IT-Governance-Anforderungen mit COBIT 5 umsetzen

Die zunehmende Durchdringung von Unternehmen mit Informationstechnologie (IT) und die dadurch bedingende steigende Abhängigkeit von der Verfügbarkeit und Verlässlichkeit der IT erfordern, die IT-Funktion und die IT-Prozesse besser zu steuern und in das interne Kontrollsystem des Unternehmens einzubeziehen. Seit den Bilanzierungsvorfällen in Amerika haben sich die Anforderungen an die Sicherheit und Verlässlichkeit der Informationen und damit an das Management der IT-Prozesse stetig weiter erhöht. IT-Governance ist heutzutage ein wesentlicher Bestandteil eines ganzheitlichen Corporate Governance-Ansatzes zur Steuerung und Kontrolle eines Unternehmens. IT-Governance zielt darauf ab, die IT-Funktion und die IT-Prozesse besser zu steuern und zu überwachen.

Das IT Governance Institute (ITGI), das durch die ISACA und die ISACF gegründet wurde, definiert IT Governance folgendermaßen:

“IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategies and objectives.”

Die Ziele der IT Governance sind im wesentlichen, einen Wertbeitrag für das Unternehmen zu liefern („value delivery“) und die IT-Risiken auf ein vertretbares Niveau zu reduzieren („risk management“). Das erste Ziel bedingt natürlich vor allem eine Ausrichtung der IT auf die Unternehmensziele und Unternehmensprozesse („IT strategic alignment“). Risikomanagement im IT-Bereich beinhaltet die Absicherung gegen IT-bezogene operative Risiken, wie sie beispielweise aus kritischen IT-Themen wie Projektmanagement, Informationssicherheit oder Notfallkonzeption herrühren können. Die Zielerreichung muss natürlich überwacht werden („performance measurement“). Dazu können bewährte Managementinstrumentarien, wie z.B. die Balanced Scorecard, adaptiert werden. Als fünftes Element werden für den Lieferung eines Wertbeitrages natürlich IT-Ressourcen benötigt, die ihrerseits gemanagt werden müssen.


Nachfolgende Abbildung verdeutlicht den Zusammenhang zwischen den fünf Elementen in Form eines IT-Governance Kreislaufes:

IT-Governance-Zyklus

Abb.: IT-Governance Kreislauf

In COBIT 5 ist Governance folgendermaßen definiert:

„Governance stellt sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der Anspruchsgruppen evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen, die es zu erreichen gilt. Sie gibt die Richtung durch die Festlegung von Prioritäten und das Fällen von Entscheidungen vor und überwacht die Leistung und Regeleinhaltung gegen vereinbarte Vorgaben und Ziele.“

COBIT 5 bietet mit der COBIT-Zielkaskade einen erprobten Ansatz, um die zur Erfüllung geschäftlicher Anforderungen relevanten IT-Prozesse zu selektieren und über die Verbesserung der Kontroll- und Steuerungsmechanismen in diesen IT-Prozessen einen konkreten Wertbeitrag der IT zu ermöglichen. Darüber hinaus beschreibt COBIT 5 mit dem RACI-Diagramm für jede Prozesspraktik auch ein idealtypisches Rollenmodell zur Unterstützung einer klaren Verteilung der Aufgaben, Kompetenzen und Verantwortlichkeiten. Mit den Prozesszielen, IT-bezogen Zielen und Unternehmenszielen, die in COBIT 5 sogar auf die drei Zielkategorien der Governance gemappt sind, sowie den zugehörigen Metriken bietet COBIT 5 schlussendlich auch Hilfsmittel zur Überwachung der Umsetzungsqualität von IT-Governance-Maßnahmen an.

Um das Thema Wertbeitrag zu vertiefen, hat das IT Governance Institute im Jahr 2006 Val IT herausgegeben und im Jahr 2008 im Rahmen einer breiter angelegten Initiative zur Unterstützung von Unternehmen bei der Optimierung ihrer IT-bezogenen Investitionen aktualisiert. Val IT ist ein Rahmenwerk mit erprobten Managementpraktiken und -methoden für die Steuerung und Überwachung von IT-bezogenen Investitionen mit dem Ziel, den Wertbeitrag der Investition für die Organisation zu optimieren. Das Ziel von Val IT ist, Unternehmen einen strukturierten und konsistenten Ansatz zu bieten, um den Unternehmensnutzen aus durch die IT-ermöglichten, geschäftlichen Investitionen zu vertretbaren Kosten und auf einem bekannten und annehmbaren Risikoniveau zu optimieren. Val IT wurde 2012 in COBIT 5 integriert, das als IT-Governance-Rahmenwerk deutlich erweitert worden ist und in dem Governance nun einen eigenen Prozessbereich (Domäne EDM) mit fünf Prozessen darstellt.