Viele Unternehmen haben in den vergangenen Jahren ihr Augenmerk auf das Thema Governance gelegt. Es ging ihnen darum, die IT aus einer Governance-Perspektive zu professionalisieren. In diesem Kontext standen die "Control Objectives for Information and Related Technology" (COBIT) immer für den der IT übergeordneten Kontrollteil, während die IT Infrastructure Library (ITIL) als Framework für die IT-interne Ausrichtung zur Anwendung gelangte.

Mit der Zeit kam verstärkt die Forderung auf, die Grenzen der Betrachtungsebenen aufzulösen. Sowohl die Steuerung als auch das Management der IT sollten ganzheitlicher betrachtet werden. Die IT muss sich verstärkt auf den Mehrwert und einen damit verbundenen Nachweis für das Business konzentrieren. Nicht nur wegen knapper IT-Budgets, sondern auch durch die Etablierung neuer Service- und Sourcing-Modelle wie Software as a Service (SaaS) oder Cloud sollten die Business-Ziele eng mit den IT-Zielen abgestimmt werden. Dafür bedarf es einer übergreifenden Steuerung aus strategischer Sicht.

COBIT 5 reklamiert für sich, den Mehrwert für das Geschäft und die "Business Integration" in den Mittelpunkt der Betrachtung zu stellen, also quasi eine "Corporate Governance of IT" zu beschreiben. Das neue Framework umfasst also das gesamte Unternehmen, nicht nur die IT. Was bedeutet das im Einzelnen?

COBIT 5 wird GEIT

"Governance of Enterprise IT", kurz GEIT, so bezeichnen die COBIT-Protagonisten bei der Information Systems Audit and Control Association (Isaca) das neue Framework. Es hat bis zur heutigen Ausgestaltung einen erstaunlichen Wandel durchgemacht.

Als die erste Version 1996 veröffentlicht wurde, war sie ihrem Anspruch nach nicht mehr als eine (Prüf-)Checkliste für IT-Auditoren. Bereits zwei Jahre später, mit der zweiten Version, verbreitete sich das Prinzip der "Control Objectives" im Auditoren- umfeld. Zum ersten Mal wurde beschrieben, wie die Zielzustände der jeweiligen Betrachtungsbereiche und die Kontrollen zu definieren sind. Im Jahr 2000 wurde das Framework in seiner dritten Version dann auch für das Management nutzbar. Als "Governance-Framework für die IT" war es in seiner vierten Version bereits ein mächtiges Referenzmodell für den Aufbau der Management-Strukturen, die für eine IT-Governance notwendig sind.

Geht es heute darum, regulatorische Anforderungen in der IT zu erfüllen, so verweist der Regulator auf COBIT und nicht etwa auf ITIL. Bis zur vierten Version war COBIT aber auf die IT-Umgebung begrenzt. Erst in der aktuellen Version 5 hat es alle Informationen des Unternehmens und damit auch die Business-Prozesse sowie -Rollen auf dem Schirm.

Business Value im Fokus

Aus der Business-Perspektive soll COBIT dafür sorgen, dass die IT die geschäftlichen Anforderungen unterstützt; sie muss einen Wertbeitrag erbringen und dabei ökonomisch sowie risikobewusst agieren. Deshalb wurde in Version 5 darauf geachtet, dass sich die Prozesse des Rahmenwerks und die IT-Ziele aus den Geschäftszielen ableiten lassen. Das neue Informationsmodell stellt die Verbindung zwischen geschäftlichen Informationen und IT-Funktionen her. Das erweiterte Rollenmodell deckt die Aktivitäten und Verantwortlichkeiten der IT- und der Business-Funktionen ab.

Im Allgemeinen verfolgen die Unternehmen das Ziel, für ihre Anspruchsgruppen (Stakeholder) Werte zu erzeugen. Die Unternehmens-Governance muss sicherstellen, dass der angestrebte Nutzen zu optimalen Kosten und mit steuerbaren Risiken erreichbar ist. Governance bedeutet aber auch, die Interessen der Stakeholder gegeneinander abzuwägen und die Entscheidungen zu treffen, die nötig sind, um den Nutzen zu erzielen. Deshalb bilden die Stakeholder-Interessen quasi den Ausgangspunkt der COBIT-5-Überlegungen.

BMP-Frameworks integriert

Governance und Service-Management sind Management-Disziplinen, die immer mehr zusammenwachsen. Der Framework-Ansatz von COBIT deckt darum Governance-Anforderungen, aber auch Anforderungen aus Sicht des Service-Managements ab. Er referenziert gezielt auf ITIL sowie andere Methoden und Leitlinien. Das ist beispielsweise an der Positionierung der Service-Management-Prozesse innerhalb der COBIT-Prozessdomänen ablesbar, wird aber auch beim Lifecycle-Ansatz deutlich.

Weiter konzentriert sich COBIT auf das WAS und nicht auf das WIE. Somit ist es sowohl eine "Klammer" als auch ein "Integration Framework", das auf verschiedene Methoden und Leitlinien als Baustein eines gesamtheitlichen Management-Systems verweist.

Darunter fallen auch die Best Management Practices (BMP) des Cabinet Office (früher OGC). Es ist also Unfug, zu behaupten, COBIT 5 ersetze die BMP-Frameworks.

Integration bedeutet hier, dass CoBIT 5 den Rahmen setzt, wie die etablierten Frameworks aus der Perspektive der Geschäftsanforderungen zusammenspielen müssen. Für eine Umsetzung liefert es aber nicht den nötigen Detaillierungsgrad. Dafür eignen sich Frameworks wie ITIL deutlich besser. Beide Frameworks behalten also ihre Relevanz und Schwerpunkte.

ITIL hat seine Berechtigung

Kann COBIT 5 auch den Bereich des IT-Service-Managements abdecken? Nein! COBIT 5 und ITIL sind von ihrer Ausrichtung und ihrem Stellenwert her klar abgegrenzt.

• COBIT 5 fokussiert stärker auf die Verantwortung der Unternehmensführung beziehungsweise der Enterprise Governance. ITIL geht dafür tiefer ins Detail; dadurch ist das Framework auch komplexer als COBIT 5.

• ITIL beschreibt in der für IT-Fachleute vertrauten Sprache, was die IT tut. COBIT bedient sich der Business-Sprache, um darzulegen, welche Ergebnisse erzielt werden sollen.

• Die Inhalte des ITIL-Frameworks sind eher auf die zentralen Belange der IT ausgerichtet, während COBIT 5 aus der Business-Perspektive kommt.

• Der Wert einzelner Prozesse für das Business ist in ITIL deutlicher beschrieben als in COBIT 5.

Somit ergänzen sich beide Frameworks hinsichtlich ihrer Perspektiven.

Klare Abgrenzungen

COBIT 5 unterscheidet eindeutig zwischen Governance und Management.

• Die Governance stellt sicher, dass die Stakeholder sowie deren Bedürfnisse, Bedingungen und Optionen Maßstab der Bewertung sind und umgesetzt werden.

• Das Management ist dafür zuständig, die notwendigen Aktivitäten zu planen, zu betreiben und zu überwachen, um die Direktiven und Ziele zu erfüllen.

Während die Governance-Prozesse den Grundrahmen, die Eckpfeiler und die Prinzipien definieren, stellen die Management-Prozesse die Prozess-Strukturen zur Verfügung. Das Ganze wird durch einen COBIT-5-spezifischen Lifecycle zusammengeführt.

Mit ISO/IEC 38500 abgestimmt

Der Standard ISO/IEC 38500 mit dem Namen "Corporate Governance in Information Technology" entstand 2008 auf Basis des australischen Standards AS8015:2005. Dieses Referenzmodell richtet sich vor allem an die obere Führungsebene und Entscheidungsträger, die ihre Verantwortung für eine effektive, effiziente und rechtskonforme Nutzung der IT wahrnehmen wollen. Zentrale Rollen spielen dabei die systematische Bewertung des IT-Einsatzes sowie die ständige Überwachung der Planumsetzung. COBIT 5 basiert direkt auf dem aus ISO/IEC 38500 stammenden "Model for Corporate Governance of IT".

Integration dank Zielhierarchien

Die aus den Stakeholder-Interessen abgeleiteten Unternehmensziele werden im Rahmen von COBIT 5 in Beziehung gesetzt zu den IT-Zielen. Einen ähnlichen Ansatz reklamierte auch schon die COBIT-Version 4.1 für sich; allerdings blieb dieses Konzept in der praktischen Anwendung häufig unberücksichtigt.

Version 5 bietet eine vollständig überarbeitete Kaskadierung von Zielen und eine neuartige Abbildung von Zielhierarchien. So soll sichergestellt werden, dass die übergeordneten Stakeholder-Bedürfnisse in spezifische, umsetzbare und anpassbare Unternehmensziele sowie nachfolgend in IT-bezogene Ziele umgesetzt werden.

Die Unternehmensziele sind in COBIT 5 auf der Grundlage einer Balanced Scorecard definiert - als Basismenge an generischen Unternehmenszielen. Um sie zu erreichen, ist es notwendig, eine bestimmte Zahl von IT-bezogenen Ergebnissen vorweisen zu können, dargestellt durch "IT-related Goals". Die IT Ziele sind in einer "IT Balanced Scorecard" festgehalten.

Control Objectives sind passé

In CoBIT 5 ersetzen die Governance- und Management-Praktiken die in den Vorgängerversionen definierten "Control Objectives". Mit diesem Begriff bezeichnete COBIT 4.1 wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozessziel sowie über das IT-Ziel letztlich das Unternehmensziel zu erreichen.

Die "Control Practices" wurden umstrukturiert und gehen nun als Aktivitäten der Management-Praktiken in der neuen Struktur auf. Eine auf der Vorgängerversion aufgesetzte Framework-Struktur für die Einordnung dieser "Control Objectives" wird ebenfalls neu definiert.

Ein Guide für die Umsetzung

Im Gegensatz zu vorherigen Versionen stellt COBIT 5 einen umfassenden und strukturierten "Implementation Guide" zur Verfügung. Er soll als Grundlage für die individuelle Einführungsplanung dienen.

Der Implementation Guide gibt den Inter-essengruppen ein Set an "Good Practices" an die Hand, mit denen sie eine Governance of Enterprise IT auf der Basis eines kontinuierlichen Verbesserungszyklus implementieren können. ITSM-Experten finden sich hier schnell zurecht, da sie diesen Ansatz aus dem ITIL-Umfeld kennen.

Ein Grund, warum in der Vergangenheit viele Ansätze zur GEIT-Implementierung gescheitert sind, war der, dass es dafür keine strukturierten Programme mit klarer Zielsetzung, definiertem Umfang und ausdrücklicher Management-Attention gab. Zudem fehlten Grundlagenansätze und Methoden zum Steuern des organisatorischen Wandels (Management of Change).

Standardisierte Beschreibung

Prozessmodelle müssen für die Mitarbeiter eines Unternehmens nachvollziehbar, lesbar und verständlich strukturiert sein. Darüber hinaus dürfen die operativen Handlungsspielräume nicht eingeengt werden. Die Prozesse in COBIT 5 umspannen aus einer Ende-zu-Ende-Sichtweise heraus die Business- und die IT-Aktivitäten. Das Framework umfasst 37 Prozesse. Dabei sind die Prozessmodelle und -beschreibungen alle nach demselben Standard aufgebaut. Input und Output werden nicht nur auf der Ebene der Einzelprozesse beschrieben, sondern auch mit dem Fokus auf übergeordnete Management- oder Governance-Praktiken.

Fazit

Der Mehrwert von COBIT 5 zeigt sich bei genauerem Hinsehen. Der Zugang zu den Nutzeneffekten öffnet sich wohl erst, wenn das neue Framework nicht mit Blick auf die Vorgängerversion betrachtet wird, da sich beide durch einen erheblichen Paradigmen-wechsel unterscheiden. (qua)

Torsten Schneider ist Senior Advisor bei der Serview GmbH.