliance

Unternehmen werden mit unzähligen Gesetzen, Verordnungen und Standards belastet. Verstöße aus Unkenntnis sind da an der Tagesordnung. Wie eine Compliance, gerade in der IT, Abhilfe schaffen kann, erläutert Prof. Dr. Michael Klotz in dem Fachartikel des Magazins business-wissen.de "IT-Compliance: Nie mehr gegen Regeln verstoßen".

IT-Governance Heft 10 erschienen

Die 10. Ausgabe der von Prof. Dr. Michael Klotz mitherausgegebenen Zeitschrift "IT-Governance" ist erschienen. In dieser Ausgabe werden ausgewählte Aspekte des IT-Datenschutzes vorgestellt.

Neues BCS/IDEA-Projekt

Projektron GmbH, Berlin und das SIMAT kooperieren in einem weiteren Projekt. Der Gegenstand der Untersuchungen ist die Analyse der Projektmanagement-

software „Projektron BCS“ hinsichtlich der Neuentwicklung einer konzeptionellen, technischen und inhaltlichen Schnittstelle zum Datenanalyseprogramm IDEA. Hierbei sollen neue Erkenntnisse gewonnen werden zur Identifizierung der Steuerrelevanz des strukturierten und unstrukturierten Content von Projektmanagementsystemen. Die Arbeit umfasst die Anforderungsanalyse der technischen Schnittstelle in Bezug auf den datenbezogenen GDPdU-Beschreibungsstandard, die Identifikation von steuerrelevanten Daten/-strukturen in BCS und die Erforschung sowie bestenfalls Neuentwicklung eines geeigneten Reporting sowie des Z3-Zugriffs durch die Außenprüfung. Aufbauend auf diesen grundlegenden Erkenntnissen umfasst die Projektarbeit auch die Generierung einer neuen, zusätzlichen Prüfer-Rolle.

Artikel zur IT-Compliance

In der zweiten Ausgabe 2001 des Fachblattes "IT-Grundschutz Informationsdienst" haben Prof. Dr. Michael Klotz, FH Stralsund, und Dr. Martin Bartonitz, SAPERION AG, den Artikel "Sicherheit mit System - Von der Corporate Compliance zur IT-Compliance" veröffentlicht.

"Bußgelder in Millionenhöhe wegen Datenschutzverstößen, verlorene oder gestohlene Daten – um die viel beschworene „verantwortungsvolle Unternehmensführung“ scheint es nicht gut bestellt zu sein. Als Ursache dieser Entwicklung beklagen viele Unternehmen eine ständig zunehmende Zahl an Vorgaben. Unternehmen aller Größenordnungen laufen dadurch Gefahr, aus Unkenntnis gegen Regeln zu verstoßen. Das zu vermeiden ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der IT-Compliance.Das gesamte Heft steht hier zum Download bereit" Der Artikel befindet sich auf den Seiten 19-22.

Download

Prof. Klotz leitet IT-Governance Forum 2011

Die IT-Welt ist im Wandel: Moderne Trends wie Cloud Services und Mobile Devices verändern IT-Landschaften und -Strategien. Die IT-Governance muss sich auf die neuen Konzepte einstellen, die viele Chancen bieten, den Wertbeitrag der IT deutlicher zu zeigen.

Auf dem vierten IIR Technology „Praxis- und Strategie-Forum IT-Governance“ erwarten Sie spannende Case Studies von führenden IT-Fachkräften. Profitieren Sie von Lösungsansätzen für Cloud und mobile Infrastrukturen. Erfahren Sie, was eine Lean IT-Governance ausmacht. Hochkarätige Vorträge zeigen Ihnen, wie Sie Ihre IT wertorientiert und attraktiv im Unternehmen positionieren.

Informieren Sie sich außerdem über Updates in Compliance und Cobit, und nehmen Sie die Gelegenheit wahr, sich mit Fachkollegen aus diversen Branchen auszutauschen und in intensive Diskussionen zu treten. Hören Sie Experten zu folgenden Themen:

- Lean Management und IT-Governance: Reduktion von Komplexität

- Governance von Cloud Services und Multisourcing-Szenarien

- Mobile Devices unter Mitarbeitern – Risiken und Mehrwert für die IT-Governance

- Konsequente Kundenorientierung der IT im Unternehmen

- IT-Kennzahlen, Cobit 5.0 und neue Compliance-Richtlinien

Ein zukunftsorientierter und praxisnaher Workshop „Der IT-Governance-Manager der Zukunft“ der ISACA bildet den Abschluss der Konferenz. Ich freue mich, Sie auf dieser Konferenz zu begrüßen.

Tobias Knoben, Konferenz-Manager, IIR Technology

Vom 04. – 06. Juli 2011 findet in München das 4. IIR Technology „IT-Governance Praxis- und Strategie- Forum 2011“ statt. Prof. Dr. Michael Klotz moderiert das diesjährige Forum, welches sich dem Schwerpunktthema „IT Governance im Zeitalter von Cloud Services und Mobile Data“ widmet.

Download Programm

Zukunftsstudie

Die Scopar-Zukunftsstudie, an der auch Prof. Dr. Michael Klotz mitgewirkt hat, ist erschienen. Im Bereich der Informations- und Kommunikationstechnik (IT) werden im Wesentlichen zwei Handlungsblöcke gesehen: zum einen die sich ändernden Rahmenbedingungen und daraus resultierenden Anforderungen an die Organisation der IT (IT-Governance) und zum anderen technologiebasierte Veränderungen.

Um den Anforderungen aus dem Business, aus den sich ändernden wirtschaftlichen Rahmenbedingungen und Märkten gerecht zu werden, muss sich die Rolle der IT Verantwortlichen immer mehr vom IT-Experten hin zum Geschäftspartner wandeln. Somit wird die IT künftig auf zwei Ebenen zu sehen sein: zum einen die IT, die IT-Dienstleistungen auf einer Standardebene erbringt (Comodity-IT) und zum Anderen die IT als Business- und Change-Enabler. Erstere ist vergleichbar und austauschbar (Outsourcing) und heute noch in den meisten Unternehmen anzutreffen.

Download

FH Stralsund stellt Thema Ergonomie-Compliance auf der CeBIT 2011 vor - Die Hochschule präsentiert IT-Lösungen für die systematische Analyse von Sicherheit und Ergonomie am Arbeitsplatz

Vom 1. bis 5. März 2011 wird die Fachhochschule Stralsund Konzepte aus dem Forschungsbereich Compliance des Stralsund Information Management Team (SIMAT) auf der CeBIT in Hannover vorstellen. Professor Michael Klotz, der das SIMAT leitet und den Stand der Fachhochschule betreut, sucht vor allem Unternehmenskontakte. „Angewandte Forschung ist unser Ziel. Wir entwickeln Lösungen, die in Unternehmen sofort zum Einsatz kommen können“, erklärt der Compliance-Experte. Unter Compliance versteht man die Einhaltung aller verbindlich vorgegebenen Regeln. Dies umfasst Gesetze ebenso wie Branchenstandards und interne Richtlinien. Gerade kleine und mittlere Unternehmen sehen sich mit einer Vielzahl von Regelwerken konfrontiert, die sie in ihrem Arbeitsalltag nur zum Teil voll berücksichtigen. Es sei ein komplexes Thema, welches jedoch mit IT-Unterstützung gelöst werden könne, ist Professor Klotz überzeugt. Auf der diesjährigen CeBIT Präsentation fokussiert er sich auf die Ergonomie-Compliance. Für die Ergonomie und Arbeitsplatzsicherheit gibt es bereits Standards, die Unternehmen einhalten müssen. Mit IT-gestützten Checklisten werden Kennzahlen für Belastungen am Arbeitsplatz ermittelt und fest in die Infrastruktur des Unternehmens eingebunden. Dadurch kann frühzeitig auf Abweichungen reagiert werden.

Die Fachhochschule Stralsund präsentiert sich auf dem Gemeinschaftsstand der IT-Initiative Mecklenburg-Vorpommern in Halle 9, Stand C09.

Download Standflyer

Neues Arbeitspapier erschienen

Seit dem Jahr 2002 haben die Prüfungsdienste der Finanzbehörden die Mög­lichkeit auf steuerlich relevante Daten der Unternehmen digital zuzugreifen. Nach einer Verzögerung von einigen Jahren wird nunmehr von dieser Mög­lich­keit und den mit ihr einhergehenden neuen Prüfungsmethoden auch flächen­deckend Gebrauch gemacht. Ziel dieses Arbeitspapiers von Ingo Kaminski ist es, die Grundlagen der digitalen Betriebs­prüfung in kurzer Form zu erläutern und die aktuellen Entwicklungen auf diesem Gebiet aufzuzeigen. Gerade für kleine und mittlere Unternehmen, die diesbezüglich über we­nig Ex­per­tise verfügen, soll dieses Arbeitspapier eine Orien­tie­rung bie­ten, um sich auf diese veränderte Form der Steuer­prü­fung ein­zu­stellen. Hierzu werden zunächst die wesentlichen Vorgaben aus Gesetzestexten und amt­lichen Ver­öffent­lichungen erläutert. Anschließend werden die vor Gericht entschiedenen Streitfragen mit ihren Konsequenzen für die Steuerpflichtigen beschrieben. Zuletzt erfolgt ein Ausblick auf einige Gebiete, die kurz- bis mittelfristig von Relevanz für die Weiterentwicklung der digitalen Betriebs­prüfung sein werden. Download

IT-Governance Heft 8 erschienen

Die aktuelle Ausgabe der von Prof. Dr. Michael Klotz mitherausgegebenen Zeitschrift "IT-Governance" ist erschienen. In dieser Ausgabe werden ausgewählte Aspekte des IT-Service Managements vorgestellt. Rolf Gran beschreibt die wesentlichen Inhalte der Servicemanagementnorm ISO/IEC 20000, auf deren Grundlage eine Zertifizierung des Servicemanagements durchgeführt werden kann. Hartmut Dietrich führt vor Augen, wie ein IT-Portfoliomanagement ausgestaltet werden muss, damit es einen effektiven Beitrag zum Business/IT-Alignment leisten kann. Einen tiefen Einblick in das Projekt- und Dokumentationsmanagement als eine wesentliche Voraussetzung für eine Zertifizierung nach ISO 20000 geben Georg Disterer, Oliver Kunert und Ingo Eibich-Meyer. Die Autoren Matthias Hartmann, Jörn Kriegel und Jürgen Venhofen geben einen Einblick in das Thema E-Discovery. Die IKB Data GmbH hat bei der elektronischen Suche nach relevanten Informationen innerhalb sehr großer, teilweise unstrukturiert vorliegender Datenmengen besondere Erfahrungen erworben, die die Autoren in einem Praxisbeitrag vorstellen.

Arbeiten in der digitalen Welt...

Unter diesem Titel lädt das Technologiezentrum Vorpommern (TZV) im Rahmen der IT-Informationsreihe „Zukunft-Technik-Vorpommern“ am 27.10.2010 nach Greifswald ein. Auch das SIMAT und die gfo unterstützen diese Veranstaltung, auf der Prof. Dr. Michael Klotz zum Thema „Der Wandel des Informations-managements“ referiert.

Download Einladung

Download Programm

Wächter der Regeln

Unter dem Titel "Wächter über die Regeln: der Weg zum IT-Compliance Manager" berichtet Jürgen Maurer auf ZDNet.de über das Aufgabengebiet und notwendige Qualifikationen für den Beruf des IT-Compliance Managers. Prof. Dr. Michael Klotz, Leiter des Zertifikatskurses "IT Compliance Manager", wurde für diesen Artikel als ein Spezialist konsultiert. Er formuliert das anspruchsvolle Profil des IT-Compliance Managers, dessen Aufgabengebiete nicht klar umrissen werden kann und abhängig von der Art des Unternehmens ist. "Manchmal ist er nur die Person, die Compliance-Prozesse mit Hilfe der IT umsetzt und beispielsweise Zugriffsrechte definiert und zuweist", so Prof. Klotz. Der ganze Artikel kann hier gelesen werden.

IT-Governance Heft 7 erschienen

Die aktuelle Ausgabe der von Prof. Dr. Michael Klotz mitherausgegebenen Zeitschrift "IT-Governance" ist erschienen. In dieser Ausgabe werden verschiedene Aspekte der Steuerung der IT behandelt. So reflektieren Thomas Pietsch und Sylke Gippner in ihrem Beitrag Aufgaben und Verantwortung des CIO. Einem technisch fokussierten IT-Leiter stellen sie einen auf das Business fokussierten IT-Verantwortlichen gegenüber, den sie als „Chief Information Business Officer“ bezeichnen. Die Nutzung von Lizenzen auf den Prüfstand zu stellen, gehört zum Standardrepertoire von Programmen zur Senkung von IT-Kosten. Dass Aktionismus an dieser Stelle jedoch nicht die Regel sein darf, adressiert der Begriff des Software-Lizenzmanagements, der auf eine kontinuierliche und systematische Steuerung von Lizenzen abzielt – im Einklang mit Standards wie Cobit, ITIL oder der ISO 19770-1. Die vergleichende Betrachtung von Gerhard F. Knolmayer und Konrad Walser klärt mit Bezug auf die genannten Referenzmodelle Umfang und Aufgaben des Software-Lizenzmanagements und sensibilisiert hierdurch für eine stärkere Berücksichtigung dieses oftmals vernachlässigten Bereichs der IT-Governance. Eine weitere Möglichkeit zur Optimierung von IT-Kosten, aber auch zur Reduzierung von Risiken liegt in der Projektdurchführung, insbesondere in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer. Der Frage, welche Vertragsmodelle, Kooperationsprinzipien und Prozesse des Vertragsmanagements hierbei hilfreich sind, geht Chris Rupp in ihrem Betrag nach. IT-Risiken stehen dann bei Michael Neuy im Fokus, der die häufig schwierige Analyse und Bewertung von Risiken der Informationssicherheit behandelt. Hierbei greift er auf zwei zentrale Normen(reihen) zurück, die ISO/IEC 27005 und die ONR 49000ff. Auch der Praxisbeitrag von Michael Kunzewitsch nimmt eine risikoorientierte Sichtweise ein, wenn er die Nutzung von Cobit als Grundlage für die Ausgestaltung eines internen IT-Kontrollsystems beschreibt. Aus seiner Darstellung von Motivation, Vorgehensweise, Kosten/Nutzen-Betrachtung und Erfahrungen lassen sich durchaus übertragbare Hinweise ableiten.

ZDNet. de verweist auf SIMAT

"Unternehmen müssen immer mehr gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen. Bei Rechtsverletzungen stehen CIOs oder IT-Compliance-Beauftragte mit einem Bein im Gefängnis. Doch zu viel Kontrolle gefährdet die Effizienz von Geschäftsprozessen."

So beginnt Jürgen Mauerer seinen jüngsten Artikel „IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle“ auf der Infoprmationsplattform ZDNet.de. ZDNet.de ist eine der meistgenutzten Online-Informationsquellen für IT- und Business-Entscheider in Deutschland. Im Artikel wird mehrfach auf die Kompetenz des SIMAT in Sachen IT-Compliance verweisen. Vor allem die von Prof. Dr. Michael Klotz entwickelte Unterscheidung zwischen IT-gestützte Compliance versus IT-Compliance findet Beachtung.

IT-Governance Forum 2010

Das wirtschaftliche Umfeld hat sich verändert. Die Internationalisierungsbewe-gungen haben sich in diesem Zuge verstärkt. Es gilt, neue Geschäftsfelder zu erschließen, um sich am Markt behaupten zu können. Nach wie vor steht dabei das Management vor der Frage: “Dezentralisieren oder zentralisieren?” Das erfordert neue Ansätze der IT-Governance und weltweiten IT-Compliance.

Zugleich sehen sich IT-Verantwortliche intern vor der großen Herausforderung,

das Business an das veränderte wirtschaftliche Umfeld anzupassen, Antworten

dem Management zu liefern, die IT-Infrastruktur und Unternehmensarchitektur darauf abzustimmen und in ein gesichertes, risikoabgeschirmtes Umfeld zu betten. Vielfach stehen hoch komplexe IT-Strukturen dem entgegen und IT-Budgets sind

zu knapp bemessen. Management-Ansätze z.B. EAM können geeignete Antworten liefern. Damit gehen Fragen nach dem Zusammenhang von IT-Governance, IT-Compliance und IT-Riskmanagement einher. Viele offene Fragen, Heraus-forderungen und Lösungswege. IT-Governance ist Chefsache und bedarf einer strategisch und organisatorisch klar strukturierten Umsetzung.

Vom 21. – 23. Juni 2010 findet in Frankfurt/Main, Hotel Hessischer Hof, das 3. IIR Technology „IT-Governance Praxis- und Strategie- Forum 2010“ statt. Prof. Dr. Michael Klotz moderiert das diesjährige Forum, welches sich dem Schwerpunkt-

thema „IT-Governance im Spannungsfeld von Internationalisierung, IT-Komplexität und Kostenreduktion“ widmet. Download Programm

SIMAT auf der CeBIT 2010

IT-Compliance ist ein zunehmend wichtiges Teilgebiet des IT-Managements. IT-Compliance bezeichnet einen Zustand, in dem alle für die IT des Unternehmens rele­van­ten Vorgaben aus Regelwerken (Gesetzen, Standards, Normen etc.) nachweislich eingehalten werden. Einer der wichtigsten Standards für das IT-Management ist das von der ISACA® (Information Systems Audit and Control Association) stammende Referenzmodell Cobit™ (Control Objectives for Information and Related Technology). Die instrumentelle Nutzbarkeit von Cobit™ ist jedoch eingeschränkt, da die Dokumentation lediglich semi-strukturiert ist, systematische Lücken aufweist und trotz Beziehungs- und Referenztabellen Zusammenhänge nur schwer ermittelt werden können. Um diese Schwachstellen zu eliminieren, wurde Cobit™ am SIMAT rekonstruiert. Die präsentierte Lösung richtet sich auf die Cobit™-Domäne „Deliver and Support“, die mit dem Prozess- und Wissensmanagementtool SemTalk modelliert wurde.

ISACA® Zertifikatskurs "IT-Compliance"

Der Kurs ist an der Schnittstelle zwischen Geschäft und IT angesiedelt und wendet sich an Verantwortungsträger und Experten des Prozess- und Risikomanagements in großen und mittleren Unternehmen sowie in Beratungsgesellschaften, die in den Bereichen Compliance, Risikomanagement und IT-Governance tätig sind. Die Inhalte sind branchenübergreifend gewählt. Das Zertifikat „IT-Compliance-Manager“ wird vom ISACA® Germany Chapter und der Frankfurt School of Finance & Management gemeinsam vergeben. Zusammen mit dem Zertifikat „IT-Governance-Manager“ deckt es die Inhalte der von ISACA® International (www.isaca.org) vergebenen Zertifizierung CGEIT® (Certified in the Governance of Enterprise IT®) ab. Beide Kurse in Kombination können auch als Vorbereitung auf den Erwerb der CGEIT®-Zertifizierung dienen.
Download des Programms

Scopar-Zukunftsstudie zur IT

Die unter Teilnahme von Prof. Dr. Klotz, Mitglied des wissenschaftlichen Beratergremiums von Scopar, erstellte Studie sammelte die Erfahrungen zahlreicher IT-Experten aus Unternehmen, Beratung und Hochschulen. Im Ergebnis wurde bekräftigt, dass eine strategisch aufgestellte IT einen Wettbewerbsvorteil darstellt und eine an den Unternehmensbedürfnissen orientierte IT eine wertvolle Unterstützung zum Unternehmenserfolg leistet.

Hierbei ist wichtig, dass Technologie eine wohldurchdachte und an den Unternehmenszielen orientierte IT-Strategie nicht ersetzen kann. Neu in den Top 3 ist die IT Security: Es sieht so aus, als wenn die Bedeutung von Sicherheit, Datenschutz und Compliance in den Chefetagen angekommen ist. Trotz aller Krisenbeschwörungen wird dem Thema der IT-Kosten nicht die höchste Priorität zuerkannt. Auf der technischen Seite ist es eher das Thema „Web 2.0“, dem in 2010 in den Unternehmen im Zusammenhang mit Kundenbindung und der Zusammenarbeit mir Marktpartnern mehr Beachtung geschenkt werden wird.

Link zur Studie

Vortrag auf dem SemTalk Anwendertreffen

Erfolgreiche Projektpräsentation bei docs&rules

Unternehmen zu helfen ihre Steuerrisiken zu beherrschen – das war Ziel der Arbeit von Sebastian Tiedemann, BWL-Student der FH Stralsund.
In enger Zusammenarbeit mit dem Team von Malin Mastrocola, Produktmanagerin im Bereich Governance, Risk & Compliance bei der Berliner docs&rules GmbH, entstand eine Übersicht über steuerrelevante rechtliche Vorgaben aus Gesetzen, Verordnungen und Gerichtsurteilen sowie ein Katalog von Steuerrisiken. Dies bildete die Grundlage für eine Erweiterung des GRC Cockpit, das als Tool für Risiko- und Compliance Management vor allem mittelständischen Unternehmen hilft, ihrer Verantwortung im Bereich Governance, Risk & Compliance nachzukommen. Nach dieser erfolgreichen Zusammenarbeit soll die Partnerschaft zwischen der docs&rules GmbH und dem SIMAT weiter fortgesetzt werden – das nächste Projekt wird derzeit ausgearbeitet.

Foto: Abschlusspräsentation mit (v. l.) Dr. Mathias Petri (Geschäftsführer docs&rules), Sebastian Tiedemann (BWL-Student der FH Stralsund), Malin Mastrocola (docs&rules), Prof. Dr. Michael Klotz (SIMAT)

Arbeitspapier "Corporate Governance gemäß BilMoG und SOX"

Durch vermehrt aufgetretene Finanzskandale und Zusammenbrüche namhafter Unternehmen wurde in den letzten Jahren das Vertrauen der Anleger nachhaltig gestört. Um die Glaubwürdigkeit in die veröffentlichten Finanzinformationen und in die Sicherheit der unternehmerischen Überwachungsprozesse wieder herzustellen, wurden eine Reihe nationaler und internationaler Regelwerke zur Corporate Governance geschaffen.

Ziel dieses Arbeitspapiers ist es, die neuen Vorschriften im Rahmen des Bilanzrechtsmodernisierungsgesetzes zur Corporate Governance und zum Risikomanagement vorzustellen und mit den seit 2002 geltenden Anforderungen durch den US-amerikanischen Sarbanes-Oxley-Act zu vergleichen. Hierbei werden Gemeinsamkeiten und Unterschiede sowie der Wirkungskreis beider Gesetze aufgezeigt.

Download

ISACA® Zertifikatskurs "IT-Compliance"

Der Kurs ist an der Schnittstelle zwischen Geschäft und IT angesiedelt und wendet sich an Verantwortungsträger und Experten des Prozess- und Risikomanagements in großen und mittleren Unternehmen sowie in Beratungsgesellschaften, die in den Bereichen Compliance, Risikomanagement und IT-Governance tätig sind. Die Inhalte sind branchenübergreifend gewählt. Das Zertifikat „IT-Compliance-Manager“ wird vom ISACA® Germany Chapter und der Frankfurt School of Finance & Management gemeinsam vergeben. Zusammen mit dem Zertifikat „IT-Governance-Manager“ deckt es die Inhalte der von ISACA® International (www.isaca.org) vergebenen Zertifizierung CGEIT® (Certified in the Governance of Enterprise IT®) ab. Beide Kurse in Kombination können auch als Vorbereitung auf den Erwerb der CGEIT®-Zertifizierung dienen.
Download des Programms

docs&rules und SIMAT kooperieren

Vortrag zur ISO 38500

Die ISO/IEC 38500 beinhaltet ein Referenzmodell für die IT-Governance, das auf dem Corporate-Governance-Verständnis des Cadbury-Reports und der Corporate-Governance-Grundsätze der OECD beruht. Demgemäß wird „Corporate governance of IT“ ist als ein System verstanden, durch das die aktuelle und künftige Nutzung der IT geleitet und bedarfsgerecht gesteuert wird. Im Vordergrund steht der planvolle Einsatz der IT, der an den Unternehmenszielen und der daraus abgeleiteten IT-Strategie ausgerichtet sein soll. Die systematische Bewertung des IT-Einsatzes sowie die kontinuierliche Überwachung der Planrealisierung spielen hierbei eine zentrale Rolle. Die ISO/IEC 38500 beschreibt ein grundlegendes Modell der IT-Governance, das im Rahmen von sechs Prinzipien Zielsetzungen guter IT-Governance postuliert. Zum Erreichen dieser Zielsetzungen werden verschiedene Aktivitäten in den drei Führungsfunktionen Bewertung, Leitung und Überwachung der IT empfohlen. In der Kombination von Führungsfunktionen und Prinzipien der IT-Governance ergeben sich über 40 Einzelempfehlungen zur IT-Governance eines Unternehmens.

Neues Projekt "IT Process and Control Framework"

Das SIMAT entwickelt gemeinsam mit der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers AG (PwC) ein Tool zur Verwaltung und Darstellung von IT-Prozessen, Prozessaktivitäten , Kontrollzielen und Kontrollen. Auf diese Weise wird ein „IT Process and Control Framework“ (ITPCF) entstehen, das auf den führenden Referenzmodellen, wie beispielsweise ITIL und Cobit, basiert. Für PwC bietet das Tool die Möglichkeit, das in den Prüfungs- und Beratungsprojekten erworbene Know-how zu dokumentieren und damit den Mandanten von PwC in künftigen Projekten als Best Practice zur Verfügung zu stellen. Studierende werden im Competence Center “IT-Governance, Riskmanagement & Compliance” (ITGRC) Lösungsalternativen konzipieren, in Prototypen umsetzen und letztlich ein für die PwC-Mitarbeiter nutzbares Tool entwickeln.

Foto: Projekt-Kickoff mit (v. l.) Karsten Wilop (PwC, Senior Manager PwC), Dr. Martin Fröhlich (PwC, Partner), Prof. Dr. Michael Klotz (SIMAT)

Ergebnisse des CC ITGRC auf der Cebit2009

IT-Compliance ist ein zunehmend wichtiges Teilgebiet des IT-Managements. IT-Compliance bezeichnet einen Zustand, in dem alle für die IT des Unternehmens rele­van­ten Vorgaben nachweislich eingehalten werden. Dies wird zunehmend durch die Automatisierung von Kontrollen sichergestellt, Hierzu sind die Vorgaben verschiedener Regelwerke (Gesetze, Verträge, Normen etc.) zu erfassen und anschließend formal zu spezifizieren. Für den zweiten Schritt werden Policy-Sprachen genutzt. Allerdings besteht, vor allem aus Anwendersicht, eine systematische Lücke zwischen der Interpretation der meist textuell vorliegenden Regelwerke und der formalen Spezifizierung mittels einer Policy-Sprache. Die Arbeit am SIMAT will diese Lücke schließen. Die ausgestellten Lösungen richten sich auf eine schrittweise Formalisierung der in den Regelwerken enthaltenen Vorgaben und eine strukturierte Darstellung von Compliance-An­forde­rungen. Auf dieser Basis werden Compliance-Anforderungen toolgestützt modelliert. Zielsetzung ist die Berücksichtigung von Compliance-Anforderungen in der IT- und Prozessorganisation.

Arbeitspapier "Datenschutz in KMU – Lehren für die IT-Compliance"

IT-Compliance als Teilbereich der IT-Governance er­langt der­zeit wachsende Be­deutung. Dass die For­de­rung nach Gesetzestreue trivial erscheint, offen­bar jedoch nicht ist, belegen allein schon die in 2008 bekannt gewordenen Compliance-Verstöße. Dies­be­züg­lich wird die Be­fol­gung der Vorschriften des BDSG in KMU exemplarisch herangezogen. Auf dieser Basis dis­kutiert dieses Arbeitspapier verschiedene begriff­liche und konzep­tionelle Aspekte der IT-Com­pliance. Hierzu werden die ethischen Prin­zipien der Deontologie und des Kon­se­quentialismus ge­nutzt. Im Er­geb­nis zeigen sich grundlegende theo­re­tische Klärun­gen, die für den Hand­lungs­bereich sowohl der IT-Compliance als auch des IT-Risiko­manage­ments sowie für die Praxis des Datenschutzes nutzbar gemacht werden können.

Download