Beyond Budgeting: Angriff auf die Informationssicherheit oder Herausforderung zur Weiterentwicklung?

Diplomarbeit, Fachhochschule St. Pölten 2013, Studiengang Information Security

Aus der Kritik an der Budgetpraxis hat sich eine Managementbewegung entwickelt, welche sich um den Beyond Budgeting Round Table BBRT organisiert hat. Beyond Budgeting ist dabei ein Managementmodell, welches im Zuge dieser Entwicklung erarbeitet wurde. Dieses Modell beschreibt dabei eine Unternehmensstruktur und -kultur welche mit der bisher üblichen Praxis brechen will und eine Reihe von Grundsätzen aufstellt, nach welchen Management im 21. Jahrhundert umgesetzt werden soll. Diese Grundsätze und die angestrebte Funktion des Modells werden kurz beschrieben und zusammengefasst. Dabei wird ebenfalls anhand von Fallbeispielen dargestellt, welche Vorteile und Umsetzungsmöglichkeiten sich ergeben und wie unterschiedlichste Unternehmen die Grundsätze umgesetzt haben. Im Anschluss an die Beschreibung der Grundsätze folgen Überlegungen über den Mehrwert des Modells aus Sicht der Unternehmenssicherheit um im Weiteren seinen Einfluss auf die Handlungen der Informationssicherheit zu betrachten. Konkret werden dabei allgemeine Sicherheitsprinzipien unter dem Beyond Budgeting Aspekt betrachtet, ein IT-Governance Framework sowie die Etablierung eines ISMS sind ebenfalls Teil der Betrachtung. Es wurde dabei immer bedacht, welche Grundsätze des Modells an welcher Stelle Einfluss auf die Informationssicherheit und deren Organisation haben könnten und ob dieser als negativ beschrieben werden kann oder ob sich Synergieeffekte vermuten lassen können. Dabei hat sich gezeigt, dass obwohl anfänglich radikale Widersprüche des Modells zum Thema Informationssicherheit erwartet wurden, diese nur auf rein oberflächlicher Ebene bestätigt werden konnten. Im Detail lassen sich an unterschiedlichen Stellen, von Sicherheitsprinzipien über IT-Steuerungsmethoden bis hin zum Betrieb eines ISMS positive Einflüsse erkennen. In den meisten Fällen und Bereichen scheint jedoch die Informationssicherheit und deren bekannten Best-Practice Frameworks und Arbeitsempfehlungen nur wenig von einer solchen Unternehmensveränderung betroffen zu sein, auch wenn die Arbeitsweisen und eingesetzten Steuerungsmechanismen der Umgebung angepasst werden müssten, bedürfen sie im Kern keiner Veränderung. Diese Erkenntnis scheint sich jedoch nur für die theoretische Kompatibilität zu bestätigen. Die vorgestellten Fallbeispiele legen die Vermutung nahe, dass eine komplette Integration nicht oder nur schwer möglich ist. Aufgrund mangelnder Informationen über die Fallbeispiele und die detaillierte Gestaltung der Informationssicherheit in den benannten Unternehmen, konnte jedoch keine konkrete Aussage darüber getroffen werden.

First step in this work is an overview of Beyond Budgeting. This management concept tries to correct the management fault of the last century. It is a collection of several principals which should define the new and better way to create an organization and to lead new and modern companies. Some of these principals seam to put the information security into serious problems. So the model demands the removal of all central organized roles. IT and the information security are such roles per definition. The question is how can be used Beyond Budgeting while having the need for securing my information’s. So we take a look at the common used security principals, IT Governance Frameworks und an ISMS implementation to determine the influence of Beyond Budgeting to common Best Practices. At the end we will see, that the task securing my data is also necessary in a Beyond Budgeting organization, but the central sections should be removed. We see that a lot of security aspects are supported by the principles of this new management model. In conclusion the common best practices should work fine for Beyond Budgeting if the responsible persons recognize the changes of the corporate culture.