Matrix Technology AG
Finsurance Blog > Mit COBIT5 zur IT Governance von Morgen

Mit COBIT5 zur IT-Governance von Morgen

Tjark Haase

Tjark Haase ist seit 2018 fester Bestandteil der matrix IT-Strategieberatung. Seine Erfahrungen aus dem  Projektmanagement im regulierten Umfeld bringt er heute bei einem IT-Dienstleister für genossenschaftliche Banken ein.

Alle Beiträge des Autors

COBIT ist ein international anerkanntes Framework für IT-Governance. Aus der Version 4.1 existiert die Abkürzung für Control Objectives for Information and Related Technology – 5.0 ist die aktuelle Version von COBIT. Das Framework versteht sich als eine umfangreiche Sammlung von Prozessen, Rahmenbedingungen und Vorgehensweisen, dass einem Unternehmen hilft, die IT für die Wertschöpfung des gesamten Unternehmens auszurichten.

In meinem Beitrag möchte ich Ihnen das Framework etwas genauer vorstellen und Ihnen zeigen, wie Sie COBIT auch in Ihrem Institut effektiv zum Einsatz bringen können.

Governance bedeutet das Setzen von Rahmenbedingungen, Richtlinien und Zielen, die der IT als „Was?“ dienen soll. Das „Wie?“ dagegen, lässt COBIT5 jedoch bewusst offen. Dabei werden Ziele bzw. „Controll Objectives“ aus den Unternehmenszielen für die IT abgeleitet. Aus den IT-Zielen ergibt sich dann die IT-Architektur. Im Kern steht, dass IT nicht dem Selbstzweck dienen soll, sondern dem Erfüllen der Unternehmensziele. COBIT5 bezeichnet dies als Zielkaskade. COBIT5 soll helfen, aus dem Unternehmenszweck und den -zielen die notwendigen IT-Prozesse, Rahmenbedingungen und Architekturen abzuleiten.

COBIT5 ist durch seinen ganzheitlichen Ansatz und Abstraktion sehr komplex. Der ganzheitliche Ansatz ist notwendig, da die Governance der IT nicht getrennt vom Unternehmen betrachtet werden kann. Die Abstraktion ist wiederum notwendig, um für alle Unternehmen implementierbar zu sein. Daher werde ich in diesem Beitrag nur auf die Grundlagen von COBIT5 eingehen.

Die Integration von COBIT5 in ein Unternehmen ist keine einmalige Angelegenheit! Zwar wird empfohlen, mithilfe eines Business Cases und schnellen Erfolgen die Wirksamkeit frühzeitig aufzuzeigen, aber COBIT5 legt Wert auf eine kontinuierliche Verbesserung der implementierten Maßnahmen.

Das Framework nennt 7 Enabler, die für das erfolgreiche implementieren und Leben eines Governance-Frameworkes verantwortlich sind. Die Enabler können individuell als auch kollektiv Einfluss auf den Erfolg der IT-Governance haben. Neben den 7 Enablern arbeitet COBIT5 auch 5 Prinzipien, die essenziell für das Erreichen der Unternehmensziele, als auch für das Umsetzen der IT-Governance selbst sind. Weiter spielen 37 von COBIT5 identifizierte (generische) Prozesse eine wichtige Rolle.

Die 5 Prinzipien des COBIT-Frameworks

COBIT definiert 5 Prinzipien für die Governance und das Management

  1. Erfüllung der Anforderungen der Anspruchsgruppen
    Aufgabe eines Unternehmens ist das Schaffen von Werten für seine Stakeholder. COBIT5 bietet hierfür die notwendigen Prozesse und Enabler. Trotz verschiedenster Ziele von Unternehmen, kann COBIT5 über die Zielkaskade leicht angepasst werden, um die allgemeinen Unternehmensziele in managebare IT-Ziele zu übersetzen. Das Ganze geschieht vor dem Hintergrund der Nutzenmaximierung und Risikominimierung.
     
  2. Abdeckung des gesamten Unternehmens
    Für COBIT5 sind Informationen Ressourcen, mit denen sich jeder im Unternehmen befasst. Daher werden auch unternehmensweit die Prozesse betrachtet und der Blick nicht nur auf die IT gerichtet. Das generierte IT-Governance Framework wird in die Unternehmens Governance integriert.
     
  3. Anwendung eines einheitlichen, integrierten Rahmenwerkes
    COBIT5 betrachtet weitere gängige, für die IT geltende, Standards und integriert diese. Damit soll ein allumfassendes Rahmenwerk für Governance und Management geschaffen werden.
     
  4. Ermöglichung eines ganzheitlichen Ansatzes
    Die verschiedenen, miteinander agierenden Komponenten eines Unternehmens werden von COBIT5 ganzheitlich betrachtet. Dies geschieht mithilfe der definierten Enabler, die allesamt einen Beitrag für die Unternehmensziele leisten. Dies soll ebenso zu einem effektiven und effizienten Management sowie Goverance führen.
     
  5. Unterscheidung zwischen Governance und Management
    COBIT5 trennt bewusst Governance und Management. Governance evaluiert Anforderungen, gibt die Richtung vor und überwacht die Zielerreichung, während das Management plant, aufbaut, ausführt und ebenfalls überwacht.

Erfüllung der Anforderungen verschiedener Anspruchsgruppen durch Governance

Die Aufgabe eines jeden Unternehmens besteht darin, Werte für seine Anspruchsgruppen zu schaffen. Werte bzw. Wertschöpfung bedeutet Nutzen unter optimalen Ressourceneinsatz und reduzierten Risiken zu kreieren. Anforderungen kommen beispielsweise aus strategischen Änderungen, technologischem Fortschritt oder behördlichen Richtlinien. Wertschöpfung muss hier nicht zwangsweise das Erwirtschaften von Geld bedeuten, auch das Bereitstellen von Dienstleistungen und Informationen fällt darunter. In einem Unternehmen kann Wertschöpfung bereits Unterschiedliches für die verschiedenen Anspruchsgruppen bedeuten. Governance hat die Aufgabe, die verschiedenen Vorstellungen von Wertschöpfung und den möglichen Konflikten abzuwägen und zu entscheiden. In Betracht kommen dabei die Nutzenrealisierung, Risiko- sowie Ressourcenoptimierung.

Zielkaskade zum Rationalisieren der Unternehmensziele

 Die COBIT5 Zielkaskade dient dazu, die Anforderungen der Anspruchsgruppen als strategische Ziele auf den verschiedenen Unternehmensebenen anzusiedeln. Die Unternehmensziele benötigen unter anderem IT-Ergebnisse, welche wiederum durch IT bezogene Ziele erreicht werden können. Es ist notwendig, die Anforderungen der Anspruchsgruppen in den Unternehmenszielen zu berücksichtigen. Von dort aus werden die Ziele durch die Kaskade für einzelne Bereiche heruntergebrochen.

COBIT5 bietet hier umfassende Tabellen, die sich mit möglichen Anforderungen der Anspruchsgruppen beschäftigen und generischen Unternehmenszielen zuordnet. (z.B..: Anforderung der Anspruchsgruppe: „Wie erlange ich Sicherheit über die IT?“ wird den Unternehmenszielen „Einhaltung externer Gesetze und Bestimmungen“ und „Compliance mit internen Richtlinien“ zugeordnet.)

Die Unternehmensziele werden wiederum generischen IT-Zielen gegenübergestellt und die ITZiele den 37 Prozessen, die COBIT5 identifiziert. Somit kann über die Zielkaskade verfolgt werden, welche Prozesse zu welchen Anforderungen der Anspruchsgruppe einen Mehrwert bietet. Bleiben wir bei dem Beispiel „Wie erlange ich Sicherheit über die IT?“ zum Unternehmensziel „Compliance mit internen Richtlinien“, kommt man bspw. auf IT-Ziele wie „IT-Compliance mit internen Richtlinien“ oder „Sicherheit von Informationen, Verarbeitungsinfrastruktur und Anwendungen“. Für das hier genannte 2. IT bezogene Ziel „Sicherheit von Informationen, Verarbeitungsinfrastruktur und Anwendungen“ lassen sich nun mehrere Prozesse identifizieren und zuordnen. In diesem Fall bspw. der Prozess „Sicherstellen der Risiko-Optimierung“ (EDM03) oder „Managen von Sicherheit“ (APO013). COBIT5 bietet zu den Prozessen jeweils umfangreiche Prozessbeschreibungen, Zuständigkeiten-Inputs, Outputs und Aktivitätsbeschreibungen.

COBIT Anspruchsgruppen und deren Anforderungen

 

 Die Governance der Unternehmens-IT soll in die Unternehmens-Governance integriert werden. COBIT5 betrachtet sowohl interne als auch die externen Geschäftsprozesse. Ziel ist das Steuern und Managen von Unternehmensinformationen und der zugehörigen Technologien, unabhängig davon, wo diese verarbeitet werden.

Anwendung eines einheitlichen, integrierten Rahmenwerkes

COBIT bietet den Anwendern ein über mehrere Jahre gereiftes Rahmenwerk, dass sich an den gängigen Standards wie ITIL und TOGAF orientiert und diese berücksichtigt. Weiter werden durch eine Wissensbasis regelmäßig neue Erkenntnisse gesammelt und für die zukünftigen Versionen zusammengestellt. Durch die lückenlose Abdeckung des gesamten Unternehmens und der Integration weiterer Standards und Rahmenwerke bietet COBIT5 eine integrierte Orientierungsgrundlage.

Da die Enabler individuell als auch kollektiv Einfluss auf den Erfolgt haben, ist es stets wichtig, dass sie gemeinsam berücksichtigt werden. Sie hängen voneinander ab und beeinflussen sich gegenseitig. Dabei liefern Enabler Input für andere Enabler, um deren volle Effektivität zu entfalten. Über die Zielkaskade kann definiert werden, was mit verschiedenen Enablern auf welcher Ziel-Ebene erreicht werden soll.

COBIT5 Enabler als Schnittstellen zwischen Governance und Management

COBIT5 unterscheidet zwischen Governance und Management. Sie erfordern unterschiedliche Organisationsstrukturen und dienen unterschiedlichen Zwecken. Jedoch bestehen Schnittstellen zwischen den beiden Systemen. Hierfür hat COBIT verschiedene Enabler, also Befähiger für das Framework definiert. Sie sollen die Implementierung einzeln und gemeinsam voranbringen. Der Beitrag der Enabler orientiert sich an der Zielkaskade – je nach Ansiedlung des Zieles, kann sich der Beitrag des Enablers auch verändern. Die Schnittstellen können über mehrere Enabler erläutert werden.

Die von COBIT5 definierten Enabler

  1. Prinzipien, Richtlinien und Rahmenwerke
  2. Prozesse
  3. Organisationsstruktur
  4. Kultur, Ethik und Verhalten
  5. Informationen
  6. Services, Infrastruktur, und Anwendungen
  7. Mitarbeiter, Fähigkeiten und Kompetenzen

Enabler 1: Prinzipien, Richtlinien und Rahmenwerke

Prinzipien geben klar beschrieben die Grundwerte des Unternehmens wieder. Sie sind zudem in der Anzahl beschränkt und in einfacher Sprache formuliert. Richtlinien sind die genauere Beschreibung der Prinzipien und dienen deren Umsetzung. Rahmenwerke sollten eine Struktur, Orientierung, sowie Instrumente zur Verfügung stellen, um eine effektive und effiziente Governance bzw. Management zu ermöglichen. In diesem Sinne ist COBIT5 ein Rahmenwerk. Das Rahmenwerk sollte dabei den Geltungsbereich sowie die Gültigkeit beschreiben, sowie Konsequenzen der Nicht-Einhaltung und den Umgang mit Ausnahmen und eine Methode zur Messung der Einhaltung beschreiben.

Enabler 2: Prozesse von COBIT5

Prozesse beschreiben eine Sammlung von Aktivitäten die Inputs aus (verschiedenen) Quellen beziehen, verarbeiten und einen Output (Produkt, Service, Information, …) sowie ein Prozessziel, erzeugen. Prozesse sind Teil der Zielkaskade und unterstützen daher sowohl die IT bezogenen Ziele als auch die Unternehmensziele.

Prozesse für die Governance der Unternehmens-IT

 

COBIT definiert ganze 37 Prozesse für die Umsetzung, Implementierung und Steuerung der IT(-Governance). Diese Prozesse sind allgemein gültig und basieren auf best practices. In den „Enabeling Processes“-Unterlagen von COBIT werden diese Prozesse umfangreich mit Inputs, Outputs und Aktivitäten beschrieben. Unterteilt werden diese Prozesse in 5 Kategorien:

  • EDM - Evaluate, Direct and Monitor (Evaluieren, Vorgeben und Überwachen)
  • APO - Align, Plan and Organise (Anpassen, Planen und Organisieren)
  • BAI – Build, Acquire and Implement (Aufbauen, Beschaffen und Implementieren)
  • DSS – Deliver, Service and Support (Bereitstellen, Betrieben und Unterstützen)
  • MEA – Monitor, Evaluate and Assess (Überwachen, Evaluieren und Beurteilen)

Enbabler 3: Organisationsstruktur

Organisationsstrukturen dienen der Entscheidungsfindung im Unternehmen. Eine Organisationsstruktur beinhaltet Arbeitsprinzipien wie Besprechungen, Dokumentation oder interne Regeln, Zusammensetzung der Mitglieder, Umfang von Befugnissen, Kompetenzstufen, Delegieren von Autorität und Eskalationsverfahren.

Enabler 4: Kultur, Ethik und Verhalten

Dieser Enabler bezieht sich auf die kollektive und individuelle Verhaltensweise innerhalb des Unternehmens. Auch die individuellen Hintergründe bis hin zu Zielen und Ambitionen der Mitarbeiter haben Einfluss auf die Kultur. Das Verhalten der Menschen im Unternehmen bildet dabei in Summe das Verhalten. In diesem Kontext sollten man sich deshalb folgende Fragen stellen:

  • Wie Risikobereit ist das Unternehmen?
  • Wie sehr werden Richtlinien gelebt, eingehalten oder umgangen?
  • Wie wird mit negativen Ereignissen umgegangen?

Enabler 5: Informationen

Mit Informationen sind alle, für das Unternehmen relevanten Informationen gemeint. Diese können strukturiert oder unstrukturiert bzw. formell oder informell vorliegen. Informationen (oder besser Informationsressourcen) selbst haben keinen intrinsischen Wert, es ist notwendig, dass sie verwertet werden, um daraus Vorteile zu erlangen.

IT Prozesses - Daten - Informationen - Wissen - Werte

 

Enabler 6: Services, Infrastruktur und Anwendungen

Hiermit sind Ressourcen wie Anwendungen oder Infrastrukturen gemeint, die für die Bereitstellung von IT-bezogenen Services genutzt werden. Unter die Servicebefähigung fallen beispielsweise mögliche Architekturprinzipien. Diese basieren auf Industriestandards und beinhalten unter anderem:

  • Wiederverwertbarkeit
  • Make or buy
  • Einfachheit
  • Anpassungsfähigkeit

Enabler 7: Mitarbeiter, Fähigkeiten und Kompetenzen

Dieser Enabler beschreibt das Personal, welches für die Erfüllung der verschiedenen Aufgaben und zur vollumfänglichen Kompetenzabdeckung benötigt wird. Geeignet ist das Definieren objektiver Fähigkeitsanforderungen für die notwendigen Rollen. Auch die Fähigkeit, die richtigen Entscheidungen treffen zu können, fällt unter diesen Enabler.

Der Implementierungs-Lebenszyklus von COBIT5

Um die Theorie in die Praxis umzusetzen, bietet COBIT5 einen Implementierungs-Lebenszyklus. Dieser Zyklus ist in 7 Phasen und 3 Ebenen aufgeteilt. Jede Phase stellt dabei einen weitergehenden Fortschritt eines Governance-Projektes dar. Die Ebenen hingegen stellen nicht den zeitlichen Reifegrad dar, sondern die Maßnahme bzw. Aktivität der entsprechenden Phase. Dabei ist der Abstraktionsgrad der Ebenen recht hoch, um möglichst universal anwendbar zu sein.

Die Programmebene beschreibt einen projekthaften Ablauf des Vorhabens. Für das Management ist dies die Anleitung, Governance erfolgreich zu implementieren.

Die Änderungsebene – auch besser bekanntals Change Management - beschreibt die Änderungen, die während des Vorhabens von einem Projektteam durchzuführen sind.

Die Ebene des kontinuierlichen Verbesserungsprozesses beschreibt, wie die konkreten Maßnahmen des Vorhabens am besten umzusetzen sind. Dabei wird daraufgesetzt, die Maßnahmen nachhaltig zu implementieren, zu messen und zu überwachen.

Jede Phase wird durch das Stellen einer Frage pro Phase unterstützt. Für die erste Phase beispielsweise wird konkret nach den Treibern gefragt (“Welche Treiber gibt es?”). Auf Programmebene wir diese Frage mit “Programm initiieren” beantwortet – also das Programm/Projekt/Vorhaben als Treiber. Auf der Änderungsebene (Change-Ebene) wird diese Frage mit “Den Wunsch nach Veränderung schaffen” beantwortet. Der Wunsch als Treiber bildet eine Intrinsische Motivation für das Unternehmen, um die angestrebten Änderungen umzusetzen. Auf KVP-Ebene wird die Frage mit “Handlungsbedarf erkennen” beantwortet. Der Handlungsbedarf soll als Treiber identifiziert und dargestellt werden. Hier werden schon konkrete Probleme bestimmt, die im Scope des Vorhabens sind.

Implementierungs-Lebenszyklus von COBIT5

Durchführung und Ergebnis eines Implementierungsprojektes

Für den Start eines Implementierungsprojektes gibt es einige wichtige Schritte und Rahmenbedingungen, die für den Erfolg entscheidend sind. Zunächst benötigt es einen „Schmerz“, Auslöserereignis oder anderen Antrieb zum Wandel. Weiter braucht es die Unterstützung aus dem Management bzw. der Geschäftsführung als Sponsor. Sind diese Grundlagen geschaffen, müssen die Stakeholder identifiziert werden und mit diesen ein gemeinsames Verständnis, Hintergründe und Zielsetzung erarbeitet werden.

Die Zielsetzung des Programmes ist ebenfalls ein wichtiger Baustein für den Erfolg des Programmes. Dabei kann über die IT bezogenen Ziele analysiert werden, wie die IT Mehrwert für das Unternehmen schafft bzw. schaffen soll. Im Detail müssen dafür die relevanten Prozesse identifiziert, deren aktueller Zustand erfasst und der Zielzustand erarbeitet werden. Es sollte im selben Zug versucht werden, alle relevanten Anspruchsgruppen und Enabler zu identifizieren.

Mit dieser Basis kann ein erster Business Case und Programmplan entworfen werden. Dort werden Mehrwert, Aufwand, zeitlicher Verlauf und Fortschritt dokumentiert. Für den Anfang sollten „Quick Wins“ identifiziert und umgesetzt werden – damit können erste Erfolge nicht nur aufgezeigt, sondern auch besser Fahrt aufgenommen werden. Es sollte stehts auf die Einhaltung eines geeigneten Change-Prozesses geachtet werden.

Wichtig ist, dass die Implementierung eines Governance Frameworks keine einmalige Unternehmung ist! Sobald die ersten Steine für die Ausrichtung der IT-Ziele und -Prozesse erfolgreich gelegt worden sind, ist es viel mehr ein kontinuierlicher Prozess. Das Unternehmen und seine Umwelt sind in einem stetigen Wandel und daher muss auch die IT-Governance stetig auf den Prüfstand gestellt werden, damit die IT optimal einen Nutzen für das Unternehmen, seine Ziele und Kunden liefern kann!

Die Rahmenwerke für Governance und Management der IT haben sich über Jahre bewährt und wurden kontinuierlich weiterentwickelt. Wer sich das Ziel setzt, eine internationale Top-Level IT in seinem Unternehmen aufzubauen, hat mit COBIT5 den bestmöglichen Werkzeugkoffer, den man öffnen kann!

Trotzt des Reifegrades von COBTI5 ist die Komplexität der Umsetzung nicht zu unterschätzen, es benötigt ein hohes Commitment der Beteiligten und Sponsoren. Die Mühe wird aber belohnt: Wer COBIT5 implementiert, wird in der Lage sein, die IT optimal für das Geschäftsmodell auszurichten und so langfristig durch die IT Erfolg haben.

Detaillierte Auflistung der Prozesse:

EDM - Evaluate, Direct and Monitor (Evaluieren, Vorgeben und Überwachen) 

 

APO - Align, Plan and Organise (Anpassen, Planen und Organisieren)

 

BAI – Build, Acquire and Implement (Aufbauen, Beschaffen und Implementieren)

 

DSS – Deliver, Service and Support (Bereitstellen, Betrieben und Unterstützen)

 

MEA – Monitor, Evaluate and Assess (Überwachen, Evaluieren und Beurteilen)