1. Einleitung

Die Informationstechnologie (IT) nimmt heutzutage einen hohen Stellenwert in Unternehmungen ein. Kaum ein Unternehmen setzt die elektronische Datenverarbeitung ¹ (EDV) nicht ein, um Prozesse zur erleichtern, zu beschleunigen und zu optimieren. Die IT entwickelt sich dabei immer mehr von einem reinen arbeitserleichternden Werkzeug zu einem wichtigen Faktor, der von der Strategie im Unternehmen direkt beeinflusst wird. Im Gegenzug beeinflusst die IT die Unternehmensstrategie ebenfalls. Hierdurch entsteht die Anforderung, die IT eng an den Zielen des Unternehmens auszurichten. Die Unternehmensstrategie soll durch die IT gestärkt und vorangetrieben werden.

Um die Zusammenwirkung von IT und Geschäftsprozessen zu beschreiben, wird oft ² Die Unternehmensstrategie beschreibt die langfristigen eine „IT-Strategie“ entwickelt.

Ziele einer Unternehmung, die sich an deren Leitbild orientieren. Die IT-Strategie orientiert sich an der Unternehmensstrategie und dient sowohl zur optimalen technischen Unterstützung, als auch zur Schaffung eines eigenen Nutzens. Die Ziele des Unternehmens müssen durch die IT unterstützt und vorangetrieben werden. Daraus abgeleitet ergeben sich entsprechende Ziele für die IT. Diese Ziele müs- ³ Manbezeichnet die sen formuliert, vorgegeben, umgesetzt und überwacht werden. ⁴ Verzahnung der beiden Strategiefelder auch als „IT-Governance“. Die Prozesse der IT-Strategie sind umfassend und komplex. Daher werden Referenzmodelle, sogenannte „Frameworks“, eingesetzt, die die Umsetzung im Unternehmen unterstützen. Sie liefern Vorschläge für den Einsatz von IT und die Umsetzung der Strategie. Angepasst an das Unternehmen ergibt sich so eine strukturierte und vergleichbare Vorgehensweise

Eins dieser Frameworks ist das „Control Objectives for Information and Related Tech-nology“-Framework (CobiT).

In dieser Arbeit soll überprüft werden, inwiefern CobiT eine sinnvolle und umsetzbare Methode darstellt, um IT-Strategien in Unternehmen zu stützen. Auch der Auf-wand/Nutzen-Faktor soll beleuchtet werden.

¹ Vgl. Boos, Frank / Heitger, Barbara (2005): Wertschöpfung im Unternehmen. Wie innovative interne

Dienstleister die Wettbewerbsfähigkeit des Unternehmens steigern, Wiesbaden: Gabler, S.289

² Vgl. Gadatsch, Andreas / Mayer, Elmar (2006): Masterkurs IT-Controlling. Grundlagen und Praxis- IT-

kosten und Leistungsrechnung- Deckungsbeitrags- und Prozesskostenrechnung- Target Costing, Wiesba-

den: Vieweg+Teubner, S.75

³ Vgl. Gadatsch / Mayer (2006), S.75

⁴ Vgl. Fröhlich, Martin / Glasner, Kurt (2007): IT-Governance; Leitfaden für eine praxisgerechte Imple-

mentierung, Wiesbaden: Gabler, S.17

„Zweifel an der Leistungsfähigkeit der IT haben die Ursache meist in Inkonsistenzen zwischen Unternehmenszielen und IT-Zielen sowie im Fehlen geeigneter Instrumente, die die Unterstützungsleistung der IT für die Unternehmensziele darstellen.“ 5

2. IT-Strategie

2.1. Warum IT-Strategie?

Zunächst stellt sich die Frage, wieso die IT im Unternehmen einer Strategie bedarf. In der ursprünglichen Denkweise dient die IT der automatisierten Umsetzung des operativen Geschäftes. ⁶ Produktionsprozesse wurden automatisiert um die Ergebnisse schneller und besser erreichen zu können. Auf dieser Basis entwickelte sich die IT zu einer Technologie, die in allen Bereichen des Unternehmens eingesetzt wird. Nicht nur die direkten, produktiven Prozesse werden durch sie optimiert. IT dient auch der Vereinfachung und Beschleunigung unterstützender Aufgaben. Umfassende Verwaltungssoftwares („Enterprise Ressource Planing“ - ERP) wurden entwickelt und kaum ein Sachbearbeiter kommt ohne Standard-Bürosoftware aus. ⁷ Zusätzlich zu den unterstützenden Funktionen, nimmt IT auch eigene Aufgaben wahr und treibt die Geschäftsprozesse an. Man sagt, dass die IT heute „einen eigenen Wertbeitrag zum Unternehmenserfolg […] liefern“ ⁸ soll. Es macht Sinn, die EDV nicht länger als Mittel zum Zweck zu betrachten, sondern als wichtigen Bestandteil des gesamten Unternehmens und der Prozesse.

Die Verbindung von Unternehmensprozessen mit IT-Prozessen wird auch als „IT-Business-Alignment“ oder „Strategic Alignment“ bezeichnet. Jan Duffy schreibt dazu im IDC-Dokument 26831: „IT/Business Alignment is the term used by IDC (and many others) to represent the process and goal of achieving competitive advantage through developing and sustaining a symbiotic relationship between IT and Business.“. ⁹ Es muss sowohl festgestellt werden, wie die Unternehmensstrategie die IT im Unternehmen beeinflusst, als auch, wie sich die Gestaltung der IT auf das Unternehmen auswirkt. Die Wechselwirkung muss überwacht werden, damit beide Strategien optimal

⁵ Michael Jost, Mitglied des SCOPAR-Beratergremiums

⁶ Vgl. Keuper, Frank / Schomann, Marc; Grimm, Robert (2008). Strategisches IT-Management; Mana-

gement von IT und IT-gestütztes Management, Wiesbaden: Gabler, S.281

⁷ Vgl. Moormann, Jürgen; Schmidt, Günter (2007): IT in der Finanzbranche - Management und Metho-

den, Berlin: Springer, S.2

⁸ Vgl. Keuper / Schomann / Grimm (2008) S.286

⁹ Vgl. Duffy, Jan (2002): IT/Business alignment: Is it an option or is it mandatory? / IDC Dokument Nr.

26831, S.4

umgesetzt werden können. ¹⁰ Dies schließt die Vermeidung von falschen Entscheidungen und Fehlinvestitionen ein.

Man spricht davon, dass sich die IT von der Unterstützungsfunktion („Enabler“) zu einer richtungweisenden Funktion („Treiber“) entwickelt hat. Die Geschäftsprozesse werden nicht nur unterstützt, sondern an die Möglichkeiten der IT angepasst und von ihr voran getrieben. 11

Das Ziel ist, bei der IT-Strategie systematisch und planerisch vorzugehen. Dazu erstellt man nach der Analyse eine entsprechende Dokumentation. Man erhält umfassende Planungsunterlagen, die aufzeigen, wie sich die IT im Unternehmen entwickeln soll und wie sie das Unternehmen im Gesamten beeinflusst. Die Gesamtplanung bezeichnet man als „IT-Strategie“.

Die grundlegenden Ziele der IT-Strategie kann man wie folgt zusammenfassen. Zunächst soll die IT die Geschäftsprozesse bestmöglich unterstützen. Außerdem soll gesichert sein, dass die IT ihren eigenen Wertbeitrag liefert. Des Weiteren sollen auch Fehlinvestitionen, beispielsweise durch falsche Entscheidungen, vermieden werden.

Ein wichtiger Gesichtspunkt bei der Erstellung und Umsetzung einer IT-Strategie ist der zu betreibende Aufwand. Es gibt „Good-Practices“, die Aussagen über Umfang und Detailtiefe der IT-Strategie machen. Die Einhaltung und Auslegung dieser Richtlinien ist allerdings oft nicht einfach. In Unternehmen existieren künstliche Hürden und die IT ist nicht vollständig in den Managementprozess integriert. Hier muss für einen effizienten Umgang mit der IT ein anderes Bewusstsein geschaffen werden. Insbesondere in kleineren Unternehmen stellt sich die Frage, wie der Aufwand einer IT-Strategie gerechtfertigt werden kann. Ein zu hoher Aufwand würde sich sowohl negativ auf den Beitrag der IT zu den Unternehmenszielen auswirken, als auch Unverständnis in allen Bereichen erzeugen.

2.2. Ausarbeitung der IT-Strategie

Die IT-Strategie bietet den „grundlegenden Bezugsrahmen für operative und Planungen“ ¹² im Unternehmen. Sie sollte in schriftlicher Form verfasst werden und einen Zeitraum von ca. drei bis fünf Jahren abdecken. ¹³ Als Richtwert kann man angeben, dass die Entwicklung einer IT-Strategie im Unternehmen etwa in einem Zeitraum von sechs

¹⁰ Vgl. Buchta, Dirk / Eul, Marcus / Schulte-Croonenberg, Helmut (2005): Strategisches IT-Management.

Wert steigern, Leistung steuern, Kosten senken, 2. Auflage, Wiesbaden: Gabler, S.17

¹¹ Vgl. Möller, Michael in: Boos, Frank / Heitger, Barbara (2005): Wertschöpfung im Unternehmen. Wie

innovative interne Dienstleister die Wettbewerbsfähigkeit steigern, Wiesbaden: Gabler, S.289ff.

¹² Vgl. Keuper / Schomann / Grimm (2008) S.283

¹³ Vgl. Rüter, Andreas / Schröder, Jürgen / Göldner, Axel (2007): IT Governance in Der Praxis. Erfolg-

reiche Positionierung der It im Unternehmen. Anleitung zur erfolgreichen Umsetzung regulatorischer und

wettbewerbsbedingter Anforderungen, Berlin: Springer, S.45

Monaten abgeschlossen sein soll. Durch die schnelle technologische Weiterentwicklung wäre es sonst schwer, die Strategie aktuell zu halten. Außerdem bestünde die Gefahr, sich in Details zu verlieren, die für die Gesamtstrategie nicht benötigt werden und unnötige Ressourcen zu verschwenden.

Man beginnt die Erstellung der IT-Strategie üblicherweise bei einer Analyse der aktuellen IT-Situation aus verschiedenen Sichten (fachlich, technologisch, organisatorisch). Zusätzlich werden das Umfeld und alle sonstigen Einfluss nehmenden Faktoren untersucht. 14

Anschließend muss festgehalten werden, welche Ziele durch den Einsatz von IT genau erreicht werden sollen. 15

Auf dieser Basis kann für die Teilbereiche der IT überlegt werden, auf welche Weise diese Ziele zu erreichen sind. Dazu gehören sowohl technologische Aspekte (Anwendungen, Hardware), als auch z.B. Projekte in der IT, Prozessabläufe, Zuständigkeiten, Verwaltung, etc. Außerdem müssen auch Verantwortlichkeiten geregelt werden. Die Ziele und Festlegungen müssen bei der späteren Umsetzung mit Hilfe entsprechender Messkriterien und -maßnahmen überwacht werden. ¹⁶ Nur so kann die effektive und effiziente Umsetzung der Strategie gewährleistet werden.

Ein zentraler Bestandteil einer IT-Strategie sind die sogenannten „IT-Bebauungspläne“. ¹⁷ Diese enthalten neben der Planung von Hard- und Software auch die Planung von Schnittstellen, Bestimmungen zum Umgang mit Daten und die zeitliche Ordnung aller Maßnahmen. Sie bilden die Planungen für die IT-Architektur ausgerichtet an den Prozessen im Unternehmen für den Zeitrahmen der IT-Strategie ab. 18

Wichtig bei einer IT-Strategie ist, dass sie nicht statisch gesehen wird. Sie kann nicht zu einem Zeitpunkt erstellt werden und dann für den angestrebten Zeitraum uneingeschränkt gültig sein. Ziele, Messkriterien und Messwerte können sich ändern. Es ist erforderlich, dass die Wechselwirkungen von IT und Prozessen überwacht werden, so dass Reaktionen auf Veränderungen möglich sind. 19

¹⁴ Vgl. Moormann / Schmidt (2007), S.10f.

¹⁵ Vgl. Gadatsch / Mayer (2006), S.75

¹⁶ Vgl. Gadatsch / Mayer (2006), S.75

¹⁷ Vgl. Gadatsch / Mayer (2006), S.76f.

¹⁸ Vgl. Moormann / Schmidt (2007), S.10f.

¹⁹ Vgl. Rüter / Schröder / Göldner (2007), S.45

3. CobiT

CobiT ist ein sogenanntes „Framework“, das sich grundsätzlich mit der „IT-Governance“ befasst. Darunter versteht man den Versuch, die IT so auszurichten, dass sie einen bestmöglichen Beitrag zur Erreichung der Unternehmensziele liefert. Dies umfasst die Verbindung von Unternehmens- und IT-Zielen, das Schaffen eines eigenen Wertbeitrages durch die IT, die optimale Verwendung von Ressourcen, ein geeignetes Risikomanagement und die Überwachung aller Faktoren. ²⁰ CobiT baut auf Prozessen auf und gibt Richtlinien vor, wie diese optimal umgesetzt und überwacht werden können. CobiT ist ein am Management ausgerichtetes Frame-work und konzentriert sich eher auf das „Was?“, also die Ausgestaltung der Ziele und die Metriken, durch die die Ziele gemessen werden können. Die konkrete Umsetzung (also das „Wie?“) kann beispielsweise mit den Methoden des IT-Infrastructure Library-Frameworks (ITIL) geschehen. 21

Wichtig zur effektiven Umsetzung von CobiT sind Informationen. Diese müssen in geeigneter Weise erfasst, weiter gegeben und verarbeitet werden, um die jeweiligen Ziele miteinander zu verknüpfen. Gerade das Management im Unternehmen benötigt spezielle Informationen, die zu Entscheidungen führen. Durch Informationen werden nach dem CobiT-Modell die benötigten IT-Ressourcen festgestellt und deren Einsatz in den IT-Prozessen geplant und überwacht. 22

3.1. Herkunft / Heranführung

Das CobiT-Modell wurde erstmals im Jahre 1996 vorgestellt (CobiT 1.0). Die Forschungsabteilung „ISACF“ der „Information Systems Audit and Control Association“ (ISACA) entwickelte CobiT als Framework zur Auditierung von IT-Prozessen, zunächst im Bereich der Wirtschaftsprüfung. ²³ Weitere Versionen wurden von der ISACA und dem „IT Governance Institute“ (ITGI) 1998 (CobiT 2.0), 2000 (CobiT 3.0) und 2000 (CobiT 4.0) heraus gegeben. ²⁴ Aktuell wurde die Version 4.0 zur 4.1 erweitert. In dieser Arbeit werden die grundsätzlichen Gedanken hinter dem CobiT-Modell betrachtet. Eine detaillierte Auseinandersetzung mit den einzelnen Eigenschaften der Versionen ist hier nicht nötig. Sollten sich Eigenschaften auf eine spezielle Version beziehen, wird dies aufgeführt.

²⁰ Vgl. IT Governance Institute (2006): COBIT 4.0, S.7

²¹ Vgl. Buchsein, Ralf / Victor, Frank / Günther, Holger et.al. (2008): IT-Management mit ITIL V3. Stra-

tegie, Kennzahlen, Umsetzung, Wiesbaden: Vieweg+Teubner, S.56

²² Vgl. IT Governance Institute (2006), S.7

²³ Vgl. Wolfgang Goltsche (2006): CobiT kompakt und verständlich, Wiesbaden: Vieweg+Teubner,

S.11f.

²⁴ Vgl. Goltsche (2006), S.12