KAIT – die IT-Governance
Béla Maaß
Eine IT-Strategie allein führt noch nicht zum Erfolg. Es braucht eine konsistente, abgeleitete IT-Governance um die Effektivität und die Effizienz der IT garantieren zu können. Zudem bildet sie den zweiten Punkt der KAIT. Doch was bedeutet IT-Governance überhaupt?
Vorgaben der KAIT
In meinen vorangegangenen Blogbeiträgen habe ich dargestellt, wie Sie aus einer SWOT-Analyse und der Unternehmensstrategie eine nachhaltige IT-Strategie definieren können. Die nächste logische Konsequenz bildet die Ableitung einer IT-Governance aus eben dieser IT-Strategie. Dies hat auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkannt und regelt die Mindestinhalte einer solchen IT-Governance im gleichnamigen Abschnitt der KAIT.
Entsprechend bilden folgende Bestandteile zusammen den abstrakten Begriff „IT-Governance“ ab:
Regelungen zur IT-Aufbau- und IT-Ablauforganisation,
Regelungen zum Informationsrisiko- sowie Informationssicherheitsmanagement,
eine quantitativ und qualitativ angemessene Personalausstattung der IT,
eine quantitativ und qualitativ ausreichende technisch-organisatorische Ausstattung,
ein angemessenes IT-Notfallmanagement,
Prozesse zur Überwachung und Steuerung der IT-Risiken,
Arbeitsablaufbeschreibungen, deren Dokumentationstiefe sich an der Risikostruktur der Organisation orientiert.
Insbesondere die IT-Aufbau- und IT-Ablauforganisation müssen dabei so ausgestaltet sein, dass sie bei Veränderungen in den Prozessen oder Aktivitäten angepasst werden können und Interessenskonflikte vermieden werden. Die Regelungen hierzu sind auch bei externen Systemen (z.B. von Verwahrstelle, Fondsadministrator, externen Verwaltungsgesellschaften oder wichtigen Auslagerungsunternehmen) umzusetzen.
Über Abteilungsdenken hinwegsetzen
Die Angemessenheit der IT-Aufbau- und IT-Ablauforganisation kann anhand einer SWOT Analyse der IT (siehe auch meinen vorigen Beitrag) gemessen werden. Beide bilden das Fundament für die restliche Ausrichtung der IT und sollten daher innerbetriebliche Machtpolitik und „Abteilungsdenken“ überwinden können.
Dokumentieren Sie Ihre innerbetrieblichen IT-Richtlinien nicht nur des Dokumentationswillen wegen, sondern erarbeiten Sie Arbeitshilfen für Ihre Mitarbeiter. Die Krux dabei ist, aus den übergeordneten IT-Richtlinien praxisnahe Arbeitsablaufbeschreibungen abzuleiten. 300 Einzeldokumente, die von allen Mitarbeitern gelesen werden sollen, erzeugen keinen Mehrwert. Stellen Sie sicher, dass Ihr Dokumentationswesen risikoorientiert und zielgerichtet auf die entsprechenden Mitarbeiter zugeschnitten ist. Gleiches gilt für die Dokumentation der Prozesse, die sich alle auf derselben abstrakten Flugebene bewegen sollten, um tatsächlich Mehrwerte generieren zu können. Um diese effizient steuern zu können, gilt es jeweils relevante Kennzahlen zu definieren. Gute Ansatzpunkte bietet hier das „Enterprise Governance Model“ der ISACA: COBIT.
IT-Notfallmanagement
Das IT-Notfallmanagement Ihrer Organisation, im Rahmen des Business Continuity Management (BCM), kann von Natur aus nicht nur aus einem einzelnen Dokument „Notfallvorsorge“ o.ä. bestehen. Vielmehr ist, neben den typischen Notfallübungen, ein iterativer Prozess zu implementieren, der das BCM stetig pflegt und optimiert. Der benannte Prozess muss regelmäßig die sich ändernden IT-Rahmenbedingungen und Bedrohungslagen neu bewerten und das eigentliche Notfallkonzept ggf. neu ausrichten. Eine ideale Grundlage bildet hierfür das PDCA (Plan-Do-Check-Act) Modell.
Sie haben immer noch nicht genug
Implementierungstipps zur KAIT?
Mit unserem Newsletter erhalten Sie alle zwei Wochen
- aktuelle Artikel und Whitepaper,
- unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
- und die aktuellen Termine unserer Audinare.
Was erhalten wir dafür?
- Die Chance Sie von uns und unserem Know-how zu überzeugen.