Zusammenfassung
Die Wahl der „richtigen“ Architektur im Kontext des Einsatzes von Informationssystemen in Unternehmen aller Branchen und Größen wird vor dem Hintergrund der fortschreitenden Digitalisierung und damit der zunehmenden IT-Durchdringung der Geschäftsmodelle und -prozesse immer wichtiger. Häufig gerät dabei eine systematische Beschäftigung mit Risiken, die sich aus der Entscheidung für (oder gegen) ein bestimmtes Architekturkonzept ergeben, in den Hintergrund. Weil jedoch Architektur-Entscheidungen einen strategischen Charakter besitzen und ihre Folgen lange nachwirken, erscheint eine risikoorientierte Betrachtung auch unter dem Gesichtspunkt einer prüferischen Begleitung entsprechender Vorhaben immer wichtiger.
Der Beitrag zeigt am Three-Lines-of-Defence-Modell auf, welche Herausforderungen auf die einzelnen „Verteidigungslinien“ zukommen, wo welche Verantwortung angesiedelt sein sollte und welche Aufgaben zu übernehmen sind.
Abstract
In the age of digital transformation and disruptive business models the choice of a suitable architecture will play an increasingly important role when employing information technology within businesses of all sizes and industry sectors. Unfortunately a systematic consideration of risks related to a specific decision for or against a certain architectural concept often is of minor importance. However, because architecture decisions are always strategic and bear long-term effects, a risk based approach seems advisable, for example when IT-auditors provide independent (project) assurance. Based on the Three-Lines-of-Defense-Model this article demonstrates which challenges each line of defense has to meet, where responsibilities should be assumed, and which tasks each line of defense has to take over.
Literatur
Berger R (Hrsg) (2017) Predictive Maintenance – Service der Zukunft – und wo er wirklich steht. https://www.rolandberger.com/de/Publications/pub_predictive_maintenance_2017.html. Zugegriffen: 24. Aug. 2018
CIO des Bundes (2017) Architekturen, Standards und Methoden. https://www.cio.bund.de/Web/DE/Architekturen-und-Standards/architekturen_standards_node.html;jsessionid=9F7F669BB20E27BDAD0AF1A55944ADED.2_cid332. Zugegriffen: 22. Juni 2018
CORDIS (2018) RestAssured. https://cordis.europa.eu/project/rcn/206344_en.html. Zugegriffen: 22. Juni 2018
Dern G (2009) Management von IT-Architekturen – Leitlinien für die Ausrichtung, Planung und Gestaltung von Informationssystemen, 3. Aufl. Springer Vieweg, Wiesbaden https://doi.org/10.1007/978-3-8348-9614-8
DIIR (o.J.) www.diir.de/fileadmin/fachwissen/revisionshandbuch-marisk.pdf. Zugegriffen: 22. Juni 2018
DIIR (2018) DIIR Standards. https://www.diir.de/fachwissen/standards. Zugegriffen: 29. Juni 2018
Duscha P (2015) Audit, continuous audit, monitoring und revision. In: IT-revision, IT-audit und IT-compliance. Springer Vieweg, Wiesbaden https://doi.org/10.1007/978-3-658-02808-4_2
Elky S (2007) An Introduction to Information System Risk Management. SANS Institute, Swansea
Erben RF, Romeike F (2005) Risiko-Kultur – Risikomanagement – nur eine Alibifunktion? RiskNews 2005. https://www.risknet.de/uploads/tx_bxelibrary/Risikokultur-Erben-Romeike-RISKNEWS-2005.pdf. Zugegriffen: 22. Juni 2018
Eulerich M (2012) Das three-lines-of-defence-modell. Z Intern Rev 2/2012:55–60
GI-FG Architektur (2018) Architekturen 2018 – Jahrestagung der GI-Fachgruppe Architekturen. https://architekturen2018.paluno.uni-due.de. Zugegriffen: 28. Juni 2018
Hanschke I (2016) Enterprise architecture management, 2. Aufl. Hanser, München https://doi.org/10.3139/9783446449350
Hanschke I (2017) Wirtschaftsinform Manag 2017(2):8–19. https://doi.org/10.1007/s35764-017-0027-0
Hiles AN (2010) The definitive handbook of business continuity management, 3. Aufl. John Wiley & Sons, Hoboken
IDW (2018) IDW Verlautbarungen. https://www.idw.de/idw/verlautbarungen. Zugegriffen: 29. Juni 2018
ISACA (2012) COBIT 5, ISACA, Rolling Meadows
ISACA (2013) Information technology assurance framework, 2. Aufl. ISACA, Rolling Meadows
ISACA (2018) ISACA-Standards. http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance/Pages/ObjectivesScopeandAuthorityofITAudit.aspx. Zugegriffen: 29. Juni 2018
ISACA, FG IT-Revision (2016) Grundlagen der IT-Revision für den Einstieg in die Praxis. ISACA Germany Chapter, Frankfurt, Berlin
ISO (2011) ISO/IEC/IEEE 42010:2011 Systems and software engineering—Architecture description
ISO (2013) IEC 62264-1:2013 Enterprise-control system integration—Part 1: Models and terminology
ISO (2018) ISO 31000:2018 Risk management – Guidelines
Keller W (2017) IT-Unternehmensarchitektur, 3. Aufl. dpunkt, Heidelberg
Knoll M (2014) Praxisorientiertes IT-Risikomanagement. dpunkt, Heidelberg
Knoll M (2017) IT-Risikomanagement im Zeitalter der Digitalisierung. HMD 313:4–20
Königs H‑P (2017) IT-Risikomanagement mit System, 5. Aufl. Springer, Wiesbaden
Koç H, Eckert K, Flaig D (2018) Datenschutzgrundverordnung (DSGVO): Bewältigung der Herausforderungen mit Unternehmensarchitekturmanagement (EAM). HMD Praxis der Wirtschaftsinformatik. https://doi.org/10.1365/s40702-018-00449-7
Kurbel KE (2008) Information systems architecture. In: The making of information systems. Springer, Berlin, Heidelberg
Levitt J (2011) Complete guide to predictive and predictive maintenance, 2. Aufl. Industrial Press, New York
Lilienthal C (2017) Langlebige Software-Architekturen, 2. Aufl. dpunkt, Heidelberg
Masak D (2005) Systemarchitektur. In: Moderne Enterprise Architekturen. Xpert.press. Springer, Berlin, Heidelberg
Melzer I (2010) Service-orientierte Architektur. In: Service-orientierte Architekturen mit Web Services. Spektrum Akademischer Verlag, Heidelberg https://doi.org/10.1007/978-3-8274-2550-8_2
NIST (2011) SP 800-39 Managing Information Security Risk: Organization, Mission, and Information System View. NIST special publication, Gaithersburg
Pohl K (2018) RestAssured. https://sse.uni-due.de/forschung/projekte/restassured. Zugegriffen: 22. Juni 2018
TOGAF (2018) www.opengroup.org/subjectareas/enterprise/togaf. Zugegriffen: 22. Juni 2018
Wright C (2018) Agile audit of agile projects. http://www.accaglobal.com/lk/en/member/discover/cpd-articles/audit-assurance/agile-audit-of-agile-projects.html. Zugegriffen: 28. Juni 2018
Zachman J (1987) A framework for information systems architecture. IBM Syst J 26(3):277–293
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Knoll, M. Unternehmensarchitekturen aus Sicht von IT-Risikomanagement und IT-Revision. HMD 55, 964–983 (2018). https://doi.org/10.1365/s40702-018-00460-y
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-018-00460-y
Schlüsselwörter
- Unternehmensarchitektur
- IT-Architektur
- Sicherheitsarchitektur
- IT-Risiko
- IT-Risikomanagement
- IT-Prüfung
- IT-Revision