Die Herausforderung dabei ist - unter Berücksichtigung der wesentlichen Aspekte - alle Stakeholder möglichst gut einzubinden sowie strategisch die richtigen Entscheidungen zu treffen.

Es ist Aufgabe des Managements, dafür zu sorgen, dass die Organisation und damit auch die IT-Ressourcen (inkl. Anwendungen, Information, Infrastruktur sowie Personal) entsprechend geplant, implementiert und ständig verbessert werden.

Warum COBIT?

Control Objectives for Information and related Technology (COBIT) stellt "Good Practices" in Form eines Domänen- und Prozess-Frameworks zur Verfügung. COBIT umfasst alle Phasen wie Planung, Beschaffung der Entwicklung, Betrieb und Unterstützung bis hin zur Überwachung.

In der Literatur finden sich eine Reihe von Modellen und Standards (siehe beigestellter Kasten), die sich mit der Identifikation von Stärken und Verbesserungspotentialen beschäftigen und einen systematischen Ansatz zur Bewertung, Zertifizierung oder zum Benchmarking bereitstellen. Alle Modelle für die IT-Organisation haben gemeinsam, dass wesentliche Anforderungen daraus in COBIT eingeflossen sind.

Unter den Publikationen über COBIT ist das "COBIT 4.1 Framework" (1) hervorzuheben. Es enthält eine Erklärung, wie COBIT die Ziele der IT-Governance unter Berücksichtigung von Best Practices nach IT-Domänen und IT-Prozessen organisiert und mit den Unternehmensanforderungen verbindet.

Viele Studien beschäftigen sich damit, wie COBIT als "Metamodell" andere Modelle abdeckt. Ein Beispiel dafür ist: "Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit" (2). Diese Arbeiten geben wertvolle Hilfestellungen, entbinden den Berater aber nicht davon, die Organisation ganzheitlich zu betrachten.

ITIL ist heute der allgemein anerkannte Standard für das IT-Service-Management. Häufig ist es schon im Einsatz, wenn die Unternehmen die Diskussion über IT-Governance erst beginnen. ITIL repräsentiert traditionell die Perspektive des Serviceanbieters, wohingegen COBIT mehr auf die Sicht des Nutzers bzw. Käufers von Dienstleistungen eingeht.

COBIT im Überblick

COBIT gliedert die IT-Aktivitäten in vier Domänen eines generischen Prozessmodells:

PO - Planning and Organisation

Diese Domäne behandelt die Strategieanbindung und die Identifikation, wie die IT zur Erreichung der Unternehmensziele beitragen kann. Hierbei wird den Fragen nach der gegenseitigen Ausrichtung von IT und Unternehmen sowie der optimalen Nutzung der IT-Ressourcen nachgegangen.

AI - Acquisition and Implementation

Um die IT-Strategie umzusetzen, müssen Lösungen identifiziert, in die Geschäftsprozesse integriert und umgesetzt werden. Dies erfolgt über die Klärung, ob die Lösungen neuer Projekte den Unternehmensanforderungen entsprechen, neue Projekte rechtzeitig und innerhalb des Budgets fertig gestellt werden bzw. die neuen Systeme nach ihrer Fertigstellung korrekt funktionieren.

DS - Delivery and Support

Diese Domäne beschäftigt sich mit der eigentlichen Erbringung der Leistungen, dem Management der Sicherheit und Kontinuität, dem Service Support für BenutzerInnen sowie dem Management von Daten und Einrichtungen. Im Rahmen dessen wird analysiert, ob die IT-Services entsprechend den Bedürfnissen der Organisation erbracht werden, die IT-Kosten optimiert sind bzw. die IT-Systeme von den Anwendern produktiv und sicher genutzt werden können.

ME - Monitoring and Evaluation

Alle IT-Prozesse müssen regelmäßig hinsichtlich ihrer Qualität und Einhaltung von Kontrollanforderungen beurteilt werden. Diese Domäne behandelt die Gewährleistung von Governance und ermittelt dabei, ob die IT-Performance gemessen wird, um rechtzeitig Probleme zu erkennen bzw. auch, ob Risiko, Control-Compliance und Performance gemessen werden und darüber berichtet wird.

Einsatz von COBIT in der Praxis

Ein häufiges Einsatzgebiet von COBIT sind IT-Revision sowie IT-Audits. COBIT unterstützt bei der Entwicklung des Prüfprogramms einerseits durch die Orientierung an den relevanten COBIT-Prozessen und Control Objectives, andererseits durch die Kriterien des COBIT Maturity Models für die zu untersuchenden Prozesse.

COBIT kann jedoch auch "konstruktiv" im Sinne von "nicht überprüfend" eingeführt werden. Die Erfahrung zeigt, dass in vielen Unternehmen vom Management Kennzahlen und objektive Steuerungsgrundlagen gewünscht werden. Häufig werden daher Kennzahlen und Kontrollmechanismen eigenständig entwickelt. COBIT bietet dafür eine gute Palette an Controls und Messpunkten an.

Der Einsatz von COBIT erfolgt in vier Schritten: Zuallererst bestimmt der Berater den Standort. Danach können gemeinsam mit dem Kunden die Ziele definiert sowie Lösungsvorschläge erarbeitet und schließlich die Lösung implementiert werden.

Für diese Phasen bietet COBIT Unterstützung:

Standortbestimmung

Die Bedarfsermittlung erfolgt über einen Quick Check auf Basis der COBIT Prozesse und Control Objektives sowie durch die Analyse von Risiken. Der Kunde erhält dadurch ein Stärken-/Schwächenprofil und ein Risikoprofil. Wesentlich ist, dass die Ergebnisse des Quick Check objektiviert werden und dass jedenfalls die unterschiedlichen Interessenspartner einbezogen werden.

Ziel-Entwicklung

Die Strategieanbindung ist für alle Prozessmanagement-Systeme wichtig. Ausgehend von den Business-Zielen des Kunden werden die IT-Ziele abgeleitet. Verknüpft mit dem Quick Check und der Risikoanalyse können Ziele priorisiert und Verbesserungsvorschläge gemeinsam mit dem Kunden erarbeitet werden.

Prozess-Modellierung

Ziel dieser Phase ist die Planung und Implementierung von Geschäftsprozessmanagement mit dem Schwerpunkt IT-Prozesse. Ansatzpunkte hierbei sind die generischen Business Prozesse wie CRM (Customer Relationship Management), SCM (Supply Chain Management) sowie PLM (Product Life Cycle Process).

Unter Berücksichtigung der COBIT Prozesse werden eine IT-Prozess-Landkarte erstellt und die Prozesse modelliert. Falls beim Kunden bereits eine Prozesslandkarte im Einsatz ist, wird von dieser ausgehend weitergearbeitet. Die Implementierung wird durch das Entwickeln von Verbesserungsplänen sowie das Definieren und Begleiten von Verbesserungs-Projekten unterstützt.

Messen und Verbessern

Durch laufende Prozessmessung sowie -monitoring wird die Nachhaltigkeit sichergestellt. In dieser Phase werden Messwerte für Prozessziele (KPI - Key Performance Indicators) sowie für Unternehmensziele (KGI -Key Goal Indicators) erarbeitet.

COBIT macht eine Vielzahl von Vorschlägen zur Prozessmessung. Es ist daher die Aufgabe des Prozess-Beraters, gemeinsam mit dem Kunden die für das Unternehmen wesentlichen Messziele zu definieren. Dabei ist das SMART-Prinzip für die Beurteilung der Messziele nützlich.

An dieser Stelle sei ausdrücklich davor gewarnt, alle COBIT-Controls auf einmal einzuführen, ohne sich über deren Zweckmäßigkeit und Eignung für das eigene Unternehmen klar zu sein.

Als Ergebnisse für den Kunden entstehen daraus Prozesskennzahlen für die Erstellung einer IT-BSC. Durch konsequentes Monitoring und Anpassen der Ziele wird die laufende Verbesserung umgesetzt.

Kundennutzen durch den Einsatz von COBIT

Mit dem Einsatz von COBIT werden die IT-Ziele an Strategie und Business-Zielen sowie die IT-Prozesse am Kunden und den Interessenspartnern ausgerichtet. Die Anwendung von Standards und bewährten Methoden erhöht die Umsetzungsgeschwindigkeit und -sicherheit. Ein wesentlicher Nutzen ergibt sich daraus, dass COBIT als Auditing Standard gilt und auf die wachsenden gesetzlichen Anforderungen (SOX, EuroSOX) vorbereitet.

(1) Cobit 4.1 Framework, Control Objectives, Management Guidelines, Maturity Models. IT Governance Institute, 2007.

(2) Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. IT Governance Institute und Office of Government Commerce (OGC), 2008.

www.corporatequality.at