Strategien


FAQ zu IT-Governance

Zehn Wahrheiten zu COBIT 5

10.01.2014
Von Thorsten Schneider

Mit ISO/IEC 38500 abgestimmt

Der Standard ISO/IEC 38500 mit dem Namen "Corporate Governance in Information Technology" entstand 2008 auf Basis des australischen Standards AS8015:2005. Dieses Referenzmodell richtet sich vor allem an die obere Führungsebene und Entscheidungsträger, die ihre Verantwortung für eine effektive, effiziente und rechtskonforme Nutzung der IT wahrnehmen wollen. Zentrale Rollen spielen dabei die systematische Bewertung des IT-Einsatzes sowie die ständige Überwachung der Planumsetzung. COBIT 5 basiert direkt auf dem aus ISO/IEC 38500 stammenden "Model for Corporate Governance of IT".

Integration dank Zielhierarchien

Die kaskadierenden Ziele sorgen für eine Übersetzung der Stakeholder-Interessen in IT-Aufgaben.
Die kaskadierenden Ziele sorgen für eine Übersetzung der Stakeholder-Interessen in IT-Aufgaben.
Foto: Serview

Die aus den Stakeholder-Interessen abgeleiteten Unternehmensziele werden im Rahmen von CoBIT 5 in Beziehung gesetzt zu den IT-Zielen. Einen ähnlichen Ansatz reklamierte auch schon die COBIT-Version 4.1 für sich; allerdings blieb dieses Konzept in der praktischen Anwendung häufig unberücksichtigt. Version 5 bietet eine vollständig überarbeitete Kaskadierung von Zielen und eine neuartige Abbildung von Zielhierarchien.

So soll sichergestellt werden, dass die übergeordneten Stakeholder-Bedürfnisse in spezifische, umsetzbare und anpassbare Unternehmensziele sowie nachfolgend in IT-bezogenen Ziele umgesetzt werden. Die Unternehmensziele sind in COBIT 5 auf der Grundlage einer Balanced Scorecard definiert - als Basismenge an generischen Unternehmenszielen. Um sie zu erreichen, ist es notwendig, eine bestimmte Anzahl von IT-bezogenen Ergebnissen vorweisen zu können, dargestellt durch "IT-related Goals". Die IT Ziele sind in einer "IT Balanced Scorecard" festgehalten.

Control Objectives sind passé

In CoBIT 5 ersetzen die Governance- und Management-Praktiken die in den Vorgängerversionen definierten "Control Objectives". Mit diesem Begriff bezeichnete CoBIT 4.1 wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozessziel sowie über das IT-Ziel letztlich das Unternehmensziel zu erreichen. Die "Control Practices" wurden umstrukturiert und gehen nun als Aktivitäten der Management-Praktiken in der neuen Struktur auf. Eine auf der Vorgängerversion aufgesetzten Framework-Struktur für die Einordnung dieser "Control Objectives" wird ebenfalls neu definiert.

Ein Guide für die Umsetzung

Im Gegensatz zu vorherigen Versionen stellt COBIT 5 einen umfassenden und strukturierten "Implementation Guide" zur Verfügung. Er soll als Grundlage für die individuelle Einführungsplanung dienen. Der Implementation Guide stellt den Interessengruppen ein Set an "Good Practices" zur Verfügung, mit denen sie eine Governance of Enterprise IT auf der Basis eines kontinuierlichen Verbesserungszyklus implementieren können. ITSM-Experten finden sich hier schnell zurecht, da sie diesen Ansatz aus dem ITIL-Umfeld kennen.

Ein Grund, warum in der Vergangenheit viele Ansätze zur GEIT-Implementierung gescheitert sind, war der, dass es dafür keine strukturiertern Programme mit klarer Zielsetzung, definiertem Umfang und ausdrücklicher Management Attention gab. Zudem fehlten Grundlagenansätze und Methoden zum Steuern des organisatorischen Wandels (Management of Change).

Standardisierte Beschreibung

Insgesamt 37 Prozesse sind in COBIT 5 beschrieben.
Insgesamt 37 Prozesse sind in COBIT 5 beschrieben.
Foto: Serview

Prozessmodelle müssen für die Mitarbeiter eines Unternehmens nachvollziehbar, lesbar und verständlich strukturiert sein. Darüber hinaus dürfen die operativen Handlungsspielräume nicht eingeengt werden. Die Prozesse in COBIT 5 umspannen aus einer Ende-zu-Ende-Sichtweise heraus die Business- und die IT-Aktivitäten. Das Framework umfasst 37 Prozesse. Dabei sind die Prozessmodelle und -beschreibungen alle nach demselben Standard aufgebaut. Input und Output werden nicht nur auf der Ebene der Einzelprozesse beschrieben, sondern auch mit dem Fokus auf übergeordnete Management- oder Governance-Praktiken.

Fazit

Der Mehrwert von COBIT 5 zeigt sich vielleicht erst bei genauerem Hinsehen. Bei einer differenzierteren Beschäftigung mit dieser Version des Frameworks zeigt sich jedoch schnell, dass sich mit seiner Hilfe Quick Wins für die Governance und für das ITSM erzielten lassen. Vor allem aber wird die zwingend erforderliche Basis für eine Business-Integration mit weitreichenden Effekten zur Stärkung der Wettbewerbsfähigkeit des Unternehmens gelegt. Der Zugang zu den Nutzeneffekten öffnet sich jedoch erst, wenn das neue Framework nicht mit Blick auf die Vorgängerversion betrachtet wird, da sich beide durch einen erheblichen Paradigma-Wechsel unterscheiden.

Zur Startseite