| Geleitwort | 5 |
| Vorwort der Herausgeber zur 2. Auflage | 7 |
| Vorwort der Herausgeber zur 1. Auflage | 9 |
| Inhaltsverzeichnis | 12 |
| Autorenverzeichnis | 15 |
| Herausgeber | 15 |
| Andreas Rüter | 15 |
| Jörgen Schröder | 15 |
| Dr. Axel Göldner | 16 |
| Jens Niebuhr | 16 |
| Autorenteam | 16 |
| Olaf Acker | 16 |
| Carsten Andresen | 16 |
| Uwe Bartels | 17 |
| Matthias Bauer | 17 |
| Dr. Stefan Behrens | 17 |
| Jörg Böckmann | 17 |
| Dr. Markus Böhm | 17 |
| Eiko Ermold | 18 |
| Joachim Glass | 18 |
| Dr. Florian Gröne | 18 |
| Johannes Liffers | 18 |
| Dr. Germar Schröder | 19 |
| Einleitung | 20 |
| 1 Corporate Governance | 25 |
| 2 Die vernderte Rolle der IT im Unternehmen | 30 |
| 2.1 Der verkannte Produktionsfaktor | 30 |
| 2.2 Die Folgen der digitalen Revolution | 31 |
| 2.3 Die Industrialisierung der Informationsverarbeitung | 32 |
| 2.4 Der Druck zur permanenten Vernderung und Anpassung | 33 |
| 2.5 Die digitale Identitt | 34 |
| 2.6 Der Einfluss rechtlicher oder regulatorischer Anforderungen | 35 |
| 2.6.1 Die Verarbeitung personenbezogener Daten und Datenschutz | 36 |
| 2.6.2 Anforderungen an die Datensicherheit | 37 |
| 2.6.3 Spezielle Anforderungen der Gesundheitsbehörden | 39 |
| Die Infrastruktur im Fokus | 40 |
| Das Qualitütsmanagementsystem für die Infrastruktur | 40 |
| 2.7 Fazit | 41 |
| 3 IT-Governance | 42 |
| 3.1 IT-Governance: Definitionen und Modelle | 43 |
| 3.1.1 Center for Information System Research (CISR) | 44 |
| 3.1.2 IT Governance Institute (ITGI): CobiT | 45 |
| 3.1.3 Office of Government Commerce (OGC): ITIL | 47 |
| 3.1.4 ISO/IEC: 17799 | 48 |
| 3.1.5 Weitere Modelle | 48 |
| 3.2 Einordnung der IT-Governance-Modelle | 49 |
| 3.3 Unser Verstndnis von IT-Governance in der Praxis | 51 |
| 3.4 Die Umsetzung in einem Projekt | 52 |
| 4 Entscheidungsdomnen der IT-Governance | 57 |
| 4.1 IT-Strategie | 58 |
| 4.1.1 Einleitung | 58 |
| 4.1.2 Welche Entscheidungen sind zu treffen? | 61 |
| Ableitung der IT-Implikationen aus der Geschäftsstrategie | 61 |
| Vision, Selbstverständnis und Positionierung der IT | 62 |
| Implikationen auf die Konzern-IT-Architektur | 65 |
| Implikationen auf die Sourcing-Strategie | 66 |
| Implikationen auf Konzern-IT-Organisation, Prozesse und Services | 67 |
| Implikationen auf HR-Maßnahmen und Programme | 68 |
| Implikationen auf die IT-Budgetplanung | 69 |
| Review/Bestimmung der Messung der IT-Strategieeinhaltung | 69 |
| 4.1.3 Wer trifft die Entscheidungen? | 70 |
| 4.1.4 Wie werden die Entscheidungen getroffen? | 72 |
| 4.2 IT-Portfoliomanagement | 73 |
| 4.2.1 Einleitung | 73 |
| 4.2.2 Welche Entscheidungen sind zu treffen? | 74 |
| 4.2.3 Wer trifft die Entscheidungen? | 76 |
| 4.2.4 Wie werden die Entscheidungen getroffen? | 77 |
| 4.3 IT-Architektur | 81 |
| 4.3.1 Einleitung | 82 |
| 4.3.2 Welche Entscheidungen sind zu treffen? | 85 |
| 4.3.2.0 Die Business-Anforderungen und Business-Architektur | 86 |
| 4.3.2.0 Die funktionale Architektur | 86 |
| 4.3.2.0 Die technische Architektur | 88 |
| 4.3.3 Wer trifft die Entscheidungen? | 89 |
| 4.3.4 Wie werden die Entscheidungen getroffen? | 91 |
| Beispiel: Organisationsweite Harmonisierung CRM | 92 |
| Beispiel: Service Oriented Architectures | 93 |
| 4.4 IT-Servicemanagement | 95 |
| 4.4.1 Einleitung | 95 |
| 4.4.2 Welche Entscheidungen sind zu treffen? | 97 |
| 4.4.3 Wer trifft die Entscheidungen? | 100 |
| 4.4.4 Wie werden die Entscheidungen getroffen? | 103 |
| 4.5 IT-Sourcing | 108 |
| 4.5.1 Sourcing-Modelle | 109 |
| 4.5.2 Governance-Beteiligte und Entscheidungsfindung | 111 |
| 4.5.3 Beispiel: Global Technology Partnership | 113 |
| Überblick | 113 |
| Herausforderung | 113 |
| Lösung | 113 |
| Ergebnisse | 114 |
| 4.5.4 Beispiel: Make or Buy | 115 |
| Überblick | 115 |
| Herausforderung | 115 |
| Lösung | 115 |
| Ergebnisse | 115 |
| 4.5.5 Fazit | 116 |
| 4.6 IT-Budget | 116 |
| 5 Relevante Themen der IT-Governance | 121 |
| 5.1 Der SarbanesOxley Act Section 404 in der IT | 121 |
| 5.1.1 Grundlagen | 122 |
| Der Sarbanes--Oxley Act | 122 |
| SOX in der Schering AG | 123 |
| SOX und IT | 125 |
| SOX und (IT-) Governance | 125 |
| COSO und CobiT | 126 |
| Vorhandene Prozesse und Kontrollstrukturen | 128 |
| ITIL | 128 |
| IT-Risikomanagement basierend auf der ISO/IEC 17799 | 128 |
| IT-Systeme/Applikationen im GMP 6 Umfeld | 129 |
| 5.1.2 Risk Assessment | 129 |
| Der SOX-Prozess im Überblick | 129 |
| Prozesse und Sub-Prozesse | 130 |
| Kontrollziele, Risiken und Kontrollen | 133 |
| Kontrolltypen | 134 |
| Kontrollbeschreibungen | 137 |
| Prüfung des Kontrollentwurfes | 138 |
| Effektivitätstest | 138 |
| Klassifizierung von Defiziten | 140 |
| Risikobeurteilung und Sign-Off | 141 |
| 5.1.3 Prüfung des internen Kontrollsystems | 143 |
| Prüfung der Kontrollen | 143 |
| IT-Prüfungsschwerpunkte | 145 |
| 5.1.4 Vom Projekt zur Daueraufgabe | 146 |
| 5.1.5 Fazit | 147 |
| 5.2 Die Einrichtung eines Risikomanagementsystems in der IT | 148 |
| 5.2.1 Die Anforderungen | 149 |
| 5.2.2 Die Bedrohungen | 149 |
| 5.2.3 Die Konsequenzen | 150 |
| 5.2.4 Die Lösung | 151 |
| 5.2.5 Der Rahmen | 152 |
| 5.2.6 Der Prozess | 153 |
| Erstellen und Implementieren von Regeln | 153 |
| Analyse und Bewertung der Risiken | 155 |
| Risikobewusstsein schaffen | 157 |
| Die Berichterstattung | 157 |
| Das Ergebnis | 160 |
| 5.2.7 Die Herausforderungen | 161 |
| 5.2.8 Die Aussichten | 162 |
| 5.3 IT-Governance als Katalysator fr erfolgreiche Post-Merger-Integrationen | 162 |
| 5.3.1 Ausgangslage | 162 |
| 5.3.2 IT-Integrationsstrategie und IT-Governance | 164 |
| 5.3.3 Rollen und Verantwortlichkeiten der IT im PMI-Prozess | 165 |
| ``Functional Analyst`` in der Pre-Merger-Phase | 165 |
| ``Change Manager`` in der Post-Merger-Phase | 166 |
| 5.3.4 Erfolgsfaktoren für eine IT-PMI-Governance | 167 |
| 5.4 Konsolidierung Synergieerschlieung in internationalen Konzernen | 168 |
| 5.4.1 Beschreibung Ausgangssituation | 168 |
| 5.4.2 Ziele und Ansatzpunkte der Konsolidierung | 169 |
| 5.4.3 GrundsÜtzliche Überlegungen zur Konsolidierung | 170 |
| 5.4.4 Umsetzung und Maßnahmen | 172 |
| Business Integration | 172 |
| Definition eines Transformations-Fahrplans | 173 |
| Implementierung eines Change-Management-Programms | 175 |
| 5.5 Governance Voraussetzung fr robustes Wachstum | 176 |
| 5.5.1 IT als Wachstumsbremse? | 176 |
| 5.5.2 Ausgangslage | 177 |
| 5.5.3 Ansatzpunkte für die Governance-Neugestaltung | 179 |
| 5.5.4 Ergebnisse und Fazit | 182 |
| 5.6 Demand Management das Eingangstor zur IT | 183 |
| 5.6.1 Vom Business Case zur mehrdimensionalen Steuerung | 185 |
| 5.6.2 Der richtige Projekt-Mix ü Demand Management auf dem Prüfstand | 188 |
| Fokus auf interne Kunden | 188 |
| Demand Management von der IT auf das gesamte Unternehmen ausdehnen | 189 |
| 5.7 Governance Erfolgsfaktor im Outsourcing | 189 |
| 5.7.1 Die Problematik von Outsourcing-Governance | 190 |
| Outsourcing als Querschnittsthema in der IT-Governance | 190 |
| Governance als Erfolgsfaktor im Outsourcing | 190 |
| 5.7.2 Mechanismen der Outsourcing-Governance | 192 |
| Verträge | 192 |
| Strukturen | 193 |
| Prozesse | 195 |
| Beziehungsprotokolle | 197 |
| 5.7.3 Gestaltung von Outsourcing-Governance | 198 |
| Einflussfaktoren der Governance-Gestaltung | 198 |
| Idealtypische Governance-Konfigurationen 16 | 199 |
| 5.7.4 Erfolgskontrolle im Outsourcing | 201 |
| 5.7.5 Fazit | 203 |
| 5.8 Organisation und Fhrungskultur | 203 |
| 5.8.1 Welche Leadership-Föhigkeiten werden för eine funktionierende IT-Governance benötigt? | 204 |
| 5.8.2 Welche Bedeutung hat die Unternehmenskultur? | 206 |
| IT-Manager beurteilen eigene Organisation negativer als der Durchschnitt | 207 |
| Zu wenig Informationen, unklare Kompetenzen | 208 |
| Governance als Regelwerk für den Erfolg | 209 |
| IT braucht Informations- und Steuerungsinstrumente | 210 |
| Organisations-Design und organisatorische Fitness | 210 |
| 5.9 Herstellung und Nachweis der IT-Compliance | 212 |
| 5.9.1 Gesetzliche und regulatorische Vorgaben für die IT | 213 |
| Anforderungen an den Umgang mit Risiken | 214 |
| Klassifikation der Anforderungen und Regelungen für die IT | 217 |
| Compliance als Zustand nachweisbarer Vorgabenkonformität | 221 |
| Herausforderungen beim Umgang mit der IT-Compliance | 224 |
| 5.9.2 Internes Kontrollsystem für die IT | 228 |
| Grundlegende Begriffe und konzeptioneller Rahmen | 229 |
| Aufbau eines Internen Kontrollsystems (IKS) | 229 |
| Angemessenheit und Wirksamkeit eines IKS | 231 |
| Ausgestaltung eines Kontrollsystems für die IT | 231 |
| 5.9.3 Risikoorientierte Prüfung von IT-Systemen | 234 |
| 5.9.3.0 Einsatz der IT im Finanz- und Rechnungswesen | 234 |
| Jahresabschluüprüfung beim Einsatz von IT | 235 |
| Notwendigkeit einer IT-Systemprüfung | 235 |
| Anforderungen an Ordnungsmßßigkeit und Sicherheit der IT | 236 |
| Gestaltung des Prüfungsansatzes für IT-Systeme | 237 |
| Vorgehensweise der risikoorientierten IT-Systemprüfung | 238 |
| 5.9.4 Nachhaltige Compliance durch Governance der IT | 240 |
| Bedeutung wirkungsvoller IT-Governance | 241 |
| Nutzenpotentiale erfolgreich umgesetzter IT-Compliance | 242 |
| 5.10 IT-Sicherheit Compliance | 242 |
| 5.10.1 Konsens ä Komplexität | 242 |
| 5.10.2 Gesetze, Standards, Definitionen | 244 |
| Deutsche gesetzliche Anforderungen und Interpretationen | 244 |
| Internationale gesetzesnahe Standards | 247 |
| Sonstige Normen und Standards | 249 |
| Vom Gesetz zur Praxis | 250 |
| 5.10.3 IT-Sicherheitsprozesse und -strukturen | 252 |
| IT-Sicherheitsstrategie und -programm | 253 |
| IT-Sicherheitsmanagement | 255 |
| Notfallplanung & -management | 259 |
| Compliance Monitoring & Reporting | 260 |
| 5.10.4 Identity und Access Management | 260 |
| Identity Management | 261 |
| Access Management | 267 |
| Integration mit dem Compliance Monitoring und Reporting | 272 |
| 5.10.5 IAM & Compliance in der Praxis | 273 |
| Die Projektdurchführung | 274 |
| Verankerung in der Organisation | 278 |
| Das Maß der Automatisierung | 285 |
| Die geeignete Software | 287 |
| 5.10.6 Zusammenfassung | 292 |
| 6 Ausblick | 294 |
| Literatur | 296 |
