Digitale Transformation
Was bedeutet Digitale Transformation im Haus und für das Haus im Grundsatz?
→ Beschreibung möglicher Veränderungen
- grundsätzliche Ausrichtung der Unternehmens- und IT-Strategie
- betroffene Elemente des Informationssystems
Disruptiv
Disruptiv = Abkehr von der „Komfortzone“, radikales Hinterfragen bisheriger
Geschäftsmodelle und Verhaltensweisen. Betrifft sowohl betriebswirtschaftliche, als
auch technische Aspekte. Betroffen ist das gesamte Personal/die Aufbauorganisation,
alle Prozesse/die Ablauforganisation sowie die gesamte unterstützende IT.
– Zur Klärung von Fragen kann durchaus auch eine Unternehmensberatung
hinzugezogen werden.
– Was vor Beginn von IT-Implementierungen zwingend geklärt werden muss:
1. Dokumentieren aller Prozesse. 2. Optimierung der Prozesse, insbesondere der
Schnittstellen, insbesondere aller manuellen Schnittstellen/Medienbrüche (bspw.
Datentransfer in Lieferketten, z.B. Abbildung von Lieferscheinen mit IT)
– Strategien
* Generell: Einsatz eines zentralen „Kernsystems“ – hier eines ERP-Systems und
„satellitenartige“ Anordnung der Umsysteme
* Aufbau einer gesamthaften IT-Landschaft (Darstellung der Systeme und ihrer
Verbindungen untereinander)
* Schaffung einer einheitlichen Plattform (bspw. für die Kommunikation auch mit
Partnerunternehmen und Kunden)
– Elemente des Informationssystems
* Alle Elemente des Informationssystems sind betroffen: Schaffung eines ITAsset-
Registers (Inventur der gesamten IT als Voraussetzung für die Erstellung)
für den strategischen Planungsüberblick
* Vereinheitlichung von Schnittstellen
Was bedeutet Digitale Transformation entsprechend für unsere Produkte und
Dienstleistungen (Services)?
→ Liste mit möglichen/vorstellbaren modifizierten/neuen Produkten und Services
Ziel: Steigerung der Kundenbindung und -zufriedenheit
- App für das Gerät (Geräteinformationen, Zubehörbestellung, Ersatzteile…..), für
B2B-Kunden: Dashboard
- Service: Predictive Maintenance (insbes. B2B, bspw. Wäschereien)
- Produkt: stärkere Kundenorientierung durch rückfließende Daten, Nutzung zur
Entwicklung neuer kundenspezifischer/-individualisierter Produkte
- Service: optimierter Bestellprozess (eigener Webshop)
- Produkt/Service: Bestellung/Konfiguration einer kundenindividuellen Maschine in
Verbindung mit weitgehend automatisierter Fertigung („Losgröße 1“ durch
bestmögliche Automatisierung/Vernetzung) → Konfiguration aus Modulen
- Service: Maschinenleistung als Service („as-a-Service“, Leasing 3.0“) → Abo für
Spülgänge, Wäschen usw.
- AR in Verbindung mit KI: Analyse von Bildern der (leeren) Küche zur optimalen
Gestaltung und Platzierung der Geräte (ggf. auch der Möbel)
- Zusammenarbeit mit Küchenherstellern, Handwerkern → Einrichtung einer
Plattform
- AR im internen Service
- vollkommen neuartige Produkte (Vorbild Vorwerk [Staubsauger] mit Thermomix)
- „Küche as a Service“ → Nutzung der gesamten Küche (B2C und B2B)
Plattformen
Welche Rolle spielen Plattformen für unser Haus bei der Entwicklung neuer
Produkte/Dienstleistungen?
→ Beschreibung von Charakteristika für mögliche Plattformen/-betreibermodelle
– Möglichkeit der Bereitstellung von diversen Tools für unterschiedliche
Zielgruppen (bspw. Verbrauchsrechner)
– Ziel: optimierte Kommunikation, Datenaustausch (Datensammlung, Vernetzung,
Zentralisierung)
– Grundsätzliche Ausrichtung von Plattformen:
* Nach innen: Optimierung der Supply Chain (Plattformen für Zulieferer,
Zweigwerke usw.)
* Nach außen: Plattformen für Partner (Integrator-Funktion, eine
herstellerübergreifende Plattform zur Anbindung aller Maschinen) und
insbesondere Kunden (Mehrwertdienste, zentrale „Anlaufstelle“ zur
Produktionssteuerung auch in heterogenen Umfeldern)
Community-Funktionen (Chat, Foren, Knowledge Base usw.)
Corporate Governance & IT-Governance
Wie kann Governance für unser Haus definiert werden?
→ Beschreibung möglicher Umsetzungs-Themen
- Grundsätzlich: Formulierung neuer Ziele, bspw. Einrichtung einer Projektgruppe/Expertenteams zur Aufnahme des Ist-Zustandes und daraus folgender Ableitung des Soll; Weiterentwicklung des Controllings
- Warum (IT-)Governance: GF/UL muss vorgebildet sein für neue Ziele und die Awareness für Governance-Gedanken und anstehende Veränderungen haben. Zur Umsetzung der Strategie ist eine Koordinationsfunktion, die Governance, nötig. Ziel ist langfristige Wettbewerbsfähigkeit, begleitend dazu – keine leichte Aufgabe
– vielfach auch die Notwendigkeit des Austauschs der „alten Garde“ (diejenigen, die statt konstruktiver Diskussion eine gezielte Blockadehaltung einnehmen), Einstellung neuer Mitarbeiterinnen/Mitarbeiter
- Wandel/Veränderung/Governance nötig, um Ziele zu erreichen
- weiteres wichtiges Argument für Governance: Nachhaltigkeit. Zudem: Erhöhung von Moral/Ethik/Transparenz (etwa bezügl. Datennutzung) durch gute Governance
→ Hintergrund: Kunden erwarten neben einem guten Produkt weitere Aspekte/Kompetenzen, wenn sie nicht vorhanden sind/erfüllt werden, dann werden Kunden mittel-/langfristig wahrscheinlich abwandern
- Ziel der Governance: alles auf Unternehmensziele ausrichten, Erzielen eines größtmöglichen Wertbeitrags für das Unternehmen insgesamt. Governance ist Legitimation für die gesamte Koordination aller Aktivitäten von strategischer bis operativer Ebene (operative Prozesse), um Zielkonflikte zu vermeiden und die zahllosen „Puzzleteile“, aus die ein Unternehmen besteht, in der VUCA1-Welt zusammenzuhalten und auszurichten für bestmögliche Wettbewerbsfähigkeit. Es ist zu vermuten, dass es viele aktuelle Probleme nicht geben würde, hätte man eine Governance-Funktion schon viel früher eingeführt (Notwendigkeit der Governance-Funktion).
- Beispiel Vertrieb: Richtlinien erstellen für unterschiedliche (anwendungsfallbezogene) Verträge (einschließlich Rahmenverträge) und ihre Gestaltung
- Beispiel HR: Entwicklung eines Plans zur Einstellung von Personal mit Governance- und IT-Governance-Kenntnissen → Rekrutierungsprozesse mit beteiligten Fachabteilungen
Risiko im Kontext der IT
Welche typischen Risiken im Digitalisierungskontext und I40-Kontext könnten dem
Unternehmen drohen?
→ Sammlung von möglichen konkreten Risiken
Mögliche Risiken:
- fehlende Awareness für die Bedeutung der IT und möglicher Folgen bei Fehlern
(bspw. Phishing-Mails)
- fehlende IT-Kompetenz (auch beim Personal), fehlende Bereitschaft, sich mit den
Themen auseinanderzusetzen.
- Berechtigungsproblematik (technische und ökonomische/rechtliche Risiken).
Berechtigungen sind wichtig für das Tracking/für die Protokollierung (Wer hat
wann was in den Systemen veranlasst)
- IT-Risiken durch eigenes Personal (bspw. Datenmanipulation/Fraud sowie
unbeabsichtigte Fehler)
- Fehlendes Prozesshandbuch → Fehlender Überblick
- Fehlendes Backup
- Reputationsschäden (mit monetären Folgewirkungen durch fehlende Umsätze)
- fehlende/fehlerhafte Prüfprotokolle in der Produktion
- Opportunitätskosten mangelhafter IT
Wie kann die Risikolage möglichst anschaulich beschrieben werden?
→ Überlegungen zu einem konkreten Tool
- Risikomatrix unter Beachtung ihrer Limitationen
IT-GRC-Management
Wie beeinflussen die in den 6 Gründen genannten Aspekte die weiteren Arbeiten?
→ Sammlung aller zur Klärung dieser Fragen und damit zur weiteren Planung (auch
vor dem Hintergrund des neuen Zusammenspiels von IT und OT) notwendigen
Informationen
– Alle Entscheidungen hierzu fallen auf strategischer Ebene (Grundsatzentscheidungen, langfristiger Planungs-/Implementierungshorizont), entsprechend muss das Top-Management „abgeholt“ werden bzw. selbst Initiator sein
– Schaffung einer Stabsstelle für die IT-Governance (ggf. auch für Risk und Audit/Revision) an der Unternehmensleitung
– neue Position soll sowohl fachbereichs-, als auch unternehmensübergreifende (Richtung Kunden und Lieferanten) Aktivitäten unterstützen
– Verbesserung der IT ist „schleichender Prozess“ der an Geschwindigkeit zunimmt,
→ funktionierende IT ist faktische Voraussetzung für die Wettbewerbsfähigkeit/ neue Geschäftsmodelle
→ Informationen müssen aktuell und vollständig vorliegen → Schaffung von Mechanismen/Etablieren von Prozessen zur Sammlung, Bewertung und Strukturierung von relevanten Informationen
Neue Geschäftsmodelle
Wie könnten/sollten wir ein „Digital-Labor“ bei uns gestalten?
→ Sammlung von konkreten Ideen zur (Weiter-)Entwicklung neuer Produkte und
Services, auch aus organisatorischer Sicht
→ Sammlung von konkreten Ideen zur (Weiter-)Entwicklung neuer Produkte und Services, auch aus organisatorischer Sicht
- Meeting-/Workshop-Flächen
- beschreibbare Wände
- Thinktanks für absolute Ruhe (kleine Räume)
- gutes LAN/WLAN
- Simulationssoftware (bspw. für digitalen Zwilling)
- PC’s mit Cax-Programmen
- 3D-Drucker
- Feedbacksystem für Kundenanbindungen/-partizipation mit Rückkanal zum Kunden (ggf. anonymisiert)
- Tag der offenen Tür für Studierende, Unternehmen/Unis → Profitieren von externem Input („Hackathon“) → bspw. Aufdecken von Sicherheitslücken, Evaluieren neuer Funktionen
- „Offene Leitung“ zum Kunden für direktes Feedback und direkten Einbezug ausgewählter Kunden
- Budget für dieses Labor und Aktivitäten aus unserem freien (thesaurierten) Kapital
- Anreize für Externe und Interne: Preisgelder, Sachpreise (z.B. Kreuzfahrten, Notebooks/Tablets)
Wie sollte die Beschreibung eines neuen Geschäftsmodells aussehen?
Sammlung von Aspekten/Dimensionen, die für ein konkretes Produkt festgelegt
werden müssen, damit es eindeutig definiert werden kann
→ Sammlung von Aspekten/Dimensionen, die für ein konkretes Produkt festgelegtwerden müssen, damit es eindeutig definiert werden kann
Geräte-as-a-Service
* Wertnetzwerk: Integrator, Kundendienstunternehmen,
Abrechnungsunternehmen
* Wertrealisierung: über Bereitstellung und Abrechnung von
Maschinenfunktionalität
* Kundenkanal: spezielle Website (Extranet)
* Schlüsselpartner: Teil des Netzwerks: z.B. Kundendienstunternehmen
* Kernaktivitäten: Kernprozesse Datensammlung, -analyse
* Kernressourcen: Sensorik, KI-Algorithmen
Predictive Maintenance Service
* Kernaktivitäten: Kernprozesse: Datenerzeugung (Sensorik), Datensammlung (Plattform, DataWarehouse), Analyse (KI), Darstellung (BI-Reporting),
Maßnahmen:
Wartung via Kundendienstunternehmen
* Wertnetzwerk: bspw. Zulieferer (Sensorik), Kundendienstunternehmen
* Wertrealisierung: über Bereitstellung und Abrechnung von vorbeugender
Wartung
Daten und Data Governance
Welche Daten sind im Kontext neuer Geschäftsmodelle wichtig?
→ Zusammenstellung der benötigten Daten am Beispiel eines konkreten
Geschäftsmodells
→ Zusammenstellung der benötigten Daten am Beispiel eines konkreten Geschäftsmodells
- Beispiel: Predictive Maintenance Service
* Sensordaten
* Kundendaten
- Wichtige Meta-Informationen:
* Format / Einheit (z.B. integer oder real, Spannung/Strom/Kraft/Druck usw.)
* Ursprung (Maschine, Sensor)
* Menge
* Aktualisierungsfrequenz (Echtzeit, minütlich, stündlich…..)
* Klassifikation → insbesondere bei Kundendaten (Personenbezug), aber auch bei
anderen Daten (Firmengeheimnisse)
Wie könnte eine Data Governance umgesetzt werden?
→ Beschreibung möglicher technischer und organisatorischer Elemente einer Data Governance
- Rollen: Nutzer, Eigentümer
- Prozesse, Standards im Umgang mit Daten
- Datenkatalog (Repositories)
- Richtlinie für die Wahl von Datenbanken/Speicherlösungen
- Regelwerk für Zugriffe/Verwendungszweck
- Controlling für Monitoringzwecke
- Change-Prozesse
Wie könnte insbesondere ein Datenqualitätsmanagement umgesetzt werden?
→ Beschreibung von Verantwortlichkeiten, Prozessen und Aktivitäten zur Sicherstellung/Verbesserung der Datenqualität
- Datenqualität: Beschrieben durch z.B. Genauigkeiten (Nachkommastellen), Toleranzgrenzen (+/- x %), Aktualität (Echtzeit, minütlich, stündlich, täglich….) usw.
- Prozesse zur Meldung von Fehlern (Ende-zu-Ende-Prozessverständnis, Formulare/Verfahren/Dokumentation)
- Prozesse zur Bereinigung von Fehlern (Verantwortliche, Verfahren/Dokumentation)
Die Position der IT
Welche strategische Bedeutung soll die IT künftig haben?
→ Ermittlung einer sinnvollen Position
- Turnaround → strategische Waffe (der Wandel ist abhängig von der Wahl des/der neuen Geschäftsmodell(e)
→ typische Factory: Office, Kommunikationstools, ERP-Lösung, ITSupportlösungen (Ticket-/Problem-Management-Lösungen), Betriebssysteme und sonstige Infrastruktur für die Unterstützung allgemeiner Prozesse ohne direkte Kundenwirkung
→ typische „strategische Waffe“: Plattformen, Apps, neue Geräte-Steuerungen, erweiterte Funktionalität der Maschinen, kundenindividuelle Gerätefertigungen, ...
- neue Bestandteile in die alte Struktur integrieren → es entsteht automatisch eine bimodale IT
- wichtig hierbei: IT muss in der Geschäftsleitung vertreten sein, um Awareness für das Thema zu schaffen und strategisch bedeutsame IT-Entscheidungen erklären und verantworten zu können
- Position: Kerngeschäft um Innovationen erweitern und langsam die Innovationen ausbauen, disruptive Geschäftsmodelle parallel entwickeln
Welche Auswirkungen hat dies auf Prozesse, Daten, Systeme?
→ Sammlung aller Informationen zur Klärung dieser Fragen und damit zur weiteren Planung der IT-Funktion und zur Gestaltung der IT-Strategie
- Aufnahme des Ist-Zustandes
- Analysiert werden müssen:
→ Prozesse: Erschließen von Optimierungspotentialen via Lean Management, Kaizen, Business Process Reengineering usw.
→ Daten: sind sie intern vorhanden oder müssen sie extern beschafft werden?
Existiert ein Datenkatalog? Ist die Bedeutung in Prozessen/Kritikalität/ Wichtigkeit geklärt? Sind Fragen des Datenformats (→ Schnittstellen) geklärt? Ist die Frage der Datensicherheit geklärt?
→ Systeme: Katalog mit Systemen (IT-Asset-Register)
- Schrittweise Verbesserungen im Rahmen eines fortlaufenden Prozesses zur
Behebung von Defiziten, Priorisierung der Entscheidungen, dort, wo es „am
meisten weh tut“ (wann sind welche Änderungen zum Erhalt der
Wettbewerbsfähigkeit wichtig?)
* Schaffung einer speziellen Orga-Einheit/CIO (IT-Governance), CISO, Datenschutzbeauftragter)
* priorisierte Liste der Aktivitäten (Prozesse überarbeiten, Datenqualität
verbessern, Systeme auf den Prüfstand stellen – Interoperabilität,
Funktionalität)
* rechtliche Fragen/Vorgaben/Regulierungen: Juristen, ggf. ext. Kanzleien
* verbesserte Zusammenarbeit zw. FB und IT; CIO als IT-Architekt, Trennung der
CIO-Rolle von der Leitung des IT-Betriebs
* IT-Controlling → Kostenkontrolle
* Einrichtung von internen „IT-Key-Account-Managern“: wichtige Kunden und
deren Anforderungen an die IT – Rückkopplung in unsere IT zur Umsetzung
- IT muss als „Einheit“ auf-/umgebaut werden. Ziel: modular, flexibel, skalierbar
- Beispiel Vertrieb: Prozesse dokumentieren, zerlegen, analysieren, optimieren; für
Teilfragen individuelle Lösungen auf Basis der möglichen vier
Optimierungsstrategien:
→ Zeit – Performance/Effizienz
→ Kosten
→ Technologien/Qualität vs. Marktanteile
→ stärkere Kundenfokussierung (bspw. Social CRM, hohe Serviceorientierung)
Die IT-Strategie und ihre Entwicklung
Wie könnten Stichworte zur IT-Vision, IT-Mission und zum IT-Leitbild als Grundlage
für die IT-Strategie aussehen?
→ Beschreibung möglicher Aspekte/Ausrichtungen
IT-Vision
- stärkere Softwareorientierung → Servicegedanke (IT-Service) → größere Rolle für die IT, verbesserte Produkte/Services
- stärkere Datenorientierung → Datensammlung für neue Produkte/Services → Betonung von Dienstleistungen/Services → Plattformgedanke
→ aus diesen beiden Punkten folgt: Wandlung in ein Software- und Datengetriebenes Unternehmen
- IT-Position auf Management-Ebene stärken
- Stärkere Verbindung Fachabteilungen – IT, Zulassen/Fördern von innovativen Ideen durch Gewährung von Freiheiten
- Wo möglich (kein Wettbewerbsvorteil) Outsourcing und Standardisierung operativer Unterstützungsaufgaben
IT-Mission
- „Rundum-Soglos-Paket“ → personalisierte/bedarfsgerechte IT für Kunden
- Onlineshop für B2B-Kunden
- Mehrwert für Kunden im Kontext von Datensammlung → Daten-Ethik: Hohe Ansprüche an den Datenschutz
- Erschließung neuer Kundengruppen durch „verwandte“ Angebote (B2B und B2C)
IT-Leitbild
- (IT-)Mindset verbessern → Weiter-/Fortbildungsangebote für alle
- Mitwirkungsmöglichkeiten für alle aktiv promoten (Digital-Labor, „Forschungstag“ für alle jede Woche/einmal im Monat o.ä.)
- Kommunikation der Bedeutung der IT → IT als Chance
- Datenschutz
- Nutzung von innovativen Technologien (Digitaler Zwilling, AR/VR, KI, Blockchain usw.) soll aktiv unterstützt werden
- ressourcenschonender Einsatz (z.B. Abwärme von Rechenzentren nutzen, Cloud-Nutzung für variable Bereitstellung von Ressourcen statt Investitionen)
Wie könnte darauf aufbauend eine IT-Strategie aussehen?
IT-Strategie/-elemente
- Zukünftiger Sollzustand der IT (Beispiele):
→ stärkere Software- und Daten-Orientierung des Gesamtunternehmens
→ innovative Services für den Kunden
→ verbesserte IT in der Produktion (Aufrüstung mit IIOT)
- Grundsätzlicher Handlungsbedarf in der IT (Handlungsfelder, Beispiele):
→ ERP-System einführen/Business-Prozesse konsolidieren, optimieren
→ Cloud-Strategie entwickeln
→ Plattformen gestalten
→ Fertigungs-IT modernisieren/vernetzen
- langfristig orientierte Handlungsoptionen für die IT-/OT-Governance (Beispiele):
→ Vorgehensmodelle (Agilität)
→ Entwicklungskonzepte (DevOps)
→ Architekturmodernisierung
- Zielen und Rahmen/Grenzen für die IT-/OT-Governance (Beispiele):
→ Time-to-Market vs. „Entwicklungs-Eleganz“, KISS-Prinzip (small & simple)
→ Vorgehensmodelle/Frameworks
→ Anforderungsmanagement: Zeit-/Budget-Rahmenvorgaben, Freeze-Phasen in der Entwicklung, Regelungen für Anforderungsformulierung/Priorisierung
→ klare Benennung der Verantwortungsträger
→ Festlegung von Kennzahlen/Messgrößen für das Monitoring
- Umwandlung in einen Software- und Daten-Unternehmen erfordert:
→ modulare SW-Entwicklungen, um flexibel und skalierbar zu bleiben und kostengünstig entwickeln zu können, Speziallösungen nur dort, wo es das Produkt (Maschine usw.) zwingend erfordert
→ Entwicklungswerkzeuge festlegen
→ Entwicklungsrichtlinien festlegen (Codierung und Engineering)
Der Bezugsrahmen für die IT-Governance
Welche Zusammenhänge sind warum wichtig?
→ Beschreibung möglicher Einflussgrößen und Abhängigkeiten
- Grundsätzliche Zusammenhänge, deren Verständnis und deren Auswirkungen auf die Gestaltung der IT-/OT-Governance sind wichtig für die Ermittlung von Einflussgrößen und Abhängigkeiten
- die IT-/OT-Governance muss dann im Ergebnis so gestaltet sein, dass die nachfolgenden Punkte zum Vorteil des Gesamtunternehmens im Wettbewerb durch geeignete IT adressiert werden kann
Awareness:
→ Beachtung von Vorgaben, Best Practices
→ Beachtung des Wettbewerbs/Marktes
- Einflussgrößen:
* Stakeholder (welche Stakeholder in welcher Rolle/Position, Pflichten/Rechte
Verantwortlichkeiten)
* Kerngeschäft (Strategie → Maß der IT-Durchdringung → Handlungsbedarf)
* Strategie (→ neue Technologien, neue Konzepte, bspw. Agilität, DevOps,….,
Skills)
* Familienunternehmen (Beharrungsvermögen der Belegschaft → Change-
Management verstärken, IT-affines Mindset aufbauen; vielleicht auch eine Frage
des Standortes (ländlicher Raum vs. Großstadt → Frage der Fluktuation und
Personalgewinnung)
* B2B-Geschäft: Kunden-Vorbehalte (gegen Datennutzung, Innovationen,
steigende Kosten durch Technik-Schnickschnack oder aber auch: überzogene
Forderungen an die IT der neuen Maschinen); Lieferanten-Kompetenz: Suche
nach geeigneten Lieferanten, die neue Anforderungen aus der IT bei sich
abbilden können
* IT-Architektur: Ist-Analyse über Abteilungen hinweg, einheitliches Konzept;
Eigenschaften: skalierbar, modular (Schnittstellen, etwa in der Supply Chain),
flexibel, standardisiert (bspw. TCP/IP), offen
- Datenarchitektur: Umgang mit Daten → Data Governance
- Technologiearchitektur: Cloud/Plattformen (Umfang, Betriebskonzepte (Xaas),
….
* Skills: neue Qualifikationsaspekte für das IT-Personal →
Trainings/Weiterbildungen konzipieren
Kernobjekte für die IT-Governance
Wie könnten auf dem Bezugsrahmen aufbauend Kernobjekte aussehen?
- IT-Services: Funktionalitäten, die in Summe eine Applikation abbilden (bspw. ERPSystem, CRM-System, CAD-System, Digitaler Zwilling, um IoT erweiterte Maschinensteuerung….)
- IT-/OT-Prozesse: technische Abläufe, die zur Erbringung der Services notwendig sind (bspw. Datenim-/exporte, Speicherlösungen, Algorithmen……)
- IT-/OT-Ressourcen: Sensorik, höhere Funktionalitäten, bspw. Cloud → IaaS (Infrastruktur, bspw. Server, Netzwerk…..), PaaS (bsw. Entwicklungsumgebung für Software, MS Teams), SaaS (bspw. Salesforce)
- Die Summe aller Anforderungen bildet das Portfolio → Ziel der IT-/OTGovernance: Priorisierung und Definition von Projekten/Wartungsmaßnahmen sowie Prüfung der Passung der Elemente (Services, Prozesse, Ressourcen) zueinander (genau dafür zerlegt man, um das besser/leichter beurteilen zu können)
- Der Ansatz erlaubt beispielsweise auch eine „sanfte“ Migration von Funktionalitäten aus Altsystemen (Legacy-Systems)
Awendungs- und Informationsarchitektur
Wie sehen wichtige Bestandteile der jeweiligen Ebenen bei uns aus?
Informationsarchitektur
Wie sieht das IT-Portfolio aus? Summe aller Anwendungen (ERP, CRM, CaX,
smartes MES…..), wo können wir bestehende Anwendungen weiter einsetzen, wo
müssen wir Teile oder alles neu aufsetzen?
Informationsarchitektur:
* Geschäftsobjekte: bezogen auf funktionale Einheiten (Einkauf/Vertrieb) oder auf Prozesse; Beispiele: Lieferant, Bestellung/Auftrag, bestellbare Produkte……
* Einrichtung eines Zugriffsmanagements für diese Daten, Sicherstellung von Aktualität, Redundanzfreiheit, Konsistenz
* Klassifikation der Daten
* Wie sieht ein zentrales Daten-Repository aus? Wie sehen die dazugehörigen Prozesse aus (Einfügen, Ändern, Löschen, Aktualität, Korrektheit, Vollständigkeit, Redundanzfreiheit, Menge/Art der Daten, Ursprung……) → gute Möglichkeit, um festzustellen, wo Daten doppelt gehalten werden und welche Daten fehlen → Gesamtüberblick: Welche Daten in welchen Prozessen
Anwendungsarchitektur
Anwendungsarchitektur:
* aktuelles und vollständiges IT-Asset-Register → IT/OT-Anwendungen
* Wo sollen neue Technologien eingesetzt werden (bspw. KI, Data Analytics,
OPC/UA, …..)?
* Welche Richtlinien und Standards sollen herangezogen werden (COBIT, RAMI,
Security by Design,…..)
Beide Architektur-Ebenen:
* Das fehlen von IT-Asset-Register und Daten-Repositories sowie einer Lösung
zur Visualisierung der Zusammenhänge („Bebauungsplan“)
verhindert/erschwert den schnellen Gesamtüberblick und schmälert damit die
Wettbewerbsfähigkeit und Anpassbarkeit des Unternehmens
Welche Fragen müssen zur Planung der beiden Ebenen gestellt werden?
→ Zusammenstellung aller wichtigen Punkte zur Gestaltung der Ebenen
- Kerngeschäft: Sind Vision und Strategie für den Kernmarkt, die Kunden und die Produkte/Dienstleistungen festgelegt? → exemplarisch ein datenbasiertes/digitales Geschäftsmodell → über welche Anwendungen realisiert (Webschnittstelle, BI/Dashboard), welche Daten benötigt (Kundendaten, Sensordaten, …..)
- Organisation: Existieren Prozesse für eine kontinuierliche Entwicklung der Organisation und des „organizational fit“ mit IT/OT? → Einrichtung von Gremien, die prüfen, welche fachlichen Anforderungen (Funktionalität) und welche Daten dazugehören, um die strategische Rolle der IT einzunehmen und die strategischen IT-/OT-Ziele zu erreichen
- Wie könnten Prozesse für die kontinuierliche Weiterentwicklung aussehen (Gremien, Abläufe, Meilensteine,…..)?
- Ist der Umfang der vorhandenen Daten bekannt, sind alle Daten semantisch verstanden?
- Woher stammen die Daten?
- Mit welcher Aktualisierungsfrequenz werden die Daten berücksichtigt? → Echtzeitprobleme bei SPS/SCADA
- Ist die Kritikalität und Klassifikation der Daten bekannt, wird das bei Entscheidungen berücksichtigt?
- Wer ist Eigentümer welcher Daten? → klare Festlegung der Data Owner
- Wie erfolgt die Datenverwendung? → Richtlinien und Prozesse
- Existieren Regelungen zur Speicherung und zum Zugriff (Datenschutz)?
Technologiearchitektur
Wie könnten wichtige Aspekte ausgestaltet sein?
→ Beschreibung möglicher Aktivitäten zur Ausgestaltung der Ebene
- Festlegung von Grundsätzen hinsichtlich des Innovationsgrades (Technologieführerschaft?)
→ Festlegung von Grundsätzen hinsichtlich des Technologieeinsatzes (neue Technologien vs. „Legacy-Systeme“, Technologiebeurteilung)
- Festlegung des Zentralisierungs-/Dezentralisierungsgrades (Cloud, Edge- Konzepte) für die unterschiedlichen fachlichen/technischen Bereiche (IT und OT)
- Festlegung von Grundsätzen zur Sourcing-Strategien → Beibehalten von bestehenden Dienstleistern oder Veränderungen an dieser Stelle?
- Berücksichtigung weiterer Aspekte:
* technologische Umsetzbarkeit geplanter Lösungen
* Sicherstellung der IT- und OT-Sicherheit, von Business-Continutiy, Desaster- Recovery
* Einrichtung von IT-Asset-, Change- und Konfigurationsmanagement
* Durchführung regelmäßiger Wirtschaftlichkeitsbetrachtungen bei strategischen Entscheidungen zum Schutz der Investitionen → kann eine Lösung zukunftssicher eingesetzt werden, sind spätere Anpassungen/Erweiterungen problemlos fachlich/technisch möglich?
Welche Fragen müssen zur Planung der Ebene gestellt werden?
→ Zusammenstellung aller wichtigen Punkte zur Gestaltung dieser Ebene
- Grad der Standardisierung und Umgang mit Homogenität/Heterogenität? → Bspw. Offene Lösungen vs. Herstellerbindung (SAP, Microsoft, Siemens, …...)
- Integrationsgrad? → nach Möglichkeit alles aus einer Hand (gilt auch für die Maschinen, dann können nämlich noch die Services des Herstellers dazu gebucht werden) oder standardisierte, offene Schnittstellen
- Berücksichtigung von Reserven, Skalierbarkeit? → Private und Public Cloud gemeinsam? Flexible Strukturen (→ LE 25)
- Berücksichtigung der technologischen Machbarkeit vs. Auswirkungen auf die Fachabteilungen? → Akzeptanzrisiken, Überforderung oder aber auch Erschließen neuester Möglichkeiten
IT-Service-Level-Agreements
Wie könnte ein IT-SLA konkret ausgestaltet sein, beispielsweise für einen Predictive- Maintenance-Service (es kann aber auch jeder andere IT-Service herangezogen werden, den Sie in „Ihrer“ Ausgestaltung von RKS zuvor definiert haben)?
Predictive Maintenance (Waschsalon, B2B-Angebot):
Serviceinhalt
Serviceinhalt → Servicespezifikation (Beschreibung aller Service-Ausprägungen und deren Inhalt) – Bereitstellung von „Wartung nach Bedarf“ auf Basis von interpretierten Gerätedaten
→ Definition der erfassbaren Wartungsfälle (welche Störung ist überwachbar)
→ Festlegung von Laufzeiten für die Vereinbarung (6 Monate),
→ Formulierung der Pflichten des Kunden bei Nutzung der Geräte (zur
Vermeidung von Streit über die „Schuldfrage“ bei Störungen oder auch Problemen mit der Kunden-Infrastruktur, bspw. gestörtes Netz ermöglicht keine Datenübertragung)
→ Regelung der genutzten Daten (welche Informationen in welchem Intervall mit welcher Genauigkeit und Detailliertheit, Aufbewahrungsfristen für kundenbezogene Daten), grundsätzliche Zustimmung zu anonymisierter Datensammlung bei Kauf des Geräts (auch ohne Nutzung von Services) über entsprechende AGB-Klauseln
→ Kündigungsmodalitäten (zum Quartalsende), Eskalations- und Kommunikationswegen bei Unstimmigkeiten (konkrete Ansprechpartner N.N. in der Fachabteilung Kundenservice oder Vertrieb und der IT)
→ freie Wahl des Servicepartners bei Reparaturen aus Menge an zertifizierten Partnern
Beispiel Abomodell für Waschmaschine/Spülmaschine usw. (B2C-Angebot):
Umfang umfasst:
* Serviceinhalt
→ Datenerfassung kundenseitig: Voraussetzung Internet-Anschluss (Rechte und Pflichten
→ Datenübertragung und Anzeige über App (Aktuelle Wäsche, Wasch-Historie, Gerätestatus, Füllstand Betriebsmittel, Bestelloption usw.)
→ Verknüpfung mit Datenschutz-Aspekten
Servicequalität
Servicequalität → klare Festlegung auf Zielwerte (ideales Ziel: Stillstandszeit Null, realistisches Ziel:
→ Festlegung, wie lange wo welche „Produktion“ überhaupt ausfallen darf (Bezug: einzelne Waschmaschine oder Waschmaschinengruppe/Linie)
→ rechtzeitige Beseitigung möglicher Störungen, Vereinbarung der Servicearbeiten zum aus Kundensicht günstigsten Augenblick)
- Beispiel Abomodell für Waschmaschine/Spülmaschine usw. (B2C-Angebot):
* Servicequalität
→ Bereitstellung von Daten in der App: Aktualisierung
spätestens nach 48 Stunden oder spätestens zum Ende des
Abrechnungszeitraums
Servicekosten
Servicekosten (einschl. Malus-Regelung)/Konditionen
→ Service kostet je Monat und Gerät/Gerätetyp x Euro, Reparatur selbst wird aufwandsorientiert berechnet, als Service berechnet wird nur die Störungsvorhersage
→ Malus bei Stillstand und abhängig von der Behebungsdauer je Gerät/Gerätetyp Malus y Euro.
→ Auch Produktionsausfälle (nicht produzierte Waren) können vertraglich geregelt entschädigt werden. Alle Preise/Kosten gestaffelt nach Anzahl der eingesetzten Geräte
→ Flexi-Tarife nach Nutzungsintensität der Geräte möglich
→ Abo für Bezug von Reportings/Datenmanagement
* Nachweis der Serviceerbringung (Reporting) → Intranet-basiert)
IT-Risikomanagement
Welche Voraussetzungen müssen erfüllt sein, um den IT-Risikomanagement-Prozess
durchführen zu können?
- Corporate Governance und IT-Governance müssen etabliert sein, ebenso ein unternehmensweites Risikomanagement und seine langfristigen Ziele (strategische Ebene) → Festlegung grundsätzlicher Zielsetzungen, Handlungsrahmen und
-spielräume (betrifft insbes. den grundsätzlichen Umgang mit Risiken aus der Digitalisierung/die Risikoneigung und die Risikotragfähigkeitsgrenze,
Prüfintervalle)
- relevante Vorgaben müssen bekannt sein und verstanden werden → Ableitung von Verpflichtungen und Optionen
- Ursache-Wirkungs-Beziehungen müssen verstanden werden → detaillierte Kenntnis über die Systeme und Daten, Prozesse und Verantwortlichkeiten (sowohl im Risikomanagement selbst, als auch in der Gesamtorganisation allgemein) sowie Folgewirkungen
- Daten müssen in geeigneter Form vorliegen, um analysier- und auswertbar zu sein (bspw. Protokolle von Ereignissen mit Zeitstempeln, Userkennungen usw.)
- geeignete Methoden und Werkzeuge müssen eingeführt, akzeptiert und etabliert (eingeübt) sein → beispielsweise Umgang mit spezieller Software oder speziell programmierten Excel-Sheets
- grundsätzlich muss beim gesamten Personal das Bewusstsein für Risiken vorhanden sein, das Risikomanagement muss akzeptiert sein (es darf nicht als Belastung, sondern als zentraler Bestandteil zur Unternehmenssicherung verstanden werden)
- Vereinbarung darüber, dass Angemessenheit und Wirksamkeit aller Aspekte proaktiv und zyklisch überprüft werden sollen (vor dem Hintergrund der personellen und finanziellen sowie ggf. weiteren Limitationen in einem KMU) → Ziel: laufende Verbesserung des Risikomanagements selbst, aber auch der gesamten Organisation
- Dokumentation aller angesprochenen Punkte im Risikomanagement-Handbuch (freigegeben durch die Unternehmensleitung)
Welche organisatorischen Strukturen sind bei RKS sinnvoll? Werden Gremien
gebraucht und wenn ja, wie könnten Sie aussehen?
alle nachfolgend dargestellten Varianten sind gleichberechtigt und sinnvoll in der
Praxis umsetzbar
Variante 1
* mindestens ein Gremium zur Risikobewertung (Unternehmensleitung, betroffene Fachbereiche, IT) und Festsetzung der Risikoakzeptanz (Umgang mit konkreten Risiken, Kenntnis der Risikolage)
* Identifikation von Risikomanagern (mind. 2 Personen in der IT wg. Stellvertreterregelung) → sie haben die Aufgabe, Risiken zu bewerten und ggf. umgehend weiterzumelden, ansonsten zu aggregieren und eine Übersicht über die Risikolage zu erstellen
* Benennung von Risikoverantwortlichen (in jeder Fachabteilung, als Process oder Data Owner mit genauen Kenntnissen über Risiken und deren Folgen sowie möglichen sinnvollen, also angemessenen und wirksamen Maßnahmen) → verantwortlich für konkrete Risiken aus der Nutzung der IT
Variante 2
Variante 2:
* kein Gremium, dafür eine Person als Risiko-hauptverantwortliche Person benennen, die an Unternehmensleitung berichtet
* Arbeitsgruppe (aus jeder Abteilung eine Person)
* die Risiko-hauptverantwortliche Person wäre ähnlich dem Risikomanager in Variante 1, ebenso die Mitglieder der Arbeitsgruppe, die den Risikoverantwortlichen in Variante 1 entsprechen
Variante 3
Variante 3:
* Vorstandsmitglied direkt für Risiken verantwortlich (Zusammenlegung der CIOund CIRO-Rolle)
* Einstellen eines Risiko-Experten oder temporäres Hinzuziehen eines externen Beraters, der Know-how intern aufbauen soll
* Übergabe der Verantwortung später dann an die Fachbereiche
* der externe Berater nimmt temporär, der dafür eingestellte neue Mitarbeiter dauerhaft die Rolle des Risikomanagers in Variante 1 ein; bei zunächst ext. Vergabe sollte später ein Risikomanager intern (aus der Mitte der Personen aus den Fachbereichen) aufgebaut werden (das ist aber nicht zwingend notwendig, dann liegt die Rolle des Risikomanagers bei der Position in der Unternehmensleitung → Vorsicht: ggf. hoher zusätzlicher Workload). Die Verantwortlichen für die Risiken in den Fachabteilungen entsprechen in Variante 1 den Risikoverantwortlichen.
Wie könnten die Eckpfeiler einer IT-Risikopolitik bei RKS aussehen
- Risikobewusstsein → Awareness → laufendes Awareness-Training für das gesamte Personal, orientiert an den entsprechenden Anforderungen und der
Intensität der IT-Nutzung; muss von Unternehmensleitung ausgehen (Vorbildfunktion – bspw. keine Sonderwege beanspruchen, auf Risiken hinweisen, Handlungsoptionen transparent machen, Entscheidungen nachvollziehbar begründen)
* führt zur Etablierung eines strukturierten Risikomanagement-Prozesses (Identifikation, Analyse, Bewertung, Behandlung) – generell geklärt wird das „Wie“ bei der Ausgestaltung des Risikomanagement-Prozesses, also auch Durchführungs-Intervalle usw.
- Risikokultur
* grundsätzlicher Umgang mit dem Thema „Risiko“
* Umgang mit Fehlern
* Meldewege
- Risikotragfähigkeit/-akzeptanz
* laufende Prüfung der Verfahren zur Tragfähigkeitsermittlung
* laufendes Hinterfragen der Risikoneigung und damit auch der Bereitschaft, bestimmte Risiken zu akzeptieren, andere nicht/weniger → genaues Ausloten der mit bestimmten Aktivitäten verbundenen Chancen und Risiken; Vorsicht: potentieller Innovationshemmschuh („Bedenkenträgertum“)
Internes Kontrollsystem
Wie könnte ein internes Kontrollsystem in einem KMU wie RKS aussehen? Wie würde
man vorgehen, um eine sinnvolle Implementierung zu erreichen?
- Bewusstsein und Kultur für das Thema schaffen → Schulungen
- Fokus: gemeinsame Anstrengung, alle in die Verantwortung nehmen (alle müssen ihren Teil zu einem geregelten Ablauf der Prozesse im Unternehmen beitragen) → wiederkehrende Meetings/Workshops für Fortschrittskontrolle und Problemdiskussionen etablieren
- Grundsatz: in allen Aspekten ein pragmatisches Vorgehen suchen
- Ziel: monetäre, rechtliche und sonstige Risiken (auch Image-/Reputationsschäden) vermeiden
- Richtlinien, Regelungen, Arbeitsanweisungen für die zentralen Punkte im Arbeitsalltag in den jeweiligen Fachabteilungen gemeinsam diskutieren, festlegen, beschließen → Genehmigung durch Unternehmensleitung; in der finalen Fassung in übersichtlicher Form dokumentieren und für alle leicht zugänglich (Intranet) veröffentlichen → kann schrittweise ausgebaut werden → Vorsicht: Bürokratisierung
- Verantwortung klar festlegen → wenn unmittelbar keine Kontrollmöglichkeit besteht, Ersatz schaffen
- wo möglich Kontrollfunktionen in den Anwendungssystemen oder in der genutzten IT insgesamt (auch in Infrastruktur-Komponenten) nutzen oder implementieren (lassen), bspw. (siehe ergänzend auch den zweiten Punkt „Kontrollen“):
* Protokollierungsfunktionen (mit regelmäßiger Durchsicht der Protokolle)
* Verschlüsselung
* usw.
Wie sähen typische Kontrollen für die IT bei RKS aus, welche betriebswirtschaftlichen
Kontrollen werden damit gleichzeitig mit abgebildet?
- Awareness-Trainings
- Logische Zugangsregelungen für die IT-Infrastruktur, zentrale Anwendungssysteme und Daten(-banken) → Berechtigungssystem, IAM
- Absicherungen gegen Nutzung fremder Systeme (Laptops, Smartphones usw.) im Unternehmensnetzwerk
- Aufgabentrennung (sog. Segregation of Duty, SOD) → Achtung: Ressourcenknappheit, bspw. können Stichprobenkontrollen durch die vorgesetzte Stelle nicht besetzte Rollen, die normalerweise die SOD-Aufgabe wahrnehmen würden, ersetzen
- Kontrollen in der Software- und Systementwicklung (auch im Engineering, System development life cycle controls) → auch hier: Achtung: Ressourcenknappheit
- Change-Management-Kontrollen → keine unkontrollierten Änderungen an den Systemen (betrifft auch die Engineering- und Manufacturing-IT) → auch hier: Achtung: Ressourcenknappheit, mögliche Lösung wären Team-Abstimmungen und Peer-Reviews vor Produktivsetzung mit Dokumentation aller Vorgänge
- Physische Sicherheitsbarrieren für Gebäude/Räume mit IT (einschließlich Produktions-IT)
- Backup und Recovery-/Business-Continuity-Maßnahmen → ggf. über externe Dienstleister; hierunter fallen auch die Notstromversorgung und alternative Internet-Anbindungen
- Kontrollen für Vollständigkeit, Richtigkeit, Zulässigkeit (auch rechtlich, bspw. Datenschutz) und Genauigkeit → Abstimmungen innerhalb und zwischen den Anwendungssystemen, bspw.:
* Eingabe-/Erfassungs-, Verarbeitungs- und Ausgabekontrollen im Finanzbuchhaltungsbereich (bzw. anderen relevanten Bereichen, etwa Auftragseingang, Versand)
* betrifft aber auch die Produktions-IT, etwa durch Absicherung gegen Eingabe ungültiger Werte in eine Maschinensteuerung.
- weitere Kontrollen aus betriebswirtschaftlicher Sicht, die den Aufbau des IKS selbst flankieren:
* Klärung der Frage, woher finanzielle Mittel zur Zahlung von Schäden stammen (→ Risikotragfähigkeit)
* qualifiziertes Personal → Schulungen (s.o.)
* Vertragsgestaltung (etwa bei Kauf von Anwendungssystemen oder dem Abschluss von (Cloud-)Services mit entsprechend zugesicherten Eigenschaften
IT-Prüfung
Welche Ziele werden bei RKS mit IT-Prüfungen verfolgt?
– Beurteilung der die IT betreffenden Risiken
– Beurteilung der Übereinstimmung der IT-Systeme mit den gesetzlichen und regulatorischen Bestimmungen
– Beurteilung der Betriebssicherheit und -kontinuität
– Beurteilung des Grades der Vertraulichkeit, Integrität (Fehlerfreiheit, Genauigkeit, Vollständigkeit, Gültigkeit), Verfügbarkeit aller Informationen
– Beurteilung der Sicherheit
– Beurteilung des Grades der Qualität der IT
– Beurteilung des Grades der Verlässlichkeit der IT
– Verbesserung des IT-Risikomanagements und des des ITRisikomanagementprozesses sowie aller von der IT abhängigen Prozesse eines Unternehmens in Bezug auf Steuerungs- und Kontrollmaßnahmen (engl. Controls) zur Risikobehandlung
– Unterstützung der Erreichung der Unternehmensziele
– Verbesserung der Unternehmenssteuerung
– Einhaltung von (internen und externen) Regelungen
Wie sähen darauf aufbauend typische Anforderungen an eine IT-Prüfung aus und
welche Rechte und Pflichten haben die beiden Parteien (Prüfende und Geprüfte)
dabei?
– die IT-Prüfung muss so geplant und durchgeführt werden, dass die ITFehlerrisiken aller (einschließlich Produktion/Steuerung) eingesetzten IT-Systeme zutreffend beurteilt werden können
– Während der Prüfung muss festgestellt werden, ob das Unternehmen durch die Einrichtung eines wirksamen internen Kontrollsystems (IKS) in der IT
(einschließlich OT: Maschinen- und Anlagensteuerung) auf die festgestellten Risiken der verwendeten IT-/OT-Systeme angemessen reagiert hat
– Um zu verstehen, wie die Leitungsebene in Fertigung/Steuerung zur Risikobeurteilung kommt und wie sie über die Einrichtung eines IT-/OTKontrollsystems zur Begrenzung möglicher Auswirkungen dieser Risiken entscheidet, müssen alle wesentlichen Regelungen untersucht werden, die auf die Feststellung und Analyse von relevanten IT-Risiken gerichtet sind
– wesentliche Voraussetzung für eine gute Prüfungsdurchführung:
* aktive Mitwirkung der Fachabteilungen – hier also insbesondere auch die Produktionsbereiche bzw. Leitwarte(n)
* kein Machtgefälle zwischen Prüfendem und Geprüftem
* Vorliegen aller relevanten Dokumente (Der Prüfende hat im Rahmen seines Prüfungsauftrags aufgrund der sog. „Audit Charter“ das Recht, alle notwendigen Dokumente und anderen Formen von Nachweisen anzufordern. Im Gegenzug hat der Geprüfte – die Fachabteilungen – alle Informationen bereitzustellen und eine sog. „Vollständigkeitserklärung“ abzugeben)
Last changed5 months ago