Manage IT und IT Risk
Die Kernaufgabe der ORG/IT-Einheiten von Finanzdienstleistern ist die Sicherstellung der mittel- und langfristigen Versorgung (Entwicklung und Betrieb) der Institute mit adäquaten, wirtschaftlichen und zukunftsfähigen Organisations- und IT-Lösungen. Ziel des IT-Managements ist die Umsetzung der definierten Geschäftsziele und Geschäftsstrategien unter Berücksichtigung der rechtlichen Rahmenbedingungen. Ein kritischer Erfolgsfaktor dafür ist die effektive und effiziente Steuerung der IT. Steuerungsprinzipien müssen klar festgelegt sein und die Entwicklung von Unternehmens- und IT-Strategie den gleichen Regeln folgen, um ein Business/IT-Alignment zu gewährleisten.
Neben der sich auf das Gesamtunternehmen beziehenden Corporate Governance existiert daher innerhalb des IT-Managements die IT-Governance-Funktion („Manage IT“). Deren Ziel ist die zielorientierte Steuerung einer leistungsfähigen und reibungslosen Zusammenarbeit zwischen Fachbereichen, ORG/IT-Einheiten, IT-Dienstleister und Gremien unter den Rahmenbedingungen Lieferfähigkeit, Beherrschbarkeit und Budgettragfähigkeit.
Die Aufgabe von Manage IT ist es, hierfür durch effiziente Strukturen und Prozesse die notwendigen Rahmenbedingungen zu schaffen bzw. deren Ausführung zu steuern und zu fördern. Zentrale Handlungsfelder hierfür sind:
- Sicherstellung der zielgerichteten Zusammenarbeit aller Beteiligten der gesamten ORG/IT-Wertschöpfungskette
- Optimales Austarieren von kundennahen Leistungen und zentraler Steuerung
- Herstellung einer Balance zwischen Standardisierung und Flexibilität
- Ausdifferenzierung der IT-Leistungsniveaus auf unterschiedliche Kundenanforderungen, Adjustierung wesentlicher Steuerungs-, Leistungs- und Unterstützungsprozesse sowie tragfähige IT-Architekturen und verbindliche IT-Bebauungsplanung
Neben der Steuerung der ORG/IT-Wertschöpfung zählen die Sicherstellung der Einhaltung geltender Compliance und Informationssicherheitsstandards sowie das Management von IT-Risiken als notwendige Nebenbedingung der ORG/IT-Leistungserbringung zu den hoheitlichen Aufgaben der IT-Steuerung.
In diesem Zusammenhang sind beispielsweise die Einhaltung gesetzlicher und regulatorischer Anforderungen wie MaRisk oder geltende Auslegungsbestimmungen des Bundesdatenschutzgesetzes für die Informationssicherheit zu steuern und zu überwachen. Aber auch die Überwachung interner operationeller Risiken (OpRisks) durch unzulängliche oder ausfallende interne Verfahren, Mitarbeitende oder Systeme gehört zu den Aufgaben von Manage IT.
Modulinhalt
Manage IT – Governance für eine spürbare ORG/IT-Arbeit
- Manage IT und IT Risk – Motivation für eine spürbare Governance
- Anspruch an die ORG/IT-Steuerung sowie Grundlagen des ORG/IT-Steuerungsmodells
- ORG/IT Rulebook – Ziele, Scope und Inhalte der Steuerungsprozesse entlang der ORG/IT-Wertschöpfungskette in der Praxis
- Value of IT – Kostenmanagement und -optimierung sowie szenariobasierte Ansätze zur Messung des Wertbeitrags der IT
- Dienstleister- und Providermanagement – Schnittstellen zwischen Leistungsnehmer und -erbringer managen
- Steuerungs- und Kontrollinstrumente – Dashboards, KPIs und Reporting in der Praxis
- Gängige Standards und Referenzmodelle für die ORG/IT (z. B. COBIT) sowie externe regulatorische Anforderungen (z. B. BAIT)
IT Risk – Anforderungen Compliance und IT-Sicherheit erfüllen
- „IT-Risikomanagement“ – Anforderungen in der Finanzdienstleistungsbranche (z. B. MaRisk, BAIT)
- Grundlagen Datensicherheit und IT-Security
- Management von operationellen Risiken
- Standard COBIT zur Sicherstellung der MaRisk-Compliance
- Prüfung der IT-Compliance
- Impact der EU-DSGVO
- Scope, Inhalte und Kernelemente einzelner Prozesse: Business Continuity Management, Access und Identity Management
- Cybersecurity – Digitalisierung als Herausforderung für die Informationssicherheit
- „Schatten-IT“ – Management von individueller Datenverarbeitung (IDV)
Das Modul vermittelt einen Überblick über wichtige ORG/IT-Governance-Aufgaben und -Prozesse. Anhand von Praxisbeispielen aus dem Beratungsgeschäft werden hierbei die kritischen Erfolgsfaktoren herausgestellt. Darüber hinaus gibt das Modul wichtige Einblicke in die regulatorischen Leitplanken des Themas ORG/IT, die anhand von konkreten Prüfungsanlässen vermittelt werden.