IT-GRC-Management - Governance, Risk und Compliance (eBook)

Prof. Dr. Matthias Knoll, CISA, ist Professor für Betriebswirtschaftslehre, insbesondere Betriebliche Informationsverarbeitung am Fachbereich Wirtschaft der Hochschule Darmstadt. Seine aktuellen Schwerpunkte sind die Digitalisierung unter Governance-, Risiko und Revisionsgesichtspunkten, der Einsatz von Open-Source-Systemen sowie Aufbau und Betrieb von BI-/Big-Data-Lösungen aus Anwendersicht. Er ist Herausgeber der Zeitschrift HMD – Praxis der Wirtschaftsinformatik. Prof. Dr. Susanne Strahringer hat die Professur für Wirtschaftsinformatik, insb. Informationssysteme in Industrie und Handel an der Technischen Universität Dresden inne. Ihre Forschungsinteressen liegen im Bereich der Unternehmenssoftware und -modellierung sowie in IT-Management-Fragestellungen (IT-Outsourcing, neuere IT-Managementkonzepte und -phänomene). Sie ist Herausgeberin der Zeitschrift HMD – Praxis der Wirtschaftsinformatik. 

IT-GRC-Management – Governance, Risk und Compliance 4
Grundlagen und Anwendungen 4
Impressum 5
Vorwort 6
Inhaltsverzeichnis 8
Die Autoren 12
1: IT-GRC-Management im Zeitalter der Digitalisierung 17
1.1 Grundlagen des IT-GRC-Managements 18
1.1.1 IT-Governance 18
1.1.2 IT-Risiko 19
1.1.3 IT-Compliance 21
1.1.4 Zusammenwirken im IT-GRC-Dreieck 23
1.2 Organisation 24
1.2.1 Organisation der IT-Governance 24
1.2.2 Organisation des IT-Risikomanagement 26
1.2.3 Organisation der IT-Compliance 26
1.3 Erfolgsfaktoren für das IT-GRC-Management 28
1.3.1 IT-Governance 28
1.3.2 IT-Risikomanagement 30
1.3.3 IT-Compliance 35
1.4 IT-GRC-Management in kleinen Unternehmen 36
1.5 Ausblick auf das IT-GRC-Management im digitalen Zeitalter 37
Literatur 38
2: Governance und Compliance von Anfang an wirksam umsetzen 41
2.1 Herausforderungen an Governance und Compliance in der IT 42
2.2 Referenzmodelle für Governance und Compliance in der IT 43
2.2.1 COBIT 43
2.2.2 CMMI 44
2.2.3 Weitere Referenzmodelle 44
2.3 Referenzmodelle als Werkzeuge zur Governance betrieblicher IT-Prozesse 45
2.3.1 Klärung des WARUM 46
2.3.2 Klärung des WAS 46
2.3.3 Klärung des WIE 47
2.4 Governance wirksam umsetzen mit einer PDCA-Kultur 49
2.5 Von der Governance zur Compliance 51
Literatur 52
3: Vom Business/IT-Alignment zur Business/IT-Integration – Auswirkungen auf das IT-Controlling als Teil der IT-Governance 53
3.1 IT-Management: Vom Alignment zur Integration 54
3.2 Business/IT-Integration und die Rolle der Leistungssteuerung 57
3.2.1 Ebene der Leistungssteuerung 58
3.2.2 Ein erster Bezugsrahmen für die Business/IT-Integration 59
3.3 Expertenbefragung und Ableitung eines Vorschlags einer prozessorientierten Anpassung 60
3.3.1 Die Expertenbefragung 61
3.3.2 Der Vorschlag eines integrierten Wertschöpfungscontrollings 62
3.4 Fazit 65
Literatur 66
4: Verbesserung des Wertbeitrags von IT-Organisationen – Empirische Handlungsempfehlungen 67
4.1 Unsicherheit als „neue Normalität“ 68
4.2 Anforderungen an die IT 68
4.3 Flexibilität als Erfolgsfaktor für die IT-Organisation 70
4.4 Gestaltungsempfehlungen zur Erhöhung der IT-Flexibilität 71
4.4.1 Methodik der empirischen Untersuchung 71
4.4.2 Gestaltungsempfehlungen zur Verbesserung der IT-Flexibilisierung 72
4.5 Fazit und Ausblick 77
Literatur 79
5: Rahmenwerke für das IT-GRC-Management 81
5.1 Motivation für den Einsatz von Rahmenwerken 82
5.2 Rahmenwerke für IT-Risk im Überblick 84
5.3 Unterschiede und Einsatzgebiete am Beispiel von IT-Risk 90
5.4 Fazit 96
Literatur 96
6: Systematische Differenzierung von IT-Risiken 98
6.1 Einleitung 99
6.2 IT-Risiken und IT-Risikomanagement 99
6.3 Unterscheidungskriterien für IT-Risiken 100
6.4 Unterscheidung von IT-Risiken nach Wirkungen 102
6.5 Unterscheidung von IT-Risiken nach Ursachen 103
6.6 IT-Sicherheitsrisiken 107
6.7 Fazit 110
Literatur 111
7: IT-Risikomanagement für Produktionssysteme – Basis zur Gestaltung sicherer Fertigungsprozesse 112
7.1 Einleitung 113
7.1.1 Wachsende Digitalisierung und Vernetzung im Produktionsumfeld 113
7.1.2 Wandel der Produktion hin zu Industrie 4.0 114
7.1.3 Produktionsumfeld erbt klassische IT-Sicherheitsrisiken 114
7.2 Besondere Anforderungen im Produktionsumfeld 116
7.3 Best Practices zur IT-Sicherheit in der Produktion 117
7.4 Vorgehensmodell zur IT-Risikoanalyse 118
7.5 Beispiel Fernwartung 124
7.6 Fazit und Ausblick 125
Literatur 126
8: Risiken der Industrie 4.0 – Eine Strukturierung von Bedrohungsszenarien der Smart Factory 127
8.1 Bedeutung des Sicherheitsmanagements in der Smart Factory 128
8.2 Grundlagen der cyber-physischen Produktion 129
8.3 Strukturierungsansatz für das Sicherheitsmanagement in der Smart Factory 130
8.3.1 Identifikation interner und externer Bedrohungen 131
8.3.2 Analyse der jeweils bedrohten Schutzziele 132
8.3.3 Analyse von Ausbreitungseffekten 134
8.3.4 Festlegen und Umsetzen von Sicherheitsmaßnahmen 135
8.4 Anwendungsbeispiele und allgemeine Handlungsempfehlungen 137
8.4.1 Anwendungsbeispiel bei einem Hersteller von Industrierobotern 138
8.4.2 Anwendungsbeispiel bei einem Hersteller von Speichersystemen 139
8.4.3 Allgemeine Handlungsempfehlungen 141
Literatur 142
9: Kontrollierte Nutzung von Schatten-IT 143
9.1 Notwendigkeit einer Praxis-Sicht auf Schatten-IT 144
9.2 Methodik 145
9.2.1 Analyse der Praktikerveröffentlichungen 145
9.2.2 Interviewstudie mit IT-Managern 145
9.3 Ergebnisse 146
9.3.1 Übersicht zur aktuellen Diskussion von Schatten-IT in der Praxis 146
9.3.2 Druck auf die IT 147
9.3.3 Auswirkung auf die IT 150
9.3.4 Kontrollierte Nutzung Fachbereichsgetriebener IT 154
9.3.5 Neuausrichtung der IT 161
9.4 Auswirkungen von Schatten-IT auf die Rolle der IT-Abteilung im Unternehmen 163
Literatur 163
10: Digitalisierung für kleinere und mittlere Unternehmen (KMU): Anforderungen an das IT-Management 165
10.1 Digitalisierung und IT-Management 166
10.1.1 IT-Management und IT-Governance 166
10.1.2 IT-Organisation in Großunternehmen 167
10.1.3 Zentrale Fragen 168
10.2 Analyse des IT-Managements bei deutschsprachigen KMU 168
10.2.1 Befragung zur Organisation der IT 169
10.2.2 Ergebnisse der Befragung 169
10.3 Kernelemente eines IT-Governance-Modells für KMU 171
10.3.1 IT-Steuerungsorganisation 172
10.3.2 IT-Strategie/IT-Planung 173
10.3.3 IT-Kennzahlensystem 175
10.3.4 IT-Projektstrukturen 177
10.4 Fazit und Ausblick 179
Literatur 179
11: Rahmenwerk für das IT-gestützte Management von Datenschutz in Anwendungssystemen 181
11.1 Einführung und Motivation 182
11.1.1 Gesetzlicher Rahmen des Datenschutzes und aktuelle Entwicklungen 182
11.1.2 Bedeutung und Auswirkungen auf die Unternehmen 183
11.2 Anforderungen an ein IT-gestütztes Rahmenwerk 185
11.2.1 Informationsmodell 185
11.2.2 Anforderungen 187
11.3 Stand der Technik 188
11.4 Vorschlag für ein Rahmenwerk zum Datenschutz in Anwendungen 189
11.4.1 Lösungsansatz 190
11.4.2 Modul „Modellierung“ 191
11.4.3 Modul „Steuerung“ 194
11.4.4 Modul „Analyse“ 194
11.5 Anwendungsbeispiel 195
11.6 Zusammenfassung und Ausblick 196
Literatur 197
12: Datenschutzkonformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU-DSGVO 199
12.1 Einführung rechtlicher Rahmen
12.2 Löschen personenbezogener Daten im Unternehmen 201
12.2.1 Löschkonzept 202
12.2.1.1 Aufbau zu löschender Datenstrukturen 202
Bildung von Datenclustern 203
Kriterien zur Zweckerfüllung 204
12.2.1.2 Bestimmung der Aufbewahrungsfristen 204
12.2.2 Technische Umsetzung des Löschkonzeptes 206
12.3 Prototypen für ein ganzheitliches Umsetzungskonzept 207
12.4 Datenschutzkonformität: auch eine Aufgabe der Wirtschaftsinformatik?! 209
12.5 Fazit 210
Literatur 211
13: Datenschutzanforderungen und ihre Unterstützung in HR-Systemen am Beispiel SAP ERP HCM 213
13.1 Von den Datenschutzgesetzen zur EU-Datenschutzgrundverordnung 214
13.2 Technische Anforderungen 214
13.3 Allgemeiner Projektansatz 220
13.4 Spezifische Funktionen im SAP ERP HCM 222
13.4.1 Sperren der Daten mit Hilfe des Berechtigungskonzeptes 222
13.4.1.1 Sperren auf der Ebene der Mitarbeiter 223
13.4.1.2 Sperren für historische Datensätze 223
13.4.2 Löschen der Daten 224
13.4.3 Vereinfachtes Löschen ausgewählter Mitarbeiterdaten 225
13.4.4 Auskunftsanspruch 226
Literatur 226
14: Datenschutz im Konzern – ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Personaldaten 228
14.1 Einleitung 229
14.2 Der Personalmanagement-Prozess im Konzern 230
14.2.1 Organisatorische und IT-Sicht 230
14.2.2 Datenfluss im Personalmanagement-Prozess 230
14.3 Verantwortlichkeit im Sinne der DSGVO 231
14.3.1 Charakterisierende Merkmale der Verantwortung 231
14.3.1.1 Die offensichtliche Verantwortung des Arbeitgebers 232
14.3.1.2 Der Differenzierungsaspekt 232
Verarbeitung im Sinne der DSGVO 232
Zweck im Sinne der DSGVO 233
Mittel im Sinne der DSGVO 233
Entscheiden im Sinne der DSGVO Entscheidungsfindung
Partizipative Entscheidungsfindung 234
Mittel und ihre unterschiedliche Wirkungsbreite 235
14.3.1.3 Der kollektive Aspekt 236
14.3.2 Datenaustausch im Konzern 237
14.4 Auftragsverarbeitung 237
14.5 Notwendige Dokumentation und Verträge nach Art. 26 und 28 DSGVO 238
14.6 Empfehlungen zur praktischen Handhabung der Methodik 239
14.7 Beispiel einer weiteren Konzernstruktur 241
14.8 Operationalisierung der Verantwortung 241
14.9 Fazit 242
Literatur 243
Stichwortverzeichnis 245