Advertisement

HMD Praxis der Wirtschaftsinformatik

, Volume 55, Issue 5, pp 964–983 | Cite as

Unternehmensarchitekturen aus Sicht von IT-Risikomanagement und IT-Revision

  • Matthias KnollEmail author
Schwerpunkt
  • 409 Downloads

Zusammenfassung

Die Wahl der „richtigen“ Architektur im Kontext des Einsatzes von Informationssystemen in Unternehmen aller Branchen und Größen wird vor dem Hintergrund der fortschreitenden Digitalisierung und damit der zunehmenden IT-Durchdringung der Geschäftsmodelle und -prozesse immer wichtiger. Häufig gerät dabei eine systematische Beschäftigung mit Risiken, die sich aus der Entscheidung für (oder gegen) ein bestimmtes Architekturkonzept ergeben, in den Hintergrund. Weil jedoch Architektur-Entscheidungen einen strategischen Charakter besitzen und ihre Folgen lange nachwirken, erscheint eine risikoorientierte Betrachtung auch unter dem Gesichtspunkt einer prüferischen Begleitung entsprechender Vorhaben immer wichtiger.

Der Beitrag zeigt am Three-Lines-of-Defence-Modell auf, welche Herausforderungen auf die einzelnen „Verteidigungslinien“ zukommen, wo welche Verantwortung angesiedelt sein sollte und welche Aufgaben zu übernehmen sind.

Schlüsselwörter

Unternehmensarchitektur IT-Architektur Sicherheitsarchitektur IT-Risiko IT-Risikomanagement IT-Prüfung IT-Revision 

Enterprise Architecture from the Perspective of It-risk and It-audit

Abstract

In the age of digital transformation and disruptive business models the choice of a suitable architecture will play an increasingly important role when employing information technology within businesses of all sizes and industry sectors. Unfortunately a systematic consideration of risks related to a specific decision for or against a certain architectural concept often is of minor importance. However, because architecture decisions are always strategic and bear long-term effects, a risk based approach seems advisable, for example when IT-auditors provide independent (project) assurance. Based on the Three-Lines-of-Defense-Model this article demonstrates which challenges each line of defense has to meet, where responsibilities should be assumed, and which tasks each line of defense has to take over.

Keywords

Enterprise Architecture IS/IT Architecture Security Architecture IT Risk IT Risk Management IT Audit IT Assurance 

Literatur

  1. Berger R (Hrsg) (2017) Predictive Maintenance – Service der Zukunft – und wo er wirklich steht. https://www.rolandberger.com/de/Publications/pub_predictive_maintenance_2017.html. Zugegriffen: 24. Aug. 2018Google Scholar
  2. CORDIS (2018) RestAssured. https://cordis.europa.eu/project/rcn/206344_en.html. Zugegriffen: 22. Juni 2018Google Scholar
  3. Dern G (2009) Management von IT-Architekturen – Leitlinien für die Ausrichtung, Planung und Gestaltung von Informationssystemen, 3. Aufl. Springer Vieweg, Wiesbaden  https://doi.org/10.1007/978-3-8348-9614-8 Google Scholar
  4. DIIR (o.J.) www.diir.de/fileadmin/fachwissen/revisionshandbuch-marisk.pdf. Zugegriffen: 22. Juni 2018
  5. DIIR (2018) DIIR Standards. https://www.diir.de/fachwissen/standards. Zugegriffen: 29. Juni 2018Google Scholar
  6. Duscha P (2015) Audit, continuous audit, monitoring und revision. In: IT-revision, IT-audit und IT-compliance. Springer Vieweg, Wiesbaden  https://doi.org/10.1007/978-3-658-02808-4_2 CrossRefGoogle Scholar
  7. Elky S (2007) An Introduction to Information System Risk Management. SANS Institute, SwanseaGoogle Scholar
  8. Erben RF, Romeike F (2005) Risiko-Kultur – Risikomanagement – nur eine Alibifunktion? RiskNews 2005. https://www.risknet.de/uploads/tx_bxelibrary/Risikokultur-Erben-Romeike-RISKNEWS-2005.pdf. Zugegriffen: 22. Juni 2018Google Scholar
  9. Eulerich M (2012) Das three-lines-of-defence-modell. Z Intern Rev 2/2012:55–60Google Scholar
  10. GI-FG Architektur (2018) Architekturen 2018 – Jahrestagung der GI-Fachgruppe Architekturen. https://architekturen2018.paluno.uni-due.de. Zugegriffen: 28. Juni 2018Google Scholar
  11. Hanschke I (2016) Enterprise architecture management, 2. Aufl. Hanser, München  https://doi.org/10.3139/9783446449350 Google Scholar
  12. Hanschke I (2017) Wirtschaftsinform Manag 2017(2):8–19.  https://doi.org/10.1007/s35764-017-0027-0 CrossRefGoogle Scholar
  13. Hiles AN (2010) The definitive handbook of business continuity management, 3. Aufl. John Wiley & Sons, HobokenGoogle Scholar
  14. IDW (2018) IDW Verlautbarungen. https://www.idw.de/idw/verlautbarungen. Zugegriffen: 29. Juni 2018Google Scholar
  15. ISACA (2012) COBIT 5, ISACA, Rolling MeadowsGoogle Scholar
  16. ISACA (2013) Information technology assurance framework, 2. Aufl. ISACA, Rolling MeadowsGoogle Scholar
  17. ISACA, FG IT-Revision (2016) Grundlagen der IT-Revision für den Einstieg in die Praxis. ISACA Germany Chapter, Frankfurt, BerlinGoogle Scholar
  18. ISO (2011) ISO/IEC/IEEE 42010:2011 Systems and software engineering—Architecture descriptionGoogle Scholar
  19. ISO (2013) IEC 62264-1:2013 Enterprise-control system integration—Part 1: Models and terminologyGoogle Scholar
  20. ISO (2018) ISO 31000:2018 Risk management – GuidelinesGoogle Scholar
  21. Keller W (2017) IT-Unternehmensarchitektur, 3. Aufl. dpunkt, HeidelbergGoogle Scholar
  22. Knoll M (2014) Praxisorientiertes IT-Risikomanagement. dpunkt, HeidelbergGoogle Scholar
  23. Knoll M (2017) IT-Risikomanagement im Zeitalter der Digitalisierung. HMD 313:4–20CrossRefGoogle Scholar
  24. Königs H‑P (2017) IT-Risikomanagement mit System, 5. Aufl. Springer, WiesbadenCrossRefGoogle Scholar
  25. Koç H, Eckert K, Flaig D (2018) Datenschutzgrundverordnung (DSGVO): Bewältigung der Herausforderungen mit Unternehmensarchitekturmanagement (EAM). HMD Praxis der Wirtschaftsinformatik.  https://doi.org/10.1365/s40702-018-00449-7 Google Scholar
  26. Kurbel KE (2008) Information systems architecture. In: The making of information systems. Springer, Berlin, HeidelbergCrossRefGoogle Scholar
  27. Levitt J (2011) Complete guide to predictive and predictive maintenance, 2. Aufl. Industrial Press, New YorkGoogle Scholar
  28. Lilienthal C (2017) Langlebige Software-Architekturen, 2. Aufl. dpunkt, HeidelbergGoogle Scholar
  29. Masak D (2005) Systemarchitektur. In: Moderne Enterprise Architekturen. Xpert.press. Springer, Berlin, HeidelbergGoogle Scholar
  30. Melzer I (2010) Service-orientierte Architektur. In: Service-orientierte Architekturen mit Web Services. Spektrum Akademischer Verlag, Heidelberg  https://doi.org/10.1007/978-3-8274-2550-8_2 CrossRefGoogle Scholar
  31. NIST (2011) SP 800-39 Managing Information Security Risk: Organization, Mission, and Information System View. NIST special publication, GaithersburgGoogle Scholar
  32. Pohl K (2018) RestAssured. https://sse.uni-due.de/forschung/projekte/restassured. Zugegriffen: 22. Juni 2018Google Scholar
  33. TOGAF (2018) www.opengroup.org/subjectareas/enterprise/togaf. Zugegriffen: 22. Juni 2018
  34. Zachman J (1987) A framework for information systems architecture. IBM Syst J 26(3):277–293CrossRefGoogle Scholar

Copyright information

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018

Authors and Affiliations

  1. 1.Hochschule DarmstadtDarmstadtDeutschland

Personalised recommendations