Read Microsoft Word - IT-Governance sewforpdf.doc text version

Referenzmodelle im Rahmen von IT-Governance CobiT ITIL MOF Frameworks for IT Governance CobiT ITIL MOF

Arbeit im Rahmen des Seminars aus Informationswirtschaft im SS 2005 an der Wirtschaftsuniversität Wien Augasse 2-6 A-1090 Wien, AUSTRIA

Dr. Sonja Sewera Rosasgasse 26 B A 1120 Wien, AUSTRIA Telefon: +43-(0)-676 4912763 E-Mail: [email protected]

-1-

Referenzmodelle im Rahmen von IT-Governance CobiT ITIL MOF Frameworks for IT Governance CobiT ITIL MOF

Stichworte: IT-Governance, CobiT, ITIL, BS15000, MOF, IT-Management, IT-ServiceManagement Keywords: IT Governance, CobiT, ITIL, BS15000, MOF, IT Management, IT Service Management

Zusammenfassung Im Zuge der zunehmenden Bedeutung der IT für den Unternehmenserfolg ist das ITGovernance Modell von höchster Aktualität. Es dient der umfassenden Steuerung und Kontrolle aller IT-Aktivitäten durch das Top-Management. Zur Unterstützung und Konkretisierung dieses Ansatzes wurden von verschiedenen Institutionen aus dem englischen Sprachraum Modelle mit differenzierten Schwerpunkten entwickelt: das IT-Governance Rahmenmodell, CobiT als Referenzmodell für die Implementierung von IT-Governance, ITIL als Best Practice für das IT-Service-Management und MOF als Microsoft Ergänzung zu ITIL. In dieser Arbeit werden die genannten Modelle detailliert beschrieben, wobei neben einem Überblick und den funktionalen Komponenten auch Aspekte wie Zielgruppe, Praxiseinsatz, die verantwortliche Institution, Weiterentwicklung, Dokumentationen und Zertifizierungen besprochen werden. Jedes Modell wird eingehend dargestellt und bewertet. In einer Gegenüberstellung werden die Referenzmodelle bez. ihrer gegenseitigen Abbildung, ihrer Gemeinsamkeiten und Unterschiede verglichen, ihre Stärken und Schwächen bewertet. Eine Kurzzusammenfassung bildet den Abschluss. Abstract The IT Governance model presently commands great interest, owing to the increased importance of IT for the success of business enterprise. Its overall objective is to provide strategic direction and control of all IT operations. Differently focused models have been developed by British and US institutions to support and consolidate this approach; the IT Governance philosophy, the standardised CobiT framework for the implementation of IT Governance, the ITIL framework as Best Practice for IT Service Management and MOF as a Microsoft enhancement to ITIL. This paper describes the above models in detail, including an overview and explanation of each of the models functions. In addition, aspects such as target group, practical usage, the responsible institution, future trends, documentation and qualification schemes are addressed. Each model is discussed and evaluated. The frameworks are compared as to their similarities and differences, their strengths and weaknesses and how they can be mapped to each other. A short conclusion terminates the paper.

-2-

Kernpunkte für das Management IT-Governance ist zu einem wesentlichen Teil der Unternehmensführung geworden und hat dementsprechende Bedeutung gefunden. Mehrere Referenzmodelle unterstützen die Einführung: Durch das CobiT Rahmenmodell wird dem Management ein Hilfsmittel gegeben, die IT derart zu planen, zu steuern und zu kontrollieren, dass die Geschäftsziele optimal durch die IT-Prozesse unterstützt werden. Das Referenzmodell ITIL bietet Best Practices für das IT-Service-Management. CobiT und ITIL sind weltweit als De-facto-Standard anerkannt und können auch gewinnbringend gleichzeitig angewendet werden. MOF ist eine ITIL Erweiterung für Anwender in einer Microsoft SoftwareUmgebung. Die genannten Modelle werden detailliert beschrieben. Neben einem Überblick und den funktionalen Komponenten werden auch Aspekte wie Zielgruppe, Praxiseinsatz, die verantwortliche Institution, Weiterentwicklung, Dokumentationen und Ausbildungsmöglichkeiten besprochen sowie Bewertungen durchgeführt.

-3-

Inhaltsverzeichnis

1 2 EINLEITUNG.............................................................................................................................................. 6 IT-GOVERNANCE ..................................................................................................................................... 7 2.1 EINFÜHRUNG 2.1.1 Begriffsbestimmungen 2.1.2 Die Bedeutung der IT-Governance 2.1.3 Zielgruppe 2.2 DIE SCHULE DES IT GOVERNANCE INSTITUTE (ITGI) 2.2.1 Verantwortliche Institution 2.2.2 Board Briefing on IT Governance 2.3 DIE SCHULE DES CENTER FOR INFORMATION SYSTEM RESEARCH (CISR) 2.3.1 Verantwortliche Institution 2.3.2 Effective IT Governance 2.3.3 Matrix Ansatz für Design der IT-Governance 2.4 WEITERE ARTIKEL ZU IT-GOVERNANCE 7 7 8 9 9 9 9 14 14 14 14 16 17 17 19 19 19 19

2.5 ZUSATZINFORMATIONEN 2.5.1 Verordnungen und Regulative mit Einfluss auf IT-Governance 2.5.2 Verbreitung und Fallstudien 2.5.3 Dokumentationen und Ausbildung 2.5.4 Weiterentwicklung und Trends 2.6 3 ZUSAMMENFASSENDE BEWERTUNG

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) ... 20 3.1 EINFÜHRUNG 3.1.1 Zielgruppe 3.1.2 Verantwortliche Institution 3.1.3 Überblick und Struktur 3.2 KOMPONENTEN 3.2.1 Executive Summary 3.2.2 Framework 3.2.3 Control Objectives 3.2.4 Control Practices 3.2.5 Management Guidelines 3.2.6 Audit Guidelines 3.2.7 Implementation Toolset 3.3 ZUSATZINFORMATIONEN 3.3.1 Verbreitung und Fallstudien 3.3.2 Dokumentationen und Ausbildung 3.3.3 Weiterentwicklung und Trends 3.4 ZUSAMMENFASSENDE BEWERTUNG 20 20 20 21 21 21 22 26 26 26 28 29 30 30 30 30 30

4

ITIL (IT INFRASTRUCTURE LIBRARY)............................................................................................ 33 4.1 EINFÜHRUNG 4.1.1 Zielgruppe 4.1.2 Verantwortliche Institution 4.1.3 Überblick und Struktur 4.2 KOMPONENTEN 4.2.1 Business Perspective 4.2.2 Planning to Implement Service Management 4.2.3 Applications Management 4.2.4 ICT Infrastructure Management 33 33 33 34 35 35 35 35 35

-4-

4.2.5 4.2.6

Security Management Service Management

35 36 36 37 39 41 41 41 42 43 44 44

4.3 SERVICE MANAGEMENT IM DETAIL 4.3.1 Service Support 4.3.2 Service Delivery 4.4 ZUSATZINFORMATIONEN 4.4.1 Implementierung 4.4.2 Verbreitung und Fallstudien 4.4.3 Dokumentationen und Ausbildung 4.4.4 ITIL und BS 15000 4.4.5 Weiterentwicklung und Trends 4.5 5 ZUSAMMENFASSENDE BEWERTUNG

MOF (MICROSOFT OPERATIONS FRAMEWORK) ........................................................................ 47 5.1 EINFÜHRUNG 5.1.1 Zielgruppe 5.1.2 Überblick und Struktur 5.2 KOMPONENTEN 5.2.1 Das Prozess Modell 5.2.2 Das Team Modell 5.2.3 Das Risikomodell 5.3 ZUSATZINFORMATIONEN 5.3.1 Verbreitung und Fallstudien 5.3.2 Dokumentationen und Ausbildung 5.3.3 Weiterentwicklung und Trends 5.4 ZUSAMMENFASSENDE BEWERTUNG 47 47 48 48 48 50 52 54 54 54 54 55

6

ZUSAMMENFASSENDE GEGENÜBERSTELLUNGEN ................................................................... 56 6.1 6.2 6.3 6.4 IT-GOVERNANCE UND DAS COBIT FRAMEWORK ITIL - COBIT ABBILDUNG VERGLEICHSMATRIX ZUSAMMENFASSUNG 56 57 58 59

LITERATUR ....................................................................................................................................................... 60

-5-

1 Einleitung

Im Rahmen des Einsatzes der Informationstechnologie (IT) in Unternehmen war es schon immer Aufgabe der Leitung der IT-Abteilung, die Ressourcen möglichst optimal, das heißt wirtschaftlich, mit zeitgemäßer Technologie und nach Qualitätsrichtlinien einzusetzen, um damit zum Erfolg des Unternehmens beizutragen. Diese Gesamtaufgabe wird im deutschsprachigen Raum durch IT-Management oder Informationsmanagement bezeichnet und umfasst eine große Zahl von strategischen und operativen Teilaufgaben sowohl im technischen als auch im administrativen Bereich. Beispielhaft seien dazu einige Begriffe wie Strategisches Controlling, IV-Controlling, IT-Controlling, Risikomanagement, Qualitätsmanagement, Projektmanagement, RZ-Management, Service-Management, PerformanceManagement, IT-Kostenmanagement, IT-Service-Management, Service-Level-Management, etc. angeführt. Der Fokus lag dabei traditionell eher auf der technischen Seite, die durch den enormen technischen Fortschritt und den raschen Wechsel der Technologien in Richtung Internet und WEB viel Aufmerksamkeit erforderte. Eine Erweiterung dieser Sicht mit starker Betonung der betriebswirtschaftlichen und geschäftspolitischen Ziele bietet der IT-Governance Ansatz, entstanden aus der Anwendung der Corporate Governance Philosophie auf die Belange des IT-Einsatzes. Durch die zunehmende Bedeutung der IT für den wirtschaftlichen Gesamterfolg ist IT-Governance nun im Verantwortungsbereich des Vorstandes, in dem idealerweise ein CIO (Chief Information Officer) Mitglied ist. IT-Governance soll innerhalb von formalisierten Richtlinien das TopManagement bei seinen Kontroll- und Führungsaufgaben in Hinblick auf die IT unterstützen, wobei die Erreichung der Geschäftsergebnisziele und das Management von Risiken Schwerpunkte bilden. Diese Anforderungen sowie die verstärkte Serviceorientierung der IT-Abteilung und neue Gesetze, die auch nach außen hin Transparenz der Unternehmenssituation verlangen, führen zu einem hohen Bedarf nach umfassenden Verfahren und Maßnahmen zur strategischen und nachfolgend auch operativen Steuerung und Kontrolle der gesamten Informationsverarbeitung. Dieser Bedarf initiierte im angelsächsischen Raum die Entwicklung einiger Leitfäden und Referenzmodelle, die in dieser Arbeit beschrieben werden. Einen Leitfaden für die Durchführung der Kontroll- und Führungsaufgaben im Rahmen der IT-Governance bietet das CobiT (Control Objectives for Information and Related Technology) Referenzmodell, das vom IT Governance Institute in USA veröffentlicht wird. Dieses deckt die in obigen Absätzen beschriebenen Anforderungen nach Unterstützung der strategischer Steuerung und Kontrolle in Form einer umfassenden Literatur ab. Hingegen ist das ITIL (IT Infrastructure Library) Referenzmodell stärker auf operative Aufgaben ausgerichtet, konzentriert sich auf das IT-Service-Management und geht dort tiefer in Details. Es wurde von der CCTA (Central Computer and Telecommumications Agency, jetzt OGC) in Großbritannien entwickelt und wird ebenfalls in Form mehrerer Bände veröffentlicht. ITIL ist ein anerkanntes Best-Practice-Referenzmodell und hat sich als Defacto-Standard für serviceorientierte Managementprozesse etabliert. Angeregt durch den Erfolg von ITIL hat auch Microsoft ein eigenes Framework MOF (Microsoft Operations Framework) definiert, das auf den Grundlagen von ITIL aufbaut und speziell für den Betrieb von Microsoft Produkten in heterogenen Umgebungen adaptiert ist. Ziel der vorliegenden Arbeit ist, die genannten Begriffe und Verfahren detailliert zu beschreiben, zu bewerten und nach verschiedenen Kriterien, wie: Herausgeber, Zweck, Inhalt, Form, Umfang, Zielgruppe, Einsatzschwerpunkte, Verbreitung, Standardisierung, Dokumentation, Schulung und Zertifizierung zu klassifizieren und gegenüberzustellen.

-6-

2 IT-Governance

Das Thema IT-Governance ist derzeit höchst aktuell und ein noch relativ neues Forschungsund Arbeitsgebiet. Nach eingehender Literaturrecherche zeigte sich, dass weltweit zwei Zentren dieses Thema zum Mittelpunkt langjähriger Arbeit gemacht haben und auch weiter betreiben: Das IT Governance Institut (ITGI, Adresse: http://www.itgi.org/ ), eine im Jahr 1998 gegründete Institution, die aus der ISACA (Information Systems Audit and Control Association, Adresse: http://www.isaca.org/, hervorgegangen ist. Das Center for Information Systems Research (CISR, Adresse: http://mitsloan.mit.edu/cisr/ ) mit dem Direktor Peter Weill an der MIT Sloan School of Management. Der Inhalt dieses Kapitels über IT-Governance wurde daher so strukturiert, dass nach einer Einführung in das Thema die Ideen dieser beiden Schulen dargestellt werden. Danach folgen die Inhalte einiger weiterer Artikel und schließlich allgemeine Zusatzinformationen analog zu den Kapiteln über CobiT, ITIL und MOF.

2.1 Einführung

Der Begriff der IT-Governance, in Analogie zu dem der Corporate Governance hat sich schnell sowohl im Business-orientierten als auch im akademischen Bereich etabliert. Dazu werden zuerst einige Definitionen für IT-Governance angeführt und dann Gründe für die Bedeutung von IT-Governance diskutiert. 2.1.1 Begriffsbestimmungen Corporate Governance bezeichnet die rechtlichen und institutionellen Rahmenbedingungen, die unmittelbar oder mittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben. Vor dem Hintergrund der zunehmenden Auswirkung internationaler Kapitalmärkte haben seit Mitte der 1990er Jahre weltweit die Bemühungen zugenommen, Grundsätze einer guten Corporate Governance zu Papier zu bringen. Diese Grundsätze formulieren einerseits die wesentlichen gesetzlichen Regelungen zur Unternehmensführung und -überwachung, andererseits aber auch bloße Empfehlungen, etwa zur Rechnungslegung und Abschlussprüfung oder zur Arbeit des Vorstandes und der Aufsichtsgremien. 1999 wurde von der OECD mit den Principles of Corporate Governance erstmals eine Orientierungshilfe für die Entwicklung länderspezifischer Richtlinien vorgestellt (Neuauflage 2004 [OECD04]). In Deutschland sind die Corporate Governance Grundsätze in dem so genannten Corporate-Governance-Kodex fixiert worden. Eine vom Bundesministerium für Justiz im September 2001 eingesetzte Regierungskommission hat am 26. Februar 2002 diesen Kodex verabschiedet. Der Kodex soll dazu beitragen, die in Deutschland geltenden Regeln für die Unternehmensleitung und überwachung für nationale und internationale Investoren transparent zu machen. Auf diese Weise soll das Vertrauen in die Unternehmensführung deutscher Unternehmen nachhaltig gestärkt werden. In Österreich wurde vom Österreichischen Arbeitskreis für Corporate Governance der Österreichische Corporate Governance Kodex erstmals am 1.10.2002 herausgegeben (aktuelle Fassung vom 22.2.2005 [Öste05]). Auf europäischer Ebene hat die EU-Kommission zur Prüfung der in den Mitgliedsstaaten bewährten Verfahren im Oktober 2004 ein Europäisches Corporate Governance-Forum eingerichtet. Dieses Forum soll die Konvergenz der nationalen Corporate Governance-

-7-

Kodizes fördern sowie die Kommission beraten. Dem Forum gehören fünfzehn Experten mit unterschiedlichem fachlichem Hintergrund an. Unter IT-Governance werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden. Über Details und Schwerpunkte gibt es verschiedene Auffassungen und somit auch verschiedene Definitionen. Die bekannteste ist die des IT Governance Institutes [ITGo03d, S.10]: IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. Eine Beschreibung von Robert S. Roussey, CPA, Professor an der University of Southern California lautet [ITGo03d, S.1]: IT governance is the term used to describe how those persons entrusted with governance of an entity will consider IT in their supervision, monitoring, control and direction of the entity. How IT is applied within the entity will have an immense impact on whether the entity will attain its vision, mission or strategic goals. Wesentlich kürzer drückt es Peter Weill, der Leiter des Center For Information System Research (CISR) aus, indem er IT Governance definiert als specifying the decision rights and accountability framework to encourage desirable behaviour in using IT [WeRo04b, S.2]. Die konkreteste Beschreibung stammt wohl aus dem Executive Summary von CobiT [ITGo00a, S.3]: IT-Governance: A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes . Abschließend dazu die deutsche Fassung aus der Broschüre IT Governance für Geschäftführer und Vorstände [ITGo03c, S.11]: IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Wesentlich ist somit die Betonung der Eigenverantwortung des obersten Top-Managements, und die Wichtigkeit, die der IT für den Gesamterfolg der Unternehmungen beigemessen wird. 2.1.2 Die Bedeutung der IT-Governance Warum ist die IT jetzt in den Verantwortungs- und Interessensbereich des Vorstands aufgerückt, während doch früher die technischen Probleme der Datenverarbeitung gerne dem Leiter der DV allein überlassen wurden und für den Vorstand immer nur die hohen aber anscheinend kaum zu reduzierenden Kosten der IT von Interesse waren? Die Antwort liegt auf der Hand. Die IT ist heute für viele Branchen die Basis aller Geschäftsprozesse geworden und somit Teil der Unternehmensstrategie. Für den Erfolg eines Unternehmens ist es entscheidend, dass die Informationen aus den verschiedensten Quellen optimal zur Erreichung der Unternehmensziele genutzt werden können. IT-Governance ist daher ein zentraler Faktor der Corporate Governance und liegt somit im Verantwortungsbereich der Unternehmensleitung. Die Informationstechnologie unterstützt grundsätzlich das Unternehmen bei den Abläufen und der Effizienz der Geschäftstätigkeit. Sie verursacht nicht nur Kosten, sondern erzeugt idealerweise auch einen größeren Nutzen: von effizienten Geschäftsprozessen bis zu bedeutenden Konkurrenzvorteilen. Dagegen kann sich ein mangelhafter Umgang mit ITRisiken empfindlich auf das Unternehmensergebnis auswirken. Sie sind daher ein nicht zu

-8-

vernachlässigender Bestandteil der Unternehmensrisiken. Darum ist es entscheidend, dass die IT im Rahmen einer spezifischen IT-Governance in die Corporate Governance miteinbezogen wird. IT umfasst dabei die Gesamtheit der Strategien, Systeme, Applikationen und Prozesse sowie diejenigen Personen, die die Technologie einsetzen und anwenden. Die Ziele der IT-Governance sind: die IT fortwährend auf die Unternehmensziele und -prozesse auszurichten; dem Unternehmen zu optimalem Nutzen bei der Erreichung der Geschäftsziele zu verhelfen; die IT-Ressourcen (Mitarbeitende, Systeme und finanzielle Mittel) verantwortungsvoll und nachhaltig einzusetzen; die IT-Risiken zu minimieren und optimal zu meistern. Um diesen Zielen gerecht zu werden, empfiehlt sich der Einsatz einer bewährten Methodik und Vorgehensweise eines Rahmenmodells mit Referenzcharakter. 2.1.3 Zielgruppe Für IT Governance verantwortlich ist ganz eindeutig das Top-Management, das heißt der Vorstand und die obersten Führungsebenen, bzw. in USA das Board of Directors , das dem Vorstand plus dem Aufsichtsrat entspricht. Im englischsprachigen Raum sind damit speziell angesprochen: chief executive officers (CEOs), chief information officers (CIOs), chief operating officers (COOs), chief financial officers (CFOs) und weitere Mitglieder des Boards und des IT-Managements.

2.2 Die Schule des IT Governance Institute (ITGI)

2.2.1 Verantwortliche Institution Das IT Governance Institut (ITGI) wurde 1998 gegründet, um Firmen bei der Anwendung von IT-Governance zu beraten und zu unterstützen und eine zentrale Ansprechstelle zu diesem Thema zu sein. Es ging aus der ISACA (Information Systems Audit and Control Association), einer Vereinigung internationaler Revisoren, hervor. ITGI gibt gemeinsam mit ISACA die Dokumentationen zu CobiT heraus. Das ITGI bereitet laufend aktuelle Themen für das Topmanagement auf, um dieses durch die entstehenden Dokumentationen zu unterstützen. So behandeleten die letzten Broschüren das Thema IT Control Objectives for Sarbanes-Oxley [ITGo04b], in der Kontrollziele für die Prüfung der IT bezüglich des US Sarbanes-Oxley Act aus 2002 definiert werden und ein Dokument über Risikomanagement [ITGo04e]. Weiters werden durch das ITGI Konferenzen veranstaltet, Fallstudien veröffentlicht und Forschungsaktivitäten unterstützt. 2.2.2 Board Briefing on IT Governance Die wichtigste Veröffentlichung des ITGI bezüglich IT-Governance ist das Board Briefing on IT Governance [ITGo03d] (in deutscher Übersetzung durch KPMG Österreich IT Governance für Geschäftsführer und Vorstände [ITGo03c]), ergänzt durch ein Executive Summary [ITGo04c]. In diesem wird hinführend zum Gedankengut der CobiT Management Guidelines dargestellt, warum IT-Governance wichtig ist, woraus es besteht und was das Topmanagement tun sollte, um dieses entsprechend den Gesamtzielen der Organisation durchzuführen. Die folgenden Ausführungen dieses Kapitels 2.2 wurden aus den eben genannten Dokumenten extrahiert.

-9-

IT-Governance und das Top-Management IT-Governance bedeutet die Anwendung der Prinzipien des Corporate Governance auf die Lenkung und Steuerung der IT. Dazu müssen Strategien definiert werden. Daraus abgeleitet sind die wesentlichen Aufgaben das Schaffen von Unternehmenswert mit dem gleichzeitigen Minimieren von IT Risiken und der Überwachung der Performance. Ziel ist die fortlaufende Verbesserung.

Bild 1 IT-Governance: Fokussierung auf Unternehmenswert, Ergebnis und Risiko[ITGo04c] IT-Governance stellt eine Führungsaufgabe dar. Deshalb ist sie, wie andere Führungsaufgaben, Teil der Verantwortung des Vorstands und des Managements. Gelebt wird sie jedoch auf verschiedenen Ebenen: Teamleader, die an die Manager berichten und Weisungen empfangen, Manager, die an die Top-Manager berichten, Top-Manager, die an den Vorstand berichten. Bei der Umsetzung der IT-Governance müssen Vorstand und Management zusammenarbeiten, wobei folgende Aufgabenaufteilung für die Führungsebenen empfohlen wird:

Die Mitglieder des Vorstandes sollen eine aktive Rolle in der Entwicklung der IT-Strategie und in IT-Steuerungsgremien haben. Das Top-Management soll organisatorische Strukturen bereitstellen, die die Implementierung der IT Strategie unterstützen. Der IT Leiter soll geschäftsorientiert denken und eine Brücke zwischen IT und den Fachbereichen schlagen. Das Management der Fachbereiche soll in die IT Steuerungsprozesse oder Komitees miteinbezogen werden.

Umsetzung der IT-Governance Für die Umsetzung ist der Vorstand verantwortlich. Viele Vorstände richten ihre Führungspflichten in Form von Komitees ein, die jeweils kritische Bereiche überwachen. Um IT Risiken entgegenzuwirken, sollte auch die IT durch Komitees gemanagt werden. Der Aufbau eines IT Komitees auf Vorstandsebene, einem so genannten IT Strategy Commitee, kann ein wichtiger Schritt sein, um dieses Ziel zu erreichen. Das IT Strategy Commitee besteht aus Vorstands- und Nichtvorstandsmitgliedern und soll dem Vorstand beigestellt sein, um ITrelevante Angelegenheiten durchzuführen bzw. auf IT-relevante Angelegenheiten aufmerksam zu werden. Es soll sicherstellen, dass IT-Governance in strukturierter Art und

- 10 -

Weise adressiert wird und der Vorstand die relevanten Informationen hat, um die gesteckten Ziele zu erreichen. Ähnlich organisiert soll das IT Steering Comitee sein. Dieser Steuerungskreis kommt dann zum Einsatz, wenn das Top-Management bestimmte Verpflichtungen delegieren will. Zu den Aufgaben des IT Steering Commitee zählt, IT Investitionen transparent darzustellen, Prioritäten zu setzen und knappe Ressourcen zu managen. Teilweise haben Unternehmen auch bereits begonnen, IT Architektur- und IT Technologie Komitees einzurichten. Die folgende Tabelle zeigt typische Aufgaben eine Strategy und Steering Committee.

IT Strategy Committee Top Management

Gibt dem Top-Management Einblick in und Beratung für Themen wie: o Die Relevanz neuester IT Entwicklungen aus Sicht des Kerngeschäfts o Die Ausrichtung der IT mit der Geschäftsausrichtung o Die Erreichung von strategischen IT Zielen o Die Verfügbarkeit angemessener IT Ressourcen, Skills und Infrastruktur, um strategische Ziele zu erreichen o Optimierung der IT Kosten o Die Rolle und der Wertbeitrag von extern beschafften Ressourcen o Risiko, ROI und wettbewerbsrelevante Aspekte von IT Investitionen o Fortschritt der wesentlichen IT-Projekte o Der Wertbeitrag (zB Erstellung des versprochenen Wertes) o Die Gefährdung durch IT-Risiken, inklusive Compliance-Risiken o Beherrschung von Risiken

Ebene Verantwortung

IT Steering Committee Operatives Management

Entscheidet über die gesamten ITAusgaben und die Kostenverteilung Passt die Unternehmensweite ITArchitektur an und gibt diese frei Gibt Projektpläne und budgets frei, legt Prioritäten und Meilensteine fest Beschafft angemessene Ressourcen und weist diese zu Stellt sicher, dass Projekte die Geschäftsanforderungen erfüllen und berücksichtigt auch die Re-Evaluierung des Business Case Überwacht Projektpläne bezüglich der Erbringung der erwarteten Leistung, innerhalb des Zeit- und Kostenrahmen Überwachung von Ressourcen- und Prioritätenkonflikten zwischen Abteilungen und der IT und zwischen Projekten Gibt Empfehlungen und Änderungsanträge für strategische Pläne ab (Prioritäten, Finanzierung, Technologieansätze, Ressourcen, etc.) Kommuniziert strategische Ziele an die Projektteams Trägt einen wesentlichen Teil für die ITGovernance Verantwortung des Management bei Unterstützt das Linienmanagement in der Umsetzung der IT Strategie Überblickt das Management des Tagesgeschäfts der IT Leistungserbringung und IT Projekte Ist auf die Umsetzung fokussiert

Befugnis

Mitglieder

Berät das Top-Management und Management bezüglich IT Strategie Wird durch das Top-Management ernannt, um Beiträge zur Strategieerstellung zu geben und deren Freigabe vorzubereiten Konzentriert sich auf derzeitige und künftige strategische Belange Mitglieder der Leitung und Spezialisten des Top-Managements

Unterstützende Geschäftsbereiche Key User CIO Berater, wenn nötig (IT Audit, Recht, Finanz)

Tabelle 1 Vergleich von typischen Aufgaben des Strategy und Steering Committee [ITGo03c] Der Antrieb zur Erhöhung des Stakeholder Value treibt die Strategiefestlegungen (Bild 2). IT-Governance stellt auch einen Prozess dar, in dem die IT Strategie die IT Prozesse steuert, welche den Einsatz von Ressourcen erfordern. Die IT Prozesse werden durch Prozessergebnisse und Performance überwacht; Risikominderung und Ressourcenverbrauch werden gesteuert. Durch diese Kontrollen soll sichergestellt werden, dass die Strategie richtig

- 11 -

umgesetzt wird. Weiter sollen dadurch Indikatoren für den Bedarf einer strategischen Änderung aufgezeigt werden.

Bild 2 Der IT Governance Prozess [ITGo03d] Im Anhang des Board Briefing sind für alle Aktivitäten von Vorstand und Management in Form eines Toolkits Best Practices, kritische Erfolgsfaktoren, Ziele für Ergebnismessungen und Performance Treiber angeführt. Ziele der IT-Governance Berichte von professionellen Analysten, wie etwa Gartner, Compass, Giga und CSC zeigen, dass sich die Topthemen für das IT Management von den typischen Technologiethemen hin zu Managementthemen verschoben haben. Die Analysten legen die Ziele der IT-Governance folgendermaßen fest: Strategische Ausrichtung mit Fokus auf Unternehmenslösungen; IT-Investitionen müssen in Abstimmung mit den strategischen Zielen des Unternehmen stehen, der IT-Betrieb an den aktuellen Unternehmensaktivitäten ausgerichtet sein. Nutzengenerierung mit Fokus auf die Optimierung der Ausgaben und Bewertung des Nutzens der IT. Durch den IT Einsatz können Wettbewerbsvorteile, Kundenzufriedenheit, Mitarbeiterproduktivität und -profitabilität geschaffen werden, die allerdings schwer messbar sind. Um effektiven IT Nutzen zu generieren, müssen sowohl die aktuellen Kosten, als auch der erwartete ROI berücksichtigt werden. Der IT Wert wird von Benutzern und den diversen Managementebenen verschieden gesehen, je höher die Managementebene, desto unklarer und verwässerter wird der messbare Einfluss der IT. Man sollte sich jedoch nicht nur an Finanzkennzahlen orientieren, sondern genauso an Qualitätskennzahlen. Für den erfolgreichen Einsatz von IT müssen sich Unternehmen darüber bewusst werden, dass unterschiedliche strategische Zusammenhänge unterschiedliche Nenngrößen benötigen, um den Nutzen zu messen. Diese Maßstäbe müssen zwischen den Unternehmenszielen und der IT abgestimmt werden. Dies kann durch die Unterstützung einer IT Balanced Scorecard erfolgen. Für die unternehmensweite IT Infrastruktur in unterschiedliche Branchen sind oft unterschiedliche Kennzahlen heranzuziehen Dies gilt auch für Unterschiede zwischen privatwirtschaftlich geführten Unternehmen und öffentlich/rechtlichen Organisationen. Risikomanagement, das sich auf den Schutz des IT Assets bezieht, unter Berücksichtigung von Disaster Recovery (Wiederanlauf nach Katastrophen) und Fortführung der Unternehmensprozesse im Krisenfall. Eine gute Unternehmenssteuerung führt aktives

- 12 -

Risikomanagement durch. Unternehmensrisiko existiert in vielen Varianten, nicht nur als finanzielles Risiko. Risikomanagement beginnt am effektivsten mit einem klaren Verständnis von der Risikoeinstellung des Unternehmens. Gerade für IT Investitionen ist eine allgemeine Risikoeinschätzung über das gesamte Unternehmen erforderlich. Erst nach der Definition einer risikofreudigen oder risikomeidenden Unternehmenspolitik können Strategien für das Risikomanagement erstellt und Verantwortlichkeiten festgelegt werden. Abhängig vom Risikotyp und seiner Bedeutung für das Unternehmen können Management und Vorstand für Einzelrisiken aus folgenden Aktionen auswählen: Risikoreduktion - Kontrollen werden implementiert (z.B. Virenschutz oder Zugangskontrolle; Sicherheitstechnologie wird beschafft, um die IT Infrastruktur zu schützen). Risikotransfer - Das Risiko wird an einen Geschäftspartner weitergegeben (z.B. Deckung durch Versicherungen, Service Level Agreements). Risikoakzeptanz - Formale Anerkennung, dass das Risiko existiert, um es folglich zu überwachen. Management von Ressourcen, Optimierung von Wissen und IT Infrastruktur. Optimale Investitionen sowie die Verwendung und Bereitstellung von IT Ressourcen (Menschen, Anwendungen, Technologie, Facilities, Daten) sind Schlüsselfaktoren für eine erfolgreiche IT Performance, um die Ansprüche des Unternehmens zu erfüllen. In vielen Unternehmen wird der größte Teil des IT Budgets für den laufenden Betrieb verwendet. Die klare Definition und Priorisierung der Services ermöglicht, auf das Unternehmen ausgerichtete Service Level Agreements (SLAs) zu definieren. Eine wirksame Steuerung der operativen IT Ausgaben erfordert eine wirksame Kostenkontrolle. Von allen IT Assets fällt der größte Teil der Kosten auf die Personalressourcen; diese sind auch jene mit den prozentuell größten Steigerungsraten. Für die Erreichung von Kosten/Nutzen-Effizienzen ist der Einklang von Servicequalität und den dafür anfallenden Kosten essenziell. (Das betrifft auch jene Services, die durch Outsourcing externen Service Providern übertragen werden). Dafür ist es notwendig, die IT zu bewerten und deren Performance zu messen. Dies kann gut durch den Einsatz von Balanced Scorecard Systemen unterstützt werden.

Performance Messung

Keines dieser Ziele kann erreicht werden, ohne dass die Performance regelmäßig gemessen wird. Hierbei ist die regelmäßige Kontrolle über das Einhalten von Projektschritten ebenso wichtig und notwendig wie die Überwachung der IT Services. Hier ist der Einsatz von Balanced Scorecards vorgesehen. Um das Balanced Scorecard Konzept speziell für die IT anzuwenden, müssen die vier Perspektiven neu definiert werden. Eine IT BSC Vorlage kann unter Berücksichtigung folgender Fragen entwickelt werden: Beitrag zum Unternehmenserfolg - Wie sieht das Management des Unternehmens die IT Abteilung? Benutzerorientierung - Wie sehen Anwender die IT Abteilung? Stärke des Betriebs - Wie effektiv und effizient sind die IT Prozesse ausgerichtet? Zukunftsorientierung - Wie gut ist die IT positioniert, um zukünftige Anforderungen zu erfüllen? Um den gewonnenen IT Wert zu demonstrieren, sind Ursache-Wirkungs-Beziehungen nötig. Diese Beziehung entsteht zwischen den beiden Messtypen in der Scorecard, den Ergebnismessungen (was wurde getan?) und den Performancetreibern (was wird getan?). Eine gut entwickelte IT BSC beinhaltet beide Messtypen. Die IT BSC sollte mit Business Scorecards auf einer höheren Unternehmensebene verknüpft sein.

- 13 -

Einführung des IT Governance bei einem Unternehmen Der erste Schritt ist die Feststellung des Ist-Zustandes. Dazu ist eine Befragung von Vorstand und Management vorzunehmen. Im Anhang des Board Briefings sind dazu geeignete Checklisten vorhanden. Die Fragen konzentrieren sich auf drei Ziele: Aufdecken strategischer Themen, wie behandelt das Management diese Themen und eine Selbstbewertung des Managements. Zur Feststellung des eigenen Reifegrades sollte das Reifegradmodell von CobiT verwendet werden. Der Anhang enthält auch Vorlagen für die Unterstützung der Umsetzung einer effektiven IT-Governance. Als Referenzmaterial für die Einführung ist CobiT (siehe Kapitel 3) vorgesehen. Eine umfangreichere Beschreibung eines IT-Governance Umsetzungsplans ist in der zusätzlichen Dokumentation IT Governance Implementation Guide [ITGo03b] zu finden.

2.3 Die Schule des Center For Information System Research (CISR)

2.3.1 Verantwortliche Institution Das Center for Information Systems Research wurde 1974 an der MIT Sloan School of Management gegründet mit dem Ziel, Konzepte und Frameworks zu entwickeln, die den Führungskräften von globalen, dynamischen und informationsintensiven Unternehmen helfen, ihre IT-bezogenen Aufgaben zu bearbeiten. Das CISR führt Basis-bezogene Forschung bezüglich Management und dem Einsatz der Informationstechnologie in komplexen Organisationen durch. 2.3.2 Effective IT Governance Eines der Forschungsthemen des CISR ist Effective IT Governance . Zwischen 1995 und 2004 wurde mit Hilfe zweier groß angelegter Studien das Thema IT-Governance in Theorie und in ihrem praktischen Einsatz untersucht. Es wurden die Chief Information Officers (für IT zuständige Vorstände) von 256 bedeutenden Unternehmen in 23 Ländern weltweit in Amerika, Europa und im Asiatisch-Pazifischen Raum bezüglich ihrer Vorgehensweisen zur Steuerung der IT befragt. Diese Studie erfolgte in Zusammenarbeit mit der Gartner Group, die zehn weitere Fallstudien beisteuerte. Die zweite Untersuchung fasste das Ergebnis von 40 Interview orientierten Fallstudien mit multinationalen Konzernen wie Johnson & Johnson, Carlson Companies, UPS, Delta Air Lines und ING Direct zusammen. Die zusammenfassenden Erkenntnisse dieser umfangreichen Studien wurden in einer Reihe von Artikeln (CISR Working Papers und Zeitschriftenartikeln [WeWo02; Weil04; WeRo04a; WeRo05]) sowie einem Buch in verschiedenen Detaillierungsgraden dokumentiert. Das neue Buch (2004) von Peter Weill und Jeanne Ross [WeRo04b] behandelt das Thema und die Firmenfallstudien am ausführlichsten und kann als Standardwerk für das Thema IT Governance angesehen werden. 2.3.3 Matrix Ansatz für Design der IT-Governance Die Ergebnisse der Studien an den erfolgreichsten untersuchten Firmen können in folgender Kurzdarstellung zusammengefasst werden: Es konnte keine beste Methode für IT-Governance gefunden werden, je nach den Umgebungsbedingungen wählten die erfolgreichsten Organisationen unterschiedliche Strategien. Allerdings passiert effektives IT-Governance nicht zufällig, sondern ist das

- 14 -

Ergebnis sorgfältigen Designs. In den Firmen mit den besten Ergebniszahlen ist ein volles Verständnis für IT-Governance bei den Führungskräften vorhanden und wird auch täglich gelebt. Es zeigte sich, dass die Effektivität der IT-Governance daran gemessen werden kann, wie gut sie die IT befähigt, die vier wichtigsten Ziele zu unterstützen:

Kosteneffektivität Nutzung der Betriebsmittel Business Wachstum Business Flexibilität

Die gemessene Performance der IT-Governance zeigte eine Verteilung ähnlich einer Glockenkurve und es konnte eine gute Korrelation zwischen der Performance der ITGovernance und den genannten Faktoren verifiziert werden. Firmen mit gelebter ITGovernance konnten bis zu 20% höhere Gewinne als vergleichbare andere Unternehmungen erzielen. IT-Governance umfasst fünf wesentliche Entscheidungsbereiche, die prinzipiell auf verschieden Hierarchieebenen entschieden werden können.

IT-Prinzipien IT-Architektur IT-Infrastruktur Identifizierung der wesentlichen Business Applikationen IT-Investition und Priorisierung. Ein wichtiger Schritt im Design der IT-Governance ist, Entscheidungsebene festzulegen.

die

jeweils

verantwortliche

Prinzipiell gibt es sechs typische Ansätze für IT-Entscheidungen:

Business Monarchie, die Entscheidungen erfolgen zentralisiert durch das oberste Management IT-Monarchie, IT-Experten entscheiden Föderalistisches Prinzip, das Mittelmanagement aller operativen Gruppen arbeitet mit der Zentrale zusammen IT-Duopol, gemeinsame Entscheidung durch Business und IT-Führungskräfte Feudalsystem, die Leiter von Abteilungen oder Prozessen entscheiden auf Grund der jeweiligen Anforderungen Anarchie, jeder Anwender, bzw. jede kleine Gruppe entscheidet selbst

Bild 3 IT-Governance Entscheidungsmatrix [WeRo05] Mittels einer Matrix, in der die fünf Entscheidungsbereiche den sechs Entscheidungsansätzen gegenübergestellt werden (Bild 3), kann nun für jede Organisation

- 15 -

deren Entscheidungsstruktur spezifiziert, analysiert und kommuniziert werden. Bei den untersuchten Firmen zeigten sich typische Häufungspunkte in der Matrix. Weiters zeigte sich, dass verschiedene, höchst erfolgreiche Konzerne unterschiedliche Entscheidungsstrukturen anwenden. Dabei konnten grob drei Gruppen identifiziert werden:

Ein zentralisierter Ansatz bei Firmen mit maximaler Profitrate Dezentralisierte Ansätze bei Firmen mit starkem Wachstum Hybride Ansätze bei Firmen mit optimaler Ausnutzung ihrer Betriebsmittel Die Essenz der Ergebnisse bei den erfolgreichsten Firmen fasst Weill in der folgenden Darstellung zusammen (deren detaillierte Besprechung den Rahmen dieser Arbeit überschreiten würde):

Bild 4 Entscheidungsstrukturen Optimierungskriterien [WeRo05]

erfolgreicher

Unternehmen

mit

verschiedenen

Aus den Ergebnissen leitet Weill Empfehlungen für das optimale Design einer IT-Governance ab. Jede Firma soll zuerst ihre eigenen Bedürfnisse für Synergie und Autonomie feststellen, die Rolle der Organisation danach einrichten und danach an Hand der Matrix die optimalen IT-relevanten Entscheidungsstrukturen sorgfältig festlegen.

2.4 Weitere Artikel zu IT-Governance

Obwohl das Thema IT-Governance derzeit sehr aktuell ist, findet man zu dem Begriff ITGovernance nicht allzu viele Artikel aus dem akademischen Bereich. Das liegt wohl darin, dass das Thema primär durch die großen Consulting- und Trainigsfirmen getrieben wird. Die akademische Forschung befasst sich eher im Detail mit Spezialthemen aus dem Bereich des IT-Governance. In den deutschsprachigen Zeitschriften wurden gemäß der Aktualität des Themas in den beiden Top- Journals für Wirtschaftsinformatik zwei neuere Artikel gefunden: Meyer, Zarnekow und Kolbe geben in der Wirtschaftsinformatik [MeZK03] einen Überblick über den IT-Governance Begriff, Status quo und Bedeutung. In sehr kompakter Form wird überblicksartig neben IT-Governance speziell CobiT besprochen. Hingegen bringt Helmut Grohmann, Konzern-CIO bei der Deutsche Bahn AG in seinem Beitrag über

- 16 -

Prinzipien der IT-Governance [Groh03] (in einem Heft der Praxis der Wirtschaftsinformatik ) eine Darstellung der IT-Governance aus geschäftlicher Sicht mit Betonung der organisatorischen Konsequenzen und der Rollenverteilung. Der Artikel enthält eine Beschreibung des IT-Governance-Modells bei der Deutsche Bahn AG und seine damit gemachten Erfahrungen bei der Durchführung von Projekten. Zwei Diplomarbeiten von österreichischen Universitäten sind ebenfalls dem Thema ITGovernance gewidmet [Hesc02; Hove04]. Die englischsprachige Literatur ist reichhaltiger. In den USA wurde das Thema schon seit vielen Jahren behandelt, auch unter dem Stichwort IS Governance. Einer der Basis-Artikel stammt von Sambamurth und Zmud [SaZm99], indem schon 1999 die Bedeutung von Authoritätsstrukturen auf die IT-Aktivitäten unter mehrfachen Einflussfaktoren untersucht wurde. Wesentlich ist der Aspekt der Verteilung: zentral, dezentral oder föderalistisch. Diese Überlegungen gehen mit denen von Weill [Weil04] konform und wurden von der CISR weitergeführt. Ein neuerer Artikel, der ebenfalls zur Weill Line passt, stammt von Peterson [Pete04]. Auch er diskutiert den Zusammenhang der optimalen Organisations- und Entscheidungsstrukturen mit dem IT-Verteilungsgrad und stellt ein Modell für einen IT Governance Assessment Process vor, mit dem die Effektivität einer aktuellen IT-Governance Architektur bewertet werden kann. Mit dem Spezialthema der Organisationsstruktur, wie Rollen und Stellung des CIO beschäftigt sich Rau [Rau04], während Huff et al. [HuMM04] über die Notwendigkeit der Einrichtung von IT-Committees durch das Board am Beispiel von Finanzunternehmungen berichtet. Ein echter Schwerpunkt sind derzeit Artikel über eine notwendige Ausdehnung des Modells für IT-Governance: So fordern Nada und Andrew Kakabadse [KoKa01], dass IS/ITGovernance ein erweitertes Modell benötigt, in dem nicht nur der Kontrollaspekt, sondern im Rahmen einer Orientierung am Stakeholder die Bedürfnisse aller internen und externen Stakeholder berücksichtigt werden müssen. Genauso fordert auch Robbins in [Robb04], dass in einem pluralistischen mehrdimensionalen Modell IT-Governance auch auf die Berücksichtigung von Partnern, Service Providern und Anwendern innerhalb und außerhalb der Firmengrenzen erweitert werden muss. Dieselbe Idee verfolgt Patel [Pate02] in seinem Artikel, indem er für die Unterstützung von globalen e-business Geschäftsmodellen die Erweiterung in Richtung e-business IT-Governance unter Einbeziehung der Lieferanten, Geschäftspartner und Kunden als notwendig erachtet. Die anderen gefundenen Beiträge widmen sich verschiedensten Themen. Während McManus [Mcma04] IT-Governance als Teilgebiet von IS Governance sieht, ist der Artikel von De Haes und Grembergen [HaGr04] über IT-Governance und seine Mechanismen eine erweiterte Darstellung der Steuerungsmechanismen aus dem Board Briefing des ITGI [ITGo03d]. Bodnar stellt unter dem Titel IT Governance [Bodn03] im wesentlichen CobiT in Hinblick auf die Nutzung durch einen IS-Auditor dar. Andere Artikel befassen sich mit dem Einfluss von Sarbanes-Oxley auf IT-Governance [Groh03; Edel04; ITGo04b].

2.5 Zusatzinformationen

2.5.1 Verordnungen und Regulative mit Einfluss auf IT-Governance Die Beschreibung der folgenden Organisationen wurde aus [ITGo03c] entnommen. Committee of Sponsoring Organisations der Treadway Commission (COSO) Der im Jahr 1992 erstellte Bericht des COSO Komitees (COSO Framework) definiert interne Kontrollen als einen Prozess, der durch das Top-Management oder andere Personen der

- 17 -

Organisation initiiert wird. Dieser Prozess dient dazu, angemessene Absicherungen im Bezug auf Zielerreichung in den folgenden Kategorien zu erstellen:

Effektivität und Effizienz der operativen Tätigkeiten Verlässlichkeit der Finanzberichterstattung Einhaltung relevanter Gesetze und Regulative

Das COSO-Framework wurde von vielen privaten und öffentlichen Organisationen umgesetzt. Es hat auch die Entwicklung von anderen Kontroll- und ManagementFrameworks - wie etwa CobiT - beeinflusst. In der jüngsten Vergangenheit wurde das COSOFramework auch als relevantes Rahmenwerk für die Erfüllung der Anforderungen des § 404 des Sarbanes-Oxley Acts genannt. Report des Committee on the Financial Aspects of CorporateGovernance (Cadbury Report, 1992) Der Cadbury Report gibt Empfehlungen für Good-Practices bezüglich der Verantwortlichkeiten von Vorständen/Geschäftsführern und Aufsichtsräten in deren Funktion des Reviews von Informationen und der Weitergabe von Informationen an die Anteilseigner. Die Empfehlungen dieses Berichts hatten einen wesentlichen Einfluss auf die Corporate Governance in Großbritannien und anderen Ländern. Obwohl sich der Bericht auf Finanzberichterstattung und Audit bezieht, beleuchtet er auch ein breiteres Spektrum von Corporate Governance. Internal Control: Guidance for Directors on the Combined Code (Turnbull Report, 1999) Der Turnbull Report fordert einen höheren Stellenwert für eine umfassendere Rolle des Audit Committees für Corporate Governance ein. Er wiederholt, dass geschäftsführende Gremien ein angemessenes internes Kontrollsystem betreiben sollen, welches die Investition der Aktionäre absichert. In diesem Sinne muss das Top-Management bestimmen, welche Risiken akzeptabel und welche nicht akzeptabel sind; was wahrscheinlich und weniger wahrscheinlich vorkommt; was das Unternehmen im Schadensfall unternehmen können wird; und welche Kosten und welcher Nutzen in der Risikoübertragung liegen. Organisation for Economic Co-operation and Development, Principles of Corporate Governance (1998) Die Prinzipien der OECD beziehen sich weitgehend auf in der Literatur bestehende Corporate Governance Konzepte und unterteilen diese in fünf Bereiche:

Die Rechte der Aktionäre Die Gleichbehandlung der Aktionäre Die Rolle von Stakeholdern Veröffentlichung und Transparenz Die Verantwortung des Top-Managements

Der letzte Bereich ist auch für IT-Governance anwendbar. Bank for International Settlements, Enhancing Corporate Governance in Banking Organisations (1999) Die BIS hat als Vertreter der Zentralbanken der G10-Staaten Policies und Richtlinien für den Finanzsektor erstellt, die sich speziell auf systemische und operationale Risiken beziehen. Die BIS betont, dass Governance Maßnahmen für hoch kritische Systeme effektiv, zuordenbar und transparent sein sollten. Obwohl nicht alle Unternehmen derart kritische Systeme betreiben, sind diese Richtlinien als Quelle für angemessene Governance Aktivitäten von Systemen und Services relevant.

- 18 -

2.5.2 Verbreitung und Fallstudien Die Verbreitung der hier beschrieben IT-Governance Philosophie im deutschsprachigen Raum ist noch nicht untersucht, dürfte aber gering sein. Ein Anwenderbericht ist in [Groh03] angeführt. In den Studien des CISR wurden über 300 Großunternehmen weltweit befragt, die eine Unternehmenssteuerung im Sinne von IT-Governance betreiben. Im Buch [WeRo04b] mit den Ergebnissen werden dazu 32 Fallstudien einzeln besprochen. Eine groß angelegte weltweite Untersuchung über die Bekanntheit und den Einsatz von ITGovernance wurde von PriceWaterhouseCoopers im Auftrag der ITGI im Jahre 2003 durchgeführt und in einem IT Governance Global Status Report [ITGo04d] veröffentlicht und kann über den ISACA Bookstore gekauft werden. In dieser Studie wurden 335 Personen auf CEO/CIO Ebene befragt. Die Ergebnisse:

Mehr als 93% der Führungskräfte erachten IT als wichtig für die Organisationsstrategie CIOs erkennen den Bedarf für eine bessere Governance der IT Als Frameworks wurden internationale Lösungen, herstellerspezifische Lösungen aber auch ISO9000 und CobiT genannt

2.5.3 Dokumentationen und Ausbildung Die Dokumentationen des ITGI im Umfeld zu IT-Governance können über die Website der ITGI http://www.itgi.org/ kostenlos herunter geladen werden, sie sind jedoch auch in Papierform beim ISACA Bookstore E-mail [email protected], Fax +1.847.253.1443, Phone +1.847.590.7486 käuflich zu erwerben. Die im Rahmen dieser Arbeit besprochenen Dokumente sind im Literaturverzeichnis aufgeführt [ITGo00a - ITGo04e]). Ausbildung zu IT-Governance wird in Europa durch diverse Trainingsinstitute im Rahmen von Seminaren angeboten, u.a. auch vom deutschen IT Governance Center http://www.itgc.de/, das versucht, die Idee des IT-Governance im deutschsprachigen Raum kommerziell zum nutzen. 2.5.4 Weiterentwicklung und Trends IT-Governance als Teil der Corporate Governance ist notwendiger Bestandteil jeder Unternehmensführung. Die Weiterentwicklung der Idee und der Methoden, die heute unter diesem Begriff subsumiert werden, wird primär durch das research think tank ITGI fortgeführt. Dieses bearbeitet aktuelle und neue Themen, die Relevanz für IT-Governance haben und publiziert laufend neue Dokumentationen für das Top-Management. Derzeit läuft auch eine neue Studie über Bekanntheitsgrad und Einsatz von IT-Governance.

2.6 Zusammenfassende Bewertung

Die beiden Darstellungen vom ITGI und vom CISR können als kompatibel und sich ergänzend angesehen werden. Während ITGI im wesentlichen eine Erweiterung der generischen CobiT Management Guidelines nach oben hin ist und diese um Anleitungen bezüglich optimaler Organisationsstrukturen für die Überwachung der IT-Governance ergänzt, sind die Erkenntnisse des CISR die Ergebnisse empirischer Untersuchungen kombiniert mit theoretischen Grundsätzen der Organisationslehre. So erwähnt Weill in seinem Buch [WeRo04b, S.242 in Anmerkung 14] auch explizit das ITGI und die CobiT Dokumentationen und bewertet sie als konsistent zu seiner Auffassung von ITGovernance. Andererseits wird im Board Briefing des ITGI auch auf einen Artikel von Weill Bezug genommen [ITGo03d, S.25].

- 19 -

3 CobiT (Control Objectives for Information and Related Technology)

3.1 Einführung

CobiT (Control Objectives for Information and Related Technology) ist ein Modell von generell anwendbaren und international akzeptierten IT-prozessbezogenen Kontrollzielen (control objectives), die in einem Unternehmen beachtet und umgesetzt werden sollten, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. The CobiT Mission: To research, develop, publicise and promote an authoritative, up-todate, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors . CobiT wurde vom internationalen Prüfungsverband ISACA (Information Systems Audit and Control Association) seit 1993 entwickelt und als erste Version Ende 1995 veröffentlicht. Im Mai 1998 erschien eine komplett überarbeitete und erweiterte Version mit 34 IT-Prozessen und 300 Kontrollzielen. Im Juli 2000 wurde CobiT in der 3. Version im Wesentlichen um Aspekte des IT-Governance im Rahmen sog. Management Guidelines erweitert. Es sind darin auch die Kernziele, die kritischen Erfolgsfaktoren, sowie die messbaren Leistungsindikatoren aufgeführt, welche eine klare Überwachung der IT-Prozesse durch das Management ermöglichen. Das CobiT Framework besteht aus verbreiteten, generell akzeptierten Praktiken (Best Practices), welche sicherstellen, dass die benutzte Informationstechnologie die Geschäftsziele abdeckt, dass die Ressourcen verantwortungsvoll eingesetzt und die Risiken entsprechend überwacht werden was mit dem Begriff IT-Governance bezeichnet wird. CobiT ist die einzige allumfassende Methode zur Unterstützung von IT-Governance auf allen Ebenen. 3.1.1 Zielgruppe Ursprünglich war CobiT eine Sammlung von Kontrollzielen als Unterstützung im Rahmen von IT-Revisionen. Heute stellt CobiT eine Sammlung von Veröffentlichungen dar, die als allgemein akzeptierter Standard für IT-Sicherheit und IT-Kontrolle bezeichnet werden können, und die ein Modell ergeben, das von Mitgliedern des Managements, Anwendern, Auditoren und Sicherheitsfachleuten angewandt werden kann. Zielgruppe sind somit alle betroffenen Stakeholder wie Direktoren, das obere Management, die Eigner von Prozessen, Anwender, IT-Lieferanten, Revisoren, etc. 3.1.2 Verantwortliche Institution Die CobiT Dokumentationen werden vom IT Governance Institut ITGI (siehe Kap. 2.2.1) und der ISACA Information Systems Audit and Control Association, http://www.isaca.org/, herausgegeben. Die ISACA ist die führende Vereinigung von Professionals in den Bereichen Audit, Kontrolle, Sicherheit und Governance von Informationssystemen. ISACA hat 35.000 Mitglieder in 100 Ländern und in fast allen Ländern lokale Unterorganisationen. Die Mitglieder sind CEOs, CFOs, CIOs, Instruktoren, Spezialisten für Informationssicherheit, ITConsultants und Studenten. ISACA bietet Ausbildungslehrgänge und Zertifizierungen (CISA und CISM), gibt die Zeitschrift Information Systems Control Journal heraus und sponsert Konferenzen.

- 20 -

3.1.3 Überblick und Struktur CobiT hat das Ziel, IT-Governance für alle betroffenen Ebenen in einer Organisation mit Best Practices zu unterstützen. Dies geschieht durch die Bereitstellung umfangreicher Dokumentationen, in denen generisch die notwendigen Aktivitäten zur Zielerreichung beschrieben werden. Entsprechend den unterschiedlichen Zielgruppen, wie Top-Management, IT-Management, Revisoren, IT-Personal, Anwender etc. ist die CobiT Dokumentation in mehreren Bänden mit unterschiedlichen Schwerpunkten und steigendem Detaillierungsgrad organisiert. Basis bildet das Framework. Die folgende Abbildung zeigt die hierarchische Struktur der Dokumentationen mit der jeweiligen Zielgruppe und dem Schwerpunkt.

Executive Summary Senior Executives (CEO, CIO)

There is a Method...

Framework

Senior Operational Management

Implementation Tool Set

Director, Middle Management

The Method Is...

Here s How You Implement...

Management Guidelines

Director, Middle Management

Control Objectives

Middle Management

Audit Guidelines

Line Management, Controls Practitioner

Here s How You Measure...

Minimum Controls Are...

Here s How You Audit...

Key Goal Indicator

Critical Success Factor

Key Performance Indicator

Maturity Model

Bild 5 Struktur der CobiT Dokumentationen [Bitt05] Die CobiT Dokumentation besteht aus folgenden Bänden, die anschließend im Kap. 3.2 im Einzelnen besprochen werden:

Executive Summary Framework Implementation Toolset Management Guidelines Control Objectives Audit Guidelines Control Practices (Zusatzdokumentation, Standarddokumentation)

nicht

Bestandteil

der

6-teiligen

3.2 Komponenten

3.2.1 Executive Summary Für die Zielgruppe Geschäftsleitung und Top-Management wird ausgehend vom Begriff der IT-Governance ein Überblick gegeben, der ein Verständnis der CobiT Konzepte und Prinzipien erlaubt.

- 21 -

Für die Erreichung der Organisationsziele ist das effektive Management von Informationen und der damit verbundenen Informationstechnologie unerlässlich, mit anderen Worten ITGovernance, das mit folgender Definition eingeführt wird: IT-Governance: A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes . Die Ziele von IT-Governance sind:

Die IT ist ausgerichtet auf die Geschäftstätigkeit, ermöglicht diese und maximiert dabei den Nutzen IT-Ressourcen werden vernünftig (wirtschaftlich) verwendet IT-bezogene Risiken werden angemessen gemanaged

Bild 6 IT-Governance: Zielerreichung durch Managen der IT-Aktivitäten [ITGo00a] Damit das Management seine Geschäftsziele erreichen kann, muss es die IT-Aktivitäten derart leiten und managen, dass ein effektiver Ausgleich zwischen dem Managen der Risiken und dem erzielten Ertrag erreicht werden kann. Dazu müssen die wichtigsten Aktivitäten identifiziert und ihr Erfolgsbeitrag zur Zielerreichung gemessen werden. Zusätzlich muss die Maturität der Organisation mit den Best Practices der Industrie und internationalen Standards verglichen werden. Daraus wird die Notwendigkeit eines IT-Governance unterstützenden Rahmenmodells, wie es CobiT bietet, abgeleitet. Speziell die Management Guidelines mit der Beschreibung der kritischen Erfolgsfaktoren, den wesentlichen Kernzielen und Leistungsindikatoren und das Maturity Model für IT-Governance bieten die geeignete Unterstützung für das Management. Im Executive Summary werden die Struktur der Dokumentation und ein Überblick über das Frameworks mit seinen vier Domänen und den Prozessen dargestellt. Für Details über die Erfolgsfaktoren wird auf die Management Guidelines verwiesen. 3.2.2 Framework Das Framework bildet den Kern des CobiT Rahmenmodells. Ziel aller IT-Aktivitäten ist die Unterstützung der Geschäftsziele mit Hilfe der IT-Ressourcen. Um die Informationen bereitzustellen, die die Organisation für die Zielerreichung benötigt, müssen die IT-Ressourcen durch eine Gruppe von Prozessen gesteuert werden. Das CobiT Framework folgt diesem Ansatz und hat daher die im Folgenden beschriebene Architektur ausgebildet.

- 22 -

Das CobiT Framework ist prozessorientiert organisiert und definiert für jeden IT-Prozess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontrollziele für diesen Prozess. Für die Formulierung der Kontrollziele werden sieben Arten von Geschäftsanforderungen, d.h. Kriterien für Qualität, Sicherheit und Ordnungsmäßigkeit berücksichtigt: die klassischen Sicherheitsanforderungen Vertraulichkeit, Integrität und Verfügbarkeit Effektivität (Wirksamkeit), Effizienz (Wirtschaftlichkeit) sowie Compliance (Einhaltung rechtlicher Erfordernisse) und Zuverlässigkeit (Ordnungsmäßigkeit der Berichterstattung). Die Struktur der Kontrollziele lehnt sich an ein prozessorientiertes Geschäftsmodell an. Geschäftsprozesse basieren laut CobiT auf IT-Ressourcen, also auf Daten, Anwendungen, Technologien, Anlagen und Personal (da zuständig für die Definition, die Implementierung, den Betrieb und die Überwachung der IT, kann es ebenfalls als IT-Ressource angesehen werden): Daten sind Datenelemente im weitesten Sinn (also externe und interne), strukturierte und nicht-strukturierte, wie z.B. Graphiken oder auch ein Ton. Als Anwendungen bezeichnet man die Summe manueller und programmierter Verfahren. Technologien umfassen Hardware, Betriebssysteme, Datenbankverwaltungssysteme, Netzwerke, Multimedia, usw. Anlagen beinhalten alle Ressourcen zur Beherbergung und Unterstützung von Informationssystemen. Die IT-Ressource Personal umfasst Kenntnisse, Bewusstsein und Produktivität zur Planung, Organisation, Beschaffung, Ablieferung, Unterstützung und Überwachung von Informationssystemen. Die für die Geschäftsprozesse benötigten Mitarbeiter, Daten, Anwendungen, Technologien und Anlagen müssen kontrolliert geplant, entwickelt, implementiert, betrieben und überwacht werden. CobiT definiert dazu 34 kritische Prozesse, die innerhalb der IT identifiziert werden können. Diese Prozesse sind für das Management erfolgsbestimmend. Sie lassen sich in vier übergeordnete Domänen (IT Domains) gruppieren, die einen geschlossenen Kreislauf bilden (Bild 7): Planung und Organisation: Die Domäne Planung und Organisation (planning and organisation) umfasst die Strategie und Taktik und betrifft die Bestimmung der Art, wie die Informationstechnologie am besten zur Erreichung der Geschäftsziele beitragen kann. Weiters muss die Realisierung der strategischen Vision für unterschiedliche Aspekte geplant, kommuniziert und geleitet werden. Schließlich muss eine geeignete Organisation wie auch eine technologische Infrastruktur bereitstehen. Beschaffung und Implementation: Um die IT-Strategie zu erreichen, müssen ITLösungen identifiziert, entwickelt, oder beschafft und implementiert werden. Des Weiteren deckt die Domäne Beschaffung und Implementation (acquisition and implementation) die Veränderungen und die Wartung von bestehenden Systemen ab. Betrieb und Unterstützung: Die Domäne Betrieb und Unterstützung (delivery and support) betrifft die effektive Bereitstellung der gewünschten Dienstleistungen, welche vom traditionellen Betrieb über Sicherheits- und Kontinuitätsfragen bis zur Ausbildung reichen. Zum Betrieb von Dienstleistungen müssen die notwendigen Unterstützungsprozesse etabliert werden. Diese Domäne beinhaltet auch die eigentliche

- 23 -

Datenverarbeitung durch Anwendungen (oft unter dem Begriff applikationsabhängige Kontrollen geführt). Überwachung: Domain Überwachung (monitoring): Alle Prozesse müssen regelmäßig auf ihre Qualität und auf die Erreichung der Kontrollziele (Erfüllung der Kontrollanforderungen) überprüft werden. Die folgende Abbildung verdeutlicht die Erkenntnisse und definiert schematisch das CobiTFramework mit der Zuordnung der 34 Prozesse zu den 4 Domänen.

COBIT Framew ork

M1 M2 M3 M4 Monitor the process Assess internal control adequacy Obtain independent assurance Provide for independent audit

Business Objectives

Criteria

Effectiveness Efficiency Confidenciality Integrity Availability Compliance Compliance Reliability

IT RESOURCES

PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality

Data Application systems Technology Facilities People

PLAN AND ORGANISE

MONITOR AND EVALUATE

DS1 Define service levels DS2 Manage third-party services DS3 Manage peformance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and attribute costs DS7 Educate and train users DS8 Assist and advise IT customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations

ACQUIRE AND IMPLEMENT

DELIVER AND SUPPORT

AI1 AI2 AI3 AI4 AI5 AI6

Identify automated solutions Acquire and mantain application software Acquire and maintain technology infrastructure Develop and maintain IT procedures Install and accredit systems Manage changes

Bild 7 CobiT Framework mit den Prozessen der Domänen [ITGo00b] Gemäß einem Wasserfallmodell, das die Verbindung zwischen den Geschäftzielen und der IT herstellt, legt CobiT für jeden Prozess generisch fest:

ein Hauptkontrollziel (high-level control objective) detaillierte Kontrollziele (zwischen 3 und 30) Kontrollpraktiken (control practices, 5 bis 7 je Kontrollziel )

Kontrolle über den

IT Prozess

zur Erfüllung der

Geschäftsanforderungen

wird ermöglicht durch

Kontrollanweisungen

und berücksichtigt

Bild 8 CobiT Wasserfallmodell [ITGo00b]

KontrollPraktiken

- 24 -

In der Frameworks Dokumentation werden nur die Hauptkontrollziele in generischer Form, d.h. auf hohem Niveau und technologieunabhängig besprochen. Die detaillierten Kontrollziele werden im Band Control Objectives beschrieben. Im Folgenden sind die 34 Prozesse aufgelistet. PO Planning and Organisation PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality AI Acquisition and Implementation AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures AI5 Install and accredit systems AI6 Manage changes DS DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 Delivery and Support Define and manage service levels Manage third-party services Manage performance and capacity Ensure continuous service Ensure systems security Identify and allocate costs Educate and train users Assist and advise customers Manage the configuration Planung und Organisation Definition eines strategischen IT-Plans Definition der Informationsarchitektur Bestimmung der technologischen Richtung Definition der IT-Organisation und ihrer Beziehungen Verwaltung der IT-Investitionen Kommunikation von Unternehmenszielen und -richtungen Personalwesen Sicherstellung der Einhaltung von externen Anforderungen Risikobeurteilung Projektmanagement Qualitätsmanagement Beschaffung und Einführung Identifikation von automatisierten Lösungen Beschaffung und Unterhalt von Anwendungssoftware Beschaffung und Unterhalt der technischen Architektur Entwicklung und Unterhalt von ITVerfahren Installation und Akkreditierung von Systemen Änderungswesen Auslieferung und Unterstützung Definition und Management von Dienstleistungsgraden (SLA) Management der Leistungen von Drittfirmen Leistungs- und Kapazitätsmanagement Sicherstellung der kontinuierlichen Dienstleistunsbereitschaft Sicherstellung der Systemsicherheit Identifizierung und Zuordnung von Kosten Aus- und Weiterbildung der Benutzer Unterstützung und eratung von Kunden Konfigurationsmanagement

- 25 -

DS10 DS11 DS12 DS13

Manage problems and incidents Manage data Manage facilities Manage operations

Umgang mit Problemen und Vorfällen Verwaltung der Daten Verwaltung von Einrichtungen Management des Operatings Überwachung Überwachung der Prozesse Beurteilung der Angemessenheit der internen Kontrollen Erlangen einer unabhängigen Bestätigung Für eine unabhängige Revision sorgen

M Monitoring M1 Monitor the process M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit

Tabelle 2 Die 34 CobiT Prozesse in den 4 Domänen 3.2.3 Control Objectives Der umfangreiche Band Control Objectives erweitert das Framework um die Beschreibung aller detaillierten Kontrollziele je Prozess. In Summe werden 318 Kontrollziele in generische Form beschrieben. Beispielhaft seien hier die Kontrollziele für den Prozess PO4 aufgelistet: PO 4 Definition der IT-Organisation und ihrer Beziehungen 4.1 Der IT-Planungs- und Lenkzngsausschuss 4.2 Organisatorische Einordnung der Informatik 4.3 Prüfung der organisatorischen Ausgestaltung 4.4 Rollen und Verantwortlichkeiten 4.5 Verantwortung der Qualitätssicherung 4.6 Verantwortung für logische und physische Sicherheit 4.7 Eigentümerprinzip und treuhänderische Tätigkeit 4.8 Eigentümerprinzip für Daten und Systeme 3.2.4 Control Practices Dieser Band ist nicht Bestandteil des 6-teiligen Standard Sets, kann aber getrennt erworben werden. Er erweitert den Band Control Objectives um die Kontrollpraktiken (control practices) je Kontrollziel. Dies sind genauere Anweisungen auf einem tiefer liegenden Praxisniveau, durch welche Tätigkeiten die Erreichung des Kontrollziels abgesichert werden kann. Die Beschreibung ist jedoch noch immer Technologie-unabhängig. 3.2.5 Management Guidelines Die Management Guidelines richten sich an das Management auf oberster und mittlerer Ebene. Ausgehend vom CobiT Framework und seinen Kontrollzielen wurden die Management Guidelines vom IT Governance Institut in Zusammenarbeit mit weltweiten Experten und Analysten speziell für die Aufgabenstellungen des Managements entwickelt. In Weiterführung der Ansätze aus dem Executive Summary bieten sie genau die Werkzeuge für IT-Govenance, mit denen kontrolliert und gemessen werden kann, ob und wie die interne IT die geforderten Ziele erfüllt und damit ihren Beitrag zur Erreichung der globalen Ziele der Organisation liefert.

- 26 -

Es wurden vier Komponenten entwickelt: Ein Reifegradmodell für strategische Entscheidungen und Benchmark Vergleiche, in Anlehnung an das CMM Modell für Softwareentwicklung Kritische Erfolgsfaktoren (Critical Success Factors, CSFs) um die IT-Prozesse unter Kontrolle zu bringen Zielerreichungsindikatoren (Key Goal Indicators, KGIs), um die Erreichung der Ziele für die IT-Prozesse zu messen Leistungsindikatoren (Key Performance Indicators, KPIs), um die Performance innerhalb jedes Prozesses zu messen. In den Komponenten wird u.a. auf den Prinzipien des Balanced Business Scorecard Modells von Kaplan/Norton aufgesetzt. Reifegradmodelle Es wird ein generisches 5-stufiges Reifegradmodell vorgestellt, mit dem jede Organisation die aktuelle Reife ihrer Entwicklung feststellen kann. 0 1 2 3 4 5 Non existent Initial Repeatable Defined Managed Optimised Überhaupt keine Management-Prozesse vorhanden Prozesse sind ad hoc und unorganisiert Prozesse folgen einem nicht formal definierten Muster Prozesse sind standardisiert, dokumentiert und kommuniziert Prozesse werden überwacht und gemessen Prozesse nach Best Practices werden befolgt und sind automatisiert

Kritische Erfolgsfaktoren definieren die wichtigsten Probleme und Aktionen für das Management um Kontrolle über oder innerhalb eines IT-Prozesses zu erreichen. Sie sind:

die wichtigsten Dinge, die zu tun sind um die Erfolgswahrscheinlichkeit des Prozesses zu erhöhen beobachtbar, meist messbar, und Leistungsmerkmale der Organisation und des Prozesses fokussiert auf das Erreichen, Behalten und Unterstützen von Fähigkeiten, Kenntnissen und Verhalten

Beispiele sind:

Der strategische IT-Plan Die generellen Richtlinien, die eingehalten werden sollen Generalbebauungsplan für die IT-Systeme Der Sicherheitsplan

Zielerreichungsindikatoren definieren Maßzahlen, die dem Management im Nachhinein angeben, ob ein IT-Prozess seinen Anforderungen gerecht wurde, üblicherweise in Form folgender Informationskriterien:

Verfügbarkeit der Informationen, die für die Unterstützung der Geschäftsziele benötigt werden Kein Risiko bezüglich Datensicherheit und Datenintegrität Kosteneffizienz der Prozesse und Operationen Bestätigung von Zuverlässigkeit, Effektivität und Übereinstimmung mit den Anforderungen

Sie sind auf die Geschäftsanforderungen fokussiert und bieten üblicherweise Maßzahlen, die für die Finanz- und Kunden-bezogenen Dimensionen des Balanced Business Scorecard benötigt werden. Beispiele sind:

Erhöhter Service Level Grad

- 27 -

Anzahl der unterstützten Kunden und Kosten pro Kunde Verfügbarkeit der Systeme und Services Produktivität und Moral des Personals Verbesserte Produktivität

Leistungsindikatoren definieren Maßzahlen, um zu bestimmen, wie gut der IT-Prozess das vorgegebene Ziel erreicht. Dies sind die wesentliche Indikatoren dafür, ob ein Ziel wahrscheinlich erreicht wird oder nicht und sind gute Indikatoren für Fähigkeiten, Verfahren und Kompetenzen. Im Gegensatz zu den Zielerreichungsindikatoren sind die Key Performance Indikatoren auf die Ressourcen und die IT Prozesse fokussiert und drücken die Qualität des Ressourcenmanagements und der Prozessperformance aus, dies immer mit dem Ziel, die Prozesse und deren Performance zu verbessern. Beispiele für derartige Indikatoren sind:

Verfügbarkeit der Anwendungen Antwortzeiten Anzahl des geschulten Personals Anzahl unbesetzter Stellen

Die Management Guidelines beschreiben die Kriterien für die Reifegradbestimmung, die kritischen Erfolgsfaktoren und die Zielerreichungs- und Leistungsindikatoren für mehrere Ebenen: Für einen generellen generischen IT-Prozess Für den Prozess der gesamten IT-Governance Für jeden der 34 individuellen Prozesse aus dem Framework Damit sind dem Management aussagekräftige und detaillierte Hilfsmittel in die Hand gegeben, um IT-Governance sowohl auf Ebene der Geschäftsleitung als auch auf operativer Prozessebene durchzuführen und zu managen. 3.2.6 Audit Guidelines Dieser Band wendet sich speziell an Auditoren, Prüfer, Revisoren. Er sollte in Abstimmung mit dem Band Control Objectives eingesetzt werden. Er hat nicht den Anspruch, alles für jeden zu bieten, im Echteinsatz sind jeweils Adaptionen vorzunehmen. Ziele des Auditings sind: Sicherheit für das Management zu bieten, dass alle Kontrollziele erreicht werden Feststellung des Risikos, wo signifikante Kontrollschwächen sind Hinweise für das Management, welche Korrekturmaßnahmen zu erfolgen haben Ein Prüfprozess erfolgt nach folgendem Schema: 1. Feststellung und Dokumentation der zu überprüfenden Aktivitäten und deren Prüfprozedur 2. Evaluierung der Prüfmethoden 3. Test auf Übereinstimmung (compliance) 4. Prüfung auf Risiko der Nichterfüllung (substantive testing) Die Audit Guidelines enthalten einen generischen Guideline und 34 Prozess orientierte Guidelines. Der generische Guideline beschreibt verschiedene, für jedes Kontrollziel durchzuführende Prüfungen, während die Prozess-orientierten Anleitungen für jedes Kontrollziel individuelle Hinweise gegeben, was konkret überprüft werden soll und wie der

- 28 -

Test erfolgen kann. Die Audit Guidelines ermöglichen dem Prüfer, alle IT-Prozesse gegen die empfohlenen CobiT Control Objektives zu prüfen. Auch bei der Überprüfung jedes einzelnen Kontrollziels ist nach den oben angegebenen Schritten vorzugehen. Die Audit Guidelines stehen nicht nur in direktem Zusammenhang mit den Kontrollzielen (control objectives), sondern berücksichtigen auch die Indikatoren der Management Guidelines, wie die folgende Abbildung zeigt.

Business requirements information

IT Processes

cont r oll ed by

ct i ve ef f e it h made ent w f f i ci and e

m ea su re d

au di

by

Control Objectives

d te la ns ra to in

te d

ed ent l em i mp i t h w

by

t

f or out come

r fo

r pe

ce an m r fo

Critical Success Factors

ty

Audit Guidelines

Control Practices

r fo i ur at m

Key Performance Indicators

Key Goal Indicators

Maturity Models

= takes into consideration

Bild 9 Zusammenspiel der Audit Guidelines mit allen anderen CobiT Elementen [ISAC04] 3.2.7 Implementation Toolset Dieser Band enthält Anleitungen für eine Einführung von CobiT, wie einen Aktionsplan, Hinweise zur Risikofeststellung und Audit-Planung. Erster Schritt ist immer die Feststellung des Ist-Zustandes. Im Band sind enthalten: ein Überblick für das Management eine Reihe von Fallstudien zum Einführungsprozess mit lessons learned von Firmen, die erfolgreich eingeführt haben 25 Antworten zu häufig gestellten Fragen zu CobiT (FAQs) ein Einführungsleitfaden mit Fragebögen zu Diagnose der aktuellen Standes des Management Bewusstseins (awareness) und der aktuellen IT Kontrolle.

- 29 -

3.3 Zusatzinformationen

3.3.1 Verbreitung und Fallstudien CobiT hat inzwischen bereits einen beachtlichen Bekanntheitsgrad erreicht. Viele Vorträge und Seminare tragen auch dazu bei. In Deutschland kennt nach einer neueren Befragung ein Drittel der IT-Verantwortlichen den Begriff CobiT, damit befasst hat sich ein Viertel. Werte über Einsatzzahlen liegen nicht vor. Die beste Studie über die weltweite Verbreitung ist diejenige von der ITGI, nämlich der IT Governance Global Status Report [ITGo04d]. In dieser wird berichtet, dass 18% der Befragten

CobiT bekannt war, 30% davon setzen CobiT ein, d.h. nur 5% aller Unternehmen setzen CobiT ein. Allerdings ist der Zufriedenheitsgrad mit 73-91% sehr hoch.

Auf der Homepage der ISACA werden 33 Fallstudien über den Einsatz von CobiT bei bekannten Unternehmungen angeführt und weiters immer neuen Einsatzfälle publiziert. Nach einem Artikel in TechRepublic [Olts03] verwendet z.B. der Staat Kansas CobiT als Teil seiner virtual government Strategie und Dell Computer hat CobiT als Teil seiner Control Self Assessment (CSA) corporate policy übernommen. 3.3.2 Dokumentationen und Ausbildung Die CobiT Dokumentationen können kostenlos von der ISACA Homepage http://www.isaca.org/ herunter geladen werden, außer den Audit Guidelines, die nur für ISACA Miglieder erhältlich sind. Natürlich können alle Bücher auch über den ISACA Bookstore gekauft werden. Für ISACA Mitglieder bietet CobiT Online die komplette Dokumentation und auch noch eine Reihe weiterer hilfreicher Dokumentationen und Dienste. CobiT ist nur in englischer Sprache verfügbar. ISACA Schweiz hat einige Teile (inoffiziell) auf Deutsch übersetzt und verwendet dies für Schulungszwecke. Die ISACA veranstaltet auch für Ausbildungszwecke - viele Konferenzen, auf denen aktuelle Themen behandelt werden. Ausbildungen in CobiT werden von den jeweiligen ISACA Landesstellen (ISACA.CH, ISACA.DE) auch in Zusammenarbeit mit Trainingsinstituten durchgeführt. 3.3.3 Weiterentwicklung und Trends Derzeit ist die CobiT Release 3 aktuell. Über CobiT Online (Gebühr) ist bereits eine geringfügig erweiterte Release 3.2 verfügbar. CobiT wird sicher weiterentwickelt werden, da die Verbreitung sichtlich zunimmt. Offizielle Aussagen dazu gibt es keine.

3.4 Zusammenfassende Bewertung

CobiT ist sicherlich bezüglich der Breite das umfassendste Rahmenwerk und Referenzmodell für die Einführung von IT-Governance in allen Bereichen einer Unternehmung. Die definierten IT-Prozesse und ihre Kontrollziele können als Best Practice in diesem Bereich angesehen werden. Die Tiefe ist obwohl keine technischen Details angegeben werden, als relativ groß anzusehen, da aus den Kontrollzielen die notwendigen Maßnahmen leicht abzuleiten sind. Allerdings ist die CobiT Dokumentation generisch, d.h. es wird auf keine speziellen Technologien eingegangen. Sie kann aber problemlos unterschiedlichen Ausgangslagen angepasst werden. Um die Problematik des ersten Einsatzes zu mildern stehen viele Consulting-Firmen auch gerne hilfreich zur Seite. Es kann auch mit der Implementierung von Teilen begonnen werden und das CobiT Rahmenwerk dann als Leitfaden und Checkliste auf dem langen Weg zur perfekten IT-Governance verwendet werden.

- 30 -

Als Ergebnis der Literaturrecherche wurden einige akademische Artikel mit Bewertungen von CobiT gefunden: Im Aufsatz von Lainhart [Lain00] wird nur der Inhalt von CobiT vorgestellt, Hawkins et al. [HaAK03] empfehlen den Einsatz von CobiT für Behörden mit hohen Sicherheitsanforderungen, wie The Critical Infrastructure Assurance Office (CIAO). Auf Grund der Qualität von CobiT sind kaum kritische Stimmen zu finden. Lediglich Mayer et al. merken an [MeZK03], dass bei der Prozessbetrachtung weder Input-/Output-Betrachtungen vorgenommen werden, noch konkrete Managementinstrumente aufgeführt sind, so dass eine genaue Betrachtung der Prozessbeziehungen nicht möglich ist und Ansätze zur Umsetzung der Aktivitäten innerhalb der einzelnen Prozesse unklar bleiben. Hochstein und Hunziker bewerten CobiT in [HoHu03] folgend:

Das CobiT-Framework zeichnet sich durch eine hohe Konsistenz bezüglich der Darstellung der einzelnen Prozesse aus. Zieldefinitionen, Erfolgsfaktoren, Effizienz- und Effektivitätskriterien sind im Rahmen einer End-to-End-Betrachtung für jeden Prozess angegeben. Der Detaillierungsgrad bewegt sich bei der Prozessbetrachtung auf einem konstant hohen Niveau. Leider fehlen sowohl ein I/OSchema als auch Managementinstrumente, so dass eine genaue Betrachtung der Prozessbeziehungen nicht möglich ist und innerhalb der einzelnen Prozesse unklar ist, wie die Aktivitäten umzusetzen sind. Auch die Verantwortlichkeiten und Zuständigkeiten bleiben weitestgehend unklar, da eine Rollendefinition nur ansatzweise vorhanden ist. Für die praktische Umsetzung des CobiT-Frameworks ist neben einem eigenen »Implementation-Toolset« ein Reifemodell vorhanden, welches Organisationen erlaubt, jeden Prozess einem Reifegrad zuzuordnen und geeignete Maßnahmen zur Erreichung eines höheren Reifegrads zu identifizieren. Trotz des hohen Detaillierungsgrades bleibt CobiT ein generisches Framework, so dass es problemlos unterschiedlichen Ausgangslagen angepasst werden kann.

CobiT integriert insgesamt 41 nationale und internationale Standards aus den Bereichen Kontrolle, Sicherheit, Qualitätssicherung und IT. Trotzdem kann CobiT nicht alles abdecken, was viele andere Standards enthalten, vor allem nicht in deren Tiefe. So vergleicht von Solms [Solm05] CobiT mit ISO 17799 und kommt zum Schluss, dass sich diese beiden Standards als Frameworks für Information Security Governance gegenseitig ergänzen und optimalerweise gleichzeitig berücksichtigt werden sollten. Eine vom ITGI und der ISACA publizierte Studie mit dem Namen CobiT Mapping [ITGo04a] vergleicht CobiT relativ grob mit einer Anzahl anderer internationaler Standards: ITIL Die IT Infrastructure Library ist eine Sammlung von Best Practices für IT-ServiceManagement. ISO/IEC 17799:2000 Der Code of Practice for Information Security Management ist ein internationaler Standard, basierend auf BS 7799-1. Er wird als Best Practice für die Implementierung von Informationssicherheits-Management erachtet. ISO/IEC TR 13335 Der technische Bericht Guidelines for the Management of IT Security enthält Informationen über IT Sicherheits-Management sowohl aus der Planungs- als auch aus der Implementierungs- und Maintenance-Perspektive. ISO/IEC 15408 Security Techniques Evaluation Criteria for IT Security wird als Referenz für die Bewertung und Zertifizierung von IT-Produkten und Services verwendet. TickIT TickIT liefert ein Schema für die Zertifizierung des Software QualitätsManagementsystems. NIST 800-14 Die spezielle Publikation Generally Accepted Principles and Practices for Securing Information Technology Systems enthält Informationen, um ein umfassendes IT Sicherheitsprogramm zu etablieren. COSO Integrated Framework definiert ein Framework, das einen integrierten Prozess der internen Kontrolle initiiert.

- 31 -

Die Breite (Umfang) und die Tiefe (Detaillierung) der analysierten Standards stellen sich in einer Übersicht wie folgt dar:

Bild 10 Umfang und Detaillierung der untersuchten Standards [ITGo04a] Wie erwartet, ist CobiT der breiteste Standard. Die sehr technisch orientierten Standards ITSEC und die Common Criteria, das IT-Grundschutzhandbuch und ITIL sind inhaltlich nicht derart umfassend, oder wie oben bezeichnen breit. Die Zertifizierungsstandards WebTrust und SysTrust sind breit, jedoch nicht detailliert, die Standards der Informationssicherheit liegen in beiden Kriterien im Mittelfeld. Der Information Risk Management Experte Markus Gaulke von KPMG Deutschland bewertet CobiT folgendermaßen [Gaul05]:

Der intensive Einsatz von IT zur Unterstützung und Abwicklung geschäftsrelevanter Abläufe macht die Etablierung eines geeigneten Kontrollumfelds erforderlich. CobiT wurde als Methode entwickelt, um die Vollständigkeit und die Effektivität eines solchen Kontrollumfelds zur Begrenzung der entstehenden Risiken implementieren und prüfen zu können. CobiT ist auf die Sicherheitsbelange eines typischen Unternehmens ausgerichtet. Die Wahrung originärer Firmeninteressen (Integrität und Vertraulichkeit interner Informationen und Prozesse), wie die Einhaltung gesetzlicher Vorschriften (Datenschutz, Rechnungslegung) werden berücksichtigt. CobiT eignet sich insbesondere für international tätige Unternehmen, da CobiT fast alle international anerkannten Standards und Empfehlungen berücksichtigt, auf Englisch verfügbar ist und permanent weiterentwickelt wird. Eine kleine Auswahl der berücksichtigten Normen: Technische Standards aus ISO, EDIFACT, usw. Geschäftspraktiken, herausgegeben durch die EU, OECD, ISACA, usw. Qualifizierungskriterien, wie ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, usw. Berufsstandards für interne Kontrolle und Revision: COSO Report (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework), IFAC, AICPA, IIA MC und SAC (Institute of Internal Accountants Model Curriculum und Systems Auditability and Controls), ISACA, PCIE, GAO (Government Auditing Standards), usw. Anforderungen von Industrieforen (ESF, I4) und Behörden (IBAG, NIST, DTI), usw. Neue industrie-spezifische Anforderungen aus den Umfeld Banken, Electronic Commerce und ITHerstellern. Auch der Implementierungsaufwand ist überschaubar: Experten gehen davon aus, dass eine vollständige Analyse aller Kontrollziele innerhalb eines mittelständischen Unternehmens rund einen Arbeitsmonat dauert.

- 32 -

4 ITIL (IT Infrastructure Library)

4.1 Einführung

ITIL (IT Infrastructure Library) ist ein herstellerunabhängiges Regelwerk der zentralen Informatik-Beratungsstelle der britischen Regierung (Central Computer & Telecommunications Agency) und wurde in den späten 80-er Jahren im Auftrag der britischen Regierung als Antwort auf die wachsende informationstechnologische Abhängigkeit entwickelt. Seit 2000 erfolgt die Herausgabe der Buchreihe durch das OGC (UK Office of Government Commerce). OCG Statement: The ethos behind the development of ITIL is the recognition that organisations are becoming increasingly dependent on IT in order to satisfy their corporate aims and meet their business needs. This leads to an increased requirement for high quality IT services. (http://www.ogc.gov.uk/) Das ITIL-Framework ist in Form einer themenspezifisch unterteilten Bücherreihe erhältlich, in der die ineinander greifenden Prozesse für das IT-Service-Management (ServiceSupport und Service-Bereitstellung) definiert werden. In diesen Büchern beschreibt ITIL nicht nur die reine Lehre, sondern auch ein systematisches, professionelles Vorgehen für das Management der IT und ihrer Dienstleistungen1. Die Bücher enthalten außerdem Richtlinien zu anderen Themenbereichen, wie Sicherheits- und Business Management von IT. 4.1.1 Zielgruppe ITIL richtet sich an alle Personen und Organisationen, die sich mit IT-Service-Management befassen, d.h. IT-Service Provider, CIOs, IT-Management und IT Personal, wie Softwareentwickler, Wartungsverantwortliche oder Testspezialisten. Die Informationen sind jedoch auch von Interesse für Business Manager, interne Dienstleister, externe Lieferanten, Kunden und Endbenutzer, die in engem Kontakt mit ihrem Service Provider stehen und jede Organisation, die IT-Services benötigt. 4.1.2 Verantwortliche Institution ITIL wird von der OGC (Office of Government Commerce) http://www.ogc.gov.uk/ entwickelt. Das Office of Government Commerce (OGC) ist eine Stabsstelle der Regierung von Großbritannien und berichtet an den Chief Secretary des Treasury. Es ist für umfassende Programme mit dem Ziel der Verbesserung der Effizienz und Effektivität der Beschaffung von zentralen staatlichen Stellen verantwortlich. Für die Unterstützung der Anwender und Mitarbeit bei der Weiterentwicklung gibt es die ITIL User Group IT Service Management Forum itSMF http://www.itsmf.com/ mit der Zentralstelle in UK und nationalen Arbeitsgruppen weltweit (auch in Österreich http://www.itsmf.at/). Diese unabhängige nonprofit Organisation hat sich die Weiterentwicklung und Promotion von Best Practices für Service Management für die Industrie als Ziel gesetzt. Mitglieder sind Organisationen und Einzelpersonen aus dem privaten und öffentlichem Bereich (wie z.B. Sainsburys, Bass, First Direct, Orange and Hewlett Packard). Hauptaktivitäten der itSMF sind: Weiterentwicklung von Best Practices IT-ServiceManagement Standards, Organisation von Konferenzen und Arbeitsgruppen zum Thema ITIL und IT-Service-Management, Herausgabe von Publikationen (u.a. zum Thema ITIL), Mitarbeit an Standards in enger Zusammenarbeit mit dem Office of Government Commerce (OGC), der British Standards Institution (BSI) und verschiedenen Prüfungsinstitutionen (ISEB, EXIN).

- 33 -

4.1.3 Überblick und Struktur Das Best-Practices-Framework ITIL besteht seit dem Jahr 2002 aus sieben Hauptbereichen (sets), mit über 20 Einzelprozessen, die fast alle Aspekte eines heutigen IT-gestützten Geschäftsalltages umfassen und den Rahmen vorgeben, wie ein optimaler IT-Service innerhalb einer Firma aussehen und wie dieser implementiert werden könnte. ITIL baut eine Brücke zwischen den geschäftlichen Anforderungen einer Firma hin zu der ITTechnologie. Im Einzelnen werden, wie in Abbildung 11 gezeigt, die folgenden Hauptbereiche definiert, denen auch je ein Band (Buch) aus der Dokumentationsreihe ([Offi00a]-[Offi03]) zugeordnet ist: Business Perspective (Die geschäftliche Perspektive) Service Delivery (Planung und Lieferung von IT-Service) Service Support (Unterstützung und Betrieb des IT-Services) Security Management (Sicherheitsmanagement) ICT Infrastructure Management (Management der Infrastruktur) Application Management (Management der Anwendungen) Planning to Implement Service Management (Planung der Service Management Einführung) In den Büchern werden nicht nur die Teilaufgaben aus den einzelnen Bereichen detailliert behandelt, sondern auch die Querbezüge zwischen den Bereichen.

Planning to Implement Service Management T h e B u s i n e s s The Business Perspective Service Delivery Service Management Service Support ICT Infrastructure Management

T h e T e c h n o l o g y

Security Management

Applications Management

Bild 11 Framework der ITIL Dokumentationen [Offi03] Die Inhalte dieser Bände werden im folgenden Kapitel 4.2 kurz beschrieben ([Köhl05; Szak04; Offi00a - Offi03]). Die wichtigsten Bände der Buchreihe sind Service Support und Service Delivery , in denen die wesentlichen ITIL-Kernprozesse behandelt werden. Daher werden diese in Kap. 4.3 speziell und ausführlicher besprochen.

- 34 -

4.2 Komponenten

4.2.1 Business Perspective Dieser Band behandelt die Sicht der Geschäftsleitung auf das IT-Service-Management. So werden z.B. die Beziehung zwischen der IT-Organisation einer Firma und ihren externen ITZulieferern, bzw. Facility-Management Unternehmen vom Managementstandpunkt aus betrachtet. Auch Outsourcing von IT-Leistungen und Business Continuity Management fällt in diesen Hauptbereich. Alle ITIL-Bereiche dienen der Sicherstellung von qualifizierten und kosteneffektiven IT-Dienstleistungen, welche die Geschäftsprozesse eines Unternehmens wirkungsvoll unterstützen. 4.2.2 Planning to Implement Service Management Der Hauptbereich Planning to Implement Service Management befasst sich mit der Planung, Einführung und fortlaufenden Verbesserung der ITIL-Prozesse. Dabei muss der IstZustand erfasst und ein Ziel-Zustand definiert werden. Um eine kontinuierliche Verbesserung der ITIL-Prozesse durchführen zu können, ist eine laufende Analyse und Überprüfung der Ergebnisse notwendig. 4.2.3 Applications Management Das Modul Applications Management befasst sich mit dem Planen, Entwickeln, Testen, Implementieren und Außerbetriebnehmen von in einem Unternehmen eingesetzten Applikationsprogrammen. Über den gesamten Lebenszyklus einer Applikation wird versucht, ein für das Unternehmen sinnvolles Management dieser geschäftsprozessabbildenden Programme durchzuführen. Definierte Standards zu Abnahme, Veränderung und Test runden das Tätigkeitsprofil des Applications Management ab. Von der Evaluation der Bedürfnisse bis zum Applikationslebenslauf werden die Best Practices vorgestellt. Querbezüge zu Service Delivery, Service Support und ICT Infrastructure Management werden aufgezeigt. 4.2.4 ICT Infrastructure Management Im Modul ICT Infrastructure Management werden alle Aspekte abgehandelt, die sich mit der IT-Infrastruktur und deren Überwachung befassen. Typischerweise sind alle Rechenzentrumsaktivitäten hier wieder zu finden. Auch die kontrollierte Integration neuer IT-Verfahren bzw. IT-Infrastrukturen in ein Unternehmen und das Management von dezentral eingesetzten ITVerfahren gehört zum ICT Infrastructure Management. ICT Infrastructure Management beschreibt die wichtigsten Prozesse, in welche das ITManagement involviert ist: Entwicklungs- und Planprozesse ( Design and Planing Processes ) Verteilungsprozesse ( Deployment Processes ) Betriebsprozesse ( Operations Processes ) Technische Unterstützungsprozesse ( Technical Support Processes ) 4.2.5 Security Management Das Security Management gehört nicht zu den Kernkompetenzen von ITIL, ist aber wegen seiner zentralen Bedeutung für die IT mit den IT-Prozessen (insbesondere Availability Management) eng verknüpft. Das Security Management befasst sich mit Datenschutz und Datensicherheit (Verhindern von Datenverlust, Datendiebstahl und Datenverfälschung, Sicherstellen der Vertraulichkeit, Integrität und Verfügbarkeit firmeninterner Daten). Es umfasst sowohl organisatorische wie auch technische Elemente, ist jedoch dem taktischen,

- 35 -

strategischen Teil des IT-Geschäfts einer Firma zuzuordnen. Wichtige Aufgaben sind die Definition einer Firmen-Security-Policy und die Aufstellung eines Security-Plans, in dem alle Maßnahmen definiert sind, die die Datensicherheit einer Firma sicherstellen sollen. Mittels Audits muss die Einhaltung eingeführten Sicherheitsmaßnahmen überprüft werden. Angriffe von außen (z.B. durch Viren, Hackerversuche) müssen analysiert und klassifiziert und durch geeignete Maßnahmen minimiert werden. Auch die Einhaltung gesetzlicher Rahmenbedingungen bei den firmenspezifischen Geschäftsprozessen ist zu überprüfen. 4.2.6 Service Management Das ITIL Basis Framework zum Service Management besteht aus 10 ITIL Kernprozessen, die in den Büchern Service Support und Service Delivery umfassend beschrieben sind. Dabei unterstützen die Service Support Prozesse das tägliche operative Handeln, während die Service Delivery Prozesse das taktische Vorgehen und die Planung unterstützen. Die Bücher enthalten neben der detaillierten Beschreibung von Zielsetzungen und Nutzen der einzelnen Prozesse auch Darstellungen der zwischen den Prozessen bestehenden Beziehungen und Implementierungshinweise. Aber auch auf Schwierigkeiten, die bei der Umsetzung entstehen können, wird hingewiesen. Diese Prozessbeschreibungen bieten damit einen geeigneten Rahmen für individuelles IT-Service-Management.

4.3 Service Management im Detail

IT-Service-Management bedeutet, die Qualität und Quantität der IT-Services zielgerichtet, geschäftsprozessorientiert, benutzerfreundlich und kostenoptimiert zu überwachen, zu steuern und letztendlich zu gewährleisten. Dazu werden die Leistungen zwischen Servicenehmer und Servicegeber durch Service Level Agreements vereinbart. Das ITIL Service Management wird in die Hauptbereiche Service Support und Service Delivery unterteilt, die ihrerseits wieder aus einer Reihe von Einzeldisziplinen bestehen. Innerhalb des Service Support Bereiches werden die Service-Prozesse behandelt, die den direkten Nutzersupport und die Betriebsunterstützung betreffen und das tägliche Geschäft abhandeln. Hiezu gehört die Bearbeitung der vom Nutzer gemeldeten Störungen, sowie das Upgrade von Applikationssoftware und Betriebssystemkomponenten, möglichst ohne Unterbrechung des normalen Arbeitsablaufes. Dieses ist nur gewährleistet, wenn Änderungen getestet sind und auch auf gesicherte Softwareversionen zurückgegriffen werden kann. Der Bereich Service Delivery handelt die Service-Prozesse ab, die planend oder steuernd auf die notwendige IT-Dienstleistung oder IT-Infrastruktur eingreifen. Hierzu gehören auch die ordnungsgemäße Zuordnung von Kosten zu den Kostenverursachern sowie eine optimale Auslastung und Qualität der genutzten DV-Verfahren bzw. deren zugrunde liegenden ITRessourcen. Die Service DeliveryProzesse handeln grundlegende Absprachen mit den Nutzern der DV-Verfahren, wie z.B. Erreichbarkeit von Supportpersonal (definiert in Service Level Agreements) und ergreifen vorbeugende bzw. taktische Maßnahmen für Ausnahmesituationen, wie z.B. softwarebasierte Virenattacken oder Erdbeben.

IT Service Support Service Desk Incident Management Problem Management Change Management Configuration Management Release Management IT Service Delivery Service Level Management Financial Management Capacity Management Availability Management Continuity Management

Tabelle 3 Subprozesse in Service Support und Service Delivery

- 36 -

4.3.1 Service Support Der Service Support soll nach ITIL-Philosophie für die Nutzer eines DV-Verfahrens von einer zentralen Stelle angeboten werden. Dies wird durch den Customer Help Desk realisiert, wo Anfragen, Störungen und Wünsche der Nutzer entgegengenommen und bearbeitet werden. Der Nutzersupport erfolgt durch den Service-Prozess Incident-Management (reaktiv) und durch den Problemmanagement-Prozess (proaktiv). Alle Komponenten eines DV-Verfahrens werden durch das Configuration Managements erfasst und beschrieben, mittels Change und Release Management erfolgt der Softwareupdate. Die folgende Abbildung zeigt die einzelnen Service Support Prozesse und auch das Zusammenspiel zwischen diesen und der CMDB (Configuration Management Database).

Bild 12 Überblick Service Support Prozesse [Offi03] Incident Management und Help Desk Dieser Kernprozess von ITIL hat den Zweck, einen ausgefallenen Service so schnell als möglich dem Anwender wieder zur Verfügung zu stellen. Die Beseitigung der Ursache ist hierbei zweitrangig. Bereits eine Störungsumgehung zählt als Beseitigung der Störung (incident). Um die Reaktionszeit zu verkürzen und die Kundenorientierung zu erhöhen, wird das Incident Management häufig über einen Service Desk gesteuert. Der Service Desk, auch Help Desk genannt, stellt die zentrale Schnittstelle für die Endbenutzer dar. Des Weiteren stellt das Incident Management der Geschäftsführung Managementinformationen zur Verfügung.

- 37 -

Problem Management Das Incident Management wird vom Problem Management unterstützt, indem es bei schwerwiegenden oder häufig auftretenden Störungen die Ursachen analysiert. Auf diese Weise können Lösungen zur Störungs- und Ursachenbeseitigung entwickelt und zur Umsetzung an das Change Management weitergeleitet werden. Auch die Dokumentation der bekannten Fehler (z.B. in Form einer Lösungsdatenbank) gehört zu den Aufgaben dieses Prozesses, der damit wiederum die Effizienz des Service Desk steigern kann. Configuration Management Das Configuration Managements hat zum Ziel, die anderen ITIL-Prozesse durch die Bereitstellung eines möglichst detaillierten Modells der IT-Infrastruktur zu unterstützen. Daher werden alle servicerelevanten IT-Komponenten und die Beziehungen zueinander vom Configuration Management in der Configuration Management Data Base (CMDB) erfasst und beschrieben. Diese Informationen stellen die Grundlage für die Arbeit anderer ITILServiceprozesse, wie das Incident- , das Change Management und. das Financial Management dar. Bei seiner Aufgabe muss das Configuration Management deutlich über das Asset Management hinausgehen, da nicht nur Vermögenswerte bilanztechnisch erfasst, sondern auch Daten wie Standort, Verknüpfung mit anderen Komponenten, Spezifikationen etc. erforderlich sind. Change Management Änderungen sind einer normaler Bestandteil von Geschäftsabläufen, da auf Veränderungen im geschäftlichen Umfeld reagiert werden muss. Solche Veränderungen reichen auch in das komplexe IT-System hinein. Mögliche Gründe für Änderungen sind: das Lösen von Problemen aus dem Störungs- und Problem Management Reaktionen auf Kundenbeschwerden Installation oder Upgrades von Systemkomponenten Änderungen in den Geschäftsvorfällen der Kunden Veränderte oder neue Gesetzgebungen Einführung neuer Produkte oder Dienstleistungen Notwendige Änderungen müssen durch das Change Management erfasst werden. Danach müssen die Änderungen genehmigt, geplant und umgesetzt werden. Zudem muss die Umsetzung überprüft werden. Dadurch soll der Änderungsprozess kontrolliert und die Auswirkungen auf den produktiven Betrieb minimiert werden. Release Management Um sicherzustellen, dass nur autorisierte, kompatible und möglichst einheitliche Softwareversionen im Produktionsbetrieb eingesetzt werden (analoges gilt für HardwareEinführungen), muss die Installation und Wartung kontrolliert werden. Release Management testet und genehmigt Software (Hardware) sowohl als einzelne Anwendung (Komponente), als auch im Zusammenspiel mit allen anderen eingesetzten Softwareversionen (HardwareKomponenten). Die Wahrscheinlichkeit einer Einführung fehlerhafter Software und Hardware wird durch diese Qualitätssicherung gesenkt. Durch das Release Management können sich Anwender und Servicemitarbeiter rechtzeitig auf Änderungen einstellen (z.B. durch Schulungen), so dass die Anzahl der Änderungen gering gehalten wird (z.B. durch Releasepakete). Durch die Zusammenarbeit mit dem Configuration Management kann überdies die Dokumentation zeitnah aktualisiert werden. Falsche Versionen, nicht genehmigte Kopien, illegale Software, Viren und unerlaubte Eingriffe können durch eine homogene Softwarelandschaft leichter erkannt werden.

- 38 -

4.3.2 Service Delivery Service Delivery befasst sich mit der mittel- bis langfristigen Planung und Verbesserung der IT-Services (taktische Ebene). Gemeinsam haben alle Service Delivery Prozesse, dass sie periodisch anlaufen, das Ergebnis ihrer Arbeit in einem Plan zusammengefasst wird und ihnen die Überwachung des Planes obliegt. Das Service Level Management dokumentiert die Services, die der Service-Provider für den Kunden erbringt. Durch Service Level Agreements werden jeweils die Rechte und Pflichten für beide Seiten verbindlich definiert. Das Finance Management sorgt durch ein Kostenmodell für eine möglichst transparente Verteilung aller Kosten und fördert damit den effizienten Einsatz von Ressourcen. Das Capacity Management stellt sicher, dass die vorgehaltenen Kapazitäten den Anforderungen gerecht werden. Dazu müssen permanent die Anforderungen aus den Service Level Agreements und deren Veränderungen überwacht werden, um rechtzeitig auf Änderungen des Bedarfs reagieren zu können. Nach Unterbrechungen des Geschäftsbetriebs durch externe Einflüsse müssen die Services für die Kunden in einer definierten Zeit wieder verfügbar sein. Das Continuity Management umfasst alle Vorkehrungen, um auf Basis einer Risikoanalyse die adäquaten Maßnahmen zur Wiederherstellung der Services zu gewährleisten. Im Availability Management werden Verfügbarkeitsanforderungen an die Services definiert und eine möglichst kostengünstige Abdeckung der Anforderungen sichergestellt. Die folgende Abbildung zeigt die einzelnen Service Delivery Prozesse mit ihren Plänen und Reports sowie deren Zusammenspiel.

Bild 13 Überblick Service Delivery Prozesse [Offi03]

- 39 -

Service Level Management Ein Service-Level (Dienstleistungsgrad) beschreibt eine Leistung einer IT-Abteilung oder eines IT-Dienstleisters. Die gesamte Beschreibung der zu erbringenden Services wird als Service Level Agreement (SLA) bezeichnet. Der Service Level Manager ist die Kontaktperson des Kunden auf Management Ebene. Die Aufgabe des Service Level Management ist die Anpassung des Services an die Wünsche und Anforderungen des Kunden durch Aushandeln der SLA s. Zum Service Level Management gehört auch die Überwachung der Dienstleistungsqualität und eine entsprechende Berichterstattung (Reporting), sowie das Absichern der Kundenverträge durch entsprechende Vereinbarungen mit internen und externen Dienstleistern. Continuity Management Eine Katastrophe ist ein Ereignis, gegen das man sich kaum schützen kann. So kann z.B. ein ganzes Rechenzentrum durch ein Erdbeben zerstört werden. Die Aufgabe der IT Service Continuity (ITSC) Planung besteht darin, basierend auf einer Risikoanalyse die schützenswerten IT-Vermögenswerte zu identifizieren, risikosenkende Maßnahmen zu ergreifen und einen ITSC-Plan zu erstellen, so dass bei Eintritt eines solchen Notfalls kontrolliert und ohne Zeitverzug gehandelt werden kann, um so die drohenden Folgeschäden zu minimieren. Bei einer Zerstörung eines Rechenzentrums kann ein ITSC-Plan zum Beispiel darin bestehen, unternehmenskritische Anwendungen in andere Rechenzentren zu verlagern. Die Notfallmaßnahmen müssen selbstverständlich dem Change Management unterstellt und regelmäßig erprobt werden. Availability Management Bestimmte Elemente der Serviceerbringung sind außerhalb der Kontrolle des Service Managements und trotzdem erwartet der Kunde, dass der Service unabhängig von den Umständen gemäss Servicevereinbarungen erbracht wird. Availability Management hat zum Ziel, die Service-Verfügbarkeit zu sichern, indem es die Anforderungen aus den SLAs in einen Plan zur Erhaltung der Service-Verfügbarkeit umsetzt. Dies wird erreicht, indem man mögliche Ausfälle auf Basis von Analysen vorausberechnet, deren Risiko bewertet und dann entsprechende Maßnahmen zur Sicherung der geforderten Verfügbarkeit ergreift. Beispiele sind Support-Verträge mit Lieferanten, die rechtzeitige Initiierung von Changes (z.B. Hauptspeichererweiterung) oder die Optimierung der IT-Infrastruktur und der Arbeitsabläufe. Capacity Management Das Capacity Management bewertet die Anforderungen an die IT-Infrastruktur bezüglich Durchlaufzeiten, Antwortzeiten und Transaktionsvolumen. Hieraus wird unter Einbeziehung der Ergebnisse eine optimale Lastverteilung auf die bestehenden Systeme ermittelt. Weiterhin wird über Prognosen der zukünftigen Geschäftsanforderungen die rechtzeitige Erweiterung der Systeme gesteuert. Durch die Vermeidung von Überkapazitäten kann das Capacity Management zu Kosteneinsparungen führen. Financial Management Dieser Prozess umfasst Budgetierung, Kostenzuweisung (Accounting) und Leistungsverrechnung. Die Kostenzuweisung dient in erster Linie der Feststellung und Zuweisung der Kosten, die durch die IT verursacht werden. Auf diese Weise wird die Grundlage zu einem betriebswirtschaftlich sinnvollen Einsatz der IT gelegt. Besondere Bedeutung hat dieser Aspekt durch die Betrachtung der Total Cost of Ownership (TCO) bekommen. Betriebswirtschaftlich sinnvoll heißt nicht nur, die Kosten zu betrachten, sondern auch diese dem Nutzen

- 40 -

gegenüberzustellen. Der Nutzen der Leistung wird in diesem Ansatz direkt vom Kunden bewertet. Ziel der Kosten- und Leistungsverrechnung ist es also, die tatsächlich entstandenen Kosten transparent aufzuzeigen und dem Kunden die erbrachte Leistung in Rechnung zu stellen. So kann die Effizienz des Einsatzes der IT-Infrastruktur direkt gemessen werden.

4.4 Zusatzinformationen

4.4.1 Implementierung Bei der Implementierung von ITIL Prozessen hat sich das IPW-Modell (Implementation of Process-oriented Workflow) als sehr nützlich erwiesen. Es wird vielfach als de-facto Standard dazu angesehen, da auch die itSMF den Einsatz empfiehlt. Das IPW-Modell vermittelt eine Prozess-orientierte Sicht auf die Organisationen und bezieht Kunden Anwender und Lieferanten in die Gesamtabläufe mit ein. Neben ITIL ist auch CMM integriert, so werden maturity levels für jeden der ITIL Prozesse und auch für ganze IT-ServiceProvider Organisationen .definiert.

Bild 14 IPW Modell (Implementation of Process-oriented Workflow) Trademark von Quint Wellington Redwood und KPN Telecom 4.4.2 Verbreitung und Fallstudien Der Bekanntheitsgrad, die Verbreitung und Nutzung von ITIL ist bereits als sehr hoch zu bezeichnen. So wird ITIL bereits in allen deutschen Lehrbüchern über strategisches IT-

- 41 -

Management oder Service-Level Management [BMLS03] nicht nur erwähnt, sondern bereits ausführlich behandelt [Kres05]. Es gibt inzwischen auch eine große Zahl von Fachbüchern, die sich nur ITIL [Köhl05], [Olbr04], [FrHo05] widmen. Auch die große Zahl von einschlägigen Artikeln in deutschen Fachzeitschriften ([HoHu03], [HoZB04a], [HoZB04b], [KeHP04], [BöKr04]) und auch in der Computerwoche und ähnlichen Zeitungen beweisen, dass ITIL kein Exote mehr ist, sondern etabliert. Nach neueren Befragungen [Comp04] ist zwei Dritteln der deutschen Unternehmungen ITIL bekannt, ein Drittel hat ITIL-Programme im Einsatz. Dabei kommt ITIL in größeren Unternehmungen mit mehr als 50 Mitarbeitern wesentlich häufiger zum Einsatz als in kleinen. Die am häufigsten eingesetzten ITIL-Prozesse sind Change Management, Security Management und Service Desk. In einer empirischen Studie [KeHP04] über den Bekanntheits- und Nutzungsgrad von ITIL bei deutschen Unternehmungen wird berichtet, dass von 118 antwortenden Teilnehmern einer internetbasierten Befragung 63% das ITIL-Referenzmodell kannten. Von diesen hatten 57% ihre IT-Abteilung bereits nach ITIL ausgerichtet und weitere 8% wollten es demnächst tun. Primär werden die kundennahen Supportprozesse Service Desk, Incident Management und Problem Management eingesetzt. Hauptziel der Einführung ist die Steigerung der Effizienz der IT-Prozesse. Die Mehrzahl der Implementierungen wird als Erfolg gewertet. Die Verbreitung von ITIL wird auch dadurch gefördert, dass viele Softwarehersteller die ITIL-Philosophie ihrer eigenen Software zur Unterstützung des IT-Service-Management zu Grunde legen. So hat Microsoft ITIL als Basis für ihr Microsoft Operations Framework MOF verwendt und weist ausdrücklich darauf hin. Die Referenzmodelle von HP (ITSM) und IBM (ITPM) orientieren sich ebenfalls an ITIL [HoHu03]. Auch andere bekannte Hersteller, wie z.B. Materna bezeichnen ihre Software als ITIL kompatibel. Eine umfangreiche Studie über Softwarewerkzeuge zum IT-Servicemanagement stammt von Lehner et al. [LeDL04]. In dieser wird eine Reihe von ITIL-Tools untersucht. Die bekanntesten Softwareprodukte sind Remedy, HP OpenView, Axios und CA Unicenter. Die Nutzung weltweit dürfte bereits beachtlich sein, speziell bei Großfirmen und Behörden. Namentlich erwähnt werden u.a. Microsoft, IBM, Barclays Bank, HSBC, Guinness, Procter & Gamble, NHS, IBM, Hewlett Packard, Shell Oil and British Airways. Forrester schreibt in einem Bericht von August 2004, dass 2005 das Jahr sein wird when ITIL goes mainstream [Free04]. Bei Ausschreibungen deutscher Großkonzerne wird heute sog. ITIL-Konformität gefordert. Es wird auch von hohen Kosteneinsparungen durch den Einsatz berichtet. So hat die Regierung von Ontario in Kanada ITIL für 25.000 Benutzer eingesetzt und Kosteneinsparungen von 40% erzielt. Proctor & Gamble setzt ITIL seit 1997 ein und ersparte in vier Jahren 500 Millionen US$ bei einer Kostenreduktion von 15 bis 20%. Die Stadt Köln konnte durch das Zusammenspiel der ITIL-Bereiche die Kosten pro IT-Arbeitsplatz um 30% senken [HoZB04b]. 4.4.3 Dokumentationen und Ausbildung Die englischsprachige ITIL Dokumentation [Offi00a - Offi02b] in Form von 8 Büchern kann nicht vom Web kostenlos geladen werden, sondern muss gekauft werden (Papierform, CD oder Internet Lizenz), Bestellung ist möglich entweder über das Online bookshop http://www.tso.co.uk/bookshop/ oder über die itSMF User Group. Ausgaben in Deutsch und anderen Sprachen sind von der OCG für Mitte 2005 angekündigt. Von der itSMF gibt es auch eine deutsche Einführung [itsm04a] und einen pocket guide [itsm04b].

- 42 -

Derzeit bieten zwei Organisationen Examen auf der Grundlage von ITIL an. Diese sind:

Information Systems Examination Board (ISEB), in englischer Sprache für UK, Irland und den British Commenwealth. EXIN, eine von der holländischen Wirtschaft geförderten Stiftung, in Holländisch, sowie in anderen Sprachen in verschiedenen Ländern Europas und in Übersee.

Beides sind nicht-proprietäre und nicht-profitorientierte Organisationen. Diese organisieren die Examen, bieten aber selber keine entsprechenden Schulungen an. Sie arbeiten bei der Ausarbeitung der Prüfungen sehr eng zusammen. Trainingsorganisationen, die Schulungen als Examensvorbereitungen anbieten, müssen bei diesen Organisationen akkreditiert sein. Die angebotenen Zertifikate sind: Foundation Certificate in IT Service Management, Practitionerlevel Examinations and Certificates, Certificate in IT Infrastructure Management. Die Prüfungen werden regelmäßig und in mehreren Ländern und Sprachen rund um den Erdball durchgeführt. Zahlreiche Unternehmen bieten ITIL-basiertes Training an (z.B. die Firma Glenfis in der Schweiz http://www.glenfis.ch/). Die akkreditierten Kurse werden von den Prüfungsgremien auf die Übereinstimmung mit den Prüfungsreglementen abgenommen. Damit wird sichergestellt, dass die vermittelten Inhalte mit den Prinzipien von ITIL übereinstimmen. 4.4.4 ITIL und BS 15000 ITIL ist kein Standard, sondern ein Referenzmodell von Best Practices. Eine Zertifizierung kann mittels des Standards BS 15000 erfolgen ( http://www.bs15000certification.com/ ), der ein IT-Service-Management nach ITIL beschreibt und somit die erste Normierung von ITIL ist. Anfang Mai 2005 hat sich die ISO dazu entschlossen, den britischen Standard BS15000 zum internationalen ISO Standard 20000 zu erheben, wobei die offizielle Erklärung für Ende 2005 erwartet wird. Der British Standard BS 15000 "IT Service Management" http://www.bs15000.org.uk/ basiert auf einem Satz miteinander verknüpfter Managementprozesse und soll als messbarer Qualitäts-Standard für IT-Service-Management dienen. Prozessauswahl und inhalte sowie die Terminologie sind eng mit ITIL verknüpft. Zitat BSI (British Standars Institut): "The BSI publications on IT Service Management share the same structure as the OGC s ITIL (IT Infrastructure Library). Together they form an integrated approach ..." BS15000 besteht aus zwei Teilen:

Part 1: Specification for service management: Spezifikation der Anforderungen an eine Organisation, um managed IT services in definierter Qualität für ihre Kunden bereitzustellen. Part 2: Code of practice for service management: Management Überblick mit Anleitungen und Empfehlungen zur Etablierung von IT-Service-Management. Behandelt das Warum und Was, nicht das Wer und Wie.

Für die Überprüfung der Einhaltung der BS 15000 Richtlinien durch ITIL Prozesse hat das BSI zwei Dokumente publiziert: DISC PD 0005:1998 (DISC = Delivering Information Solutions to Customers; PD Dokumentenreihe (Published Document); Dokument Nr. 0005 und DISC PD 0015:2000, IT service management Self-assessment Workbook. Ergänzend existiert ein von der OGC herausgegebener Questionnaire, der die Überprüfung der ITILKonformität von IT-Service-Management zum Ziel hat.

- 43 -

Bild 15 Überprüfung der BS 15000 Konformität von ITIL [itre05] 4.4.5 Weiterentwicklung und Trends Die aktuelle ITIL Version ist Revision 2. Im Mai 2005 begann die OCG nach einer Voruntersuchung mit der Entwicklung der Version 3, die bis Mitte 2007 ein Update (refreshment) aller Bände bewirken soll. Ziel ist eine Angleichung an Entwicklungen von BSI an ISO 20000. Bei diesem Vorhaben werden die itSMF und viele externe Experten mitarbeiten.

4.5 Zusammenfassende Bewertung

IT-Service-Management Unter IT-Service-Management wird verstanden, die Qualität und Quantität der IT-Dienstleistungen kundenorientiert, d.h. zielgerichtet, geschäftsprozessorientiert, benutzerfreundlich und kostenoptimiert zu überwachen und zu steuern. Die Bereitstellung von IT-Dienstleistungen (IT Services) erfolgt zumeist durch eigenständige Unternehmensbereiche oder Drittanbieter als Dienstleistungserbringer (IT-Service Provider). Die IT-Dienstleistungen werden für die Fachbereiche des Unternehmens erbracht, die dabei als Kunden (Clients) der Dienstleistungserbringer auftreten. Zweck der IT Services ist die optimale Unterstützung der Fachbereiche des Unternehmens bei der Erreichung der Unternehmensziele. Nach einer Gartner Group Studie zum Thema IT-Service-Management ist ITIL die einzige umfassend dokumentierte, nicht-proprietäre Methodik. ITIL wird heute als weltweiter Defacto-Standard im Bereich IT-Service-Management angesehen und als Best Pratices, oft sogar als Synonym für IT-Service-Management verwendet. Unter Best Practice darf man aber nicht die beste aller möglichen Methoden verstehen. Dazu einige Definitionen:

Eine einfache ist: "An industry accepted way of doing something, that works." (Aidan Lawes, CEO itSMF). Eine andere lautet: Best Practice is the best identified approach to a situation based upon observation from effective organisations in similar business circumstances, oder: Best Practice is all about "not re-inventing the wheel", but learning from others and implementing what has been shown to work.

Die IT Infrastructure Library wurde in erster Linie für Personal geschrieben, das für die Planung, Überwachung und Steuerung von qualitativ hoch stehenden IT-Services verantwortlich ist. Die Bücher beschreiben hauptsächlich was getan werden muss und weniger wie es getan werden soll. Letzteres ist auf die Größe, die interne Kultur und vor allem auf die Anforderungen des Unternehmens abzustimmen. Die Bücher vermitteln jedoch insgesamt einen guten Überblick und ein gutes Verständnis der Zusammenhänge innerhalb einer IT-Serviceorganisation.

- 44 -

Der Nutzen beim Einsatz von ITIL ITIL beschreibt ein systematisches, professionelles Vorgehen für das Management von ITDienstleistungen. Die Library stellt nachdrücklich die Bedeutung der wirtschaftlichen Erfüllung der Unternehmens-Anforderungen in den Mittelpunkt. Die Arbeit nach den in ITIL beschriebenen Best Practices bringt der Organisation:

IT-Dienstleistungen die den Anforderungen entsprechen. Höhere Kundenzufriedenheit. Weniger Aufwand bei der Entwicklung von Prozessen, Prozeduren und Arbeitsanweisungen. Höhere Produktivität und der gezielte Einsatz von Wissen und Erfahrung. Grundlage für eine QM-Systematik im IT-Service-Management. Bessere Kommunikation und Information zwischen den IT-Mitarbeitern und ihren Kunden. Höhere Mitarbeiterzufriedenheit und niedrigere Personalfluktuation.

Bei der Implementierung von ITIL werden oft die Hilfeleistungen von Consulting-Firmen in Anspruch genommen. Warum dieser Bedarf besteht, beschreiben z.B. Eggenberger et al. in [EgHK04] folgend: Grundsätzlich versteht sich ITIL als Leitfaden, der Inhalte, Prozesse und Ziele innerhalb der IT-Organisation beschreibt. Die konkrete Umsetzung und Ausgestaltung der Prozesse liegt im Ermessensspielraum der IT-Organisation. Dieser Gedanke der Offenheit und Flexibilität des ITIL-Regelwerks wird von ITIL-Nutzern aufgrund des oft als zu gering eingeschätzten Detaillierungsgrads als nachteilig empfunden. ITIL ist allgemein gültig und damit zwangsläufig wenig konkret, d.h., es fehlt an echten Praxisbeispielen. Die Beschreibung zur Planung der Implementierung in dem ITIL-Buch »Planning to Implement Service Management« stellt dabei nur eine kleine Hilfestellung dar. Kritik aus dem akademischen Bereich Obwohl ITIL durchwegs positiv bewertet wird und auch große Verbreitung gefunden hat (siehe Kap. 4.4.2), bringen Hochstein, Zarnekow und Brenner in mehreren Artikeln auch etliche kritische Anmerkungen. Im ersten Artikel [HoZB04a] wird ITIL mit einem kompletten Modell für ein Serviceorientiertes IT-Management (SOITM) mit allen Aufgaben zur IT-Leistungserbringung und IT-Leistungsabnahme verglichen. Es wird festgestellt, dass die einzelnen Module der ITIL in unterschiedlichen Detaillierungsgraden beschrieben sind. Nur für Service Delivery und Service Support liegen Beschreibungen von 25 80 Seiten inklusive Zielen, Aktivitäten, Input/Output-Schemata, Kosten-Nutzen- Betrachtungen, Problemen, Herausforderungen, betrieblichen Kenngrößen, Rollenschemata, Dokumenten und Methoden vor. Zitat: Die Analyse der ITIL-Module hinsichtlich der Möglichkeiten und Grenzen für ein

serviceorientiertes IT-Management zeigt, dass die ITIL nur Teilbereiche abdeckt. Für das Lieferantenund Portfoliomanagement sowie die strategischen Bereiche des Entwicklungs-, Produktions- und Kundenmanagements liefert die ITIL nur wenige, sehr allgemeine Hinweise. Für die planerischen und steuernden Bereiche des Entwicklungs-, Produktions- und Kundenmanagements können Inhalte der ITIL dahingegen intensiv genutzt werden. Allerdings ist auch hier eine vollständige Abdeckung durch die ITIL nicht gegeben. Wichtige Modellelemente, wie Aufgaben, Rollenträger, Dokumente, Methoden oder Inputs/ Outputs, werden innerhalb der ITIL gar nicht oder unvollständig adressiert. Beispielsweise finden sich innerhalb der ITIL keine Hinweise auf Aufgaben für den Einsatz kundenund segmentspezifischer Kommunikationsinstrumente (darunter fallen beispielsweise Werbemaßnahmen) oder die Distributionssteuerung hardwarenaher IT-Leistungen.

- 45 -

Für das IT-Management bedeutet dies, dass die Umsetzung von und die Ausrichtung nach ITIL für die Gestaltung einer umfassenden, serviceorientierten IT-Organisation nicht genügt. Es kann daher nicht erwartet werden, dass alleine durch die Einführung von ITIL innerhalb der IT Wettbewerbsvorteile erzielt werden können. Zusätzlich zur ITIL sind weitere ITManagementaufgaben und -bereiche zu berücksichtigen, wobei obige Analyse und eine detailliertere Betrachtung des SOITM-Modells Hinweise liefern. Dennoch kann die ITIL sinnvoll genutzt werden, etwa um bestehende und etablierte Best Practices in das operative Entwicklungs-, Produktions- und Kundenmanagement einfließen zu lassen.

Im zweiten Artikel bewerten Hochstein und Hunziker [HoHu03] ITIL als umfangreiches und prozessbasiertes Set von Best Practices für IT-Management und weniger als Referenzmodell im wissenschaftlichen Sinn. Zitat: Die Interpretationsvielfalt der ITIL-Prozesse ist groß. Grund hierfür sind die formalen

Schwächen des ITIL-Frameworks. Obwohl die Prozesse und Instrumente teilweise sehr detailliert beschrieben werden und im Rahmen einer End-to-End-Betrachtung sogar Rollen und Prozessziele definiert werden, fehlt ein eindeutiges und umfassendes Input/Output-Schema, so dass die Prozessbeziehungen unklar sind. Insbesondere diese spielen jedoch beim IT-Management eine wichtige Rolle und sollten Gegenstand von Verbesserungsbemühungen sein, da innerhalb der einzelnen Prozesse die Optimierungspotenziale weitestgehend ausgeschöpft sind. Des Weiteren fördert ein Mangel an Konsistenz den Eindruck formaler Schwächen des ITIL-Referenzmodells. Sowohl in Bezug auf die Struktur als auch auf den Detaillierungsgrad herrschen zwischen den Prozessbereichen teilweise stark ausgeprägte Unterschiede. Außerdem lassen sich Inkonsistenzen bezüglich der Angabe von Erfolgsfaktoren und Kennzahlen feststellen und auch die Granularität, in welcher die einzelnen Prozesse bzw. Aktivitäten beschrieben werden, variiert stark. Diese Schwächen bezüglich der formalen Anforderungen an Referenzprozessmodelle erschweren die Anwendung und Übertragung der beschriebenen Referenzprozesse.

Im dritten Artikel [HoZB04b] wird obige Kritik noch weiter verfolgt und ITIL detailliert nach formalen Kriterien beurteilt, nämlich ob es den Grundsätzen ordnungsgemäßer Modellierung (GoM) entspricht und welche Implikationen für den Praxiseinsatz sich daraus ergeben. Nach Ansicht der Autoren ist ITIL kein Best-Practice-Referenzmodell, da innovative, theoriebasierte Erkenntisse, die für best Best-Practice-Modelle gefordert werden, bei ITIL nicht im Vordergrund stehen; es wird daher als Common-Practice-Referenzmodell bezeichnet. Als Grundlage für die Bewertung dienen zum einen vier zu diesem Zweck erhobene Fallstudien bei deutschen Unternehmungen mit erfolgreicher ITIL Nutzung und zum anderen die Analyse der ITIL-Dokumentation. ITIL wird bezüglich folgender sechs Grundsätze der GoM untersucht: Konstruktionsadäquanz, Spachadäquanz, Wirtschaftlichkeit, Systematischer Aufbau, Klarheit und Vergleichbarkeit. Dadurch können Defizite und Nutzenpotenziale, Schwächen und Stärken aufgedeckt werden. Dabei zeigt sich, dass der Nutzen von ITIL offensichtlich ist, hingegen bestehen einige Missverständnisse darüber, was ITIL ist und was es leisten kann. So ergeben sich z.B. Konsequenzen dadurch, dass ITIL nur in natürlicher Sprache und nicht formalsprachlich formuliert ist. Zu diesen strengen akademischen Kritiken ist anzumerken, dass bei den Anwendern diese hohen Qualitätsansprüche nach Vollständigkeit und Erfüllung der formalen Regeln der Modellierung kaum vorhanden sind und der Markt ITIL als wohl unvollständiges, aber doch Best Practice Referenzmodell akzeptiert hat.

- 46 -

5 MOF (Microsoft Operations Framework)

Microsoft entwickelt und vertreibt nicht nur Softwareprodukte, sondern stellt seinen Kunden für die Planung und Realisierung von IT-Projekten auch Komplettanleitungen zur Verfügung. Diese Anleitungen dienen als Modell und Orientierungshilfe bei Design, Entwicklung, Deployment, Betrieb und Support Microsoft-basierter Lösungen. Die Basis für diese Consulting-orientierten Produkte sind sowohl das Know-How von Microsoft selbst und deren Firmenkunden als auch die am Markt verfügbaren Best-Practices. Die Anleitungen sind in zwei komplementäre und eng miteinander verbundene Frameworks (Rahmenstrukturen) aufgeteilt: das Microsoft Operations Framework (MOF) und das Microsoft Solutions Framework (MSF). Während MSF bewährte Vorgehensweisen für das Planen, Entwerfen, Entwickeln und Bereitstellen erfolgreicher IT-Lösungen anbietet, adressiert MOF den kontinuierlichen Betrieb von Microsoft-basierten IT-Lösungen, d.h. ITService-Management.

5.1 Einführung

Die Beschreibung der wesentlichen Produktmerkmale in den Kapiteln 5.1 und 5.2 basiert auf Produktdokumentationen von Microsoft [PuQA03; Micr02; Micr05]. MOF setzt auf der bewährten Best-Practice Lösung ITIL der OGC auf und ergänzt es an einigen Stellen zur besseren Unterstützung ihrer eigenen Produkte mit Richtlinien für das Verwenden von Microsoft-Produkten und -Technologien. Microsoft arbeitet auch an der Weiterentwicklung von ITIL mit und hat dazu beigetragen, dass die Bände Planning to Implement Service Management und Application Management erstellt wurden [PuQA03]. MOF bietet ebenso wie ITIL zusätzlich zu den Dokumentationen weitere Unterstützungsleistungen wie self-assesments, Trainingsprogramme und Zertifizierungen und Consulting Services, auch durch eine große Zahl von Drittanbietern. MOF ist auch verträglich mit vielen derzeit von Anwendern eingesetzten Qualitätsverbesserungsmethoden. So ist MOF kompatibel mit: PRINCE2, Six Sigma, ISO 9000 Qualitätsstandards, CMMS (Capability maturity models) wie CMM, ISO 15504, SPICE und auch CobiT. MOF erweitert ITIL speziell in folgenden Punkten: Zusätzliche Team und Prozess Modelle Unterstützung von Risk Management Fokussierung auf die Service Delivery Ebene. In Erweiterung der ITIL Service Delivery Publikation werden bei MOF über 20 Service Delivery Funktionen (sog. SMF service management functions) unterschieden und jede Funktion mit einer eigenen Beschreibung, Beispielen und einer Anleitung für Best-Practise ausgestattet. Darüber hinaus erweitert MOF die ITIL-Verfahrensnormen dahingehend, dass auch verteilte IT-Umgebungen, Branchentrends, wie z.B. Anwendungshosting und webbasierte Transaktions- und E-Commerce-Systeme, unterstützt werden. Die MOF Anleitungen und Prinzipien sind skalierungsfähig, anwendbar innerhalb eines Dienstes bis zu umfassenden Installationsumgebungen. 5.1.1 Zielgruppe MOF ist speziell für Anwender interessant, die eine reine Microsoft Softwarelandschaft installiert haben und diese optimal managen wollen.

- 47 -

5.1.2 Überblick und Struktur MOF besteht aus drei grundlegenden Modellen. Jedes dieser drei Modelle repräsentiert eine Hauptkomponente des IT-Betriebs:

Das Prozessmodell - Es stellt ein funktionales Modell der Prozesse dar, die von ServiceOrganisationen verwendet werden, um IT-Services zu erbringen, zu verwalten und zu warten. Das Teammodell - Eine vereinfachte Ansicht nötiger Rollen für den Betrieb hilft dem Management beim effektiven Organisieren des Personals. Das Risikomodell - Durch die Integration grundlegender Prinzipien, einer standardisierten Terminologie und eines strukturierten fünfstufigen Prozesses, dient das Risikomodell dem alltäglichen Management bestehender Risiken.

Wichtige Begriffe aus der MOF Terminologie sind:

Service Management Funktionen (SMFs). SMFs sind Prozesse und Richtlinien, die für die Erbringung von IT-Dienstleistungslösungen verwendet werden. Hierzu gehören das ChangeManagement, die System-Administration oder das Service-Desk. Operations Management Reviews (OMRs). Hierbei handelt es sich um ManagementÜberprüfungen, die sich auf die SMFs innerhalb eines Quadranten im MOF-Prozessmodell beziehen.

5.2 Komponenten

5.2.1 Das Prozess Modell Das Prozessmodell für den Betrieb ist ein Funktionsmodell der Prozesse, welche Betriebsteams für die Verwaltung und Wartung von IT-Services ausführen. Es baut auf den Vorgehensweisen von ITIL auf. Das Modell setzt voraus, dass das Servicepersonal in erster Linie für das Verwalten von Änderungen in der IT-Infrastruktur verantwortlich ist. Die effektivste Art für den Umgang mit Änderungen während der Lebensdauer eines Service besteht darin, diese in einer Version zusammenzufassen, so dass die Änderungen als eine Einheit geplant und durchgeführt werden können. Das MOF-Prozessmodell basiert auf vier grundlegenden Prinzipien:

Strukturierte Architektur Schneller Lebenszyklus, iterative Verbesserung Überprüfungsgesteuerte Verwaltung Eingebettetes Risikomanagement

Terminologie Für eine detailliertere Erläuterung des Prozessmodells ist es hilfreich, eine spezielle Terminologie festzulegen, die zum großen Teil auf der vorhandenen ITIL-Terminologie basiert.

IT-Lösungen: Die Möglichkeiten, die IT dem Unternehmen bietet. Beispiele hierfür sind Messaging, Geschäftsbereichsanwendungen, Datenspeicherung und Drucken. Version: Eine Gruppe von Änderungen, die das Betriebsteam als eine Einheit in die Produktionsumgebung einführt. Jede Version weist einen eigenen Lebenszyklus auf, und das Ende der einen Version kennzeichnet normalerweise den Beginn der nächsten Version. IT-Service-Management: Das Konzept der Anwendung von strukturierten Prozessen, um sicherzustellen, dass die Qualität unternehmenswichtiger IT-Dienste den mit dem Kunden vereinbarten Leistungsniveaus entspricht. Service Management Functions (SMFs oder Service Management Funktionen): 21 Prozesse, über die die meisten IT Lösungen verfügen und die während jeder Version erfolgen. Beispiele hierfür sind Capacity Management, Change Management, Service Desk und Sicherheitsverwaltung. Jede SMF bietet konsistente Richtlinien, Verfahren, Standards und

- 48 -

optimale Vorgehensweisen, die auf die gesamte Reihe von IT-Lösungen in den heutigen ITUmgebungen angewendet werden können. Dienstleistungszweck: SMFs können in vier Kategorien unterteilt werden, die jeweils durch einen Dienstleistungszweck definiert sind. So unterstützen die SMFs Change Management, Configuration Management und Release Management beispielsweise den Dienstleistungszweck "Identifizieren, Prüfen, Steuern und Herausgeben von Änderungen an die IT-Umgebung". Quadranten: Die Kurzbezeichnung für die SMFs, die einen Dienstleistungszweck gemeinsam nutzen: "Änderung", "Betrieb", "Support" und "Optimierung". Jeder Quadrant enthält mehrere SMFs. Überprüfungen: Jeder Quadrant endet mit einer Überprüfung, während der das Team die Effektivität der zugehörigen SMFs auswertet.

Bild 16 Das MOF Prozessmodell [Micro02] In der folgenden Tabelle werden der Dienstleistungszweck und die Überprüfung für die einzelnen Quadranten aufgeführt.

Quadrant Änderung Betrieb Support Optimierung Dienstleistungszweck Überprüfung (OMR)

Einführung neuer IT Lösungen, Technologien, Versionsbereitschaft Systeme, Anwendungen, Hardware und Prozesse. Effektive und effiziente Ausführung täglich anfallender Betrieb Aufgaben. Schnelle Bearbeitung und Auflösung Zwischenfällen, Problemen und Anfragen. von Service Level Agreement (SLA oder Vereinbarung auf Dienstebene)

Durchführung von Änderungen zum Optimieren von Genehmigte Version Kosten, Leistung, Kapazität und Verfügbarkeit bei der Bereitstellung von IT-Diensten.

Zwei dieser Überprüfungen werden durch den Versionszeitplan bestimmt. Die Überprüfung "Genehmigte Version" erfolgt, bevor eine Änderung an die Zielumgebung herausgegeben wird, und die Überprüfung "Versionsbereitschaft" erfolgt bei der endgültigen Installation der Version. Die Überprüfungen "Betrieb" und "Service Level Agreement (SLA)" erfolgen in

- 49 -

regelmäßigen Abständen nach der Einführung einer Version, um die internen Abläufe und die Leistung im Hinblick auf die Kundendienstebenen zu beurteilen. Die Service Management Funktionen Viele der MOF-SMFs basieren auf der IT Infrastructure Library von OGC. Die bemerkenserten Ausnahmen sind Workforce Management (im Quadranten "Optimierung") und sämtiche SMFs im Quadranten "Betrieb". Weil die ITIL plattformunabhängig ist, deckt sie diese Punkte nicht ab. Infolgedessen stellt MOF im Quadranten "Betrieb" den größten Teil der für Microsoft-Produkte und -Technologien spezifischen Hilfestellung beim Betrieb bereit. Da Microsoft den Schwerpunkt auf IT-Vorgänge legt, enthalten viele Produkte jetzt zusätzliche Features und Funktionen, die ihre Supportfähigkeit, Zuverlässigkeit und Verwaltbarkeit erhöhen sollen. MOF erweitert gegebenenfalls die grundlegenden IT-SMFs von ITIL mit speziellen Verweisen auf Microsoft-Produkte und -Features, die die Bereitstellung der SMF entweder automatisieren oder verbessern. Diese IT-SMFs sind optimale Vorgehensweisen und müssen angepasst werden, um eindeutige oder spezielle Anforderungen einer bestimmten Betriebsumgebung zu erfüllen. Im folgenden Diagramm wird der Versionslebenszyklus, einschließlich der vier Quadranten, der vier Überprüfungen und der 20 SMFs, dargestellt.

Bild 17 Das MOF-Prozessmodell und SMFs [Micro02] 5.2.2 Das Team Modell Das MOF Teammodell wurde entwickelt, um das Managen und die Zusammenarbeit von geographisch oder betrieblich verteilten Teams, die verteilte Systeme verwalten, zu unterstützen. Es beschreibt:

Rollencluster für optimale Vorgehensweisen zum Strukturieren von Betriebsteams. Die Schlüsselaktivitäten und Kompetenzen der einzelnen Rollencluster. Die Verfahren zum Skalieren der Teams für unterschiedliche Größen und Unternehmenstypen. Die Rollen, die effektiv kombiniert werden können. Grundlegende Prinzipien, die beim Ausführen und Betreiben von verteilten Datenverarbeitungsumgebungen auf der Microsoft-Plattform helfen.

- 50 -

Grundlegende Prinzipien Zum Erstellen erfolgreicher, effizienter Betriebsteams wird mehr als nur die Beschreibung von Rollen und Verantwortungsbereichen benötigt. Erforderlich sind außerdem einheitliche Prinzipien, die ein Gefühl für gemeinsame Werte wecken und Richtlinien für das Funktionieren des Teams festlegen. Die fünf primären Prinzipien und Richtlinien für das MOFTeammodell umfassen:

Bereitstellen einer umfassenden Kunden Dienstleistung. Verstehen der Unternehmensprioritäten, damit IT den wirtschaftlichen Nutzen erhöhen kann. Aufbauen von starken, synergetischen, virtuellen Teams. Nutzen von Tools für IT-Automatisierung und Knowledge Management. Anwerben, Entwickeln und Weiterbeschäftigen von leistungsfähigem IT-Betriebspersonal.

Teamrollencluster Das MOF-Teammodell basiert auf der Erfahrung, dass ein erfolgreiches Betriebsteam eine Reihe von wichtigen Qualitätszielen erreichen muss. Die Rollencluster des Teammodells definieren sechs allgemeine Kategorien von Aktivitäten und Prozessen. Die Prozesse innerhalb eines Rollenclusters unterstützen alle dasselbe Qualitätsziel. Es ist wichtig zu erkennen, dass es sich bei Rollenclustern um Gruppen von Aktivitäten handelt, die ein gemeinsames Ziel haben. Rollencluster sind keine Tätigkeitsbeschreibungen, und sie sind mit keinem Organigramm irgendeiner Art verbunden. Es werden 6 Rollencluster unterschieden: Version (Release), Infrastruktur, Support, Betrieb, Partner, Sicherheit. Das folgende Diagramm ordnet die sechs Rollencluster möglichen funktionalen Rollen oder Funktionsteams in einer typischen Betriebsorganisation zu.

- 51 -

Bild 18 Das MOF-Teammodell und Beispiele für Funktionsrollen oder Funktionsteams [Micro02] Verbinden des Prozess- und des Teammodells Die Teamrollencluster richten sich normalerweise an den vier Prozessquadranten des MOFProzessmodells aus, wie im folgenden Diagramm dargestellt wird. Dabei können mehrere Rollen zu einem einzigen Quadranten gehören und eine einzige Rolle (z. B. "Lieferant" oder "Sicherheit") kann in mehreren Quadranten enthalten sein.

Bild 19 MOF-Teamrollencluster und ihre Anpassung [Micro02] 5.2.3 Das Risikomodell Das Risikomodell für den Betrieb wendet bewährte Techniken des Risikomanagements auf die Probleme an, mit denen das Betriebspersonal täglich konfrontiert wird. Es gibt viele verschiedene Modelle, Rahmenstrukturen und Prozesse zum Verwalten von Risiken. Das MOF Risikomodell zeichnet sich durch seine grundlegenden Prinzipien, eine benutzerdefinierte Terminologie, einen strukturierten, wiederholbaren Prozesses aus fünf Schritten und die Integration in eine größere Betriebsrahmenstruktur aus. Es baut auf dem Microsoft Solutions Framework MSF-Risikomodell auf, das erweitert und angepasst werden kann, um die Anforderungen von Betriebsgruppen zu erfüllen. Grundlegende Prinzipien Dieses Risikomodell wendet folgende Prinzipien für ein erfolgreiches Risikomanagement im Betrieb an:

- 52 -

Kontinuierliches Bewerten von Risiken: Dies bedeutet, dass das Team die Suche nach neuen Risiken niemals beendet und dass bekannte Risiken regelmäßig neu bewertet werden. Integrieren des Risikomanagements in jede Rolle und jede Funktion: Grundsätzlich übernimmt jede IT-Rolle einen Teil der Verantwortung für das Risikomanagement, und beim Entwerfen jedes IT-Prozesses wird das Risikomanagement beachtet. Positives Umgehen mit der Risikoidentifizierung: Damit das Risikomanagement erfolgreich ist, müssen die Teammitglieder bereit sein, Risiken ohne Furcht vor Kritik oder Sanktionen zu identifizieren. Verwenden von risikobasierter Zeitplanung: Zur Aufrechterhaltung einer Umgebung ist es oft erforderlich, Änderungen der Reihe nach vorzunehmen. Dabei sollte das Team die riskantesten Änderungen nach Möglichkeit zuerst vornehmen, damit für Änderungen, die nicht herausgegeben werden können, keine Zeit und Ressourcen verschwendet werden. Festlegen eines akzeptablen Formalitätsniveaus: Ein erfolgreicher Prozess muss vom Team verstanden und tatsächlich angewendet werden. Diese Prinzipien werden im Begriff proaktiv zusammengefasst. Ein Team, das proaktives Risikomanagement betreibt, erkennt an, dass Risiken ein normaler Bestandteil des Betriebs sind. Statt Risiken zu fürchten, betrachtet sie das Team als eine Gelegenheit zum Schutz künftiger Versionen. Die Teammitglieder zeigen eine proaktive Einstellung, indem sie einen sichtbaren, messbaren, wiederholbaren und kontinuierlichen Prozess zur objektiven Bewertung von Risiken und Gelegenheiten anwenden und dann Maßnahmen ergreifen, die sich sowohl mit den Ursachen der Risiken als auch mit deren Symptomen befassen. Risikomanagementprozess Im folgenden Diagramm werden die fünf Schritte des Risikomanagementprozesses dargestellt: Identifizieren, Analysieren, Planen, Nachverfolgen und Steuern. Es ist wichtig zu verstehen, dass jedes Risiko alle diese Schritte mindestens einmal und oft zahlreiche Male durchläuft. Außerdem besitzt jedes Risiko einen eigenen Zeitrahmen. Deshalb können in jedem Schritt zu jedem beliebigen Zeitpunkt mehrere Risiken vorhanden sein.

Bild 20 Der Risikomanagementprozess [Micro02] Im Risikoprozess werden folgende Risiko-Dokumentationen verwendet:

- 53 -

Risikobewertungsdokument: In den ersten drei Schritten werden Informationen zu einem bestimmten Risiko gesammelt und zum Risikobewertungsdokument hinzugefügt. In den letzten beiden Schritten wird dieses Dokument zur Unterstützung bei der Entscheidungsfindung herangezogen. Liste der wichtigsten Risiken: Diese Liste identifiziert die wenigen Hauptrisiken, die den größten Anspruch auf die begrenzte Zeit und die beschränkten Ressourcen des Teams haben. Liste der zurückgezogenen Risiken: Jedes irrelevant gewordene Risiko wird aus der Liste der Hauptrisiken in die Liste der zurückgezogenen Risiken verschoben. Diese Liste dient als Verlaufsreferenz, an die das Team sich zukünftig halten kann.

Der Prozess umfasst folgende fünf Schritte:

Schritt 1: Identifizieren. Ermitteln folgender Faktoren: Quelle des Risikos, Fehlerart, Bedingung, Folge für den Betrieb sowie Folge für das Unternehmen. Schritt 2: Analysieren. Ermitteln der Wahrscheinlichkeit und Auswirkung des Risikos sowie Verwenden der Ergebnisse zur Berechnung eines Gefährdungswertes als Hilfe beim Einstufen von Risiken. Schritt 3: Planen. Definieren von abschwächenden Faktoren, die das Risiko ganz vermeiden, es auf eine andere Partei übertragen oder aber die Auswirkung oder Wahrscheinlichkeit oder beides reduzieren. Definieren von Notfallplänen, die beim Eintreten des Risikos auszuführen sind. Definieren von Triggern, die das baldige Eintreten des Risikos anzeigen. Schritt 4: Nachverfolgen. Sammeln von Informationen darüber, wie sich verschiedene Elemente des Risikos im Lauf der Zeit ändern. Schritt 5: Steuern. Ausführen einer geplanten Reaktion auf bestimmte Änderungen. Beispiele: Wenn ein Triggerwert wahr wird, wird der Notfallplan ausgeführt. Wenn ein Risiko nicht mehr relevant ist, wird dieses Risiko zurückgezogen. Wenn sich die Auswirkung geändert hat, wird der Zyklus beim Schritt "Analysieren" neu gestartet, um die Auswirkung neu zu bewerten.

5.3 Zusatzinformationen

5.3.1 Verbreitung und Fallstudien Über die Einsatzzahlen liegen wenige Informationen vor. Da die deutsche Übersetzung der letzten englischen Dokumentationen zur Version 3 von MOF nicht nachgezogen wurde, liegt die Vermutung nahe, dass die Verbreitung im deutschsprachigen Raum sehr gering sein dürfte. Über eine Microsoft Webseite [Micr05] kann auf case studies von erfolgreichen Einsätzen bei Deloittle Niederlande, BP und Cox Communications zugegriffen werden. 5.3.2 Dokumentationen und Ausbildung Die ausführlichen englischsprachigen Beschreibungen zu MOF sind in der Microsoft TechNet Dokumentation abgelegt, es kann über Internet kostenlos darauf zugegriffen werden. Microsoft bietet eigene Kurse zu ITIL und MOF an. Möglichkeiten für eine Microsoftspezifische Zertifizierung sind gegeben. Im Übrigen verweist Microsoft als Ergänzung auch auf die offizielle ITIL Dokumentation. 5.3.3 Weiterentwicklung und Trends MOF liegt derzeit in der Version 3 vor und baut auf ITIL Version 2 auf. Es ist anzunehmen, dass Microsoft bei Vorliegen der geplanten Version 3 von ITIL die Erweiterungen auch bei MOF nachziehen wird.

- 54 -

5.4 Zusammenfassende Bewertung

Da keine Artikel mit Bewertungen zu MOF gefunden wurden - wahrscheinlich da es als proprietäres Produkt angesehen wird - wird hier eine persönliche Bewertung vorgestellt. Microsoft bietet mit der MOF Dokumentation seinen Kunden als Ergänzung zu ITIL wertvolle Beratungsinformationen kostenlos an. Die Dokumentationen sind für IT-Fachleute auch ohne zusätzliche Schulung verständlich, ihr Studium fördert das allgemeine technische IT-Know-how. MOF ist auch für kleinere Firmen, die Microsoft Produkte einsetzen, gut verwendbar. Eine echte Implementierung mit verbindlicher Einführung von Abläufen sollte allerdings unter Anleitung eines Beraters erfolgen. MOF behandelt nicht alle Bereiche von ITIL, sondern ist nur auf den Hauptbereich Service Management (mit Service Support und Service Delivery) fokussiert. Hier allerdings werden 20 identifizierte Problembereiche in Form von SMFs (Service Management Funktionen) adressiert und detailliert behandelt. Die Anleitungen sind professionell und praxisbasiert. Wichtige Aspekte einer Microsoft Umgebung wie z.B. Directory Services Administration werden ausführlich behandelt. Das Rollenkonzept bietet gute Unterstützung bei der Personalorganisation und einer optimalen Zuordnung von Personen, Aktivitäten, Kompetenzen und Aufgabenbereichen. Die Einführung von Risikomanagement ist heutzutage ein Muss, das vorgestellte Risikomanagementkonzept daher eine zusätzliche Unterstützung für deren Durchführung. Zusammenfassung: Microsoft Kunden bringt die Beschäftigung und der Einsatz von MOF Richtlinien sicherlich einen verbesserten, sichereren und daher auch kostengünstigeren Betrieb ihrer IT-Installationen. Ein Ersatz für das komplette ITIL ist MOF nicht.

- 55 -

6 Zusammenfassende Gegenüberstellungen

Die in dieser Arbeit betrachteten IT-Governance Referenzmodelle wurden bereits in den jeweiligen Kapiteln individuell ausführlich bewertet. Es folgen daher hier nur mehr Darstellungen über deren Zusammenspiel und Gegenüberstellungen.

6.1 IT-Governance und das CobiT Framework

Für die Implementierung einer IT-Governance gibt es zwar verschiedene Denkansätze und Prioritätsbewertungen (vgl. Kap. 2), jedoch gibt es nur einen De-facto- Standard dazu, das Referenzmodell CobiT. Diese Ansicht wird einhellig auch in der akademischen Literatur vertreten [HoHu03; MeZL03]. Die Aufgabe des Managements im Rahmen von IT-Governance ist es, die IT-Strategie und in weiterer Folge die IT-Aktivitäten derart zu steuern, zu kontrollieren und zu messen, dass diese bestmöglich zur Erreichung der globalen Geschäftsziele beitragen.

Direction (IT Strategy and Policy)

Requirements

CobiT

Goals Business Control Objectives

IT IT

Information the Business Needs to Achieve Its Objectives Information (IT Control, Risk and Assurance)

Responsibilities

Governance

I T Go v e r n a n c e

Bild 21 IT-Governance und die CobiT Kontrollziele [ISAC04] Das CobiT Framework ist das Best Practice Werkzeug dazu, denn es definiert für die wichtigsten IT-Prozesse deren Kontrollziele (Control Objectives)und beinhaltet Eine Anleitung zur Performancemessung (Messergebnisse und Performancetreiber für alle IT-Prozesse) Eine Liste aller kritischen Erfolgsfaktoren, die (nicht technische) Best Practices für jeden IT Prozess liefert. Reifegradmodelle, die sich als Entscheidungshilfe anbieten und Benchmarking unterstützen. Für ein Management, das IT-Governance einführen und leben will, sind somit CobiT und im Speziellen die Management Guidelines das geeignete Tool dafür.

- 56 -

6.2 ITIL - CobiT Abbildung

Im CobiT Framework werden die 34 wichtigsten IT-Prozesse identifiziert, beschrieben und in vier Domänen (PO 01-13, AI 01-06, DS 01-13 und M 01-04) gruppiert. Für diese werden Kontrollziele und Kontrollpraktiken definiert. Die Prozesse sind in Kap. 3.2.2 beschrieben. ITIL behandelt in seinen sieben Büchern ebenfalls die wesentlichen IT-Prozesse, wenn auch aus einer etwas anderen Sicht. Folgerichtig ist eine Zuordnung des Inhalts der ITIL Bücher auf die CobiT Prozesse möglich. Dazu wurden zwei verschiedene Darstellungen gefunden, wobei die beiden Darstellungen nicht zum gleichen Ergebnis kommen. In der von der ITGI veröffentlichten Schrift CobiT Mapping [ITGo04a] bewertet die ITGI die Unterstützung der CobiT Prozesse durch ITIL folgend:

Tabelle 4 CobiT Prozesse, die von ITIL adressiert werden [ITGo04a] Nach der ITGI Darstellung behandelt ITIL primär die Prozesse der Domänen AI (Acquisition and Implementation) und DS (Delivery and Support). Die zweite, inverse Darstellung der Firma Glenfis [Glen05] zeigt hingegen detaillierter, welche CobiT Prozesse welchen ITIL Büchern zugeordnet werden können:

COBIT Process

Bild 22 Mapping der CobiT Prozesse auf die ITIL Bücher [Glen05]

- 57 -

Die beiden wichtigsten, umfangreichsten und auch am meisten verwendeten ITIL Bücher sind diejenigen über Service Management, nämlich Service Delivery und Service Support. Daher wird in der folgenden Abbildung eine noch genauere Zuordnung von CobiT Prozessen auf Teilgebiete aus diesen Büchern gezeigt.

Bild 23 Mapping von CobiT Prozessen auf die ITIL Dokumentationen zu Service Delivery und Service Support [Glen05] Nach der Glenfis Darstellung behandeln die ITIL Bücher auch die meisten CobiT Prozesse der Domänen PO (Planning and Organisation)und M (Monitoring). Diese Abbildungen sind bei gleichzeitiger Verwendung sowohl der CobiT als auch der ITIL Dokumentation sehr nützlich und erlauben eine leichtere Zuordnung, da die verwendeten Begriffe in den beiden Dokumentationen naturgemäß nicht immer identisch sind.

6.3 Vergleichsmatrix

In der folgenden Tabelle werden die besprochenen Referenzmodelle mittels einer eigenen Bewertung grob gegenübergestellt, wobei in dieser unter IT-Governance die Sicht und das Board Briefing des ITGI zu verstehen ist.

- 58 -

Kriterien Herausgeber Zielgruppe

Schwerpunkt

ITGovernance ITGI Vorstand und Geschäftsführung IT-Governance strategisch

CobiT ITGI/ISACA Alle IT-Management-Ebenen, IT-Auditoren IT-Governance operationell

ITIL

MOF

Verbreitung Breite (Umfang) Tiefe (Detaillierung) Rollenmodell Zertifizierung EDVUnterstützung Weiterentwicklung

gering mittel mittel vorhanden nein nein ja

mittel groß groß Hinweise ISACA nein ja

OGC/itSMF Microsoft IT-Management IT-Personal und IT-Personal von Microsoft Kunden IT-ServiceIT-ServiceManagement Management in Microsoft SWUmgebung groß gering mittel mittel groß groß vorhanden itSMF stark dynamisch vorhanden Microsoft stark unbekannt

Tabelle 5 Vergleichsmatrix mit Kriterien

6.4 Zusammenfassung

Zusammenfassend kann folgendes kurzes Fazit gezogen werden: IT-Governance ist zu einem wesentlichen Teil der Unternehmensführung geworden und hat dementsprechende Bedeutung erlangt. Durch das CobiT-Referenzmodell wird dem Management ein Hilfsmittel gegeben, IT-Governance auszuüben, das heißt, die IT derart zu planen, zu steuern und zu kontrollieren, dass die Geschäftsziele optimal durch die IT-Prozesse unterstützt werden. Hingegen bietet das ITIL Referenzmodell Best Practices für das operationelle IT-Service-Management. Beide Modelle sind weltweit als De-facto-Standard anerkannt und können auch gut und gewinnbringend gleichzeitig angewendet werden. MOF ist eine ITIL Erweiterung von Microsoft für Anwender in einer Microsoft SoftwareUmgebung.

- 59 -

Literatur

[Bitt05] Bitterli, P.: CobiT Einführung. http://www.isaca.ch/, Abruf am 2005-05-27 [BMLS03] Bernhard, M.; Mann, H; Lewandowski, W; Schrey, J. (Hrsg): Praxishandbuch Service-Level-Management. Symposion-Verlag, Düsseldorf 2003. [Bodn03] Bodnar, G.: IT Governance. In: Internal Auditing, 18 (2003) 3, S. 27-32.. [BöKr04] Böhmann, T.; Krcmar, H.: Grundlagen und Entwicklungstrends im IT-Servicemanagement. In: HMD-Praxis der Wirtschaftsinformatik (2004) 237, S. 7-21. [Comp04] Computer Zeitung (2004) 38, S.10. [Dami05] Damianides, M.: Sarbanes-Oxley and IT-Governance: New Guidance on IT Control and Compliance. In: Information Systems Management 22 (2005) 1, S. 77-86. [Edel04] Edelstein, S.: Sarbanes-Oxley Compliance for Nonaccelerated Filers. In: The CPA Journal (2004) December, S.52-59. [EgHK04] Eggenberger, S.; Helbig, R.; Klar, I.: Die gläserne IT volle Transparenz bei Kosten und Leistungen der IT. In: HMD-Praxis der Wirtschaftsinformatik (2004) 237, S. 90-102. [FrHo05] Frank, V.; Holger, G.: Optimiertes IT-Management mit ITIL. Vieweg, Wiesbaden 2005. [Free04] Freedman, R.: Standards-Based IT Consulting. In: Consulting to Management 15 (2004) 4. [Gaul05] Gaulke, Martin: http://risikomanagement-in-it-projekten.de/IT-Risiken/ITSicherheit/CObIT/cobit.html, Abruf am 29 Mai 2005 [Glen05] Glenfis Schweiz: ITIL-CobiT-Mapping Excel-File, http://www.glenfis.ch/deutsch/gf52-ITILCobitForm.html Abruf 2005-05-08. [Groh03] Grohmann, H.: Prinzipien der IT-Governance. In: HMD-Praxis der Wirtschaftsinformatik (2003) 232, S 17-23. [HaAK03] Hawkins, K.; Alhajjaj, S.; Kelley, S.: Using CobiT to secure information assets. In: The Journal of Government Financial Management Summer 52 (2003) 2, S. 22. [HaGr04] De Haes, S.; Van Grembergen W.: IT Governance and Its Mechanisms. In: Information Systems Control Journal 1 (2004). [Hesc02] Heschl, K.: IT-Governance. Diplomarbeit WU Linz, 2002. [HoHu03] Hochstein, A.; Hunziker, A.: Serviceorientierte Referenzmodelle des ITManagements. In: HMD-Praxis der Wirtschaftsinformatik (2003) 232, S 45-56. [Hove04] Hovezak, M.: IT-Governance. Diplomarbeit UNI Wien, 2004. [HoZB04a] Hochstein, A.; Zarnekow, R.; Brenner, Serviceorientiertes IT-Management nach ITIL: Möglichkeiten und Grenzen. In: HMD-Praxis der Wirtschaftsinformatik (2004) 239, S 68-76. [HoZB04b] Hochstein, A.; Zarnekow, R.; Brenner.: ITIL als Common-PracticeReferenzmodell für das IT-Service-Management Formale Beurteilung und Implikationen für die Praxis. In: Wirtschaftsinformatik 46 (2004) 5, S.382-389. [HuMM04] Huff, S.; Maher, P.; Munro, M.: What boards don't do - but must do - about Information Technology. In: Ivey Business Journal Online (2003) Sep/Oct. [ISAC01] ISACA-CH: CobiT-Broschüre 3rd Edition (PDF). http://www.isaca.ch/, Abruf am 2005-05-27 [ISAC04] ISACA : CobiT Presentation Package. http://www.isaca.org/, Abruf am 2005-05-27 [ITGo00a] IT Governance Institute: CobiT 3rd Edition Executive Summary. July 2000 [ITGo00b] T Governance Institute: CobiT 3rd Edition Framework. July 2000 [ITGo00c] IT Governance Institute: CobiT 3rd Edition Control Objectives. July 2000 [ITGo00d] IT Governance Institute: CobiT 3rd Edition Control Practices. July 2000

- 60 -

[ITGo00e] IT Governance Institute: CobiT 3rd Edition Management Guidelines. July 2000 [ITGo00f] IT Governance Institute: CobiT 3rd Edition Audit Guidelines. July 2000 [ITGo00g] IT Governance Institute: CobiT 3rd Edition Implementation Tool Set. July 2000 [ITGo03a] IT Governance Institute: CobiT Quickstart. 2003 [ITGo03b] IT Governance Institute: IT Governance Implementation Guide. 2003 [ITGo03c] IT Governance Institute: IT Governance für Geschäftsführer und Vorstände. 2003 [ITGo03d] IT Governance Institute: Board Briefing on IT Governance, 2. Edition. 2003 [ITGo04a] IT Governance Institute: CobiT Mapping, Overview of International IT Guidance. 2004 [ITGo04b] IT Governance Institute: IT Control Objectives for Sarbanes-Oxley. 2004 [ITGo04c] IT Governance Institute: IT Governance Executive Summary. 2004 [ITGo04d] IT Governance Institute: IT Governance Global Status Report. 2004 [ITGo04e] IT Governance Institute: The CEO s Guide to IT [email protected] 2004 [itsm04a] itSMF: IT Service Management eine Einführung basierend auf ITIL. 2004. [itsm04b] itSMF: IT Governance, a pocket guide based on CobiT. 2004 [itre05] it-resutling: http://www.it-resulting.com/e-trolley/page_801/ Abruf am 2005-05-31 [KeHP04] Kemper, H.; Hadjicharalambous, E.; Paschke, J.: IT-Servicemanagement in deutschen Unternehmen Ergebnisse einer empirischen Studie zu ITIL. In: HMD-Praxis der Wirtschaftsinformatik (2004) 237, S 22-31. [Köhl05] Köhler, P.: ITIL Das IT-Servicemanagement Framework. Xpert.press Springer 2005. [KoKa01] Korac-Kakabadse, N.; Kabakadse, A.: IS/IT governance: Need for an integrated model. In: Corporate Governance 1 (2001) 4, S. 9-11. [Kres05] Kresse, M.: Was ist eigentlich ITIL, In Bernhard, M. (Hrsg): Praxishandbuch Service-Level-Management. Symposion-Verlag, Düsseldorf 2003, S.63-95. [Lain00] Lainhart, J.: CobiT: A Methodology for Managing and Controlling Information and Information Technology Risks and Vulnerabilities. In: Journal of Information Systems 14 (2000) Supplement S. 21-25. [LeDL04] Lehner, F.; Dirmeyer, J.; Lindner, O.: Softwarewerkzeuge zum ITServicemanagement. In: HMD-Praxis der Wirtschaftsinformatik (2004) 237, S 67-79. [Mcma04] McManus, J.: Working Towards an Information Governance Strategy. In: Management Services (2004) August, S. 8-13. [MeZK03] Meyer, M; Zarnekow, R.; Kolbe,L.: IT-Governance, Begriff, Status quo und Bedeutung. In: Wirtschaftsinformatik 45 (2003) 4, S.445-448. [Micr05] http://www.microsoft.com/resources/casestudies/ Abruf am 2005-06-01 [OECD04] OECD: Principles of Corporate Governance. 2004, http://www.oecd.org/dataoecd/32/18/31557724.pdf, Abruf am 2005-05-27 [Olts03] Oltsik, Jon: IT Governance: is it the answer?. In: TechRepublic, 22 January 2003 [Öste05] Österreichischer Corporate Governance Index, 2005, http://www.wienerboerse.at/corporate/pdf/CGKodexdtEndversionFeb2005.pdf, Abruf am 2005-05-27 [Offi00a] Office of Government Commerce: ITIL Service Delivery. The Stationary Office, London 2001. [Offi00b] Office of Government Commerce: ITIL Service Support. The Stationary Office, London 2000. [Offi00c] Office of Government Commerce: ITIL Planning to Implement IT Service Management. The Stationary Office, London 2002. [Offi00d] Office of Government Commerce: ITIL Security Management. The Stationary Office, London 2002.

- 61 -

[Offi00e] Office of Government Commerce: ITIL Software Asset Management. The Stationary Office, London 2002. [Offi00f] Office of Government Commerce: ITIL Business Perspective. The Stationary Office, London 2002. [Offi02a] Office of Government Commerce: ITIL Application Management. The Stationary Office, London 2003. [Offi02b] Office of Government Commerce: ITIL ICT Infrastructure Management. The Stationary Office, London 2004. [Olbr04] Olbrich, A.: ITIL kompakt und verständlich. Vieweg, Wiesbaden 2002. [Pate02] Patel N.: Emergent Forms of IT Governance to support global e-business models. In: Journal of Information Technology Theory and Application 4 (2002) 2, S. 33-49. [Pete04] Peterson, R.: Crafting Information Technology Governance. In: Information System Management, Fall 2004, S. 7-21. [PuQA03] Pultorak, D.; Quagliariello, P.; Akker, R.: Das MOF Taschenbuch, Microsoft Operations Framework. Van Haren Publishing, 2003. [Rau04] Rau, K.: Effective Governance of IT: Design Objectives, Roles, and Relationships. In: Information System Management (2004) Fall, S. 35-42. [Robb04] Robbins, S.: IS Governance. In: Information Systems Management 21 (2004) 4, S. 81-82. [SaZm99] Sambamurthy, V.; Zmud, R.: Arrangements for Information Technology Governance: A Theory of Multiple Contingencies. In: MIS Quarterly 23 (1999) 2, S. 261290. [Solm05] Solms, Basie von: Information Security governance: CobiT or ISO 17799 or both?. In: Computers&Security (2005) 24, S. 99-104. [Szak04] Szakats, D.: IT Maturity and Sourcing Strategies. Diplomarbeit Universität Zürich, 2004. [Weil04] Weill, P.: Don t Just Lead, Govern: How Top-Performing Firms govern IT. In: MIS Quarterly Executive 3 (2004) 1. [WeRo04a] Weill, P; Ross, J.: IT Governance on One Page. In: CISR Working Paper 349 (2004). [WeRo04b] Weill, P; Ross, J.: IT Governance. Harvard Business School Press 2004 [WeRo05] Weill, P; Ross, J.: A Matrixed Approach to Designing IT Governance IT. In: MIT Sloan Management Review 46 (2005) 2. [WeWo02] Weill, P; Woodham, R.: Don t Just Lead, Govern: Implementing Effective IT Governance. In: CISR Working Paper 326 (2002).

- 62 -

This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.

Information

Microsoft Word - IT-Governance sewforpdf.doc

63 pages

Find more like this

Report File (DMCA)

Our content is added by our users. We aim to remove reported files within 1 working day. Please use this link to notify us:

Report this file as copyright or inappropriate

438344