im WS 2009/2010 Thema: ITIL V3 und COBIT - Rahmenwerke für IT Governance? Nummer des Themas: 4 von: Johannes Werner aus Würzburg

1 Cloud-Computing-GAU....................................................................................1 2 IT Governance...................................................................................................2 2.1 Mehrwert als Wettbewerbsvorteil .....................................................................2 2.2 Eingrenzung, Definition und Ziele....................................................................3 2.3 Herausforderungen............................................................................................6 3 Rahmenwerke, Referenzmodelle und Standards...............................................8 3.1 Definitionen.......................................................................................................8 3.2 Vorteile durch Referenzmodelle .......................................................................9 3.3 Referenzmodelle im Umfeld der IT Governance..............................................9 4 ITIL V3 .............................................................................................................9 4.1 Struktur von ITIL ............................................................................................10 4.2 Inhalte von ITIL ..............................................................................................10 4.3 Leistung von ITIL zur IT Governance ............................................................13 5 COBIT.............................................................................................................14 5.1 Struktur des COBIT Kernmodells...................................................................15 5.2 Inhalte des COBIT Kernmodells.....................................................................16 5.3 Leistung von COBIT zur IT Governance........................................................16 6 Erkennen - Gestalten - Verbessern ................................................................18 Quellenverzeichnis ......................................................................................................19

1 Cloud-Computing-GAU

Den Verlust aller mittels Cloud-Computing gespeicherten persönlichen Daten, Mails, Kontakte und Termine von einigen hunderttausend amerikanischen Sidekick-Benutzern musste die Microsoft-Tochter Danger.com Anfang Oktober verzeichnen [MICR09]. Einige der Kunden waren dadurch so schwer betroffen, dass Klagen gegen den Konzern wegen Fahrlässigkeit geplant sind. Die Kosten des Imageverlustes für das Cloud-Computing sind erheblich [HEIS09]. Hätte eine gute IT Governance, hätte die Verwendung von Referenzmodellen wie ITIL und COBIT helfen können, so etwas zu vermeiden?

Derzeit haben nur circa 40% aller Unternehmen eine dokumentierte IT Governance, bei großen Unternehmen liegt die Quote um etwa 60% [SCHI09, S. 14]. Im Zuge der Krise wenden die Unternehmen weniger Mittel für ihre IT auf. Die besonderen, gesteigerten Herausforderungen müssen IT-seitig nun voraussichtlich mit den gleichen Mitteln wie im Vorjahr bewältigt werden.

Hauptseminar: Wirtschaftsinformatik-Seminar 1

ITIL V3 und COBIT - Rahmenwerke für IT-Governance?

Hilfestellung für einen holistischen Ansatz zur Lösung jenseits reiner Kostensparprogramme hin zum Werterbringer bietet eine gezielte IT Governance. Praktische Hilfe zu deren Einführung, Weiterentwicklung und Gestaltung findet sich in einer Vielzahl von Rahmenwerken, Referenzmodellen, Zertifizierungen und vor allem im breiten Angebot der Beratungsindustrie.

Der Titel dieser Arbeit wirft gezielt die Frage auf, ob und wie IT Governance durch ITIL V3 (Information Technology Infrastructure Library) und COBIT (Control Objectives for Information and related Technology) unterstützt werden kann. Über eine Eingrenzung des Begriffes IT Governance, eine strukturierte Beschreibung der zwei genannten Modelle mit anschließender Bewertung und einer zusammenfassenden Anwendbarkeitsanalyse wird die Frage beantwortet, inwieweit ITIL und COBIT als Rahmenwerke für IT Governance bezeichnet werden können.

2 IT Governance

In diesem Kapitel werden durch Begriffsabgrenzung, Definitionen und Benennung von Zielen der IT Governance Ansatzpunkte ermittelt, wo Rahmenwerke wie ITIL und COBIT Hilfestellung ermöglichen.

2.1 Mehrwert als Wettbewerbsvorteil

Im hoch kompetitiven Marktgeschehen finden jene Leistungen Abnehmer, die unter Einbezug der Preis-Leistungs-Relation den höchsten Mehrwert bieten. Nur wenn die strategische Ausrichtung des Unternehmens (Mission, Vision, Strategie) auf diese Wertschöpfung alle Bereiche durchdringt und sich diese in allen Führungsentscheidungen niederschlägt, die Unternehmung ganzheitlich „mehrwertgetrieben“ ausgerichtet ist, kann ein substantieller Wettbewerbsvorteil erreicht werden. WEILL und ROSS schrieben zum Thema IT Governance 2004 einleitend „…we place IT in an organizational context as one of the six key assets (human, finance, physical, intellectual property, IT and relationships that must be governed to create value (Hervorhebung durch den Autor)” [WEIL04, S. VII].

Diese essentielle Grundausrichtung liegt in der Verantwortung der höchsten Unternehmensführung, dies gilt für Corporate Governance im Allgemeinen, wie auch für IT Governance im Besonderen. Das IT Governance Institute (ITGI) formuliert “…IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist

2 Hauptseminar: Wirtschaftsinformatik-Seminar

ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt“ [ITGI03, S. 11]. IT Governance ist somit nie Selbstzweck, sondern stets im Kontext des eigenen Betrags zu den Unternehmenszielen insbesondere zur Mehrwertgenerierung zu sehen, was sich auch in der folgenden Begriffsabgrenzung widerspiegelt.

2.2 Eingrenzung, Definition und Ziele

Zum Begriff IT Governance existiert in Literatur und praxi eine vielfältige Auswahl an Definitionen, Ansätzen und Meinungen, mit mehr oder minder großen Überschneidungen und Widersprüchen. Die folgende Definition dient als Arbeitsgrundlage für die Analysen der Folgekapitel.

Der durchgängig verwendete Konzept Governance bezeichnet die „verantwortungsvolle, nachhaltige und auf langfristige Wertschöpfung ausgerichtete Organisation und Steuerung von Aktivitäten und damit das gesamte System interner und externer Leitungs-, Kontroll- und Überwachungsmechanismen“ [JOHA07, S. 20].

Hauptseminar: Wirtschaftsinformatik -Seminar 3

ITIL V3 und COBIT - Rahmenwerke für IT-Governance?

Die Inhalte von Governance - Führung, Leitung, Kontrolle - finden sich auf verschiedenen, organisatorischen Ebenen und mit unterschiedlichen Schwerpunkten. Wie in Abbildung 1 gezeigt, wirken im Rahmen der Enterprise Governance die Cor-porate Governance mit der Ausrichtung auf Prozesse zur Erfüllung bestehender Regelungen (Conformance) und die Business Governance auf die Performance orientierten Prozesse. Beide Zielgrößen befinden sich in Wechselwirkung mit den Unternehmenswerten (Key Assets), unter denen für die IT dann die IT Governance abgeleitet wird. Bei dieser entstammt z. B. die Zielsetzung der Risikovermeidung undminimierung (Risk Mitigation) aus der Corporate Governance, die Forderung nach Ansätzen zur Leistungsmessung (Performance Measurement) und Mehrwertschöpfung (Value Creation) der Business Governance [SAND08, S. 2]. Während andere Autoren die oberhalb der IT Governance getroffene Trennung begrifflich anders fassen, sind die Ableitungen auf diese selbst jedoch meist deckungsgleich. HILB definiert Corporate Governance als System “by which companies are strategically directed, integratively managed and holistically controlled in an entrepreneurial and ethical way in accordance with a particular context” [HILB08, S. 10]. Der Verweis auf den Kontext ist dabei als die spezifische Unternehmensumgebung bezüglich Kunden, Produkt, Assets und Kultur zu begreifen. Neben den lokalen Begebenheiten sind bedingt durch Globalisierung, Internationalisierung, Bestimmungen global agierender Organisationen (IMF, WTO) und den Erwartungshaltungen internationaler Anleger für die Unternehmen eine Fülle von Regeln und Gesetzen einzuhalten. Deren Sicherstellung fällt nach dieser Definition in den Bereich der Corporate Governance, deren Qualität Auswirkungen bis hin zum Investitionsverhalten von Anlegern hat [PFIT05, S. 14].

Abgeleitet auf die IT Governance ergibt sich für diese ein Kanon von Zielen, die wiederum verschiedene Aspekte fokussieren. Während einige Autoren diese singulär ins Zentrum ihrer Abgrenzungen stellen, eine gute Übersicht gibt z. B. [FRÖH07b, S. 3], wird für diese Arbeit die folgende Definition verwendet [FRÖH07a, S. 18f.; SAND08, S. 1f.; MASA06, S. 25-28]:

IT Governance ist die zielgerichtete Gestaltung und Durchsetzung prinzipieller Regelungen

 zu Entscheidungsrechten, Rollen und Verantwortlichkeiten (people perspective),  zu Prozessdesign und -abwicklungen (process perspective) sowie  zur Organisation der IT-Assets (portfolio perspective).

4 Hauptseminar: Wirtschaftsinformatik-Seminar

Sie erstreckt sich auf die Handlungsfelder (Domänen) IT-Business-Alignment, Value Delivery, Ressource Management, Risk Management mit Compliance und Performance Measurement. Die unterschiedliche Gewichtung und der Zusammenhang zwischen den Domänen werden in Abbildung 2 dargestellt.

Abbildung 2: IT Governance Domänen; in Anlehnung an [FRÖH07b, S. 3]

Wichtigstes Ziel ist der Beitrag zur Wertschöpfung, der sich auf ein gelungenes IT-Business-Alignment und erfolgreiches Risikomanagement stützt. Basis sind die IT-Ressourcen für die operative Umsetzung. An allen Domänen setzt eine kontinuierliche Leistungsmessung mit Gestaltungseinfluss an. Die Domänen im Einzelnen erklärt Tabelle 1:

Tabelle 1: Domänen der IT Governance aus [ITGI05, S. 7; GAUL06, S. 22]