Hauptseminar:

Hauptseminar Wirtschaftsinfonnatik von Professor Dr. R. Thome im WS 09/10 zum

ITIL Y.3 und CobiT - Rahmenwerke fur IT-Governance?

Thema:

Nununer des Themas: 4

von:

Daniel Halbig aus Wurzburg

1 Ist IT-Governance wichtiger denn je? 1

2 Governance: Prozess, Aufgaben & Begriffe 2

2.1 Corporate Governance und Compliance 2

2.2 IT-Governance 3

2.3 Kernbereiche von IT-Governance 3

3 Unterstutzende Referenzmodelle 6

3.1 CobiT 6

3.1.1 Das CobiT Framework 6

3.1.2 Das generische IT - Prozessmodell 7

3.1.3 Management Guidelines 11

3.2 Das ITIL-Referenzmodell 12

3.2.1 ITIL V3 13

3.2.2 ITIL Core 13

3.3 Vergleich von CobiT und ITIL fur IT-Governance 19

4 Abdeckung der IT-Governance Bereiche 21

5 Mapping von CobiT 4.1 zu ITIL V3 23

6 Management Summary 24

Quellenverzeichnis 25

lIst IT-Governance wichtiger denn je?

Die IT (Infonnationsteclmologie) ist durch ihre zunehmende Bedeutung zu einem primaren Einflussfaktor des wirtschaftlichen Unternehmenserfolgs geworden. Dies liegt vor allem an den zunehmenden Geschaftsprozessen, die durch die IT unterstutzt oder sogar erst durch die IT ermoglicht werden [BUCH08, S. 13-14]. So hat sich in den letzten Jahren eine Entwicklung der IT-Bereiche, weg vom Cost Center und reinem Technikprovider, hin zum serviceorientierten Profit Center bzw. Value Cen-

ter vollzogen [HOFM07, S. 294].

IT-Investitionen werden nicht mehr nur an ihrer Wirkung auf die Kosten, sondem auch an ihrem Beitrag zum Umsatz bemessen. Daraus folgt, dass dieser, wie bei jeder anderen Investition messbar sein muss, 11111 so die Vergleichbarkeit innerbetrieblicher und extemer Unternehmensbereiche zu fordern, Des Weiteren verlangen neue Gesetze und Bestimmungen eine immer hoher werdende Transparenz der Un-

1 f-

ternehmenssituation [ITGI03, S. 13-15].

--, .......... ./~...---'---.,---.- .. ~

IT -Governance setzt genau dort an und soll innerhalb bestimmter Richtlinien das Management bei seinen Kontroll- und Fi.ihnmgsaufgaben im Hinblick auf die IT Hauptseminar Wirtschaftsinformatik

IIlL V.3 lind CobiT - Rahmenwerke ftlr IT-Governance?

unterstutzen, wobei die Erreichung der Geschaftsziele mittels IT bzw. die Nutzengenerierung und das Managen von IT - Risiken im Mittelpunkt stehen. So ist es fur ein Unternehmen mit einer effizienten IT -Governance moglich, uber 20 Prozent hohere Gewinne als Unternehmen mit einer vergleichbaren strategischen Ausrichtung zu erzielen [WEIL04, S.2].

In diesem Zusammenhang stellen die Rahmenwerke ITIL und CobiT umfangreiche Methoden und MaBnalunen zur strategischen und sparer auch operativen Steuerung und Kontrolle der gesamten Datenverarbeitung bereit [ITGI09, S. 6].

Diese .Serninararbeit . soll klaren, .. inwieweit und welche IT -Governance- Bereiche durch die beiden Standards abgedeckt werden und soll die Transparenz und Vergleichbarkeitdieset' RahmeliWetkefOtdei'il: .. )

2 Governance: Prozess, Aufgaben & Begriffe

/2.1 Corporate Governance und Compliance

Unter Corporate Governance versteht man die verantwortungsvolle, nachhaltige und auf langfristige Wertschopfung ausgerichtete Organisation und Steuenmg der Unternehmensleitung, -uberwachung und -kontrolle. Corporate Governance kann daher als Teilgebiet der Unternehmensfuhrung angesehen werden [ROSE01, S. 283-285]. Allerdings erst seitdem die Einhaltung von Gesetzen, Regulierungen, Standards und Vorgaben (Compliance), wie z.B. des Sarbanes-Oxley Act (SOX) und Basel II, immer wichtiger wurden, hat auch Corporate Governance an Bedeutung gewonnen. Compliance stellt sicher, dass die Unternehmen sich in einem gewissen rechtlichen Rahmen bewegen und dadurch schwere Fehler oder kriminelle Praktiken vermieden werden. Zudem sollen durch diese gesetzlichen Regelungen mehr Transparenz, Sicherheit und Korrektheit der technikgestutzten Informationsverarbeitung im Unternehmen geschaffen werden [JORA07, S. 14-15; TEUB08; S. 400-401].

Durch Compliance steigt das Interesse des Vorstandes an der Richtigkeit der vorzulegenden Finanzberichte und somit auch an der ordnungsmafiigen Systementwick ... lung, jedoch auch an einem fehlerlosen Ablauf des Systembetriebs, da der Vorstand nun personlich haftbar fur Falschdarstellungen gemacht werden kann. Zur nachhalti-

~~---------.------.--

gen Umsetzung der Compliance-Richtlinien ist daher auch eine IT-Governance erforderlich [.TORA07, S. 14-15].

Haup tseminar W irtschaftsinformatik

2

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

2.2 IT-Governance

Allgemein werden unter IT -Governance "die Grundsatze, Verfahren und Mafmahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschaftsziele abgedeckt, die Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen uberwacht und minimiert werden" [BUCH08, S.100].

Es gilt daher die Unternehmensprozesse und Organisationsstrukturen dahingehend zu I J

steuern, dass die IT die Unternehmensstrategie und -ziele unterstutzt [ITGI03, S. 6]. Gerade die Unternehmensprozesse sind im Wesentlichen von der IT-UnterstiHzung abhangig und lassen sich vielfach ohne IT gar nicht mehr meistern. Die Informationstechnologie unterstutzt grundlegend das Unternehmen bei den Ablaufen und der Effizienz der Geschaftstatigkeit [BUCH08, S. 13-14]. Sie verursacht nicht nur Kos-

ten, sondern erzeugt idealerweise auch einen Nutzen. Demzufolge kann der Einsatz

von IT einen nicht unerheblichen Unternehmenswert generieren. Daher sollte ein verantwortungsvoller Umgang mit IT-Ressourcen gewahrleistet sein, umnicht unno-

tige IT-Risiken zu generieren [ITGI03, S. 14-15; TEUB08, S. 403-405].

Die Verantwortung und die damit verbundene Einhaltung der IT-Governance Vergaben obliegen dem Vorstand und dem Management. Daher gilt es, IT-Governance nicht isoliert von den Managemententscheidungen, sondern als zentralen Faktor der ganzheitlichen Unternehmensfiihrung zu betrachten [ITGI03, S. 19-21].

2.3 Kernbereiche von IT-Governance

Die grundlegende IT -Governance Struktur lasst sich durch die untenstehende Abbildung 1 in 5 Kernbereiche aufteilen. Diese 5 Kernbereiche lassen sich wiederum in Hauptziele und Treiber klassifizieren [ITGI03, S. 26-27]. Die Hauptziele der IT-

Governance unterteilen sich in das Risikomanagement (Risk Management) und die Nutzengenerierung (Value Delivery). Die restlichen 3 Kernbereiche stellen die Treiber dar, welche die Ergebnisse unterstutzen. Die Treiber gliedern sich in Strategische Ausrichtung (Strategic Alignment), Ressourcenmanagement (Resource

Abb. 1: Kernbereiche der Management) und Messen der Performance

IT-Governance [ITGIOS, S. 71 (Performance Measurement) [ITGI03, S. 26ff].

Hauptseminar Wirtschaftsinformatik

3

ITIL Y.3 und CobiT - Rahmenwerke ftu IT-Govemance?

Risk Management (Risikomanagement)

Aufgrund der immer grofier werdenden Risikopotentiale ist es unerlasslich, dass die Unternehmungsleitung ein hohes MaB an Risiko-Bewusstsein und ein aktives Risikomanagement besitzt, da gerade fur IT-Investitionen eine allgemeine, unternehmensubergreifende Risikoeinschatzung von Noren ist [ITGI05, S. 7]. Erst nachdem tiber eine gewisse Risikoeinstellung (risikoneutral, risikoavers oder risikofreudig) entschieden wurde, konnen Strategien fur das Risikomanagement erstellt und Verantwortlichkeiten festgelegt werden [ITGI03, S. 37].

Des Weiteren muss Transparenz uber die wichtigsten Risiken im Unternehmen vorhanden sein, um den Compliance-Erfordernissen gerecht zu werden [HOFM07, S. 294]. Es gilt jedes noch so kleine oder unverstandliche Risiko zu analysieren, Ull1 in geeigneter Form darauf reagieren zu konnen. Denn die gefahrlichsten IT Risiken sind diejenigen, die nicht richtig verstanden oder erst gar nicht analysiert wurden [ITGI03, S. 37].

Value Delivery (Nutzengenerierung)

In diesem Bereich steht die effektive Realisierung von Nutzen im Vordergrund. Dabei ist die strategische Ausrichtung ein entscheidender Treiber, denn del' Mehrwert, del' durch den Einsatz von IT fur das gesamte Unternehmen geschaffen wird, hangt davon ab, wie stark die IT Organisation auf das Unternehmen ausgerichtet ist [ITGI05, S. 7; ITGI03, S. 33-34].

Durch die Ausrichtung der IT auf die Geschaftsprozesse wird Nutzen geschaffen, indem die IT die Infrastruktur bereitstellt und so dem Unternehmen Wachstum ermoglicht. Der IT Einsatz kann zudem die ErschlieBung neuer Markte, die Erhohung des Umsatzes und eine Verbesserung der Kundenzufriedenheit und der Kundenbindung fordern [ITGI03, S. 35]. Fur eine effektive und effiziente Nutzengenerierung ist es unerlasslich, dass sowohl die anfallenden Kosten als auch del' erwartete Investitionsruckfluss beachtet wird [JOHA07, S. 42]. Neben wichtigen Finanzkennzahlen sollte aber auch eine Orieritierung an Qualitarskeniizalilen erfolgen, da der IT-Eitlsatz nicht immer eine Steigerung des Ertrages bewirkt [ITGI03, S. 34].

Strategic Alignment (Strategische Ausrichtung)

Vor dem Hintergrund des geschilderten Wertbeitrags der IT rur das Unternehmen untersucht das Strategic Alignment (oder auch IT-Business-Alignment), wie die Hauptseminar Wirtschaftsinformatik 4

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

Unternehmensstrategie und -ziele durch angemessene IT -Infrastruktur unterstutzt werden konnen [JOHA07, S. 42]. Ziel des IT -Business-Alignments ist es, eine bessere Abstimmung zwischen den Geschaftsprozessen und dem IT -Service-Management Zll erzielen. Diese Abstimmung wird ausschlaggebend von den Erwartungen und Zielen del' Anspruchs- und Interessengruppen innerhalb und au13erhalb des Unternehmens (Stakeholder) beeinflusst [HOFM07, S. 293-294]. Des Weiteren konzentriert sich das Strategic Alignment auf die Festlegung, Beibehaltung und Validierung des Wertbeitrags [ITGI05, S. 7].

Resource Management (Ressourcenmanagement)

Wesentlicher Bestandteil dieses Treibers ist die kontinuierliche Verbessenmg von

IT-Wissen und -Infrastruktur [ITGI03, S. 38]. Es zeigt sich, dass effiziente nachhal- /.,

,r;./"'-

tige Investitionen in IT-Ressourcen (Personal, Anwendungen/Applikationen, technische Infrastruktur und Daten) sowie deren Verwendung und Bereitstellung Schlusselfaktoren fur eine erfolgreiche IT-Performance sind [ITGI05, S. 7]. Es gilt, das ITInvestitionsvolumen so zu wahlen, dass dabei eine effiziente Kosten-Nutzen-Losung zwischen Servicequalitat und den dafur anfallenden Kosten entsteht [ITGI03, S. 39].

Peformance Measurement (Messen von Performance)

Die konsequente Messung del' IT - Perf0TI11anCe gegentiber den definierten Vorgaben bzw. del' festgelegten Strategie ist essentiell fur die zeitgerechte Steuerung und den kontinuierlichen Verbesserungsprozess in del' IT. Daher muss eine regelmaliige Performancemessung in allen Bereichen erfolgen. Hierbei ist die regelmafsige Kontrolle und Uberwachung del' Geschaftsprozessperformance und IT -Serviceerbringung essentiell, da nur so die strategische Ausrichtung schnellstmoglich und effizient angepasst werden kann [lOHA07, S. 43; ITGI05, S. 7].

Jedoch existieren auch immaterielle Werte (z.B. Grad del' Kundenzufriedenheit oder Entwicklung del' Mitarbeiterqualifikation), welche nicht durch traditionelle und kurzfristige Finanzkennzahlen gemessen werden konnen. In diesem Fall kommen Balance Scorecards zum Einsatz. Diesel' Ansatz leitet die Strategie in konkrete Ziele und Aktivitaten um, deren Performance so messbar wird. Diese Messzahlen geben einen Anhaltspunkt, ob die Ziele erreicht wurden [ITGI03, S. 40-41].

Hauptseminar Wirtschaftsinformatik

5

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

3 U nterstutzende Referenzmodelle

Die Umsetzung von IT-Governance wird durch leistungsfahige und international akzeptierte Verfahren und de-facto Standards unterstiitzt. In der Praxis haben sich speziell zwei Referenzmodelle etabliert: Control Objectives for Information and related Technology (CobiT) und Information Technology Infrastructure Library (ITIL). Diese sollen dabei helfen, die IT-untersti.itzenden Geschaftsprozesse zu verwalten, zu kontrollieren und transparenter zu machen [ITGI09, S. 6].

3.1 CobiT

CobiT stellt ein Regelwerk zur Kontrolle, Prufung und Steuerung der gesamten IT 7

JlvoUO\~[' dar, welches die Anforderungen und Risiken furalle Managementebenen definiert.

~.~-~~-------~---,---.-

Ursprunglich wurde CobiT als Audit- Werkzeug gesehen. J edoch hat es sich im Laufe

der Zeit zunehmend als Anleitung fur die Verbesserung von IT-Steuerung und damit als Referenzmodell fur IT-Governance etabliert [JOHA07, S 40]. CobiT ist in del' Lage, durch eine ausfuhrliche Beschreibung der Kontrollziele fur IT-Prozesse die ITGovernance maBgeblich zu unterstiitzen. IT-Control Objectives (Kontrollziele) sind Aussagen uber das gewunschte Ergebnis oder den zu erreichenden Zweck eines Prozesses, welche mit der Implementierung von Kontrollverfahren (Controls) in einer bestimmten Aktivitat erreicht werden soll [GOLT04, S. 12]. Fur diesen Zweck stellt die Publikation "Control-Objectives" eine Erweitenmg des Cob iT-Framework zur Verfugung, bei der die Kontrol1ziele detailliert ausgearbeitet wurden. Insgesamt werden 214 nachgelagerte Kontrollziele in generischer Form geliefert [ITGI05a, S. 181]. Der CobiT-Framework stellt ein allgemein gultiges IT-Prozessmodell dar, das kontinuierlich erweitert und angepasst wird [ITGI05, S. 6-7].

3.1.1 Das CobiT Framework

Das CobiT Framework basiert auf einem Kreislaufprinzip zwischen Unternehmensanforderungen, IT-Ressourcen und IT-Prozessen. Ausgehend von den Informationen,

( .. die ein Unternehmen zur Realisierung seiner Geschaftsanforderungen und :::::ziele benotigt, muss das Unternehmen die IT-Ressourcen zur Verfugung stellen. Die ITRessourcen konnen durch eine strukturierte Menge an Prozessen identifiziert, geplant, gesteuert und kontrolliert werden. Diese gewahrleisten, dass die entsprechenden Informationsdienste (Services) fur die Geschaftsanforderungen bereitgestellt

Hau p tseminar W irtschafts informa tik

6

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

werden. Das fuhrt zu einer effizienten Verbindung von Geschaftszielen und ITZielen [ITGI05, S. 14; lOHA07, S. 49-50].

Dieses Prinzip wird im Govemanee- oder CobiT- Wurfel (siehe Abbildung 3) aufgegriffen und verdeutlieht die enge Verbindung. Der Cobi'I-Wurfel geht dabei zuerst von der Einteilung der IT-Prozesse in 3 Ebenen aus. Auf der untersten Ebene sind die Aktivitaten, welehe die Grundlage fur die Realisierung eines definierten Resultats sind, zu finden. Diese Aktivitaten werden zu naturlichen Gruppen zusammengefasst, die spezifisehe Kontrollen zulassen. Diese Aufgabengruppen werden Prozesse genannt und bilden die zweite Ebene der Hierarehie. Auf der obersten Ebene werden

uruernenmensAnfordenmg

Abb. 2: Der CobiT-Wiirfel [ITGIOS, S. 26]

diese Prozesse zu vier ubergeordneten Domanen konsolidiert, wodurch gezeigt wird, dass die IT-Prozesse durchgefuhrt werden, um bestimmte Ziele zu erreichen, Diese Hierarehie Iasst sieh um zwei Di-

mensionen, zum einen IT-Ressoureen und zum anderen Geschaftsanforderungen erweitem, womit sieh das Gesamtmodell in Form eines Wurfels darstellen lasst.

[GOLT04, S. 25-26; lOHA07, S. 55-56].

3.1.2 Das generische IT-Prozessmodell

Die Gestaltung von IT-Prozessen erfolgt m CobiT durch em generisehes ITProzessmodell, welches die IT-Aktivitiiten in 34 typisehe Teilprozesse gliedert. Dabei werden die 34 kritisehen Teilprozesse auf die vier ubergeordneten Domanen (Bereiehe) aufgeteilt, welche den IT-Sektor abdecken. Diese Domanen Planung und Organisation, Besehaffung und Implementierung, Betrieb und Unterstiitzung und Uberwachung und Beurteilung bilden somit ein Referenzmodell fur alle Beteiligten im Unternehmen [ITGI05, S. 6]. Nachfolgend werden die vier Domanen naher erlautert und die einzelnen Prozesse der jeweiligen Domane aufgelistet.

Planung und Organisation ("Plan and Organise", PO)

In der Domane .Planung und Organisation (PO)" erfolgt die Festlegung der Strategie und Taktik, mit welcher die IT am effektivsten die Realisierung der Geschaftsziele untersti.itzt. Bevor die Umsetzung einer geeigneten Strategie erfolgen kann, muss

Hauptserninar Wirtschaftsinformatik

7

ITIL Y.3 und CobiT - Rahmenwerke ftlr IT-Governance?

diese im Unternehmen geplant und mit den Mitarbeitern kommuniziert werden, so dass diese auch aus verschiedensten Sichten begutachtet und aufbereitet wird. Dies solI dazu beitragen, dass eine gut funktionierende teclmologische Infrastruktur und eine geeignete Organisation bereitgestellt werden [GOLT04, S. 28, ITGI05 S. 16]. Die ersten 4 Prozesse PO 1 (Definieren eines strategischen IT Plans), P02 (Definieren der Informationsarchitektur), P03 (Definieren der technologischen Ausrichtung), P04 (Definieren der IT Organisation und ihrer Beziehungen) stellen die Hauptprozesse der Domane dar und mussen daher interaktiv und iterativ ausgefuhrt werden, da sich die Ergebnisse der Prozesse gegenseitig beeinflussen [GOLT04, S. 29].

Die nachfolgenden Prozesse P05 (IT-Investitionenmanagement), P06 (Kommunizieren del' Management-Ziele und Strategien) und P07 (Personalftihrungsmanagement) stellen die Einflusse der Geschaftsanforderungen dar. Diese nehmen direkten Einfluss auf die strategische Ausrichtung der IT [ITGI05, S. 52-62].

Die verbleibenden Prozesse P08 (Qualitatsmanagement), P09 (Risikomanagement), PO 1 0 (Projektmanagement) nehmen eine ubergeordnete und Domanenubergreifende Funktion ein, welche groBen Einfluss auf viele CobiT-Prozesse haben [GOLT07, S. 29 & 73-82].

Beschaffung und Implementierung ("Acquire and Implement", AI)

In .Beschaffung und Implementierung" erfolgt nun die Umsetzung der IT-Strategie. Hierbei mils sen zuvor Uberlegungen bezuglich der IT - Losung durchgefuhrt werden,

\ I ob diese erworben oder entwickelt werden soll. AnschlieBend gilt e~ diese IT -Losung zu implementieren und in die Geschaftsprozesse zu integrieren [ITGI05, S. 16]. Zunachst stellt der Prozess All (Identifizienmg automatisierter Losungen) fest, welche Anderungen bezuglich der IT - Infrastruktur durchgefuhrt werden mussen, damit die Strategie umzusetzen ist. Hierbei flieBen besonders die festgelegte Strategie, technologische Anfordenmgen sowie die Geschaftsanforderungen in die Losung mit ein [GOLT04, S. 30]. AI2 (Erwerb und Pflege von Applikationssoftware), AI3 (Erwerb und Pflege der technischen Infrastruktur), AI4 (Befahigen des Betriebs) und AI5 (Zur Verfugungstellung von IT-Ressourcen) stellen die Kernprozesse dieser Domane dar. Durch Verbindung dieser 4 Prozesse ist es moglich, eine intakte ITLosung zu liefern [GOLT04, S. 30].

Der darauffolgende Prozess AI6 (Change Management) ist ein weiterer grundlegender Prozess fur die Domane. Dieser fuhrt die Anderungen in j eder IT -Organisation

Hauptseminar W irtschaftsinformatik

8

ITIL V.3 und CobiT - Rahmenwerke filr IT-Governance?

sowie in jedem Geschaftsbereich durch. Dabei gilt es besonders darauf zu achten, dass mogliche Storungen oder Beeintrachtigungen des Geschaftsablaufes beseitigt bzw. behoben werden [GOLT04, S. 98]. AI6 liefert dabei die Verfahren, welche benotigt werden, um die angestrebte I'Ivl.osung oder Anderungen durch den Prozess AI7 (Installieren und Abnehmen von Systemen und Anderungen) in den operativen Betrieb zu uberfuhren. Damit die Einfuhrung der I'Ivl.osung einwandfrei und ohne Komplikationen oder Fehler funktioniert, werden vor der endgultigen Implementierung Tests und Releaseplanungen durchgefuhrt [GOLT04, S. 100].

Betrieb und Unterstutzung ("Deliver and Support", DS)

Der zentrale Kem dieser Domane ist die Bereitstellung der IT-Services. Dabei handelt es sich um die eigentliche Serviceerbringung, die Verwaltung von Dauerhaftigkeit und Sicherheit, Serviceunterstutzungen fur die Benutzer und das Management (z.B. durch Schulungen) sowie Kostenmanagement und das Management des kontinuierlichen Betriebs [ITGI05, S. 17].

DS 1 (Service Level Management) ist der Kemprozess von "Erbringung und Unterstutzung". Dieser Prozess erfasst alle Anforderungen und uberfuhrt diese in die Betriebsorganisation. Das Ergebnis dieses Prozesses resultiert in den Service Level Agreements (SLA), anhand welcher die gelieferten Services auf Qualitat und Quantitat gepruft werden. Der darauffo1gende Prozess DS2 (Lieferanten Management) kummert sich um die Qualitat del' gelieferten Services und reduziert die mit einer Lieferung verbundenen Risiken [GOLT04, S. 104-110]. Dabei werden die vorangegangenen Prozesse direkt mit dem Prozess DS6 (Kostenmanagement) verknupft, um eine effizientere IT-Kostenkontrolle zu gewahrleisten [ITGI05, S. 137].

Die Prozesse DS3 (Performance- und Kapazitatsmanagemeut), DS4 (Continuity Management), DS5 (Security Management) und DS7 (Anwenderschulung und Training) sind ausgegliederte und unterstutzende Prozesse. Bei jeglicher Art von Problemen mit und aus der IT stellt DS8 (Anwenderunterstutzung) den Support fur die Anwender bereit. lndessen sorgt del' Prozess DS 1 0 (Problem Management) fur eine direkte und unmittelbare Beseitigung der Probleme [GOLT04, S. 31-32 & ll lff.], Jedoch sind alle Prozesse und deren Infrastruktur abhangig von einer umfangreichen und detaillierten Dokumentation, welche durch den Prozess DS9 (Konfigurationsmanagement) geliefert wird [GOLT04, S. 129]. Die letzten 3 Prozesse, DS 11 (Data Management), DS12 (Facility Management) und DS13 (Operationsmanagement),

Haup tseminar W irtschaftsinformatik

9

ITIL V.3 und CobiT - Rahmenwerke fUr IT-Governance?

geben die operativen Bereiche der Domane wieder. Sie sind an die Service Level Agreements, also das Ergebnis des Prozesses DS1, gebunden [GOLT04, S. 32].

Uberwachung und Beurteilung ("Monitor and Evaluate", ME)

Die letzte Domane ME ist die Kontrollinstanz del' vorherigen Domanen, Sie uberpruft regelmafiig jeden IT-Prozess bzw. jeden Prozess del' einzelnen Domanen auf seine Leistungsfahigkeit bzw. Qualitat sowie auf seine Konformitat mit den vorgegebenen Kontrollzielen. Des Weiteren mussen ext erne Anforderungen sowie Geschaftsanforderungen standig mitbetrachtet werden, um so auf gesellschaftsrechtliche Veranderungen reagieren zu konnen [ITGI05, S. 17; JOHA07, S. 63].

Probleme konnen fruhzeitig durch die Prozesse MEl (Uberwachen und Evaluieren der IT Performance), ME2 (Uberwachen und Evaluieren Interner Kontrollen) und ME3 (Sicherstellung der Einhaltung gesetzlicher Vorschriften) erkannt werden. Diese Prozesse schaffen Transparenz und Verstandnis tiber die IT-Kosten und helfen bei der Einhaltung der Compliance Vorgaben [GOLT04, S. 33].

Der Prozess ME4 (Sorgen fur IT-Governance) hingegen stellt das Framework der ITGovernance dar, an dem sich die anderen Prozesse ausrichten. Es zeigt auf, ob die Geschaftsstrategie mit den Governance Anforderungen ubereinstimmt und definiert Komponenten wie z.B. die Organisationsstrukturen, die Rollenmodelle, die Prozesse und die Verantwortlichkeiten [ITGI05, S. 183 ff., GOLT04, S. 153].

Diese Domane liefert das Feedback bzw. den Input, worauf die Domane PO die strategische Ausrichtung der IT an den Geschaftszielen vornimmt. Sie schliefit damit den CobiT-Kreislauf, da die Ergebnisse des "Monitoring" eine Neuausrichtung der Phase PO bewirken konnen [JOHA07, S. 63-64].

Tab. 1: Prozessiibersicht [GOLT04, S. 28]

Hauptseminar Wirtschaftsinformatik

10

ITIL V.3 und CobiT - Ralunenwerke fur IT-Govemance?

Vorschriftcn

AID? - Installicren und Abnchmen von Systcmen und Anforderungen

ME04 - Sorgen fiir IT -Govcrnancc

3.1.3 Management Guidelines

Die Management Guidelines unterstutzen das obere und mittlere Management, indem sie Werkzeuge bereitstellen, mit denen die IT und deren Ziele uberpruft und gemessen werden konnen, So konnen Missstande identifiziert, Benchmarking betrieben und ein geeignetes MaE an Kontrolle und Management fur die IT-Prozesse gewahlt werden [GOLT04, S. 165-166]. Fur diesen Zweck wurden zwei wesentliche Komponenten entwickelt, die nachfolgend erlautert werden.

Reifegradmodell

Es handelt sich um ein ftmfstufiges generisches Modell, mit dessen Hilfe der aktuelle Reifegrad eines Prozesses und dessen Entwicklung festgestellt werden kann. Um die Reife eines Prozesses bestimmen zu konnen, wird jeder Prozess in eine der funf Stufen des Reifegradmodells eingeordnet. Die untenstehende Tabelle 2 zeigt die 5 Reifegrade des Modelles aufund fuhrt eine kurze Erlauterung an [JOHA07, S. 83]. Tab. 2: Reifegradmodell [ITGI05, S. 21]

1 - Initial

Prozesse sind ad-hoc und unorganisiert

o - Nicht existierend

Management Prozesse werden nicht angewandt

2 - Wiederholbar

Prozesse folgen einem regelmalligen Muster.

3 - Definiert

Prozesse sind standardisiert, dokumentiert und kommuniziert.

4- Managed

Prozesse sind uberwacht und gemessen

5 - Effizient

Good Practices werden angewendet und automatisiert.

Diese Einteilung untersti.itzt das Management bei der Bewertung der bereitgestellten Prozesse und zeigt so auf, wie das Unternehmen in bestimmten Bereichen oder auch Prozessen im Vergleich zu anderen Organisationen aufgestellt ist [ITGI05a, S. 19].

Hauptseminar Wirtschaftsinformatik

11

lTIL V.3 und CobiT - Rahmenwerke ftlr IT-Govemal1ce?

Ziele und Metriken

Fur eine genaue Performancemessung ist es erforderlich, dass die Ziele fur die IT festgelegt sind. Dabei gilt es bei CobiT zwischen 3 Ziel-Ebenen zu unterscheiden. Auf der obersten bzw. ersten Ebene sind die IT-Ziele zu find en, mit welchen die IT die Ausrichtung an den Geschaftszielen vornimmt. Die Prozessziele befinden sich auf der zweiten Ebene und legen fest, was die IT-Prozesse leisten mussen, um die ITZiele zu unterstutzen, Die Prozessperfonnance wird in der dritten Ebene dargestellt. Hier wird festgehalten, ob und wie die Ziele realisiert wurden [ITG05a, S. 16; BUCH08, S. 109-110].

Um die Ziele und die Performance der Prozesse messen zu konnen, unterscheidet CobiT zwischen zwei Metriken: Key Goal Indicators (KGI) und Key Performance Indicator (KPI). Die KGIs messen, ob die Prozesse die vorgegebenen Ziele erftillen. Sie orientieren sich direkt am entsprechenden Output der Prozesse und geben daher die Effektivitat der Prozesse an. Folglich sind die KGIs die wichtigeren Kennzahlen fur die Beurteilung der Prozesse, da sie dem Management im Nachhinein aufzeigen, ob die IT-Prozesse den Anforderungen des Managements gerecht werden. Die KPIs geben dagegen an, wie gut ein IT - Prozess das vorgegebene Ziel erreicht und geben Aufschluss tiber die Leistungsfahigkeit eines Prozesses in Bezug auf die eingesetzten IT - Ressourcen und damit tiber die Effizienz der Prozesse. Sie messen die Prozessperformance und sind so fur die unterste Zieleebene zustandig [ITG05a, S. 23; BUCH08, S. 108-109].

3.2 Das ITIL-Referenzmodell

Bei ITIL handelt es sich um eine Sammlung von "Good-Practice"-Leitfaden, welche in einer Reihe von Pub1ikationen die verschiedenen Themenbereiche des LebenszykIus von Serviceleistungen beschreibt. Die ITIL "Good-Practices" sind als Richtlinien fur die Implementierung und Etablierung des IT -Service-Management in einer ITOrganisation gedacht [BUCH08, S.11]. Im Laufe der Zeit wurde ITIL dadurch zum De-facto-Standard im Bereich IT-Service Management, mit dessen Unterstutzung es moglich ist, die IT-Serviceprozesse einer Organisation zu standardisieren und bezuglich Effizienz und Kostentransparenz zu verbessern [BUCH08, S. 7]. Unter dem BegriffIT-Service ist im Zusammenhang mit ITIL eine IT-Dienstleistung zu verstehen, die einem oder mehreren Kunden durch einen IT Service Provider zur Verfu-

Hauptseminar W irtschaftsinforma tik

12

f\

\ \

J / I

fangreich erweitert. So rucken die Serviceorientierung und das IT -Service Manage- / /

ment noch weiter in den Vordergrund [BUCH08, S. 7]. Unter IT-Service Managc->'

ITIL Y.3 und CobiT - Rahmenwerke fur IT-Governance?

gung gestellt wird und dadurch einen Mehrwert bei den Kunden generiert. IT-Service setzt sich aus Personal, Prozessen und Technologien zusammen [BUCH08, S. 13]. 1989 wurde die Central Computer and Telecommunications Agency (CCTA), heute Office of Government Commerce (OGC), von der Britischen Regierung beauftragt, die Geschaftsprozesse in der IT allumfassend zu dokumentieren und zu analysieren. N ach etlichen Konsolidierungen erschien 2000 die zweite Version von ITIL. 2007

,!!!I!to<t+

wurde dieses Konzept erneuert aktualisiert und als ITIL V3 veroffentlicht [OLBR08,

S. 1].

3.2.1 ITIL V3

Bei ITIL V3 wurden die Ausrichtung und der Inhalt, im Vergleich zu ITIL V2, um-

ment ist in Bezug auf ITIL ZUl11 einen die Gesamtheit der spezialisierten organisatorischen MaBnahmen und Methoden zu verstehen, die zur Generierung eines Mehrwerts fur einen oder mehrere Kunden in Form von IT-Services fuhren zum anderen

aber auch die Summe aller Methoden und MaBnahmen, die mit Hilfe der ITOrganisation die bestmoglichste Unterstutzung der Geschaftsprozesse bereitstellen

[BUCH08, S. 15; OLBR08, S. 8-15].

Fur diesen Zweck werden nicht nur die Prozesse im Einzelnen definiert, sondern auch Modelle fur den Service und das Service Management aufgefuhrt. Dies zeigt sich vor allem im generischen Service Lifecycle Modell, bei dem die IT -Service Management-Prozesse in den jeweiligen Phasen des Service Lifecycles beschrieben werden [BUCH08, S. 15-16].

3.2.2 ITIL Core

Abbildung 4 verdeutlicht den elementaren Aufbau des ITIL V3 Service Lifecycles. Dabei stehen die Service Strategien im Kern des Modells. Die IT-Strategien beeinflussen alle anderen Bereiche und Services entscheidend. Aus diesem Grund ordnen sich die drei operativen Bereiche Service Design, Service Transition und Service Operations um die IT-Strategien an. Des Weiteren werden diese Bereiche von Continual Service Improvement umgeben. Dieser kontinuierliche Verbesserungsgedanke

\- bzw. ;trozess wirkt sich auf die vorhergehenden Phasen aus. Im weiteren Verlauf

Hauptserninar Wirtschaftsinformatik

13

ITIL V.3 lind CobiT - Rahmenwerke ftlr IT-Govemance?

/'", werden diese 5 Phasen und \ die

. hti /:\( L . ~\ '1 P

WIC itigsten eistungen . mrer rozesse

bzw. Services erlautert [BUCH08; S. 16- 17; OLBR08 S. 145].

Abb. 3: Die 5 Phasen des Service LifecycIe nach lTIL V3 [Buch08, S.17]

Service Strategies

Der Kernbereich Service Strategy beschaftigt sich mit den zu treffenden strategischen Entscheidungen und bildet somit die strategische Basis fur die weiteren Phasen. Dabei stellt es Instrumente zur Konzeption (Design), Entwicklung und Implementierung des Service Managements bereit. Service Management unterstutzt die ITServices bei der Ausrichtung auf die Business-Services, um so die Geschaftsziele durch die IT effizient zu unterstutzen [BOET08, S. 13-15; OLBR08, S. 146]. Zunachst stellt IT Financial Management Methoden, Modelle und Analysen zur Budget- und Kostenberechnung bereit. Diese prufen die bestehenden IT-Services auf ihre Kosteneffizienz. Durch Return on Investment und Return on Value werden finanzielle Berechnungen fur die Strategiefindung zur Verfugung gestellt. AIle weiteren Prozesse des Kernbereichs werden durch das IT Financial Management beein-

flusst [BOET08, S. 24-25].

Ausgehend von "Strategie Generierung", in der das Service Management die strategische Ausrichtung vorgibt, werden die Marktsituation, die Geschaftsanforderung sowie die Kundenzufriedenheit in "Demand Management" erfasst und bereitgestellt. Dieser Prozess ist mit der Verwaltung der Serviceanforderungen betraut. Die Gesamtheit des Service Angebots, welches anhand des Nutzens der Services fur das Untemehmen zu selektieren ist, wird im Service Katalog festgehalten, welcher einen Teil des Service Portfolios umfasst [OLBR08, S. 147ff.]. Jedoch lassen sich im Service Portfolio nicht nur die Services finden, die dann spater angeboten werden, sondem auch die Prozesse, die zur Diskussion stehen oder sich noch in del' Entwick-

Hauptseminar W irtschaftsinformatik

14

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

lung befinden (Service Pipeline). Des Weiteren werden auch die auBer Kraft gesetzten Services im Service Portfolio aufgefuhrt, da jeder nicht benotigte Service in Betrieb wiederum wichtige IT-Ressourcen verbraucht [BUCH08, S. 60-61]. Das Service Level Package schlieBt dies en Kernbereich ab, indem es die einzelnen Services des Angebots detailliert beschreibt [BUCH08, S. 19]. Abbildung 4 zeigt die vollstandig abgeschlossene Phase von Service Strategie.

D~fft~itijon des; '<, Marktes

D

Servi~ Lev",1 Pacl<ag€

Demand M=gementl,-----,,=="--,

Abb. 4: Service Strategy-Prozesse [BUCH08, S. 22]

Service Design

Diese Publikation umfasst die Bereitstellung von architektonischen Rahmenbedingungen fur die Entwicklung neuer IT-Services. So sollen innovative und businessorientierte IT-Services konzipiert werden, welche mit den Geschaftszielen im Bereich Qualitat, Risiko und Konformitat ubereinstimmen. Dabei werden die Funktionsweise und der Leistungsumfang der IT -Services in Anlehnung an die Geschaftsanforderungen und die notwendigen Parameter definiert [BOET08, S. 29-32].

Der Input bzw. die Informationen tiber die definierten Services aus der vorangegangenen Phase "Service Strategies" werden im Servicekatalog Management spezifiziert und gelten als Teilmenge des Service Portfolio Management. So soll durch diesen Prozess ein Servicekatalog angelegt und gepflegt werden, der tiber prazise Angaben bezuglich der derzeitigen und geplanten operationalen Services verfugt. Durch die spezifizierte Definition der Services, wird nicht nur der Inhalt, sondem auch die Struktur der Services im Servicekatalog hinterlegt [OLBR08, S. 28-29].

Auf Grundlage dieser Definitionen erfolgt im Service Level Management die Festlegung und Einhaltung von Service Level Agreements (SLA). In diesen werden die Service Level-Ziele, wie z.B. die die Sicherstellung der Zuverlassigkeits- und Compliance-Anforderungen, festgehalten [OLBR08, S. 149]. Hierbei stellt die in Abbildung 5 ersichtliche untere Ebene sicher, dass die aktuellen und geplanten IT-Services bestimmte Kriterien erfi.il1en. Hierzu zahlen die VerfUgbarkeit der Services unter

Hauptseminar Wirtschaftsinformatik

15

ITIL V.3 und CobiT - Rahmenwerke fitr IT-Governance?

Kostenaspekten (Availability Management), die Bereitstellung von kosteneffizienter IT - Kapazitaten fur IT -Services (Capacity Management), die Gewahrleistung der Infonnationssicherheit (Information Security Management) sowie die Unterstutzung des laufenden Betriebs nach Storungen (IT-Service Continuity Management) [BUCH08, S. 28-31; BOET08, 47 ff.]. Im darauffolgenden Prozess Supplier Management wird sichergestellt, dass alle Vertrage mit den Lieferanten die Geschaftsanforderungen unterstutzcn und dass die gelieferten Services den vertraglich festgehaltenen Ausgaben entsprechen [OLBR08, S. 151].

D"sign Pa':ckag,;:

Abb. 5: Service Design-Prozesse [BUCH08, S. 28]

Service Transition

Der Bereich Service Transition befasst sich mit der praktischen und faktischen Ubergabe (Transition) von spezifischen IT-Services in den Betrieben. Dabei stehen Risikominimierung, effiziente Serviceerbringung und Aufdeckung von Verbesserungspotentialen klar im Mittelpunkt diesel' Publikation [BOET08, S. 81-84].

Diese Elemente werden hauptsachlich von Change Management aufgegriffen und bearbeitet. Dabei soll durch das Change Management sichergestellt werden, dass die neuangepassten und -erstellten IT -Services keine negativen Auswirkungen auf den laufenden Betrieb haben [BUCH08, S. 33]. Das Service Asset & Configuration Management leitet ein systematisches Modell del' IT - Infrastruktur in Bezug auf Vermogenswerte her. Des Weiteren werden durch diesen Prozess die Beziehungen zwischen IT-Services und IT-Komponenten gestaltet. Ist dies erfolgt, werden innerhalb des Prozesses Release & Deployment Management die Releases fill' die Inbetriebnalune der neuen oder angepassten Services vorbereitet und spater ausgeliefert [OLBR08, S. 152]. Unterstutzt werden diese 3 Prozesse, wie in Abbildung 6 ersichtlich, clurch eine Ebene, welche wiederum mehrere Prozesse und Services beinhaltet. Auf diesel' Ebene werden, durch die Koordination cler einzusetzenden Ressourcen filr Hauptseminar W irtschaftsinforma tik 16

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

eine Realisierung (Planung und Support), tiber Tests und Validierung sowie Evaluierung der neuen oder angepassten IT-Services, fundiert Informationen gewonnen. Diese gewonnen Informationen helfen bei der Entscheidungsfindung im Knowledge Management [OLBR08, S. 152-153].

SenriC'e:

De!iign P",dkage

n

Serv:ke Design

Ve.riflzlenm

Eiarly Ufe L-- __ ----' Suppnr!

I n

L-- ~

Service Opeutian

Abb. 6: Service Transition-Prozesse [BUCH08, S. 32]

Service Operation

Dieses Band gibt eine Anleitung fur das Management des Service-Betriebs, Es stellt sicher, dass die vereinbarten Service Level eingehalten werden und die Services und die eingesetzte Technik zur Unterstiitzung der IT-Services moglichst storungsfrei funktionieren. Dabei sollen vor all em Verfahrensweisen und Prozeduren die Service-

leistungen so steuem, dass ein gleichbleibendes Qualitatsniveau gehalten werden kann [BOET08, S. 121-123; BUCH08, S. 37].

Event Management spielt dabei eine wesentliche Rolle, da es eine Alarm bzw. Warnfunktion ausubt, Es soll bei der Erkennung, Uberwachung und Interpretation von Ereignissen, Storungen oder Systemmeldungen behilflich sein, damit diese so fruh wie moglich erkannt werden. Zudem werden auch MaBnahmen zur Beseitigung der Ursachen durch diesen Prozess eingeleitet [BUCH08, S. 38-39]. Das Incident Management sorgt schnellstmoglich dafur, dass die beeintrachtigten oder defekten Services nach einer Storung oder einer Unterbrechung wiederhergestellt werden, um so einen storungsarmen IT-Betrieb zu gewahrleisten [OLBR08, S. 155]. Dabei stellt der Service Desk den Single Point of Contact (SPOC) zwischen Service Provider und Anwender da. Der Service Desk ist kein Prozess, sondem eine Funktion mit einer eigenstandigen und spezialisierten Organisationseinheit im Bereich Service Operation. Den eigentlichen Prozess, der sich um die Annahme und Umsetzung von Service Requests, also Serviceauftrage, kummert, wird durch Request Fulfilment gestellt

Hauptseminar W irtschaftsiuformatik

17

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

[BUCH08, S. 40-44]. Die oben beschriebenen Prozesse werden durch Problem und Access Management (siehe Abbildung 7 untere Ebene) unterstutzt. So beschaftigt sich das Problem Management nicht mit der schnellstmoglichen Behebung eines oder mehrerer Vorfalle, wie das Incident Management, sondem geht der zugrundeliegenden Ursache der Storung nacho Wohingegen das Access Management die Zugriffs- und Nutzungsberechtigung fur die einzelnen Services verwaltet, mussen jedoch spezifische Anderungen in den Zugriffsrechten tiber das "Request Fulfilment" beantragt werden. Dies stellt, besonders im Bereich Compliance, einen immer wichtigeren Prozess dar [OLBR08, S. 155].

Service Performance Reports

}"fOifiltQring/.f'''+.:ktiotleTl

<,

Abb. 7: Service Operation-Prozesse [BUCH08, S. 39J

Continual Service Improvement

In der letzten Phase Continual Service Improvement (CSI) geht es um die gezielte Identifikation von Verbesserungspotentialen in den Bereichen Konforrnitat, Effektivitat und Effizienz der Services. Dabei sollen die IT-Services kontinuierlich an die

sich standig and emden Geschaftsanforderungen angepasst werden, um so eine andauemde Weiterentwicklung und eine geeignete Integration sicherzustellen. Gerade der Weiterentwicklungs- und Verbesserungsgedanke wird vom 7 Step Improvement Prozess aufgegriffen. Er stellt den primaren Prozess innerhalb von CSI da, welcher in 7 Schritte unterteilt ist und auf die strategischen, taktischen und operativen Ziele innerhalb von Service Strategy, Service Design und somit dem Untemehmen ausge-

richtet ist [BOET08, S. 153-157; OLBR08, S. 156-157].

CSI ist, wie in Abbildung 8 ersichtlich, stark an die restlichen Prozesse gekoppelt. So beschaftigt sich der Prozess Service Measurement mit der Messung von Services. In diesem Prozess wird festgelegt wie, was, wozu und wann gemessen wird. Grundvoraussetzung fttr eine erfolgreiche Messung der Services ist die Festlegung von defi-

Hauptseminar Wirtschaftsinformatik

18

ITIL V.3 und CobiT - Rahmenwerke filr IT-Govemance?

nierten Zielen, da nur so gemessen und festgestellt werden kann, ob und wie die Ziele erreicht wurden [BUCH08, S. 44-45]. Die eigentlichen Messungen werden mittels KPIs durchgefuhrt und uberpruft, Die daraus gewonnen Werte und Ergebnisse werden durch das Service Reporting aufgegriffen. Dieses erstellt mit deren Hilfe Berichte zu den IT-Services und zeigt auf, ob die Service-Levels erfullt worden sind. Die Service Reports zeigen die Verbesserungspotentiale auf, die dann im Prozess .Verbessern" in der strategischen Ausrichtung ausgeschopft werden. Der Service Improvement Plan geht danach in die Service Strategies ein und schlieBt somit den

Kreislauf [BUCH08, S. 45-47; OLBR08, S. 157-158].

Ser\~ce Performance Rep.;>rl~

D C~"'~1 \,,--1

'------'

Service R"porting

Service Improvement Plan

Abb. 8: Continual Service Improvement-Prozesse

Die Beschreibung der 5 Phasen von ITIL verdeutlicht das immer wieder durchlaufene Modell des Service Lifecycles. Dies ist jedoch nicht die einzige Herangehens- und Betrachtungsweise von ITIL. Die einzelnen Services der Prozesse konnen auch je nach den Unternehmensanforderungen einzeln selektiert und ausgewahlt werden. So werden zwar die Prozesse innerhalb der jeweiligen entsprechenden Phasen beschrieben und dokumentiert, jedoch verfolgen auch einige Prozesse phaseni.ibergreifende Aktivitaten, Als Beispiel hierfur dient Change Management, welches im Bereich Service Transition erfasst wird. Da aber nicht nur Changes innerhalb von Service Transition durchgefuhrt werden, handelt es sich um einen phaseni.ibergreifenden Prozess. So stellt eine neu entwickelte Strategie ebenfalls ein Change dar, der aber in Service Strategies erfolgt [BUCH08, S.19-20].

3.3 Vergleich von CobiT und ITIL ffir IT-Governance

CobiT konzentriert sich auf die Fragestellung, "was" bereitgestellt werden muss, Ull1 effektive IT-Governance und Service Management-Prozesse Zll gewahrleisten [lTGI09, S. 14]. Als solches stellt es Leitfaden und Strukturen bereit, um das ge-

Hauptseminar Wirtschaftsinformatik

19

ITIL V.3 lind CobiT - Rahmenwerke fur IT-Governance?

wunschte Niveau an Konformitat und Leistung der IT-Prozesse zu erreichen, Zusatzlich verfugt es tiber Werkzeuge zum Messen, Uberwachen und Bewerten der Perfonnance, urn so die Leistungen beruhend auf Zielen, Metriken und dem Reifegradmodell einstufen zu konnen [ITGI08, S. 25]. Mit dem Einsatz von CobiT ist ein Unternehmen in der Lage, seine IT auf die benotigten Geschafts-, Governance- und internen Kontrollanforderungen auszurichten [ITGI09, S. 14]. Dabei untersti.itzt das Rahmenwerk die Dokumentation der fur den IT-Bereich effizientesten "GoodPractices" auf eine umfangreiche und integrierte Weise. Es hilft der Organisation den wahren Wert der IT aufzuzeigen und ist des Wei teren einfach in andere Geschaftsund IT- Rahmenwerke zu integrieren [ITGI08, S. 25]. So verbessert dieser proaktive und umfassende Managementansatz die strategische Ausrichtung, indem die IT sich an den Geschaftserfordernissen orientiert. Des Weiteren sind die beschriebenen Kennzahlen sehr effektiv und daher auch in der Praxis verwendbar. CobiT liefert bessere und genauer definierte Zuweisungen von Rollen, schafft mehr Transparenz im Compliance-Bereich und stellt detailreiche Ansatze fur Metriken bereit, wohingegen die Prozessbeschreibungen in den Domanen weniger detailreich sind [BUCH08, S. 111-113 & 146; ITGI05a, S. 9].

Im Gegensatz dazu stellt ITIL eine umfassende und detailreiche Zusammenfassung von "Good-Practices" fur den spezifischen Bereich von IT Service Management und dessen zugehorigen Prozessen bereit. Dieser Ansatz fordert die Bereitstellung von effektiven und effizienten IT -Services, welche zugleich den grobten Nutzen von ITIL widerspiegelt [ITGI09, S. 14]. ITIL beschreibt .wie" am effektivsten Service Management Kapazitaten geplant, erstellt und implementiert werden sollten [BUCH08, S. 9]. Bei ITIL liegen die Vorteile gegenuber CobiT in den sehr detailreichen Prozessbeschreibungen und Empfehlungen fur die Umsetzung und Erfahrung, die durch die "Good Practices" einflieBen. Jedoch ist die generische Beschreibung der Prozesskennzahlen nicht sehr hilfreich fur den Praxiseinsatz. Dies liegt daran, dass die in ITIL beschriebenen Kennzahlen nur Empfehlungen sind, die nicht ohne Anpassungen in die Praxis ubertragbar sind [BUCH08, S. 111-112 & 146].

Diese Ansatze erlauben dem Management die Bedeutung der IT -Services besser Zll verstehen und zeigen auf, wie diese die Geschaftsziele und_=-ll!lforderungen unterstutzen konnen. Folglich ist es durch ITIL und CobiT moglich, die IT effizienter zu machen und sie konkreter an den Unternehmenszielen auszurichten und so Qualitat und Kosten transparenter zu gestalten und zu kontrollieren [ITGI09, S. 14].

Hauptseminar W irtschaftsinforma tik

20

ITIL V.3 und CobiT - Rahmenwerke ftir IT-Governance?

Zudem fordern sie die allgemeine Akzeptanz bei Drittparteien, ford ern das gemeinsame Verstandnis bei den Stakeholdern und zeigen, wie der erwartete Nutzen realisiert und uberwacht werden kann. Durch SLAs ist der Rahmen der Services klar definiert und Leistungen konnen basierend auf Zielen gemessen und verglichen werden. Gleichzeitig wird in beiden Werken beschrieben, wie IT-Risiken minimiert und die Vorteile von Technologieinvestition maximiert werden konnen [ITGI08, S. 25; ITGI05a, S. 9]. Im Wesentlichen stimmen die Prozesse fur das IT-Service Management bei beiden Rahmenwerken uberein, wodurch es moglich ist, die Starken aus beiden Konzepten zu vereinigen [BUCH08, S. 112].

4 Abdeckung der IT-Governance Bereiche

Die Tabelle 2 zeigt auf, wie CobiT und ITIL V3 die IT-Governance Kernbereiche abdecken. Dabei werden in del' zweiten Spalte die CobiT-Prozesse aufgefuhrt, welche einen primaren Einfluss (p. E.) auf die jeweiligen Kernbereiche haben.

durch CobiT und ITIL V3 [ITGI08, S. 23-24; JOHA07, S. 65-66]

AI4 tiven Nutzen fur das Unterneh- Bereichen Service Strategy, Design

AI6 men geschaffen wire!' Dies erfolgt und Transition, in welchen der Nutzen

Value Delivery

Alignment P02
P06
P07
P08
P09
POlO
All
AI2
DS1
ME3
ME4 Hauptseminar W irtschaftsinforma tik

21

POS All

AI7

dass die IT -Aktivitaten exakt Anleitung fur den Bereich Strategic geplant, auf eine strukturierte Alignment durch Service Strategies Weise organisiert und adaquat dar. Dieses erlautert, wie Geschaftsaneingesetzt werden. Die Ausrich- forderungen und die potentielle Nachtung del' IT-Services findet durch frage nach Kapazitat zu verstehen sind die CobiT Prozesse nach den und zeigt, wie Services in einem Geschaftsanforderungen und den Portfolio organisiert werden mussen, rechtlichen Vorgaben (Cornplian- um die richtige Balance und Verteilung ce) des Unternehmens statt. von Ressourcen zu garantieren. ZusatzZusatzlich ermoglicht CobiT dem lich hilft es auch einzuschatzen, wie die Management einen Uberblick und IT-Abteilung im Unternehmen aufgedie Moglichkeit der Beaufsichti- baut sein muss und wie man Sourcing gung tiber die Entwicklung und Strategien entscheidet.

Ubergabe von Services.

Sie gewahrleisten, dass durch die Bei ITIL wird Value Delivery auf 2 I'Ivenuoglichende Geschaftsinitia- Wegen bearbeitet. Zum einen in den

lTIL V.3 lind CobiT - Rahmenwerke ftlr IT-Governance?

DSI durchzufuhrenden Implementie- abgedeckt wird. Hier fallt auf, dass

DS2 rung, durch die Ubergabe von kein einzelner Bereich oder Prozess

DS4 Wissen tiber die vorteilhafte explizit die Generierung von Nutzen

DS7 Nutzung von Services und durch abdeckt, sondern in allen Buchern und

DS8 eine geeignete Unterstutzung del' speziell in allen Prozessen del' Nutzen

DS9 benotigten Services. fur das Unternehmen besprochen und

DSIO DSII ME2 ME4

beschrieben wird. Zum anderen wird del' Nutzen von kontinuierlichen und prozessbezogenen Weiterentwicklungen im Buch Continous Service Improvement bearbeitet, Hierbei liegt der

F okus auf del' Verbesserung von ITProzessen.

Resource

Manage-

ment

Risk

Management

P04 P06 P09

Sie sind dafur verantwortlich, In ITIL wird Ressource Management dass die Services alle benotigten an verschiedenen Stellen m allen 5 IT -Ressourcen, also Anwendun- Publikationen des Service Lifecy les

DS2 gen, Infrastruktur, Daten und besprochen. Del' Fokus liegt uberwie-

DS4 Personal erhalten. Die CobiT- gend auf der Infrastruktur und sell, wie

DS5 Prozesse planen und managen, in CobiT, dabei helfen, die Ressourcen

DSII wie die IT-Ressourcen am effek- am effizientesten einzusetzen. Gleich-

DS 12 tivsten und effizientesten einge- zeitig wird in ITIL auf eine akkurate

ME2 setzt werden konnen, um den Wartung und standige Aktualisierung

ME3 bestmoglichen Output zu bekom- III emem Configuration Repository

ME4 men. hingewiesen.

P04 P06 P09 DS2 DS4 DSS DSII DS12 ME2

Bei dies en Prozessen geht es Risk Management ist bei ITIL, genauso darum, die moglichen Risiken wie Ressource Management, an VCl'fruhzeitig zu identifizieren und zu schiedenen Stellen in allen 5 Phasen

"I", /\

managen. \ Des \Weiterell \ sollen wiederzufinden. So wird hauptsachlich

diese Prozesse die Relevanz von

~\ -:

IT-bezogenen \\ Risiken \ sowie

r : I /-, Implikationen huf o(~schaftsrisi-

I~"\ »<: l , /\

j 1'\ \ ./ f "

ken \ ~l11d Cl,ngemessene I Mafinah-

if\ /~\ t-. /'\

men ( zur! Kontrolle \ del' .pefahren

ME4

ME3 dem Management naher bringen.

die Service Verfugbarkeit, LeistungsfahigkeitTsowie "'\Wirksamkein im Zusammenhang mit Risiken erlautert.

Perfor-

mance

Measure-

ment

P08 DSI MEl ME4

Diese stellen sicher, dass die Bei ITIL wird Performance Measurevorherigen Kernbereiche ihre ment durch die Phase Continual Servigewunschten Ziele bzw. Outputs ce Improvement abgedeckt, welche die erreichen. So konnen rechtzeitig andauernde Verbesserung unci die Korrekturmallnahmen eingeleitet Performancemessung von Prozessen

Hauptseminar Wirtschaftsinformatik 22

ITIL V.3 und CobiT - Rahmenwerke fur IT-Governance?

werden, falls die vorgegebenen und Services abdeckt.
Outputs nicht erreicht werden. Dabei fallt auf, dass der CobiT-Prozess ME4 (Sorgen fur IT-Governance) durchgangig fur jeden IT-Governance-Kernbereich zustandig ist. Dies liegt vor allen daran, dass ME4 als Hauptaufgabe die Ausrichtung von CobiT an den IT -Governance Anforderungen ubernimmt, So wird ein standiger Abgleich von CobiT mit den ITGovernance Anforderungen schon in den Prozessen verankert [OLBR08, S. 153- 154].

5 Mapping von CobiT zu ITIL V3

Die Uberprufung der beiden Rahmenwerke zeigt, dass diese nicht in direkter Konkurrenz oder Widerspruch zueinander stehen. Sie behandeln zwar im GroBen und Ganzen dieselben Bereiche, beleuchten diese jedoch aus verschiedenen Blickwinkeln und durch die neusten Veroffentlichungen haben sie sich noch weiter angenahert [BUCH08, S. 111].

Dies wird durch ITIL zum Beispiel hinsichtlich der CobiT Domane PO verdeutlicht. Hier ist die Orientierung von ITIL eher in Richtung der IT-Service Aspekte, und nicht der Entwicklung von neuen Technologien. Das Portfolio Management ist hierbei spezifisch an der Serviceerbringung orientiert und nicht an der Planung von Projekten [ITGI08, S. 25]. CobiT greift die von der IT-Governance vorgegebenen Kernbereiche wesentlich besser auf und richtet sich nach diesen, welches durch den Prozess ME4 "Sorgen fur IT-Governance" verdeutlicht wird [ITGI05, S. 183].

So geht es beim Mapping des IT-Governance-Standards CobiT auf das "GoodPractice" Rahmenwerk ITIL V3 darum, wie die beiden Ansatze am besten konvergieren und gewinnbringend genutzt werden konnen. Dabei stellt CobiT die Basis und lenkt die Management Prioritaten und Ziele innerhalb eines ganzheitlichen Ansatzes. So entsteht durch die Kombination von CobiT und ITIL ein Top-down-Ansatz fur IT -Governance und Service Management. ITIL unterstutzt Cobit mit nutzlichen "Good-Practices" bezuglich des Service Management. Durch diese Kombination werden die Starken der Ansatze kombiniert und dadurch werden die Ressourcen effektiver implementiert und das Management besser unterstutzt [ITGI08, S. 25 ff.].

Hauptseminar Wirtschaftsinformatik

23

ITIL V.3 und CobiT - Rahmenwerke fUr IT-Governance?

6 Management Summary

Im Rahmen der vorliegenden Arbeit wurden die beiden bekanntesten IT -Governance Rahmenwerke, ITIL und CobiT, eingehend beschrieben, unter verschiedenen Gesichtspunkten verglichen und die IT -Governance-Abdeckung der Referenzmodelle uberpruft, Dabei zeigte sich, dass diese die gleichen grundlegenden Bereiche von ITGovernance behandeln, allerdings andere Schwerpunkte setzen. Durch die neueren Versionen erganzen sich CobiT 4.1 und ITIL V3 noch besser. Schon CobiT alleine orientiert sich sehr stark an der spezifische Ausrichtung der IT -Governance Kernbereiche. Dies wird durch den Prozess ME4 (Sorgen fur IT-Governance) fur jeden CobiT-Prozess gewahrleistet, Mithilfe von ITIL und dessen Service-ManagementOrientierung konnen viele Schwachen von CobiT, wie z.B. die Prozessbeschreibung, behoben werden.

Die beiden Referenzmodelle sind jedoch keinesfalls fertige Gebrauchsanleitungen, die ohne Adaption in jedem Unternehmen identisch anwendbar sind. Sie stellen vielmehr generische Modelle dar, die allgemein gehalten und somit uberwiegend global gultig sind. Dadurch ist es unabdingbar, dass die beschriebenen Prozesse vor der Implementierung an die jeweiligen Unternehmenssituationen angepasst werden mussen. Folglich werden aus den Rahmenwerken individuelle, auf das Unternehmen abgestinunte Weiterentwicklungen, welche nur noch zum Teil auf den Frameworks basieren. Allerdings ist nicht die Verwendung von ITIL und/oder CobiT entscheidend, sondern dass uberhaupt die IT -Governance MaBnahmen, Methoden und Grundsatze erfasst und gelebt werden. Ob hierfur ein Standard Rahmenwerk als Basis zur Weiterentwicklung bzw. zur Adaption verwendet wird oder ob vollkommen unabhangige Individualentwicklungen implementiert werden, ist zumindest

co

I ~ ergebnisorientiert betrachtet zweitrangig.

Grundsatzlich zeigen Studien von PricewaterhouseCoopers zu IT -Governance, dass Frameworks als nutzlich empfunden werden. So verwenden 95 % der befragten reprasentativen Unternehmen ein Framework. Die anderen 5 % verwenden keinerlei Rahmenwerke, weisen aber nur ein schwaches Bewusstsein fur IT -Governance auf [PRICE07, S. 17-19]. Der Trend geht ganz klar dahin, Rahmenwerke als Strukturierung geeigneter Methoden fur IT -Governance zu sehen. Nichtsdestotrotz sind ein innerbetrieblicher Bewusstseinswande1 und eine ausreichende Qualifikation notig, um IT -Governance implementieren und leben zu konnen.

Hauptseminar Wirtschaftsinformatik

24

ITIL V.3 lind CobiT - Rahrnenwerke fur IT-Governance?

Quellenverzeichnis

Botcher, R.: IT-Servicemanagement mit ITIL V3. 1. Aufl., Heisse Verlag GmbH, Hannover 2008.

[BUCH08] Buchsein, R. et al.: IT-Management mit ITIL V3. 2. Aufl., Vieweg +

Teubner Verlag, Wiesbaden 2008. )ILt-"'II,,' -1P!J IU,,'

fTl [fit IT,- ~ (rI( 11

Goltsche, W.: COBIT kompakt und verstandlich. 1. Aufl., Friedr.

Vieweg & Sohn Verlag, Wiesbaden 2006·-Htl i*t'\-m-\')

[HOFM07] Hofmann, 1. et al.: Masterkurs IT-Management. 1. Aufl., Friedr. Vieweg & Sohn Verlag, Wiesbaden 2007. ()

[ITGI03] IT Governance Institute: IT Governance fur Geschaftsfuhrer und

Vorstande, 2. Aufl., IT Governance Institute, Rolling Meadows 2005._UH _ IT Governance Institute: CobiT 4.0. 1. Aufl., IT Governance Institute,' r

Rolling Meadows 2005. HJ~Altr~~ \\ (

IT Governance Institute: CobiT 4.0 - Control Objectives, Manage-

ment Guidelines, Maturity Models. 1. Aufl. IT Governance Institute, Rolling Meadows 2005·1 rtf

-y,

[ITGI08] IT Governance Institute: CobiT Mapping: Mapping of ITIL V3 with

CobiT 4.1. 1. Aufl., IT Governance Institute, Rolling Meadows 2008. Ii( (

[BOET08]

[GOLT04]

[ITGI05]

[ITGI05a]

III

, ,

~

[ITGI09] IT Governance Institute: CobiT User Guide for Service Managers. 1.

Aufl., IT Governance Institute, Rolling Meadows 2009. --I-fit I

[JOHA07] Johannsen, W.; Goeken, M.: Referenzmodelle fur IT-Governance. 1.

Aufl., dpunkt. Verlag, Heidelberg 2007Aflt-1t1l \

[OLBR08] Olbrich, A.: ITIL kompakt und verstandlich. 4. Aufl., Vieweg +

Teubner Verlag, Wiesbaden 2008ii~l,~. -M17~ \\ I

[PRICE07] PricewaterhouseCoopers: IT Governance in Practice. 1. Auflage, PricewaterhouseCoopers, Johannesburg 2007. f

[ROSE01] Rosen, R. et. al.: Corporate Governance: Eine Bilanz. In: Die Bank (2001) 4, S. 283-287

[TEUB08]

[WEIL04]

Teubner, A.: Informationstechnologie, Governance und Compliance. In: Wirtschaftsinformatik (2008) 5, S. 400-407. ((

Weill, P.; Ross, J.: IT Governance: How top performers manage IT decision rights for superior results. 2. Aufl., Harvard Business School Publishing, Boston 2004.

Hauptseminar Wirtschaftsinformatik

25