Compliance-Lexikon · Governance
IT Governance
[aɪ tiː ˈɡʌvənəns] · auch: IT-Steuerung, IKT-Governance, IT-Führungsrahmen
IT Governance bezeichnet den Rahmen aus Strukturen, Prozessen und Prinzipien, der sicherstellt, dass IT-Entscheidungen mit den Unternehmenszielen ausgerichtet sind – einschließlich Entscheidungskompetenzen, Ressourcensteuerung, Risikomanagement und Performance-Überwachung.
Warum IT Governance ein Governance-Kernbegriff ist
IT Governance ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen IT Governance als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.
Wo IT Governance gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 38500 | vollständig | Governance of IT for the Organization: Internationaler Standard für IT-Governance mit sechs Prinzipien. |
| COBIT 2019 | vollständig | Control Objectives for Information Technologies: Detaillierter IT-Governance-Rahmen mit Prozessen und Metriken. |
| ISO 27001:2022 | Kap. 5 | Führung: IT-Governance als übergeordneter Rahmen für das ISMS. |
| NIS-2 / BSIG | § 38 | Leitungsorganhaftung: IT-Governance mit klarer Verantwortungsverteilung als Voraussetzung. |
| DORA | Art. 5 | Governance-Anforderungen: Klare Strukturen und Entscheidungsrechte für IKT-Risikomanagement. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht formal dokumentiert
- Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
- Keine regelmäßige Überprüfung der Umsetzung
- Fehlende Evidence für den Auditor
Kernelemente in der Praxis
Ein wirksames IT Governance-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.
Abgrenzung und Einordnung
IT Governance steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein IT Governance-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.
Nächste Ebene
IT Governance in der Praxis: Umsetzung, Nachweise und Evidence
Was Auditoren bei IT Governance konkret prüfen und welche Evidence benötigt wird.