• Bookmark

COBIT 5 und der Wertbeitrag von Governance der Unternehmens-IT

Von Arturo Umana, COBIT Foundation, ITIL Foundation

COBIT Focus | 7. Dezember 2015 Arabisch | Englisch | Französisch | Japanisch | Koreanisch | Portugiesisch | Spanisch

Es ist allgemein bekannt, dass eine der entscheidenden Verbesserungen in COBIT 5 die Integration von sowohl Val IT als auch Risk IT in das Rahmenwerk war. Diese folgt der logischen Entwicklungslinie von COBIT über die verschiedenen Versionen hinweg und reflektiert die Bedürfnisse der Governance der Unternehmens-IT (GEIT) in modernen Unternehmen. Für diejenigen, die Kombinationen von früheren Versionen dieser drei Rahmenwerke oder Teile davon verwenden, erscheint der Wechsel zu einem einzigen, konsolidierten Rahmenwerk eindeutig ein vielversprechender Aspekt.


Die erste Überraschung

Nachdem ich COBIT 4.1, Val IT 2.0 und Risk IT nicht nur in meiner gegenwärtigen, sondern auch in früheren Organisationen mit sehr guten Erfahrungen verwendet hatte, entschloss ich mich, einen Machbarkeitsnachweis für COBIT 5 durchzuführen, um nicht nur das Für und Wider der Übernahme der neuen Version zu beurteilen, sondern auch einen gewissen Einblick in die kommunizierte Ausrichtung auf gegenwärtige Best Practices, in diesem Fall konkret auf ITIL V3 und TOGAF 9, zu erhalten. Zu diesem Zweck musste ein unkritischer Bereich gewählt werden—keine unerhebliche Aufgabe in einer internationalen Versicherungsgesellschaft mit über 50 Firmen in 25 Ländern. Wir entschlossen uns, die Rahmenwerk-Prinzipien und -Instrumente auf die Lieferung und Steuerung von Services für nicht direkt mit der Produktion am Hauptsitz verbundene Unterstützungsprozesse anzuwenden.


Ehrlich gesagt war der erste Kontakt nicht nur überraschend; er war ziemlich schockierend. Nicht so sehr wegen der erwarteten, größeren Überarbeitung, die für die stärkere Orientierung auf Umsetzungskomponenten (enabler) und das überarbeitete Prozessreferenzmodell notwendig war, sondern wegen des Bruchs mit der auf dem Capability Maturity Model (CMM) [= Prozessbefähigungsmodell] basierenden Vorgehensweise zur Reifegradermittlung, die sich in der Vergangenheit für viele Arbeitsbereiche bewährt hatte. Dieses Produkt innerhalb des Rahmenwerks aufzugeben, war etwas, woran man sich nicht so leicht gewöhnen konnte.


Die zweite Überraschung

Manchmal ist es unerlässlich, eine Gewohnheit abzulegen, um großartige Gelegenheiten zur Weiterentwicklung nicht zu verpassen. Als der anfängliche, bereits erwähnte Widerwillen einmal überwunden war, begannen sich die Möglichkeiten des neuen Rahmenwerks zu zeigen und der Entschluss, die aktualisierte Vorgehensweise auf weitere Bereiche anzuwenden, fiel nicht schwer.


Wie zu erwarten, verlagert die Integration von Val IT und Risk IT in COBIT 5 den Schwerpunkt des Rahmenwerks auf den Beitrag der IT zu einem erfolgreichen und stabilen Unternehmen. Natürlich war dieser Beitrag auch schon ein äußerst wichtiger Bestandteil der vorherigen Versionen, aber die frühere Vorgehensweise war ziemlich IT-zentrisch. Der Schlüsselfaktor ist jetzt, dass die drei Rahmenwerke nicht nur in eins gebündelt wurden, sie wurden nahtlos in eine konsolidierte Einheit integriert, die Wert, Risiko und Steuerung auf allen Ebenen berücksichtigt. Diese Tatsache zu verstehen ist bereits eine wichtige Erkenntnis, aber das Umsetzen in die Praxis ist ein wirkliches Aha-Erlebnis.
 

Die Integration von Val IT und Risk IT in COBIT 5 verlagert den Schwerpunkt des Rahmenwerks auf den Beitrag der IT zu einem erfolgreichen und stabilen Unternehmen.


Überraschend ist, dass trotz der Änderungen an etwas so Wesentlichem wie dem Prozessreferenzmodell der Übergang von der früheren zur gegenwärtigen Vorgehensweise in der Verwendung nicht abrupt ist (mit der Reifegradermittlung als Ausnahme zur Regel). In diesem Fall hatte der reibungslose Übergang die interessante Auswirkung, die Hauptaufmerksamkeit unserer Aktivitäten in der IT-Governance von der Regulierung und Verwaltung der IT subtil auf ein proaktives Streben nach IT als Enabler für das Unternehmen umzulenken.


Entdeckung

Sogar in reifen Organisationen ist die Vorstellung, was Governance alles umfasst, nicht sehr klar. Es gibt da immer noch viele falsche Vorstellungen und zu starke Vereinfachungen, was die Konfusion noch größer macht. Das gilt sogar noch mehr für den Wert, den die Governance bieten sollte.


Als konkreten Startpunkt können wir uns die bei COBIT angebotene Definition ansehen:

IT-Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern.


Im Weiteren integriert und institutionalisiert IT-Governance Good Practices, um sicherzustellen, dass die Unternehmens-IT die Unternehmensziele unterstützt. Folglich ermöglicht IT-Governance dem Unternehmen, das volle Potential seiner Informationen auszuschöpfen, dadurch den Nutzen zu maximieren, günstige Gelegenheiten zu realisieren und Wettbewerbsvorteile zu gewinnen. Diese Ergebnisse erfordern ein Framework zur Steuerung der IT, das in das Framework des Committee of Sponsoring Organisations der Treadway Commission (COSO) Internal Control-Integrated Framework, dem akzeptierten Steuerungsframework für Enterprise Governance und Risikomanagement integriert ist und dieses sowie ähnliche Frameworks unterstützt.


Organisationen sollen den Anforderungen an Qualität, an Fürsorgepflicht und Sicherheit für Informationen sowie für alle Unternehmenswerte gerecht werden. Das Management sollte gleichzeitig die Verwendung von IT-Ressourcen (inklusive Anwendungen, Information, Infrastruktur, Personal) optimieren. Zur Erfüllung dieser Verantwortung, sowie zur Sicherstellung der Zielerreichung, sollte das Management den Status der unternehmensweiten IT-Architektur verstehen und entscheiden, welche Governance und Steuerungsmöglichkeiten angewandt werden sollen.1

Das ist wirklich eine sehr fundierte Definition, die bestätigt, dass IT-Governance sowohl Unternehmens- als auch IT-Management betrifft. Doch obwohl eine Einigung über diese Ansicht nicht schwer ist, sind sich beide Seiten nicht immer der Auswirkungen hinsichtlich gemeinsamer Ziele und Vorgaben bewusst. Es ist unbedingt erforderlich, dieses Bewusstsein zu schaffen, um Ausrichtungsfehler und Konflikte zu vermeiden, die der Organisation schaden könnten.


Eine solide Basis hinsichtlich Zusammenarbeit und Kommunikation wird hier unbedingt erforderlich. Das ist ein wesentlicher Faktor für IT, um zu einer Umsetzungskomponente (einem Enabler) und zuverlässigen Partner für das Business zu werden, sowohl iin den Handlungen als auch in der Wahrnehmung. Und das bringt uns wieder zum bereits erwähnten Schwenken der Aufmerksamkeit zurück.


Das Verlagern des Schwerpunkts Ihrer IT-bezogenen Governance-Aktivitäten in Richtung Wertversprechen und Wertschöpfung verändert nicht nur Ihre eigene Wahrnehmung, sondern auch die Art und Weise, wie Sie sowohl mit dem Business als auch den IT-Experten kommunizieren und interagieren, und damit letztendlich die Art und Weise, wie sie miteinander zusammenarbeiten. Natürlich dürfen Sie auch nicht die regulatorischen und Verwaltungsaspekte der IT-Governance außer Acht lassen, aber durch die Betonung der Wichtigkeit des Beitrags zu gemeinsamen Zielen werden diese Aspekte eine Stütze für die Zusammenarbeit anstatt eines hemmenden Faktors. In diesem Prozess wird der Wertbeitrag der Governance selbst sichtbar und IT-Governance entwickelt sich zu GEIT.


Diese Transformation innerhalb unserer Organisation ist noch im Gange, aber wir können bereits beobachten, wie sich die Herangehensweise an manche Projekte und Initiativen zu verändern begonnen hat.


Fazit

Rückblickend hat der Wechsel von der gemeinsamen Nutzung von COBIT 4.1, Val IT 2.0 und Risk IT zum konsolidierten COBIT 5 einen erheblichen Wandel in der Rolle der IT-Governance in unserer Organisation ausgelöst. Die drastischste Veränderung ist der integrative Aspekt, der der regulativen Seite hinzugefügt wurde. Die positive Resonanz auf diese Transformation hat ihre perfekte Ausrichtung auf die gegenwärtige kulturelle Entwicklung unserer Organisation gezeigt und hat den Wertbeitrag sichtbar gemacht.


Arturo Umana, COBIT Foundation, ITIL Foundation

Ist IT-Governance Officer/Group Enterprise Architect der Vienna Insurance Group. Während seiner Karriere als Datenbank-Architekt, IT-Projektmanager, Enterprise Architect und IT-Governance Officer lag der Fokus seiner Arbeit auf den Bereichen Methodik, Enterprise Architecture Management, IT-Governance und IT-Strategieentwicklung.


 

1 ISACA, COBIT 4.1, USA, 2009

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.