Autorenprofil
Bereits seit 2012 gibt es den bewährten IT-Governance Standard COBIT 5, dennoch bildet in vielen Organisationen noch die Version 4.1 die Grundlage für die IT-Governance. Mit der zunehmenden Anerkennung von COBIT als eines der führenden IT-Governance-Referenzmodelle durch Wirtschaftsprüfung und Aufsichtsgremien, wie die BaFin und die Deutsche Bundesbank, wächst nun jedoch der Bedarf der Organisationen, sich zunehmend an COBIT 5 auszurichten. Dabei stellen sich immer wieder die Fragen, wie groß der Aufwand ist und was demgegenüber durch eine Migration an Nutzen entsteht. Vor dem Hintergrund der Begleitung von konkreten Migrationen werden nachfolgend Erfahrungen beschrieben und Tipps und Tricks formuliert.
COBIT 5 zeichnet sich generell durch eine größere Durchgängigkeit und Integration zu einem einheitlichen Rahmenwerk für IT-Governance aus. Rein äußerlich zeigt sich dies unter anderem daran, dass COBIT 5 in einem Gesamtdokument vorliegt, wo COBIT 4.1 noch in zwei getrennten Dokumenten beschrieben war. Außerdem verfolgt COBIT 5 den schon von der ISO 38500 her bewährte Ansatz, IT-Governance und IT-Management als zwei verschiedene, aber eng über einen durchgängigen Strategieprozess miteinander verbundene Aufgabenbereiche zu positionieren. Damit bildet COBIT 5 auch eine gute Grundlage gerade für die zunehmende Aufmerksamkeit der Aufsichtsgremien für einen gelebten IT-Strategieprozess. Auch insgesamt hat COBIT 5 endgültig die Phase der Fokussierung auf „Controls“ (als formale Kontrollpunkte) hinter sich gelassen, zu Gunsten eines pro-aktiven und konstruktiven Steuerungsansatzes mit dem Ziel, die Ansprüche der Stakeholder nach Wirtschaftlichkeit, Wertbeitrag und Risikobeherrschung zu befriedigen. Also dem Geschäft zu dienen und nicht (nur) den Kontrolleuren. So ist seit COBIT 5 die Abkürzung „COBIT“ auch nur noch ein Akronym und wird nicht mehr mit „Control Objectives“ übersetzt. Schließlich sind noch erwähnenswert die Enabler („Verstärker“ und kritische Erfolgsfaktoren für die Wirksamkeit Ihrer IT-Governance-Prozesse) und der Wandel des Reifegradmodells zu einem Fähigkeitsstufenmodell in Anlehnung an die ISO 15504.
Mit COBIT5 hat die ISACA konsequent die evolutionäre Entwicklung zu einem umfassenden Rahmenwerk für die vorausschauende IT-Steuerung – zumindest vorläufig – zum Abschluss gebracht. Ursprünglich als Sammlung von checklistenartigen „Controls“ zur Prüfung des ordnungsgemäßen IT-Einsatzes entstanden, wurde bereits in früheren Versionen schrittweise der Wandel zu einem konstruktiven und vorausschauenden Verständnis dieser Kontrollpunkte sichtbar. Folgerichtig ist die oberste Zielsetzung von COBIT 5 nun, Orientierung zu bieten für einen nutzbringenden und risikobewußten Einsatz von IT in Organisationen. Damit kann die Migration zu COBIT 5 auch helfen, den IT-Einsatz und die IT-Steuerung in den regulären Strategieprozess einzubinden. Das wird nicht zuletzt daran deutlich, dass die Inhalte des Val-IT-Standards jetzt vollständig in COBIT 5 integriert wurden und somit auch der Wertschöpfungsaspekt von IT zum Umfang von COBIT gehört. Zusammenfassend hilft eine Migration von COBIT 4.1 zu COBIT 5 daher, den Stellenwert von IT als Kernkompetenz jeder wettbewerbsfähigen Organisation angemessen zu reflektieren und zu unterstützen.
Bedenken Sie bei einer Migration zunächst, dass COBIT 5 eine evolutionäre Fortschreibung von COBIT 4.1 ist und nicht etwas Neues. Allerdings sind begrifflich einige wesentliche Veränderungen zu beachten. So sind insbesondere die „Controls“ nun zwar „verschwunden“, aber als Management- bzw. Governancepraktiken selbstverständlich weiterhin vorhanden. Allerdings haben Sie hoffentlich Ihre IT-Governance-Prozesse eher in der Sprach- und Begriffswelt Ihrer Organisation definiert und nicht in den Strukturen der Referenzmodelle. Auf jeden Fall sollten Sie zunächst Ihre Fachexperten nicht verwirren: Lassen Sie diese in ihrer eingeübten Sprache und Begrifflichkeit weiterarbeiten. Schulen Sie dann eine kleine Gruppe, die die Übersetzung von und in COBIT 5 vornehmen kann.
Eine weitere bewährte Technik aus der Begleitung von Migrationsprojekten ist, sich in Kleingruppen die momentanen konkreten Prozessbeschreibungen aus dem Bereich der IT-Steuerung und IT-Governance anzuschauen und dann zum Vergleich die relevanten COBIT-Prozesse anhand von Leitfragen zu interpretieren. Erarbeiten Sie sich dafür zunächst den Inhalt der COBIT-Prozesse in Ihren eigenen Worten. Dabei sind W-Fragen sehr hilfreich: WAS ist der Zweck des COBIT-Prozesses? WAS sind jeweilige Zielsetzungen? WARUM sollten wir den Prozess bei uns haben? Versuchen Sie dann eine „Umsetzungsprüfung“ bei sich durchzuführen: WAS von dem COBIT-Prozess decken wir bereits bei uns ab? WORAN stellen wir fest, dass wir es tun bzw. nicht tun? WIE können wir die wirksame Umsetzung also prüfen und nachweisen? Dabei werden sich bestimmt Ergänzungsbedarfe, Lücken und neue Aspekte ergeben, die Sie jedoch wiederum aus der Perspektive Ihrer Organisation „organisch“ einführen sollten. Nach unserer Erfahrung ist dies eine gute Vorgehensweise, die Migration zu COBIT 5 wirtschaftlich zu erreichen und dabei festzustellen, dass sehr viele Inhalte, die zunächst mit Blick auf COBIT 4.1 entwickelt wurden, direkt weiterzuverwenden sind.
Für den Fall, dass Sie den Sinn und Zweck eines COBIT-Prozesses nicht überzeugend finden: Stellen Sie sich einfach die Gegenfrage: WAS wäre, wenn wir das alles nicht machen würden? Meistens hilft das, die Sinnhaftigkeit zu erkennen – oder eben im Einzelfall zu erkennen, dass der COBIT-Prozess zumindest momentan für Sie nicht relevant ist. In diesem Fall greifen Sie sich zunächst einfach das raus, was Ihnen für Ihre Organisation einleuchtet. Erlauben Sie sich analog zur Evolution von 4.1 auf 5 auch eine Evolution. Lassen Sie sich auf keinen Fall davon schrecken, dass COBIT 5 insgesamt ein sehr mächtiges Referenzmodell ist, das einen leicht erschlagen kann.
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
