Wie Data-Governance-Standards und -Frameworks Unternehmens-Datenprogramme steuern

Ein Governance-Programm beginnt selten bei null. Die meisten Teams übernehmen eine Mischung aus Richtlinienformulierungen, Kontrollanforderungen, Qualitätsregeln und Auditerwartungen und suchen dann nach einer stabilen Möglichkeit, diese zu organisieren. Data-Governance-Standards bieten Unternehmen einen gemeinsamen Bezugspunkt für Terminologie, Kontrollbereiche, Reifegradkriterien und den Governance-Umfang. Teams, die Data-Governance-Standards evaluieren, prüfen oft auch Governance-Frameworks, da beide maßgeblich beeinflussen, wie ein Programm entworfen, implementiert und bewertet wird.

Data-Governance-Standards sind veröffentlichte Best-Practice-Referenzen, die Unternehmen dabei helfen, zu definieren, wie Governance strukturiert, gemessen und verbessert werden sollte. Sie bieten in der Regel eine gemeinsame Terminologie, Prinzipien, Kontrollbereiche oder Bewertungskriterien, denen ein Governance-Programm folgen kann.

Standards sind nicht dasselbe wie Vorschriften, die rechtlich bindend sind, und sie sind auch nicht ganz dasselbe wie Frameworks, die in der Regel beschreiben, wie ein Unternehmen Governance intern operationalisiert.

Der Unterschied wird deutlicher, wenn man die jeweilige Funktion betrachtet.

Die folgende Tabelle vergleicht die gängigsten Standards und Frameworks, die Unternehmen beim Aufbau oder der Weiterentwicklung eines Governance-Programms verwenden.

DAMA-DMBOK ist ein häufiger Ausgangspunkt, da es einem datenzentrierten Unternehmen ein vollständiges operatives Vokabular für Governance, Qualität, Metadaten, Architektur und Stewardship an die Hand gibt. Laut DAMA gliedert DMBOK das Datenmanagement in 11 Wissensbereiche. Aus diesem Grund wird es so oft als Referenzschicht verwendet, wenn ein Governance-Programm seinen Umfang definieren muss, bevor es Kontrollen oder Tools auswählt.

ISO 8000 ist enger gefasst und nützlicher, wenn die Governance-Diskussion von Datenqualität, Lieferantendaten, Stammdatenkonsistenz oder dem Nachweis angetrieben wird, dass Qualitätsprozesse tatsächlich definiert und wiederholbar sind. Die Norm legt Prinzipien für die Informations- und Datenqualität fest und beschreibt den Weg zur Datenqualität. ISO 8000-150 spezifiziert zudem Überlegungen zu Rollen, Verantwortlichkeiten und dokumentarischen Nachweisen im Datenqualitätsmanagement, was die Norm besonders relevant macht, wenn Governance-Teams mehr als nur einen allgemeinen Qualitätsanspruch benötigen.

ISO/IEC 38505 ist auf andere Weise nützlich. Sie ordnet die Governance von Daten in die IT-Governance ein. Das ist wichtig für Unternehmen, in denen es auf Führungsebene weniger um Stewardship-Taxonomie geht, sondern vielmehr um Entscheidungsrechte, Verantwortlichkeit und die zulässige Nutzung von Daten im gesamten Unternehmen. Laut ISO/IEC 38505-1 gilt die Norm für die Governance der aktuellen und zukünftigen Nutzung von Daten, die von IT-Systemen erstellt, erfasst, gespeichert oder kontrolliert werden, wobei die Governance von Daten eine Teilmenge der IT-Governance darstellt.

COBIT ist ein umfassendes Framework für die Unternehmens-Governance von Informationen und Technologie, aber ISACA bietet spezifische Leitlinien, die zeigen, wie COBIT auf das Governance-Design und die Bereitstellung von Daten ausgeweitet werden kann. Für Unternehmen, die bereits formelle Kontroll-, Audit- und Risikoprogramme über IT-Governance-Funktionen ausführen, kann COBIT die natürlichere Brücke sein, als mit einem rein datenzentrierten Standard zu beginnen.

DCAM ist von großer Bedeutung, wenn die Reifegradbewertung genauso wichtig ist wie das operative Design. Das EDM Council beschreibt DCAM als Branchenstandard und Best-Practices-Framework für Datenmanagement und Advanced Analytics. Das Modell ist besonders bei Finanzdienstleistungen und in anderen stark regulierten Umgebungen präsent. Auch außerhalb des Bankwesens kann DCAM nützlich sein, wenn ein Governance-Team Fähigkeitsniveaus bewerten muss, anstatt nur Richtlinien und Verantwortliche aufzulisten.

Die meisten Unternehmen entscheiden sich nicht isoliert für einen Standard. In der Regel wählen sie einen primären Referenzpunkt und fügen bei Bedarf ergänzende Leitlinien hinzu. Beispielsweise kann ein Unternehmen DAMA-DMBOK verwenden, um Umfang und Vokabular zu definieren, ISO 8000, um Datenqualitätspraktiken zu stärken, und COBIT, um die Governance an breiteren IT-Kontrollstrukturen auszurichten. Das Ziel ist es, die Referenzen auszuwählen, die zu den Governance-Problemen passen, die das Unternehmen tatsächlich lösen muss.

Ein praktischer Weg zur Auswahl sieht so aus:

Standards definieren, was ein Governance-Programm leisten können sollte, während Ihr Betriebsmodell entscheidet, wie diese Arbeit im Alltag erledigt wird. Ein Standard mag Ihnen vorgeben, dass Datenqualität definierte Rollen, nachvollziehbare Kontrollen und Nachweise erfordert. Ihr Programm muss jedoch weiterhin entscheiden, welche Domänen zuerst klassifiziert werden, wer Richtlinienausnahmen genehmigt, wie Lineage offengelegt wird, wo die Access History überprüft wird und wie Stewards vertrauenswürdige Definitionen veröffentlichen.

Ein unkomplizierter Einführungspfad umfasst in der Regel vier Schritte:

1. Wählen Sie ein oder zwei primäre Standards, die zu dem geschäftlichen Problem passen, das Sie tatsächlich lösen.
2. Ordnen Sie die Leitlinien des Standards bestehenden Governance-Artefakten zu, wie z. B. Richtlinien, Steward-Rollen, Zugriffsmodellen und Audit-Anforderungen.
3. Identifizieren Sie Lücken zwischen dem Standard und der aktuellen Praxis.
4. Nutzen Sie die Bewertungskonzepte des Standards, um den Reifegrad zu messen und den Fortschritt im Laufe der Zeit zu verfolgen. Diese Vorgehensweise sorgt dafür, dass die Arbeit praxisbezogen bleibt. Sie verhindert, dass ein Team Standards nur für die Schublade sammelt, während weiterhin ein Verantwortlicher für eine sensible Spalte oder ein definierter Prozess für den Umgang mit Ausnahmen fehlt.

Die Notwendigkeit, Standards und Frameworks zu operationalisieren, ist der Grund, warum Plattformfunktionen wichtig sind – Funktionen, die den Kontrollbereichen entsprechen, die Governance-Teams verwalten müssen, einschließlich Klassifizierung, Schutz, Metadaten, Überprüfbarkeit und Rückverfolgbarkeit.

Beispielsweise kann die Governance-Schicht von Snowflake eine praktische Möglichkeit bieten, die durch Governance-Standards definierten Kontrollen zu implementieren. Horizon Catalog macht den Governance-Kontext über Clouds und Regionen hinweg sichtbar und ermöglicht die Klassifizierung sensibler Daten, Tag-based Masking, Dynamic Data Masking, Access History für Audit-Transparenz, Lineage-Tracking sowie Lineage-Ansichten, die Abhängigkeiten und den Richtlinienkontext zeigen.

Data-Governance-Standards sind am nützlichsten, wenn sie einem Team helfen, konkrete Entscheidungen zu treffen: welche Kontrollbereiche wichtig sind, welche Verantwortlichkeiten benannt werden müssen, welche Nachweise erfasst werden sollten und welche Funktionen in der Plattform vorhanden sein müssen. Der richtige Standard hängt davon ab, was das Programm zu stabilisieren versucht. Einige Teams benötigen eine breite operative Referenz wie DAMA-DMBOK. Andere benötigen eine stärkere Qualitätsdisziplin durch ISO 8000, eine klarere Executive Governance durch ISO/IEC 38505, eine engere Abstimmung der IT-Kontrollen durch COBIT oder ein Reifegrad-Benchmarking durch DCAM.

Ein bewährter Ansatz besteht darin, die Standards auszuwählen, die zu den vorliegenden Governance-Problemen passen, und sie dann in Richtlinien, Verantwortlichkeiten, Durchsetzungs- und Audit-Praktiken zu übersetzen, die das Unternehmen aufrechterhalten kann.