Process Assessment Model

5 Erfolgsfaktoren fürs COBIT 5 Assessment

15.05.2014 von Peter Ratzer und Florian Donat
In fünf Punkten listen Peter Ratzer und Florian Donat von Deloitte die zentralen Dinge auf, wie CIOs COBIT 5 optimal einsetzen.
Peter Ratzer ist Partner Technology Practice Leader bei Deloitte.
Foto: Deloitte

COBIT 5 (Control Objectives for Information and Related Technology) positioniert sich als unternehmensweites Governance Framework, das die Unternehmens-IT konsequent auf das Business ausrichtet. Die Fünf-Punkte-Liste zeigt, welche Aspekte beachtet werden sollten, um COBIT 5 optimal zu nutzen.

1. Fokus Governance: Bewerten Sie konsequent ihre Governance-Fähigkeiten

Eine wesentliche Neuerung von COBIT 5 gegenüber der Vorgängerversion sind die Governance-Prozesse. In COBIT 5 wird zwischen den im IT-Management üblichen Prozessen Plan, Build und Run und den übergeordneten Governance Prozessen Monitor, Evaluate und Direct unterschieden. In der Praxis hat sich diese neue Sichtweise auf die Unternehmens-IT bewährt.

Probleme, die aus organisch gewachsenen Governance-Strukturen resultieren, können schnell identifiziert und effektive Verbesserungsmaßnahmen entwickelt werden. CIOs können durch die COBIT 5 Governance Prozesse die bestehende IT jenseits des Schemas Plan, Build und Run anderer Rahmenwerke (wie beispielsweise ITIL) strukturiert analysieren und bewerten.

2. Auch wenn die Latte für den ersten Reifegrad hoch liegt: Bewerten Sie realistisch

Florian Donat ist Manager Technology Advisory bei Deloitte.
Foto: Deloitte

Reifegrad 1 wird im COBIT 5 Process Assessment Model erst dann erreicht, wenn ein Prozess ein umfassendes Set an Prozessergebnissen produziert. Beispiel hierfür sind ein definiertes Governance-Entscheidungsmodell, Data Security Guidelines, oder definierte Kommunikationswege zu den Stakeholdern der Unternehmens-IT. In den meisten IT-Organisationen von Konzernen sind zahlreiche IT-(Service-)Management-Prozesse und deren Ergebnisse definiert.

CIOs von "jungen" IT-Organisationen mit potenziell niedrigem Reifegrad sollten beachten, dass das Erreichen des ersten Reifegrades bereits hohe Anforderungen an die IT stellt. Eine dogmatische Ergebnisüberprüfung ist nur wenig zielführend.

Prüfen sie, ob Ihre Prozesse die Fachseite kontrolliert und effektiv unterstützen und einen messbaren Wertbeitrag liefern. Vermeiden Sie, einem vermeintlichen Reifegradideal hinterherzujagen.

3. Die richtige Flughöhe: Analysieren Sie nicht nur die Prozessergebnisse, sondern betrachten Sie auch das Zusammenspiel der Prozesse

COBIT 5 Assessments erfordern eine hohe Abstraktionsleistung vom Prozessanalysten und seinem Gesprächspartner. In der Prozessanalyse wird ermittelt, wie der Prozess gemanagt wird und nicht was gemanagt wird. Zum Erreichen von Reifegrad 2 müssen beispielsweise Anforderungen an Prozessergebnisse definiert, kontrolliert und überprüft werden. Hierzu gehören Ergebnisstruktur und Qualitätsstandards in Form von Templates.

In Prozessinterviews neigen die Verantwortlichen häufig dazu, auf Struktur und Qualität konkreter Projektergebnisse ("Was") zu verweisen, nicht jedoch auf das Management von Templates und Strukturen ("Wie"). Unterstützen Sie Ihren Interviewpartner bei der Ist-Erhebung, um den richtigen Fokus in der COBIT 5-Prozessanalyse zu finden.

CIOs sollten die richtige Erwartungshaltung gegenüber einem COBIT 5 Assessment haben: Es geht um eine formale Prüfung der Prozesse auf Vollständigkeit von Definition, Steuerung und Kontrolle. Überprüfen Sie zusätzlich, ob eine durchgängige End-to-End-Ausführung der Prozesse unterstützt wird. Erst hierdurch kommt der versprochene Wertbeitrag der IT für die Fachseite voll zur Wirkung.

4. Auf der Suche nach der adäquaten Einschätzung des Prozessreifegrades und der Verbesserungsmaßnahmen: Binden Sie neutrale Experten ein

Die Beurteilung des Prozessreifegrades lässt sich nicht vollständig objektivieren und erfordert die Einschätzung durch Experten. Dies gilt für die existierenden Reifegradmodelle (CMMI, BPMM, etc.) und auch für COBIT 5. Zwar liefert das Process Assessment Model eine Checkliste von Fähigkeiten, die auf den Reifegrad schließen lassen. Allerdings stellen sich hierbei mindestens zwei Herausforderungen:

CIOs sollten die Einschätzung des Reifegrades kritisch betrachten. Sie erfordert nicht nur eine Faktensammlung und Kennzahlen, sondern eine qualitative Einschätzung. Das Process Assessment Model dient als guter Einstieg in die Diskussion.

Zur Ermittlung von Ursachen und geeigneten Verbesserungsmaßnahmen müssen jedoch die richtigen Fragen jenseits des formalisierten Modells gestellt werden:

In den meisten Fällen lohnt es sich, spezialisierte Experten hinzuzuziehen, die eine neutrale Außensicht mitbringen. Nutzen Sie deren umfangreiche Projekterfahrungen und das entsprechende IT-Bewertungs-Know-how.

5. Kein Out-of-the-box: Setzen Sie unterstützende Tools im Analyseprozess ein

Die Anwendung des COBIT 5 Process Assessment Model erfordert die Entwicklung und Anwendung von Tools zur Durchführung des Assessments. Zwar sind das Process Framework und das Process Assessment Model ausführlich dokumentiert. Es werden jedoch zusätzliche Tools benötigt, wie ein Interviewplan mit einem Mapping von COBIT 5-Rollen zu denen des analysierten Unternehmens, Fragebögen zur Datensammlung während der Interviews und eine Ergebnisstruktur für den abschließenden Assessmentbericht.

Projektmanagementkenntnisse, -Tools und eine durchgängige Ergebnisdokumentation sind wesentliche Voraussetzung für eine erfolgreiche und zeiteffiziente Analyse. Überlegen Sie sich genau, welche Tools in welcher Form benötigt werden. So vermeiden Sie, am Ende eine unstrukturierte Faktensammlung anstatt einer überzeugenden und qualitativ hochwertigen Analyse zu erhalten.

Fazit

Zentrale Erfolgsfaktoren für COBIT 5 Assessments.
Foto: Deloitte

CIOs können bei der Analyse ihrer Governance- und Managementprozesse von den COBIT 5-Möglichkeiten profitieren. Dabei gilt es, die fünf zentralen, kritischen Erfolgsfaktoren zu beachten.

COBIT 5 kann als zentrales Werkzeug genutzt werden, um bestehende Standards zu vereinen und die Unternehmens-IT konsequent auf das Business auszurichten. Insgesamt ist jedoch nach wie vor erhebliches Expertenwissen und Augenmaß gefragt, um den Reifegrad der Prozesse angemessen zu beurteilen und die richtigen Schlüsse im gegebenen Kontext zu ziehen.

Peter Ratzer ist Partner Technology Practice Leader und Florian Donat Manager Technology Advisory bei Deloitte.