Regenschirm für die IT

Transkript

1 Technology Regenschirm für die IT CIO s sind mit COBIT 5 für IT-Transformation gewappnet Thomas Schaer, Michael Krüss Die neueste Ausgabe des COBIT- Rahmenwerkes unterstützt die IT-Organisation in der Realisierung ihres Wertbeitrags sowie in der Ressourcen- und Risikooptimierung. ment und Governance der IT werden sinnvoll erweitert. 64 Detecon ment Report 3 / 2012

2 Regenschirm für die IT Die meisten Menschen würden sich nicht in ein Unwetter hinauswagen ohne entsprechenden Schutz, wie zum Beispiel einen Regenschirm. Jedoch tun Unternehmen genau das tagtäglich, wenn sie ihre technologischen Vermögenswerte ungeschützt lassen. John Lainhart, Co-Vorsitzender der COBIT 5 Task Force M itte April 2012 wurde von der Information Systems Audit and Control Assocciation (ISACA) COBIT 5 als wichtige Weiterentwicklung des global anerkannten COBIT (Control Objectives for Information Technology) Rahmenwerkes veröffentlicht. Es bietet international anerkannte Prinzipien, Praktiken, analytische Tools sowie Modelle, mit deren Hilfe IT-Risiken verringert und das Vertrauen in die Informations- und Technologievermögenswerte eines Unternehmen sowie der Nutzen daraus maximiert werden können. Dabei stellt COBIT 5 den Mehrwert für das Geschäft und die Business Integration in den Mittelpunkt der Betrachtung und beschreibt quasi eine Corporate Governance of IT. Das neue Rahmenwerk umfasst also das gesamte Unternehmen, nicht nur die IT. Somit schafft COBIT eine Basis, die IT-Performance im Hinblick auf die Unternehmensziele zu analysieren. Prinzipien und Schlüsselkomponenten von COBIT 5 COBIT 5 fußt auf fünf Kernprinzipien. Sie stellen die fest verankerten Grundsätze dar, auf deren Basis COBIT 5 strukturiert wurde und die für den Aufbau einer wirkungsvollen Governance beachtet werden sollten: Prinzip 1: Erwartungshaltungen und Bedürfnisse erfüllen Unternehmen müssen eine Wertschöpfung für die Eigentümer und Anteilseigner erzeugen oder im öffentlichen Sektor eine bestimmte Aufgabe erfüllen. Gleichzeitig muss bei dieser Werterzeugung oder Aufgabenerfüllung eine Balance zwischen Ressourcennutzung und Risikobegrenzung gehalten werden. COBIT 5 beschreibt alle notwendigen Prozesse sowie die relevanten befähigenden Eigenschaften, die bei der Werterzeugung mittels Informationstechnologie genutzt werden. Dabei unterstützt das Rahmenwerk unterschiedliche Unternehmen in deren individuellen Kontext durch die Möglichkeit einer maß- geschneiderten Nutzung. Globale, unternehmensweite Ziele werden in konkrete und spezifische IT-Ziele herunter gebrochen und diese spezifischen Prozessen, Methoden und Messkritierien zugeordnet. Dies ermöglicht eine bedarfsgerechte Anwendung unter Abwägung der Ressourcen und des Risikos, da die relevanten Governance-Prozesse auf die gleiche Art und Weise in COBIT 5 beschrieben sind. Prinzip 2: Unternehmen komplett abdecken COBIT 5 integriert die Governance der IT in die Governance des Unternehmens. Durch die Betrachtung von Informationen und Informationstechnologie als Vermögensgegenstand des Unternehmens wird eine IT-spezifische Fokussierung vermieden. COBIT 5 beschreibt alle IT-bezogenen Governance- und ment-facetten in einer unternehmensweiten Ende-zu- Ende-Betrachtung. Dabei versucht COBIT interne und externe Faktoren sowie alle Rollen, die einen relevanten Bezug zur Governance of Enterprise IT (GEIT) haben, zu benennen und deren Aufgaben zu beschreiben. Prinzip 3: Anwenden eines integrierten Rahmenwerks Da es sehr viele IT-bezogene Standards und Methoden für die unterschiedlichsten IT-Aktivitäten gibt, ist COBIT 5 auf einer hohen Ebene an relevanten Standards und Rahmenwerken ausgerichtet. Es kann als ein allumfassendes, integriertes Rahmenwerk für die GEIT genutzt werden. Diese Integration wird durch Referenzen auf die relevanten Teile anderer Standards und weitere Quellen erreicht, falls bei der Anwendung der COBIT 5 Prozesse und Methoden keine ausreichende Tiefe identifiziert wird. Gleichzeitig integriert COBIT 5 die ISACA- Rahmenwerke Risk IT und Val IT, welche zeitlich nach dem COBIT 5-Vorgänger COBIT 4.1 erschienen sind. 65 Detecon ment Report 3 / 2012

3 Technology Prinzip 4: Ermöglichen eines ganzheitlichen Ansatzes Eine effektive und effiziente Governance sowie das ment der Enterprise IT erfordert einen ganzheitlichen Ansatz, um die untereinander abhängigen Komponenten zu betrachten. COBIT 5 definiert einen Satz von Schlüsselkomponenten (Enabler), um ein umfassendes Governance- und mentsystem für Enterprise IT zu erstellen. Diese sind allgemein definiert als alles, was bei der Umsetzung der Zielsetzung des Unternehmens hilft (siehe Abbildung 1). Prinzip 5: Trennung von Governance und ment Das Rahmenwerk unterscheidet klar zwischen den Aufgaben Governance und ment. Diese zwei Disziplinen beinhalten unterschiedliche Aktivitäten, erfordern unterschiedliche organisatorische Strukturen und dienen unterschiedlichen Zielen. Die Differenzierung folgt dabei folgenden Definitionen: Governance gewährleistet eine ausgewogene Erreichung der vereinbarten Unternehmensziele unter Berücksichtigung der Bedürfnisse relevanter Beteiligter und der Bewertung der Optionen und Bedingungen. Gleichzeitig gibt Governance eine Richtungsweisung durch geordnete Entscheidungsfindung und Priorisierung. Dabei wird die Leistung und Auflagenkonformität (Compliance) mit den vereinbarten Unternehmenszielen verglichen. ment plant, steuert, betreibt und überwacht Aktivitäten in Übereinstimmung mit den Unternehmenszielen, welche durch die Richtungsweisung des Governance-Gremium ausgegeben wurde. Einführung in das Prozessmodell COBIT 5 hebt sich gegenüber COBIT 4.1 mit deutlich mehr Änderungen ab, als es bei früheren Versionswechseln der Fall war. Diese neue Version führt die bisher nebeneinander vorhandenen Frameworks Risk IT, Val IT, ITAF, BMIS und COBIT in einem neuen Framework zusammen. Der zentrale Bestandteil für eine Anwendung von COBIT 5 ist deshalb das Prozess Referenz Modell (PRM), welches die Governance- und ment-prozesse mit Aktivitäten, Messkriterien, Rollen und Referenzen auf andere Frameworks beschreibt. Abbildung 1: COBIT 5 Prinzipien und allgemeingültige Schlüsselkomponenten 1. Erwartungshaltung erfüllen 2. Prozesse 3. Organisatorische Strukturen 4. Kultur, Ethik und Verhalten 5. Trennung von Governance und ment COBIT 5 Prinzipien 2. Unternehmen komplett abdecken 1. Prinzipien, Regeln und Rahmenwerke 4. Ermöglichen eines umfassenden Ansatzes 3. Anwenden eines integrierten Rahmenwerks 5. Information 6. Service, Infrastruktur und Anwendungen Ressourcen 7. Mitarbeiter, Fähigkeiten und Kompetenzen Quelle: Detecon (In Anlehnung an Originalinhalte von 66 Detecon ment Report 3 / 2012

4 Regenschirm für die IT Das COBIT 5 PRM unterscheidet die IT-bezogenen Unternehmenspraktiken und -Aktivitäten in die zwei Bereiche Governance und ment. Das PRM umfasst fünf Domänen, wobei der Bereich Governance eine Domäne hat und IT-ment in vier Domänen aufgeteilt ist. Die Governance- Domäne Evaluate, Direct und Monitor (EDM) besteht aus fünf Prozessen. Die vier mentdomänen können den Bereichen Plan, Build, Run und Monitor (PBRM) zugeordnet werden. Sie beinhalten insgesamt 32 Prozesse. Die Übersicht bildet Abbildung 2 ab. Als Anwendungsbeispiel von COBIT 5 werden im Folgenden relevante Prozesse des PRMs identifiziert. Dies geschieht anhand aktueller Herausforderungen an die IT, welche als IT-Ziel oder Unternehmensziel interpretiert werden. Für die Ableitung wird eine Zuordnung von Zielen und Prozessen genutzt, welche ebenfalls als Ergänzung zum PRM in COBIT 5 beschrieben ist. Zur Erläuterung: COBIT 5 organisiert übergeordnete Unternehmensziele und IT-Ziele in den Balanced Score Card-Dimensionen finanzielle Ziele, kundenorientierte Ziele, interne Ziele und Ziele für das Lernen und Wachsen. Zusätzlich sind die Ziele hierarchisch aufgebaut: 17 Unternehmensziele bestimmen 17 IT-Ziele, IT-Ziele bestimmen Prozessziele, Prozessziele definieren Aktivitäten. Sollte bei der Ableitung im Beispiel ein IT-Ziel direkt einer Herausforderung entsprechen, so wird das übergeordnete Unternehmensziel nicht weiter genannt. COBIT 5 bietet Antworten auf aktuelle Herausforderungen in der Praxis Eine aktuelle Studie 1 von ISACA und PWC hat über 800 Business- und IT-Entscheider zum Thema GEIT befragt und eine Abbildung 2: COBIT 5 Prozess-Referenzmodell Prozesse für governance of Enterprise IT / Evaluate, Direct and Monitor EDM01 Ensure Governance Framework Setting and Mintenance EDM02 Ensure Benefits Delivery EDM03 Ensure Risk Optimization EDM04 Ensure Resource Optimization EDM05 Ensure Stakeholder Transparency Prozesse für ment of Enterprise IT Align, Plan and Organize APO01 the IT ment Framework APO08 Relationships APO02 Strategy APO09 Service Agreements APO03 Enterprise Architecture APO10 Suppliers APO04 Innovation APO11 Quality APO05 Portfolio APO12 Risk APO06 Budget and Costs APO13 Security APO07 Human Resources Monitor, Evaluate and Assess MEA03 Monitor, Evaluate & Assess Compliance with External Requirements Build, Acquire and Implement BAI01 Programmes and Projects BAI08 Knowledge BAI02 Requirements Definition BAI09 Assets BAI03 Solutions Identification and Build BAI10 Configuration BAI04 Availibility and Capacity BAI05 Organisational Change Enablement BAI06 Changes BAI07 Change Acceptance and Transitioining MEA02 Monitor, Evaluate & Assess the System of Internal Control Deliver, Service and Support DSS01 Operations DSS02 Service Requests and Icidents DSS03 Problems DSS04 Continuity DSS05 Security Services DSS06 Business Process Controls MEA03 Monitor, Evaluate & Assess Compliance with External Requirements Quelle: Detecon (In Anlehnung an Originalinhalte von 67 Detecon ment Report 3 / 2012

5 Technology Reihe von Herausforderungen und Trends identifiziert. Um die Praxisrelevanz von COBIT 5 aufzuzeigen, deklinieren wir im Folgenden die Befragungsergebnisse anhand einer Auswahl von COBIT 5-Zielen durch. Transparenz der IT-Kosten: Die befragten CIO s nannten bezüglich der IT-bezogenen Themen, die sie konkret beschäftigten, am häufigsten die Erhöhung der IT-Kosten sowie die unzureichende Anzahl von qualifiziertem IT-Personal. Der Fokus auf Kostenreduktion wurde auch als Treiber für GEIT-Initiativen bestätigt. Die Antworten weisen auf einen Bereich hin, in dem GEIT einen erheblichen Einfluss zur Verbesserung der Verwaltung haben muss. Die Unternehmen müssen sicherstellen, dass sie die richtigen Enabler nutzen und Transparenz von IT-Angebot und -Nachfrage gewährleisten. Erst mit dieser Transparenz werden effektive Entscheidungen über die Bedienung der IT-Nachfrage und deren Priorisierung ermöglicht. COBIT 5 bietet hierfür mentprozesse an, um Abhängigkeiten herauszustellen und vorteilhafte Aspekte nach vorne zu bringen. Zum Beispiel sollten Synergien zwischen geografischen Standorten oder Geschäftseinheiten übergreifend realisiert oder das unternehmensweite Projektportfolio in die Governance von Enterprise IT-Initiativen einbezogen werden. Das primäre, für die Herausforderung relevante IT-Ziel ist das finanzielle IT-Ziel #6: Transparenz der IT-Kosten, des Nutzen und des Risikos. Es unterstützt die übergeordneten Unternehmensziele hinsichtlich Transparenz über Angebot und Nachfrage, Beteiligung der relevanten Stakeholder, Ermöglichen von Priorisierungsabwägungen für eine effektive Entscheidungsfindung. COBIT 5 nennt für dieses Ziel die folgenden Prozesse als primäre Enabler: EDM02, EDM03, EDM05, APO06, APO12, APO13, BAI09. Um sich jetzt der formulierten Herausforderung zu stellen, sollte das Unternehmen sicherstellen, mindestens die folgenden drei Governance- und mentprozesse als Minimalansatz einzusetzen und deren Effektivität mittels einer COBIT5-Reifegradanalyse zu überprüfen: > EDM05: Sicherstellen der Stakeholder-Transparenz > BAI09: Vermögen verwalten > BAI10: Konfiguration verwalten. COBIT 5 beschreibt für diese Prozesse detaillierte Aktivitäten und Messkriterien im PRM. Über diese Hinweise erhält man schnell eine detaillierte Beschreibung, was erzeugt und gemessen werden muss. Proaktive Rolle der IT: 55 Prozent der Befragten gaben an, dass die IT eine proaktive Rolle in ihrem Unternehmen hat. Dies impliziert einen immer noch erheblichen Bedarf in vielen Unternehmen, die IT in eine treibende Rolle zu entwickeln. Die Umfrage unterstellt eine Korrelation zwischen dem IT-Leiter als Teil des Senior Executive Teams und einer proaktiven IT-Abteilung: 80 Prozent der Befragten, die nach Selbsteinschätzung eine proaktive IT haben, berichteten, dass der IT-Leiter ihres Unternehmens ein Teil des Senior Executive Teams ist. COBIT 5 beschreibt GEIT-Strukturen und -prozesse, die den Dialog zwischen den entsprechenden Unternehmensbereichen und den IT-Stakeholdern aktiv fordern und fördern. Das übergeordnete Unternehmensziel heißt hier Transparenz über den Business Value der IT. Im Zusammenhang mit dem IT-Leiter als Teil der Geschäftsführung folgt als wichtigstes IT- Ziel das finanzielle Ziel #3: Commitment der Geschäftsleitung zur Herstellung von IT-bezogenen Entscheidungen. COBIT 5 benennt hier zwei primäre Governance-Prozesse als relevante Praktiken: > EDM01: Sicherstellen des Governance Frameworks Aufbaus und dessen Wartung > EDM05: Sicherstellen der Stakeholder-Transparenz Effektive Abstimmung zwischen Business & IT: COBIT 5 definiert Strukturen, Prinzipien, Prozesse und die Referenz zu anderen Frameworks. Es bietet Praktiken für ein gutes Verständnis des wirtschaftlichen Umfelds. Die Governance-Prozesse von CO- BIT helfen darüber hinaus, die geeigneten Wechselwirkungen zwischen den Geschäftsbereichen und der IT-Anspruchsgruppe 1 Global Status Report GEIT 10Jan2011 Research 68 Detecon ment Report 3 / 2012

6 Regenschirm für die IT herzustellen. Hierdurch wird der große Bedarf an einer breiteren, unternehmensweiten Sicht der IT ermöglicht. Ein positiver Nebeneffekt dieser Neuausrichtung ist die Veränderung der Wahrnehmung der IT-Rolle als proaktiver Treiber. Voraussetzung ist jedoch, dass Entscheidungen durch eine ausgewogene Sicht auf GEIT-Ziele getroffen werden. Ausgehend von den übergeordneten Unternehmenszielen Service- und Business- Prozesskostenoptimierung bei gleichzeitigem Risikomanagement identifiziert man die IT-bezogenen Ziele #11 Optimierung von IT-Anlagevermögen, Ressourcen und Fähigkeiten und #4 n von IT-getriebenen Geschäftsrisiko. Die zentralen Prozesse, welche neben weiteren nach COBIT 5 diese Ziele durch Anwendung der mentpraktiken unterstützen, sind: > APO01: n des IT-ment Frameworks > APO12: n von Risiko Governance von Sourcing Optionen: Sourcing-Entscheidungen haben in der Regel einen erheblichen Einfluss auf die Effektivität und Effizienz der IT innerhalb des Unternehmens und sind daher ein wichtiger Schwerpunkt für GEIT. Optimale Governance-Enabler müssen vorhanden sein, um Richtung und Überwachung von Bereichen zu sichern, wie zum Beispiel: Überprüfung von IT-Angebot und -Nachfrage und Entscheidungen über Sourcing-Modelle für die verschiedenen IT-Aktivitäten, Beschaffung von Dienstleistungen und Definition von Service Level Agreements, Performance Monitoring und ment von Herstellern. Unternehmen, die Good-Practices -Ansätze verfolgen, haben Governance-Gremien und Strukturen geschaffen, wie zum Beispiel ein Externes-Service-ment-Komitee, Reporting und Aufsichtsstrukturen, um Fremdleistungen und Lieferung auf einer unternehmensweiten Ebene zu koordinieren, Kontrollabteilung für die Einhaltung und Gewährleistung von Unternehmensrichtlinien, gesetzlichen und regulatorischen Anforderungen. Die ausgewogene Kombination dieser Mittel vermeidet Wertminderungen und schwächt die Größe von Outsourcing-Risiken. Ein Ausschuss kann dafür sorgen, dass Dienstleistungsanbieter und deren Auslieferung regelmäßig überwacht werden und aufkommende Fragen und Probleme in geeigneter Art und Weise behandelt werden. Die Unternehmensziele dieser Herausforderung sind die adäquate Beschaffung von Dienstleistungen sowie Definition von Service Level Agreements, unterstützt von einem Hersteller Performance Monitoring und ment. Das relevante COBIT 5 IT-Ziel zur Überwachung ist das Ziel #2: IT-Compliance und Unterstützung der Konformität von Geschäftsprozessen mit externen Gesetzen und Verordnungen. Die zugeordneten primären Prozesse zur Unterstützung dieses Ziels sind APO01, APO12, APO13, BAI10, DSS05, DSS06, MEA02, MEA03. Hervorragend sind hierbei die beiden Prozesse > MEA02: Überwachen, Bewerten und Prüfen des Systems für interne Kontrollen (IKS) > MEA03: Überwachen, Bewerten und Prüfen der Konformität mit externen Anforderungen zu nennen. Bewertung von Cloud-Strategien und Steuerung der Umsetzung: Bei den Teilnehmern der Studie ist die aktuelle und geplante Nutzung von Cloud Computing für nicht geschäftskritische IT- Services höher gegenüber eines Einsatzes von Cloud-Lösungen im mission-critical-umfeld (rund 60 Prozent gegenüber 40 Prozent). Befragte, die nicht vorhaben, Cloud Computing zu nutzen, haben Datenschutz- und Sicherheitsbedenken als Hauptgründe angegeben. Mehr als ein Drittel der Befragten haben erhebliche Investitionen in die vorhandene Server und Applikationsinfrastruktur zu tätigen, um ihre Cloud Computing-Pläne zu verwirklichen. Dies ist eine Aufgabe, die durch entsprechende Governance von Enterprise IT-Maßnahmen mittels COBIT 5 realisiert werden kann. 69 Detecon ment Report 3 / 2012

7 Technology Unternehmen müssen planen, wie und welche Investitionen sie in ihre Infrastruktur im Laufe der Zeit tätigen. Auch das Abmanagen der Applikationslandschaften muss in der Betrachtung enthalten sein. Dieses komplexe Spanungsfeld von Entscheidungen und die Beteiligung vieler verschiedener Akteure kann nur über ein klares Entscheidungsmodell, das die Zuständigkeiten und Verantwortlichkeiten dieser Interessengruppe aufzeigt, gelöst werden. Hier sind mehrere Unternehmensziele parallel zu verfolgen, welche durch die IT-Ziele #6 Transparenz der IT-Kosten, des Nutzen und des Risikos, #9 IT Agilität und #11 Optimierung von IT-Assets, Ressourcen und Fähigkeiten unterstützt werden. Da die Ziele #6 und #11 bereits oben abgeleitet wurden, stellt hierbei die IT-Agilität den primären Fokus dar. COBIT 5 nennt als kritische Enabler für IT-Agilität die folgenden Prozesse EDM04, APO01, APO03, APO04, APO10, BAI08. Zentrale Drehpunkt für die Umsetzung einer Cloud Governance sind hierbei die Prozesse > APO03: n der Enterprise Architektur > APO04: n von Innovation. Kosten im Fokus: Auf die Frage, welche Initiativen CIO s als Reaktion auf die Wirtschaftskrise umsetzen wollen, wurden die Reduzierung und Konsolidierung der externen Auftragnehmer und des eigenen Stammpersonals sowie eine Verminderung der IT und die Konsolidierung der IT-Infrastruktur genannt. Jeder vierte Befragte will darüber hinaus in Technologien investieren, die helfen, die Prozess-oder Geschäftskosten zu reduzieren. In Zeiten mit verstärktem Fokus auf die Verwaltungskosten, können GEIT-Mechanismen gewährleisten, dass der Blick mit Schwerpunkt auf die Investitionen durchgeführt wird. Die Kosteneinsparungen, die generiert werden, sind dann ausgewogen und können sich letztlich selbst finanzieren. Eine weitere Maßnahme, die von jedem fünften Befragten genannt wurde, um auf den wirtschaftlichen Abschwung zu reagieren, ist die Optimierung des Projektportfolios und das Beenden unrentabler Investitionen. Governance von Enterprise-IT, strukturiert nach COBIT 5, unterstützt die Umsetzung dieser wichtigen Initiativen, um den wirtschaftlichen Abschwung entsprechend aus dem Unternehmen heraus zu bekämpfen. Durch die Integration des ISACA Frameworks Val IT in COBIT 5 und die Überarbeitung des Portfoliomanagements kann das IT-Ziel #5 Realisiere Mehrwerte durch IT-bezogene Investitionen und ein Services-Portfolio. Die COBIT 5 Enabler-Prozesse sind abgeleitet: EDM02, APO04, APO05, APO06, BAI01. Der Prozess APO05: das Portfolio gibt hierbei die Anleitung, welche Informationen erzeugt werden müssen und welcher Input aus welchen Gremien und anderen COBIT-Prozessen erbracht werden müssen. Governance neuer Medien und Nutzungsverhalten (Social Networking): Die Verwendung von Facebook, Twitter und Co. bei der Arbeit wird nicht hoch eingeschätzt. Nur einer von fünf Befragten glaubt, dass die Vorteile der Mitarbeiter mit Social Networking die Risiken überwiegen. Eine robuste Governance gibt jedoch einen effektiver Rahmen für die Verwendung von Social Media im Unternehmen. Herausforderungen sind die Risikooptimierung und gleichzeitige Sicherstellung aller Regulatorischen und gesetzlichen Anforderungen. Vorrangig sind hierfür die IT-Ziele #10 Sicherheit von Informationen, verarbeitender Infrastruktur und Anwendungen und #15 IT-Konformität mit internen Regeln. Die entsprechenden COBIT Prozesse lauten EDM03, APO12, APO13, BAI06, APO09, APO13, BAI04, BAI10, DSS03, DSS04. Paradigmenwechsel ermöglicht Quick Wins für eine verbesserte Governance COBIT 5 zeigt seinen Mehrwert erst nach intensivem Studium des Rahmenwerks. Trotzdem bietet es schnelle Quick Wins für eine verbesserte Governance, mit einer zielgerichteten Navigationsmöglichkeit auf relevante Prozesse und Praktiken. Zusätzlich hilft die Referenz auf andere Rahmenwerke wie ITIL oder TOGAF, bekannte Vorgehensweisen wieder zu erkennen und verträgliche Maßnahmen in bestehende Prozesslandschaften hineinzutreiben. Diese positive Bilanz zieht auch die fachkundige Community. 2 COBIT 5 hat einen grundlegenden Paradigmenwechsel weg vom ment der IT hin zur Integration in eine unterneh- 70 Detecon ment Report 3 / 2012

8 Regenschirm für die IT mensweite Governance vollzogen und bietet damit eine solide Basis an Möglichkeiten, um den aktuellen IT-Transformationsherausforderungen zu begegnen. Dabei richtet sich die aktuelle Version merklich weniger als bisherige COBIT-Versionen auf Auditierung und Revision aus. Die Wichtigkeit von ITIL ist deutlich ausgeprägter das ist an der Serviceorientierung und an der deutlichen Positionierung der Service ment Prozesse innerhalb der COBIT 5 Prozessdomänen ersichtlich. Da die Governance und das Service ment immer enger zusammen wachsende ment-disziplinen sind, können Unternehmen mit IT-Organisationen, die ihr Service ment nach ITIL ausgerichtet haben, mit COBIT 5 das ment und gleichzeitig ihre Governance sinnvoll erweitern. Positiv nimmt die Community auch die Einbindung des Erfolgsfaktors Mensch auf. 3 Während vorherige Frameworks diesen Faktor nur nachlässig behandeln, kommt bei COBIT 5 keiner daran vorbei: Bei einem der sieben sogenannten Schlüsselkomponenten von COBIT 5 geht es explizit um Mitarbeiter, Fähigkeiten und Kompetenzen und im Prozess BAI05 ausdrücklich um Organisational Change Enablement. Thomas Schaer arbeitet als Senior Consultant im Bereich IT ment. Er war zuvor mehrere Jahre in der Softwarebranche und im Automotivbereich (SAP-Einführungen) tätig. Bei Detecon hat er an einer Vielzahl von IT-Einführungsprojekten mitgearbeitet, unter anderem für ein Telco Customer Loyality System, ein Autobahn Mautsystem und S-OX IT-Compliance ment. Seine Beratungsschwerpunkte sind operatives Applikation und Architektur ment von IT-Systemen im Telekommunikationsumfeld. Thomas.Schaer@detecon.com Michael Krüss ist Managing Consultant und berät seit 2008 Kunden für die Detecon. Sein aktueller Beratungsschwerpunkt liegt auf den Themen IT Governance und IT-Transformation-ment im Kundensegment der Finanzdienstleitungen. Bevor Herr Krüss zur Detecon kam, hat er Großprojekte für Systemintegration im internationalen Telekommunikationsumfeld für Amdocs und Hewlett-Packard geleitet. Michael.Kruess@detecon.com Detecon ment Report 3 / 2012