Referenzmodelle im Rahmen von IT-Governance CobiT ITIL MOF. Frameworks for IT Governance CobiT ITIL MOF

Transkript

1 Referenzmodelle im Rahmen von IT-Governance CobiT ITIL MOF Frameworks for IT Governance CobiT ITIL MOF Arbeit im Rahmen des Seminars aus Informationswirtschaft im SS 2005 an der Wirtschaftsuniversität Wien Augasse 2-6 A-1090 Wien, AUSTRIA Dr. Sonja Sewera Rosasgasse 26 B A 1120 Wien, AUSTRIA Telefon: +43-(0) sonja.sewera@chello.at - 1 -

2 Referenzmodelle im Rahmen von IT-Governance CobiT ITIL MOF Frameworks for IT Governance CobiT ITIL MOF Stichworte: IT-Governance, CobiT, ITIL, BS15000, MOF, IT-Management, IT-Service- Management Keywords: IT Governance, CobiT, ITIL, BS15000, MOF, IT Management, IT Service Management Zusammenfassung Im Zuge der zunehmenden Bedeutung der IT für den Unternehmenserfolg ist das IT- Governance Modell von höchster Aktualität. Es dient der umfassenden Steuerung und Kontrolle aller IT-Aktivitäten durch das Top-Management. Zur Unterstützung und Konkretisierung dieses Ansatzes wurden von verschiedenen Institutionen aus dem englischen Sprachraum Modelle mit differenzierten Schwerpunkten entwickelt: das IT-Governance Rahmenmodell, CobiT als Referenzmodell für die Implementierung von IT-Governance, ITIL als Best Practice für das IT-Service-Management und MOF als Microsoft Ergänzung zu ITIL. In dieser Arbeit werden die genannten Modelle detailliert beschrieben, wobei neben einem Überblick und den funktionalen Komponenten auch Aspekte wie Zielgruppe, Praxiseinsatz, die verantwortliche Institution, Weiterentwicklung, Dokumentationen und Zertifizierungen besprochen werden. Jedes Modell wird eingehend dargestellt und bewertet. In einer Gegenüberstellung werden die Referenzmodelle bez. ihrer gegenseitigen Abbildung, ihrer Gemeinsamkeiten und Unterschiede verglichen, ihre Stärken und Schwächen bewertet. Eine Kurzzusammenfassung bildet den Abschluss. Abstract The IT Governance model presently commands great interest, owing to the increased importance of IT for the success of business enterprise. Its overall objective is to provide strategic direction and control of all IT operations. Differently focused models have been developed by British and US institutions to support and consolidate this approach; the IT Governance philosophy, the standardised CobiT framework for the implementation of IT Governance, the ITIL framework as Best Practice for IT Service Management and MOF as a Microsoft enhancement to ITIL. This paper describes the above models in detail, including an overview and explanation of each of the models functions. In addition, aspects such as target group, practical usage, the responsible institution, future trends, documentation and qualification schemes are addressed. Each model is discussed and evaluated. The frameworks are compared as to their similarities and differences, their strengths and weaknesses and how they can be mapped to each other. A short conclusion terminates the paper

3 Kernpunkte für das Management IT-Governance ist zu einem wesentlichen Teil der Unternehmensführung geworden und hat dementsprechende Bedeutung gefunden. Mehrere Referenzmodelle unterstützen die Einführung: Durch das CobiT Rahmenmodell wird dem Management ein Hilfsmittel gegeben, die IT derart zu planen, zu steuern und zu kontrollieren, dass die Geschäftsziele optimal durch die IT-Prozesse unterstützt werden. Das Referenzmodell ITIL bietet Best Practices für das IT-Service-Management. CobiT und ITIL sind weltweit als De-facto-Standard anerkannt und können auch gewinnbringend gleichzeitig angewendet werden. MOF ist eine ITIL Erweiterung für Anwender in einer Microsoft Software- Umgebung. Die genannten Modelle werden detailliert beschrieben. Neben einem Überblick und den funktionalen Komponenten werden auch Aspekte wie Zielgruppe, Praxiseinsatz, die verantwortliche Institution, Weiterentwicklung, Dokumentationen und Ausbildungsmöglichkeiten besprochen sowie Bewertungen durchgeführt

4 Inhaltsverzeichnis 1 EINLEITUNG IT-GOVERNANCE EINFÜHRUNG Begriffsbestimmungen Die Bedeutung der IT-Governance Zielgruppe DIE SCHULE DES IT GOVERNANCE INSTITUTE (ITGI) Verantwortliche Institution Board Briefing on IT Governance DIE SCHULE DES CENTER FOR INFORMATION SYSTEM RESEARCH (CISR) Verantwortliche Institution Effective IT Governance Matrix Ansatz für Design der IT-Governance WEITERE ARTIKEL ZU IT-GOVERNANCE ZUSATZINFORMATIONEN Verordnungen und Regulative mit Einfluss auf IT-Governance Verbreitung und Fallstudien Dokumentationen und Ausbildung Weiterentwicklung und Trends ZUSAMMENFASSENDE BEWERTUNG 19 3 COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) EINFÜHRUNG Zielgruppe Verantwortliche Institution Überblick und Struktur KOMPONENTEN Executive Summary Framework Control Objectives Control Practices Management Guidelines Audit Guidelines Implementation Toolset ZUSATZINFORMATIONEN Verbreitung und Fallstudien Dokumentationen und Ausbildung Weiterentwicklung und Trends ZUSAMMENFASSENDE BEWERTUNG 30 4 ITIL (IT INFRASTRUCTURE LIBRARY) EINFÜHRUNG Zielgruppe Verantwortliche Institution Überblick und Struktur KOMPONENTEN Business Perspective Planning to Implement Service Management Applications Management ICT Infrastructure Management

5 4.2.5 Security Management Service Management SERVICE MANAGEMENT IM DETAIL Service Support Service Delivery ZUSATZINFORMATIONEN Implementierung Verbreitung und Fallstudien Dokumentationen und Ausbildung ITIL und BS Weiterentwicklung und Trends ZUSAMMENFASSENDE BEWERTUNG 44 5 MOF (MICROSOFT OPERATIONS FRAMEWORK) EINFÜHRUNG Zielgruppe Überblick und Struktur KOMPONENTEN Das Prozess Modell Das Team Modell Das Risikomodell ZUSATZINFORMATIONEN Verbreitung und Fallstudien Dokumentationen und Ausbildung Weiterentwicklung und Trends ZUSAMMENFASSENDE BEWERTUNG 55 6 ZUSAMMENFASSENDE GEGENÜBERSTELLUNGEN IT-GOVERNANCE UND DAS COBIT FRAMEWORK ITIL - COBIT ABBILDUNG VERGLEICHSMATRIX ZUSAMMENFASSUNG 59 LITERATUR

6 1 Einleitung Im Rahmen des Einsatzes der Informationstechnologie (IT) in Unternehmen war es schon immer Aufgabe der Leitung der IT-Abteilung, die Ressourcen möglichst optimal, das heißt wirtschaftlich, mit zeitgemäßer Technologie und nach Qualitätsrichtlinien einzusetzen, um damit zum Erfolg des Unternehmens beizutragen. Diese Gesamtaufgabe wird im deutschsprachigen Raum durch IT-Management oder Informationsmanagement bezeichnet und umfasst eine große Zahl von strategischen und operativen Teilaufgaben sowohl im technischen als auch im administrativen Bereich. Beispielhaft seien dazu einige Begriffe wie Strategisches Controlling, IV-Controlling, IT-Controlling, Risikomanagement, Qualitätsmanagement, Projektmanagement, RZ-Management, Service-Management, Performance- Management, IT-Kostenmanagement, IT-Service-Management, Service-Level-Management, etc. angeführt. Der Fokus lag dabei traditionell eher auf der technischen Seite, die durch den enormen technischen Fortschritt und den raschen Wechsel der Technologien in Richtung Internet und WEB viel Aufmerksamkeit erforderte. Eine Erweiterung dieser Sicht mit starker Betonung der betriebswirtschaftlichen und geschäftspolitischen Ziele bietet der IT-Governance Ansatz, entstanden aus der Anwendung der Corporate Governance Philosophie auf die Belange des IT-Einsatzes. Durch die zunehmende Bedeutung der IT für den wirtschaftlichen Gesamterfolg ist IT-Governance nun im Verantwortungsbereich des Vorstandes, in dem idealerweise ein CIO (Chief Information Officer) Mitglied ist. IT-Governance soll innerhalb von formalisierten Richtlinien das Top- Management bei seinen Kontroll- und Führungsaufgaben in Hinblick auf die IT unterstützen, wobei die Erreichung der Geschäftsergebnisziele und das Management von Risiken Schwerpunkte bilden. Diese Anforderungen sowie die verstärkte Serviceorientierung der IT-Abteilung und neue Gesetze, die auch nach außen hin Transparenz der Unternehmenssituation verlangen, führen zu einem hohen Bedarf nach umfassenden Verfahren und Maßnahmen zur strategischen und nachfolgend auch operativen Steuerung und Kontrolle der gesamten Informationsverarbeitung. Dieser Bedarf initiierte im angelsächsischen Raum die Entwicklung einiger Leitfäden und Referenzmodelle, die in dieser Arbeit beschrieben werden. Einen Leitfaden für die Durchführung der Kontroll- und Führungsaufgaben im Rahmen der IT-Governance bietet das CobiT (Control Objectives for Information and Related Technology) Referenzmodell, das vom IT Governance Institute in USA veröffentlicht wird. Dieses deckt die in obigen Absätzen beschriebenen Anforderungen nach Unterstützung der strategischer Steuerung und Kontrolle in Form einer umfassenden Literatur ab. Hingegen ist das ITIL (IT Infrastructure Library) Referenzmodell stärker auf operative Aufgaben ausgerichtet, konzentriert sich auf das IT-Service-Management und geht dort tiefer in Details. Es wurde von der CCTA (Central Computer and Telecommumications Agency, jetzt OGC) in Großbritannien entwickelt und wird ebenfalls in Form mehrerer Bände veröffentlicht. ITIL ist ein anerkanntes Best-Practice-Referenzmodell und hat sich als Defacto-Standard für serviceorientierte Managementprozesse etabliert. Angeregt durch den Erfolg von ITIL hat auch Microsoft ein eigenes Framework MOF (Microsoft Operations Framework) definiert, das auf den Grundlagen von ITIL aufbaut und speziell für den Betrieb von Microsoft Produkten in heterogenen Umgebungen adaptiert ist. Ziel der vorliegenden Arbeit ist, die genannten Begriffe und Verfahren detailliert zu beschreiben, zu bewerten und nach verschiedenen Kriterien, wie: Herausgeber, Zweck, Inhalt, Form, Umfang, Zielgruppe, Einsatzschwerpunkte, Verbreitung, Standardisierung, Dokumentation, Schulung und Zertifizierung zu klassifizieren und gegenüberzustellen

7 2 IT-Governance Das Thema IT-Governance ist derzeit höchst aktuell und ein noch relativ neues Forschungsund Arbeitsgebiet. Nach eingehender Literaturrecherche zeigte sich, dass weltweit zwei Zentren dieses Thema zum Mittelpunkt langjähriger Arbeit gemacht haben und auch weiter betreiben: Das IT Governance Institut (ITGI, Adresse: ), eine im Jahr 1998 gegründete Institution, die aus der ISACA (Information Systems Audit and Control Association, Adresse: hervorgegangen ist. Das Center for Information Systems Research (CISR, Adresse: ) mit dem Direktor Peter Weill an der MIT Sloan School of Management. Der Inhalt dieses Kapitels über IT-Governance wurde daher so strukturiert, dass nach einer Einführung in das Thema die Ideen dieser beiden Schulen dargestellt werden. Danach folgen die Inhalte einiger weiterer Artikel und schließlich allgemeine Zusatzinformationen analog zu den Kapiteln über CobiT, ITIL und MOF. 2.1 Einführung Der Begriff der IT-Governance, in Analogie zu dem der Corporate Governance hat sich schnell sowohl im Business-orientierten als auch im akademischen Bereich etabliert. Dazu werden zuerst einige Definitionen für IT-Governance angeführt und dann Gründe für die Bedeutung von IT-Governance diskutiert Begriffsbestimmungen Corporate Governance bezeichnet die rechtlichen und institutionellen Rahmenbedingungen, die unmittelbar oder mittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben. Vor dem Hintergrund der zunehmenden Auswirkung internationaler Kapitalmärkte haben seit Mitte der 1990er Jahre weltweit die Bemühungen zugenommen, Grundsätze einer guten Corporate Governance zu Papier zu bringen. Diese Grundsätze formulieren einerseits die wesentlichen gesetzlichen Regelungen zur Unternehmensführung und -überwachung, andererseits aber auch bloße Empfehlungen, etwa zur Rechnungslegung und Abschlussprüfung oder zur Arbeit des Vorstandes und der Aufsichtsgremien wurde von der OECD mit den Principles of Corporate Governance erstmals eine Orientierungshilfe für die Entwicklung länderspezifischer Richtlinien vorgestellt (Neuauflage 2004 [OECD04]). In Deutschland sind die Corporate Governance Grundsätze in dem so genannten Corporate-Governance-Kodex fixiert worden. Eine vom Bundesministerium für Justiz im September 2001 eingesetzte Regierungskommission hat am 26. Februar 2002 diesen Kodex verabschiedet. Der Kodex soll dazu beitragen, die in Deutschland geltenden Regeln für die Unternehmensleitung und überwachung für nationale und internationale Investoren transparent zu machen. Auf diese Weise soll das Vertrauen in die Unternehmensführung deutscher Unternehmen nachhaltig gestärkt werden. In Österreich wurde vom Österreichischen Arbeitskreis für Corporate Governance der Österreichische Corporate Governance Kodex erstmals am herausgegeben (aktuelle Fassung vom [Öste05]). Auf europäischer Ebene hat die EU-Kommission zur Prüfung der in den Mitgliedsstaaten bewährten Verfahren im Oktober 2004 ein Europäisches Corporate Governance-Forum eingerichtet. Dieses Forum soll die Konvergenz der nationalen Corporate Governance

8 Kodizes fördern sowie die Kommission beraten. Dem Forum gehören fünfzehn Experten mit unterschiedlichem fachlichem Hintergrund an. Unter IT-Governance werden Grundsätze, Verfahren und Maßnahmen zusammengefasst, die sicherstellen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden. Über Details und Schwerpunkte gibt es verschiedene Auffassungen und somit auch verschiedene Definitionen. Die bekannteste ist die des IT Governance Institutes [ITGo03d, S.10]: IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. Eine Beschreibung von Robert S. Roussey, CPA, Professor an der University of Southern California lautet [ITGo03d, S.1]: IT governance is the term used to describe how those persons entrusted with governance of an entity will consider IT in their supervision, monitoring, control and direction of the entity. How IT is applied within the entity will have an immense impact on whether the entity will attain its vision, mission or strategic goals. Wesentlich kürzer drückt es Peter Weill, der Leiter des Center For Information System Research (CISR) aus, indem er IT Governance definiert als specifying the decision rights and accountability framework to encourage desirable behaviour in using IT [WeRo04b, S.2]. Die konkreteste Beschreibung stammt wohl aus dem Executive Summary von CobiT [ITGo00a, S.3]: IT-Governance: A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes. Abschließend dazu die deutsche Fassung aus der Broschüre IT Governance für Geschäftführer und Vorstände [ITGo03c, S.11]: IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Wesentlich ist somit die Betonung der Eigenverantwortung des obersten Top-Managements, und die Wichtigkeit, die der IT für den Gesamterfolg der Unternehmungen beigemessen wird Die Bedeutung der IT-Governance Warum ist die IT jetzt in den Verantwortungs- und Interessensbereich des Vorstands aufgerückt, während doch früher die technischen Probleme der Datenverarbeitung gerne dem Leiter der DV allein überlassen wurden und für den Vorstand immer nur die hohen aber anscheinend kaum zu reduzierenden Kosten der IT von Interesse waren? Die Antwort liegt auf der Hand. Die IT ist heute für viele Branchen die Basis aller Geschäftsprozesse geworden und somit Teil der Unternehmensstrategie. Für den Erfolg eines Unternehmens ist es entscheidend, dass die Informationen aus den verschiedensten Quellen optimal zur Erreichung der Unternehmensziele genutzt werden können. IT-Governance ist daher ein zentraler Faktor der Corporate Governance und liegt somit im Verantwortungsbereich der Unternehmensleitung. Die Informationstechnologie unterstützt grundsätzlich das Unternehmen bei den Abläufen und der Effizienz der Geschäftstätigkeit. Sie verursacht nicht nur Kosten, sondern erzeugt idealerweise auch einen größeren Nutzen: von effizienten Geschäftsprozessen bis zu bedeutenden Konkurrenzvorteilen. Dagegen kann sich ein mangelhafter Umgang mit IT- Risiken empfindlich auf das Unternehmensergebnis auswirken. Sie sind daher ein nicht zu - 8 -

9 vernachlässigender Bestandteil der Unternehmensrisiken. Darum ist es entscheidend, dass die IT im Rahmen einer spezifischen IT-Governance in die Corporate Governance miteinbezogen wird. IT umfasst dabei die Gesamtheit der Strategien, Systeme, Applikationen und Prozesse sowie diejenigen Personen, die die Technologie einsetzen und anwenden. Die Ziele der IT-Governance sind: die IT fortwährend auf die Unternehmensziele und -prozesse auszurichten; dem Unternehmen zu optimalem Nutzen bei der Erreichung der Geschäftsziele zu verhelfen; die IT-Ressourcen (Mitarbeitende, Systeme und finanzielle Mittel) verantwortungsvoll und nachhaltig einzusetzen; die IT-Risiken zu minimieren und optimal zu meistern. Um diesen Zielen gerecht zu werden, empfiehlt sich der Einsatz einer bewährten Methodik und Vorgehensweise eines Rahmenmodells mit Referenzcharakter Zielgruppe Für IT Governance verantwortlich ist ganz eindeutig das Top-Management, das heißt der Vorstand und die obersten Führungsebenen, bzw. in USA das Board of Directors, das dem Vorstand plus dem Aufsichtsrat entspricht. Im englischsprachigen Raum sind damit speziell angesprochen: chief executive officers (CEOs), chief information officers (CIOs), chief operating officers (COOs), chief financial officers (CFOs) und weitere Mitglieder des Boards und des IT-Managements. 2.2 Die Schule des IT Governance Institute (ITGI) Verantwortliche Institution Das IT Governance Institut (ITGI) wurde 1998 gegründet, um Firmen bei der Anwendung von IT-Governance zu beraten und zu unterstützen und eine zentrale Ansprechstelle zu diesem Thema zu sein. Es ging aus der ISACA (Information Systems Audit and Control Association), einer Vereinigung internationaler Revisoren, hervor. ITGI gibt gemeinsam mit ISACA die Dokumentationen zu CobiT heraus. Das ITGI bereitet laufend aktuelle Themen für das Topmanagement auf, um dieses durch die entstehenden Dokumentationen zu unterstützen. So behandeleten die letzten Broschüren das Thema IT Control Objectives for Sarbanes-Oxley [ITGo04b], in der Kontrollziele für die Prüfung der IT bezüglich des US Sarbanes-Oxley Act aus 2002 definiert werden und ein Dokument über Risikomanagement [ITGo04e]. Weiters werden durch das ITGI Konferenzen veranstaltet, Fallstudien veröffentlicht und Forschungsaktivitäten unterstützt Board Briefing on IT Governance Die wichtigste Veröffentlichung des ITGI bezüglich IT-Governance ist das Board Briefing on IT Governance [ITGo03d] (in deutscher Übersetzung durch KPMG Österreich IT Governance für Geschäftsführer und Vorstände [ITGo03c]), ergänzt durch ein Executive Summary [ITGo04c]. In diesem wird hinführend zum Gedankengut der CobiT Management Guidelines dargestellt, warum IT-Governance wichtig ist, woraus es besteht und was das Topmanagement tun sollte, um dieses entsprechend den Gesamtzielen der Organisation durchzuführen. Die folgenden Ausführungen dieses Kapitels 2.2 wurden aus den eben genannten Dokumenten extrahiert

10 IT-Governance und das Top-Management IT-Governance bedeutet die Anwendung der Prinzipien des Corporate Governance auf die Lenkung und Steuerung der IT. Dazu müssen Strategien definiert werden. Daraus abgeleitet sind die wesentlichen Aufgaben das Schaffen von Unternehmenswert mit dem gleichzeitigen Minimieren von IT Risiken und der Überwachung der Performance. Ziel ist die fortlaufende Verbesserung. Bild 1 IT-Governance: Fokussierung auf Unternehmenswert, Ergebnis und Risiko[ITGo04c] IT-Governance stellt eine Führungsaufgabe dar. Deshalb ist sie, wie andere Führungsaufgaben, Teil der Verantwortung des Vorstands und des Managements. Gelebt wird sie jedoch auf verschiedenen Ebenen: Teamleader, die an die Manager berichten und Weisungen empfangen, Manager, die an die Top-Manager berichten, Top-Manager, die an den Vorstand berichten. Bei der Umsetzung der IT-Governance müssen Vorstand und Management zusammenarbeiten, wobei folgende Aufgabenaufteilung für die Führungsebenen empfohlen wird: Die Mitglieder des Vorstandes sollen eine aktive Rolle in der Entwicklung der IT-Strategie und in IT-Steuerungsgremien haben. Das Top-Management soll organisatorische Strukturen bereitstellen, die die Implementierung der IT Strategie unterstützen. Der IT Leiter soll geschäftsorientiert denken und eine Brücke zwischen IT und den Fachbereichen schlagen. Das Management der Fachbereiche soll in die IT Steuerungsprozesse oder Komitees miteinbezogen werden. Umsetzung der IT-Governance Für die Umsetzung ist der Vorstand verantwortlich. Viele Vorstände richten ihre Führungspflichten in Form von Komitees ein, die jeweils kritische Bereiche überwachen. Um IT Risiken entgegenzuwirken, sollte auch die IT durch Komitees gemanagt werden. Der Aufbau eines IT Komitees auf Vorstandsebene, einem so genannten IT Strategy Commitee, kann ein wichtiger Schritt sein, um dieses Ziel zu erreichen. Das IT Strategy Commitee besteht aus Vorstands- und Nichtvorstandsmitgliedern und soll dem Vorstand beigestellt sein, um ITrelevante Angelegenheiten durchzuführen bzw. auf IT-relevante Angelegenheiten aufmerksam zu werden. Es soll sicherstellen, dass IT-Governance in strukturierter Art und

11 Weise adressiert wird und der Vorstand die relevanten Informationen hat, um die gesteckten Ziele zu erreichen. Ähnlich organisiert soll das IT Steering Comitee sein. Dieser Steuerungskreis kommt dann zum Einsatz, wenn das Top-Management bestimmte Verpflichtungen delegieren will. Zu den Aufgaben des IT Steering Commitee zählt, IT Investitionen transparent darzustellen, Prioritäten zu setzen und knappe Ressourcen zu managen. Teilweise haben Unternehmen auch bereits begonnen, IT Architektur- und IT Technologie Komitees einzurichten. Die folgende Tabelle zeigt typische Aufgaben eine Strategy und Steering Committee. IT Strategy Committee IT Steering Committee Ebene Top Management Operatives Management Verantwortung Befugnis Mitglieder Gibt dem Top-Management Einblick in und Beratung für Themen wie: o Die Relevanz neuester IT Entwicklungen aus Sicht des Kerngeschäfts o Die Ausrichtung der IT mit der Geschäftsausrichtung o Die Erreichung von strategischen IT Zielen o Die Verfügbarkeit angemessener IT Ressourcen, Skills und Infrastruktur, um strategische Ziele zu erreichen o Optimierung der IT Kosten o Die Rolle und der Wertbeitrag von extern beschafften Ressourcen o Risiko, ROI und wettbewerbsrelevante Aspekte von IT Investitionen o Fortschritt der wesentlichen IT-Projekte o Der Wertbeitrag (zb Erstellung des versprochenen Wertes) o Die Gefährdung durch IT-Risiken, inklusive Compliance-Risiken o Beherrschung von Risiken Berät das Top-Management und Management bezüglich IT Strategie Wird durch das Top-Management ernannt, um Beiträge zur Strategieerstellung zu geben und deren Freigabe vorzubereiten Konzentriert sich auf derzeitige und künftige strategische Belange Mitglieder der Leitung und Spezialisten des Top-Managements Entscheidet über die gesamten IT- Ausgaben und die Kostenverteilung Passt die Unternehmensweite IT- Architektur an und gibt diese frei Gibt Projektpläne und budgets frei, legt Prioritäten und Meilensteine fest Beschafft angemessene Ressourcen und weist diese zu Stellt sicher, dass Projekte die Geschäftsanforderungen erfüllen und berücksichtigt auch die Re-Evaluierung des Business Case Überwacht Projektpläne bezüglich der Erbringung der erwarteten Leistung, innerhalb des Zeit- und Kostenrahmen Überwachung von Ressourcen- und Prioritätenkonflikten zwischen Abteilungen und der IT und zwischen Projekten Gibt Empfehlungen und Änderungsanträge für strategische Pläne ab (Prioritäten, Finanzierung, Technologieansätze, Ressourcen, etc.) Kommuniziert strategische Ziele an die Projektteams Trägt einen wesentlichen Teil für die IT- Governance Verantwortung des Management bei Unterstützt das Linienmanagement in der Umsetzung der IT Strategie Überblickt das Management des Tagesgeschäfts der IT Leistungserbringung und IT Projekte Ist auf die Umsetzung fokussiert Unterstützende Geschäftsbereiche Key User CIO Berater, wenn nötig (IT Audit, Recht, Finanz) Tabelle 1 Vergleich von typischen Aufgaben des Strategy und Steering Committee [ITGo03c] Der Antrieb zur Erhöhung des Stakeholder Value treibt die Strategiefestlegungen (Bild 2). IT-Governance stellt auch einen Prozess dar, in dem die IT Strategie die IT Prozesse steuert, welche den Einsatz von Ressourcen erfordern. Die IT Prozesse werden durch Prozessergebnisse und Performance überwacht; Risikominderung und Ressourcenverbrauch werden gesteuert. Durch diese Kontrollen soll sichergestellt werden, dass die Strategie richtig

12 umgesetzt wird. Weiter sollen dadurch Indikatoren für den Bedarf einer strategischen Änderung aufgezeigt werden. Bild 2 Der IT Governance Prozess [ITGo03d] Im Anhang des Board Briefing sind für alle Aktivitäten von Vorstand und Management in Form eines Toolkits Best Practices, kritische Erfolgsfaktoren, Ziele für Ergebnismessungen und Performance Treiber angeführt. Ziele der IT-Governance Berichte von professionellen Analysten, wie etwa Gartner, Compass, Giga und CSC zeigen, dass sich die Topthemen für das IT Management von den typischen Technologiethemen hin zu Managementthemen verschoben haben. Die Analysten legen die Ziele der IT-Governance folgendermaßen fest: Strategische Ausrichtung mit Fokus auf Unternehmenslösungen; IT-Investitionen müssen in Abstimmung mit den strategischen Zielen des Unternehmen stehen, der IT-Betrieb an den aktuellen Unternehmensaktivitäten ausgerichtet sein. Nutzengenerierung mit Fokus auf die Optimierung der Ausgaben und Bewertung des Nutzens der IT. Durch den IT Einsatz können Wettbewerbsvorteile, Kundenzufriedenheit, Mitarbeiterproduktivität und -profitabilität geschaffen werden, die allerdings schwer messbar sind. Um effektiven IT Nutzen zu generieren, müssen sowohl die aktuellen Kosten, als auch der erwartete ROI berücksichtigt werden. Der IT Wert wird von Benutzern und den diversen Managementebenen verschieden gesehen, je höher die Managementebene, desto unklarer und verwässerter wird der messbare Einfluss der IT. Man sollte sich jedoch nicht nur an Finanzkennzahlen orientieren, sondern genauso an Qualitätskennzahlen. Für den erfolgreichen Einsatz von IT müssen sich Unternehmen darüber bewusst werden, dass unterschiedliche strategische Zusammenhänge unterschiedliche Nenngrößen benötigen, um den Nutzen zu messen. Diese Maßstäbe müssen zwischen den Unternehmenszielen und der IT abgestimmt werden. Dies kann durch die Unterstützung einer IT Balanced Scorecard erfolgen. Für die unternehmensweite IT Infrastruktur in unterschiedliche Branchen sind oft unterschiedliche Kennzahlen heranzuziehen Dies gilt auch für Unterschiede zwischen privatwirtschaftlich geführten Unternehmen und öffentlich/rechtlichen Organisationen. Risikomanagement, das sich auf den Schutz des IT Assets bezieht, unter Berücksichtigung von Disaster Recovery (Wiederanlauf nach Katastrophen) und Fortführung der Unternehmensprozesse im Krisenfall. Eine gute Unternehmenssteuerung führt aktives

13 Risikomanagement durch. Unternehmensrisiko existiert in vielen Varianten, nicht nur als finanzielles Risiko. Risikomanagement beginnt am effektivsten mit einem klaren Verständnis von der Risikoeinstellung des Unternehmens. Gerade für IT Investitionen ist eine allgemeine Risikoeinschätzung über das gesamte Unternehmen erforderlich. Erst nach der Definition einer risikofreudigen oder risikomeidenden Unternehmenspolitik können Strategien für das Risikomanagement erstellt und Verantwortlichkeiten festgelegt werden. Abhängig vom Risikotyp und seiner Bedeutung für das Unternehmen können Management und Vorstand für Einzelrisiken aus folgenden Aktionen auswählen: Risikoreduktion - Kontrollen werden implementiert (z.b. Virenschutz oder Zugangskontrolle; Sicherheitstechnologie wird beschafft, um die IT Infrastruktur zu schützen). Risikotransfer - Das Risiko wird an einen Geschäftspartner weitergegeben (z.b. Deckung durch Versicherungen, Service Level Agreements). Risikoakzeptanz - Formale Anerkennung, dass das Risiko existiert, um es folglich zu überwachen. Management von Ressourcen, Optimierung von Wissen und IT Infrastruktur. Optimale Investitionen sowie die Verwendung und Bereitstellung von IT Ressourcen (Menschen, Anwendungen, Technologie, Facilities, Daten) sind Schlüsselfaktoren für eine erfolgreiche IT Performance, um die Ansprüche des Unternehmens zu erfüllen. In vielen Unternehmen wird der größte Teil des IT Budgets für den laufenden Betrieb verwendet. Die klare Definition und Priorisierung der Services ermöglicht, auf das Unternehmen ausgerichtete Service Level Agreements (SLAs) zu definieren. Eine wirksame Steuerung der operativen IT Ausgaben erfordert eine wirksame Kostenkontrolle. Von allen IT Assets fällt der größte Teil der Kosten auf die Personalressourcen; diese sind auch jene mit den prozentuell größten Steigerungsraten. Für die Erreichung von Kosten/Nutzen-Effizienzen ist der Einklang von Servicequalität und den dafür anfallenden Kosten essenziell. (Das betrifft auch jene Services, die durch Outsourcing externen Service Providern übertragen werden). Dafür ist es notwendig, die IT zu bewerten und deren Performance zu messen. Dies kann gut durch den Einsatz von Balanced Scorecard Systemen unterstützt werden. Performance Messung Keines dieser Ziele kann erreicht werden, ohne dass die Performance regelmäßig gemessen wird. Hierbei ist die regelmäßige Kontrolle über das Einhalten von Projektschritten ebenso wichtig und notwendig wie die Überwachung der IT Services. Hier ist der Einsatz von Balanced Scorecards vorgesehen. Um das Balanced Scorecard Konzept speziell für die IT anzuwenden, müssen die vier Perspektiven neu definiert werden. Eine IT BSC Vorlage kann unter Berücksichtigung folgender Fragen entwickelt werden: Beitrag zum Unternehmenserfolg - Wie sieht das Management des Unternehmens die IT Abteilung? Benutzerorientierung - Wie sehen Anwender die IT Abteilung? Stärke des Betriebs - Wie effektiv und effizient sind die IT Prozesse ausgerichtet? Zukunftsorientierung - Wie gut ist die IT positioniert, um zukünftige Anforderungen zu erfüllen? Um den gewonnenen IT Wert zu demonstrieren, sind Ursache-Wirkungs-Beziehungen nötig. Diese Beziehung entsteht zwischen den beiden Messtypen in der Scorecard, den Ergebnismessungen (was wurde getan?) und den Performancetreibern (was wird getan?). Eine gut entwickelte IT BSC beinhaltet beide Messtypen. Die IT BSC sollte mit Business Scorecards auf einer höheren Unternehmensebene verknüpft sein

14 Einführung des IT Governance bei einem Unternehmen Der erste Schritt ist die Feststellung des Ist-Zustandes. Dazu ist eine Befragung von Vorstand und Management vorzunehmen. Im Anhang des Board Briefings sind dazu geeignete Checklisten vorhanden. Die Fragen konzentrieren sich auf drei Ziele: Aufdecken strategischer Themen, wie behandelt das Management diese Themen und eine Selbstbewertung des Managements. Zur Feststellung des eigenen Reifegrades sollte das Reifegradmodell von CobiT verwendet werden. Der Anhang enthält auch Vorlagen für die Unterstützung der Umsetzung einer effektiven IT-Governance. Als Referenzmaterial für die Einführung ist CobiT (siehe Kapitel 3) vorgesehen. Eine umfangreichere Beschreibung eines IT-Governance Umsetzungsplans ist in der zusätzlichen Dokumentation IT Governance Implementation Guide [ITGo03b] zu finden. 2.3 Die Schule des Center For Information System Research (CISR) Verantwortliche Institution Das Center for Information Systems Research wurde 1974 an der MIT Sloan School of Management gegründet mit dem Ziel, Konzepte und Frameworks zu entwickeln, die den Führungskräften von globalen, dynamischen und informationsintensiven Unternehmen helfen, ihre IT-bezogenen Aufgaben zu bearbeiten. Das CISR führt Basis-bezogene Forschung bezüglich Management und dem Einsatz der Informationstechnologie in komplexen Organisationen durch Effective IT Governance Eines der Forschungsthemen des CISR ist Effective IT Governance. Zwischen 1995 und 2004 wurde mit Hilfe zweier groß angelegter Studien das Thema IT-Governance in Theorie und in ihrem praktischen Einsatz untersucht. Es wurden die Chief Information Officers (für IT zuständige Vorstände) von 256 bedeutenden Unternehmen in 23 Ländern weltweit in Amerika, Europa und im Asiatisch-Pazifischen Raum bezüglich ihrer Vorgehensweisen zur Steuerung der IT befragt. Diese Studie erfolgte in Zusammenarbeit mit der Gartner Group, die zehn weitere Fallstudien beisteuerte. Die zweite Untersuchung fasste das Ergebnis von 40 Interview orientierten Fallstudien mit multinationalen Konzernen wie Johnson & Johnson, Carlson Companies, UPS, Delta Air Lines und ING Direct zusammen. Die zusammenfassenden Erkenntnisse dieser umfangreichen Studien wurden in einer Reihe von Artikeln (CISR Working Papers und Zeitschriftenartikeln [WeWo02; Weil04; WeRo04a; WeRo05]) sowie einem Buch in verschiedenen Detaillierungsgraden dokumentiert. Das neue Buch (2004) von Peter Weill und Jeanne Ross [WeRo04b] behandelt das Thema und die Firmenfallstudien am ausführlichsten und kann als Standardwerk für das Thema IT Governance angesehen werden Matrix Ansatz für Design der IT-Governance Die Ergebnisse der Studien an den erfolgreichsten untersuchten Firmen können in folgender Kurzdarstellung zusammengefasst werden: Es konnte keine beste Methode für IT-Governance gefunden werden, je nach den Umgebungsbedingungen wählten die erfolgreichsten Organisationen unterschiedliche Strategien. Allerdings passiert effektives IT-Governance nicht zufällig, sondern ist das

15 Ergebnis sorgfältigen Designs. In den Firmen mit den besten Ergebniszahlen ist ein volles Verständnis für IT-Governance bei den Führungskräften vorhanden und wird auch täglich gelebt. Es zeigte sich, dass die Effektivität der IT-Governance daran gemessen werden kann, wie gut sie die IT befähigt, die vier wichtigsten Ziele zu unterstützen: Kosteneffektivität Nutzung der Betriebsmittel Business Wachstum Business Flexibilität Die gemessene Performance der IT-Governance zeigte eine Verteilung ähnlich einer Glockenkurve und es konnte eine gute Korrelation zwischen der Performance der IT- Governance und den genannten Faktoren verifiziert werden. Firmen mit gelebter IT- Governance konnten bis zu 20% höhere Gewinne als vergleichbare andere Unternehmungen erzielen. IT-Governance umfasst fünf wesentliche Entscheidungsbereiche, die prinzipiell auf verschieden Hierarchieebenen entschieden werden können. IT-Prinzipien IT-Architektur IT-Infrastruktur Identifizierung der wesentlichen Business Applikationen IT-Investition und Priorisierung. Ein wichtiger Schritt im Design der IT-Governance ist, die jeweils verantwortliche Entscheidungsebene festzulegen. Prinzipiell gibt es sechs typische Ansätze für IT-Entscheidungen: Business Monarchie, die Entscheidungen erfolgen zentralisiert durch das oberste Management IT-Monarchie, IT-Experten entscheiden Föderalistisches Prinzip, das Mittelmanagement aller operativen Gruppen arbeitet mit der Zentrale zusammen IT-Duopol, gemeinsame Entscheidung durch Business und IT-Führungskräfte Feudalsystem, die Leiter von Abteilungen oder Prozessen entscheiden auf Grund der jeweiligen Anforderungen Anarchie, jeder Anwender, bzw. jede kleine Gruppe entscheidet selbst Bild 3 IT-Governance Entscheidungsmatrix [WeRo05] Mittels einer Matrix, in der die fünf Entscheidungsbereiche den sechs Entscheidungsansätzen gegenübergestellt werden (Bild 3), kann nun für jede Organisation

16 deren Entscheidungsstruktur spezifiziert, analysiert und kommuniziert werden. Bei den untersuchten Firmen zeigten sich typische Häufungspunkte in der Matrix. Weiters zeigte sich, dass verschiedene, höchst erfolgreiche Konzerne unterschiedliche Entscheidungsstrukturen anwenden. Dabei konnten grob drei Gruppen identifiziert werden: Ein zentralisierter Ansatz bei Firmen mit maximaler Profitrate Dezentralisierte Ansätze bei Firmen mit starkem Wachstum Hybride Ansätze bei Firmen mit optimaler Ausnutzung ihrer Betriebsmittel Die Essenz der Ergebnisse bei den erfolgreichsten Firmen fasst Weill in der folgenden Darstellung zusammen (deren detaillierte Besprechung den Rahmen dieser Arbeit überschreiten würde): Bild 4 Entscheidungsstrukturen erfolgreicher Unternehmen mit verschiedenen Optimierungskriterien [WeRo05] Aus den Ergebnissen leitet Weill Empfehlungen für das optimale Design einer IT-Governance ab. Jede Firma soll zuerst ihre eigenen Bedürfnisse für Synergie und Autonomie feststellen, die Rolle der Organisation danach einrichten und danach an Hand der Matrix die optimalen IT-relevanten Entscheidungsstrukturen sorgfältig festlegen. 2.4 Weitere Artikel zu IT-Governance Obwohl das Thema IT-Governance derzeit sehr aktuell ist, findet man zu dem Begriff IT- Governance nicht allzu viele Artikel aus dem akademischen Bereich. Das liegt wohl darin, dass das Thema primär durch die großen Consulting- und Trainigsfirmen getrieben wird. Die akademische Forschung befasst sich eher im Detail mit Spezialthemen aus dem Bereich des IT-Governance. In den deutschsprachigen Zeitschriften wurden gemäß der Aktualität des Themas in den beiden Top- Journals für Wirtschaftsinformatik zwei neuere Artikel gefunden: Meyer, Zarnekow und Kolbe geben in der Wirtschaftsinformatik [MeZK03] einen Überblick über den IT-Governance Begriff, Status quo und Bedeutung. In sehr kompakter Form wird überblicksartig neben IT-Governance speziell CobiT besprochen. Hingegen bringt Helmut Grohmann, Konzern-CIO bei der Deutsche Bahn AG in seinem Beitrag über

17 Prinzipien der IT-Governance [Groh03] (in einem Heft der Praxis der Wirtschaftsinformatik ) eine Darstellung der IT-Governance aus geschäftlicher Sicht mit Betonung der organisatorischen Konsequenzen und der Rollenverteilung. Der Artikel enthält eine Beschreibung des IT-Governance-Modells bei der Deutsche Bahn AG und seine damit gemachten Erfahrungen bei der Durchführung von Projekten. Zwei Diplomarbeiten von österreichischen Universitäten sind ebenfalls dem Thema IT- Governance gewidmet [Hesc02; Hove04]. Die englischsprachige Literatur ist reichhaltiger. In den USA wurde das Thema schon seit vielen Jahren behandelt, auch unter dem Stichwort IS Governance. Einer der Basis-Artikel stammt von Sambamurth und Zmud [SaZm99], indem schon 1999 die Bedeutung von Authoritätsstrukturen auf die IT-Aktivitäten unter mehrfachen Einflussfaktoren untersucht wurde. Wesentlich ist der Aspekt der Verteilung: zentral, dezentral oder föderalistisch. Diese Überlegungen gehen mit denen von Weill [Weil04] konform und wurden von der CISR weitergeführt. Ein neuerer Artikel, der ebenfalls zur Weill Line passt, stammt von Peterson [Pete04]. Auch er diskutiert den Zusammenhang der optimalen Organisations- und Entscheidungsstrukturen mit dem IT-Verteilungsgrad und stellt ein Modell für einen IT Governance Assessment Process vor, mit dem die Effektivität einer aktuellen IT-Governance Architektur bewertet werden kann. Mit dem Spezialthema der Organisationsstruktur, wie Rollen und Stellung des CIO beschäftigt sich Rau [Rau04], während Huff et al. [HuMM04] über die Notwendigkeit der Einrichtung von IT-Committees durch das Board am Beispiel von Finanzunternehmungen berichtet. Ein echter Schwerpunkt sind derzeit Artikel über eine notwendige Ausdehnung des Modells für IT-Governance: So fordern Nada und Andrew Kakabadse [KoKa01], dass IS/IT- Governance ein erweitertes Modell benötigt, in dem nicht nur der Kontrollaspekt, sondern im Rahmen einer Orientierung am Stakeholder die Bedürfnisse aller internen und externen Stakeholder berücksichtigt werden müssen. Genauso fordert auch Robbins in [Robb04], dass in einem pluralistischen mehrdimensionalen Modell IT-Governance auch auf die Berücksichtigung von Partnern, Service Providern und Anwendern innerhalb und außerhalb der Firmengrenzen erweitert werden muss. Dieselbe Idee verfolgt Patel [Pate02] in seinem Artikel, indem er für die Unterstützung von globalen e-business Geschäftsmodellen die Erweiterung in Richtung e-business IT-Governance unter Einbeziehung der Lieferanten, Geschäftspartner und Kunden als notwendig erachtet. Die anderen gefundenen Beiträge widmen sich verschiedensten Themen. Während McManus [Mcma04] IT-Governance als Teilgebiet von IS Governance sieht, ist der Artikel von De Haes und Grembergen [HaGr04] über IT-Governance und seine Mechanismen eine erweiterte Darstellung der Steuerungsmechanismen aus dem Board Briefing des ITGI [ITGo03d]. Bodnar stellt unter dem Titel IT Governance [Bodn03] im wesentlichen CobiT in Hinblick auf die Nutzung durch einen IS-Auditor dar. Andere Artikel befassen sich mit dem Einfluss von Sarbanes-Oxley auf IT-Governance [Groh03; Edel04; ITGo04b]. 2.5 Zusatzinformationen Verordnungen und Regulative mit Einfluss auf IT-Governance Die Beschreibung der folgenden Organisationen wurde aus [ITGo03c] entnommen. Committee of Sponsoring Organisations der Treadway Commission (COSO) Der im Jahr 1992 erstellte Bericht des COSO Komitees (COSO Framework) definiert interne Kontrollen als einen Prozess, der durch das Top-Management oder andere Personen der

18 Organisation initiiert wird. Dieser Prozess dient dazu, angemessene Absicherungen im Bezug auf Zielerreichung in den folgenden Kategorien zu erstellen: Effektivität und Effizienz der operativen Tätigkeiten Verlässlichkeit der Finanzberichterstattung Einhaltung relevanter Gesetze und Regulative Das COSO-Framework wurde von vielen privaten und öffentlichen Organisationen umgesetzt. Es hat auch die Entwicklung von anderen Kontroll- und Management- Frameworks - wie etwa CobiT - beeinflusst. In der jüngsten Vergangenheit wurde das COSO- Framework auch als relevantes Rahmenwerk für die Erfüllung der Anforderungen des 404 des Sarbanes-Oxley Acts genannt. Report des Committee on the Financial Aspects of CorporateGovernance (Cadbury Report, 1992) Der Cadbury Report gibt Empfehlungen für Good-Practices bezüglich der Verantwortlichkeiten von Vorständen/Geschäftsführern und Aufsichtsräten in deren Funktion des Reviews von Informationen und der Weitergabe von Informationen an die Anteilseigner. Die Empfehlungen dieses Berichts hatten einen wesentlichen Einfluss auf die Corporate Governance in Großbritannien und anderen Ländern. Obwohl sich der Bericht auf Finanzberichterstattung und Audit bezieht, beleuchtet er auch ein breiteres Spektrum von Corporate Governance. Internal Control: Guidance for Directors on the Combined Code (Turnbull Report, 1999) Der Turnbull Report fordert einen höheren Stellenwert für eine umfassendere Rolle des Audit Committees für Corporate Governance ein. Er wiederholt, dass geschäftsführende Gremien ein angemessenes internes Kontrollsystem betreiben sollen, welches die Investition der Aktionäre absichert. In diesem Sinne muss das Top-Management bestimmen, welche Risiken akzeptabel und welche nicht akzeptabel sind; was wahrscheinlich und weniger wahrscheinlich vorkommt; was das Unternehmen im Schadensfall unternehmen können wird; und welche Kosten und welcher Nutzen in der Risikoübertragung liegen. Organisation for Economic Co-operation and Development, Principles of Corporate Governance (1998) Die Prinzipien der OECD beziehen sich weitgehend auf in der Literatur bestehende Corporate Governance Konzepte und unterteilen diese in fünf Bereiche: Die Rechte der Aktionäre Die Gleichbehandlung der Aktionäre Die Rolle von Stakeholdern Veröffentlichung und Transparenz Die Verantwortung des Top-Managements Der letzte Bereich ist auch für IT-Governance anwendbar. Bank for International Settlements, Enhancing Corporate Governance in Banking Organisations (1999) Die BIS hat als Vertreter der Zentralbanken der G10-Staaten Policies und Richtlinien für den Finanzsektor erstellt, die sich speziell auf systemische und operationale Risiken beziehen. Die BIS betont, dass Governance Maßnahmen für hoch kritische Systeme effektiv, zuordenbar und transparent sein sollten. Obwohl nicht alle Unternehmen derart kritische Systeme betreiben, sind diese Richtlinien als Quelle für angemessene Governance Aktivitäten von Systemen und Services relevant

19 2.5.2 Verbreitung und Fallstudien Die Verbreitung der hier beschrieben IT-Governance Philosophie im deutschsprachigen Raum ist noch nicht untersucht, dürfte aber gering sein. Ein Anwenderbericht ist in [Groh03] angeführt. In den Studien des CISR wurden über 300 Großunternehmen weltweit befragt, die eine Unternehmenssteuerung im Sinne von IT-Governance betreiben. Im Buch [WeRo04b] mit den Ergebnissen werden dazu 32 Fallstudien einzeln besprochen. Eine groß angelegte weltweite Untersuchung über die Bekanntheit und den Einsatz von IT- Governance wurde von PriceWaterhouseCoopers im Auftrag der ITGI im Jahre 2003 durchgeführt und in einem IT Governance Global Status Report [ITGo04d] veröffentlicht und kann über den ISACA Bookstore gekauft werden. In dieser Studie wurden 335 Personen auf CEO/CIO Ebene befragt. Die Ergebnisse: Mehr als 93% der Führungskräfte erachten IT als wichtig für die Organisationsstrategie CIOs erkennen den Bedarf für eine bessere Governance der IT Als Frameworks wurden internationale Lösungen, herstellerspezifische Lösungen aber auch ISO9000 und CobiT genannt Dokumentationen und Ausbildung Die Dokumentationen des ITGI im Umfeld zu IT-Governance können über die Website der ITGI kostenlos herunter geladen werden, sie sind jedoch auch in Papierform beim ISACA Bookstore Fax , Phone käuflich zu erwerben. Die im Rahmen dieser Arbeit besprochenen Dokumente sind im Literaturverzeichnis aufgeführt [ITGo00a - ITGo04e]). Ausbildung zu IT-Governance wird in Europa durch diverse Trainingsinstitute im Rahmen von Seminaren angeboten, u.a. auch vom deutschen IT Governance Center das versucht, die Idee des IT-Governance im deutschsprachigen Raum kommerziell zum nutzen Weiterentwicklung und Trends IT-Governance als Teil der Corporate Governance ist notwendiger Bestandteil jeder Unternehmensführung. Die Weiterentwicklung der Idee und der Methoden, die heute unter diesem Begriff subsumiert werden, wird primär durch das research think tank ITGI fortgeführt. Dieses bearbeitet aktuelle und neue Themen, die Relevanz für IT-Governance haben und publiziert laufend neue Dokumentationen für das Top-Management. Derzeit läuft auch eine neue Studie über Bekanntheitsgrad und Einsatz von IT-Governance. 2.6 Zusammenfassende Bewertung Die beiden Darstellungen vom ITGI und vom CISR können als kompatibel und sich ergänzend angesehen werden. Während ITGI im wesentlichen eine Erweiterung der generischen CobiT Management Guidelines nach oben hin ist und diese um Anleitungen bezüglich optimaler Organisationsstrukturen für die Überwachung der IT-Governance ergänzt, sind die Erkenntnisse des CISR die Ergebnisse empirischer Untersuchungen kombiniert mit theoretischen Grundsätzen der Organisationslehre. So erwähnt Weill in seinem Buch [WeRo04b, S.242 in Anmerkung 14] auch explizit das ITGI und die CobiT Dokumentationen und bewertet sie als konsistent zu seiner Auffassung von IT- Governance. Andererseits wird im Board Briefing des ITGI auch auf einen Artikel von Weill Bezug genommen [ITGo03d, S.25]

20 3 CobiT (Control Objectives for Information and Related Technology) 3.1 Einführung CobiT (Control Objectives for Information and Related Technology) ist ein Modell von generell anwendbaren und international akzeptierten IT-prozessbezogenen Kontrollzielen (control objectives), die in einem Unternehmen beachtet und umgesetzt werden sollten, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. The CobiT Mission: To research, develop, publicise and promote an authoritative, up-todate, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors. CobiT wurde vom internationalen Prüfungsverband ISACA (Information Systems Audit and Control Association) seit 1993 entwickelt und als erste Version Ende 1995 veröffentlicht. Im Mai 1998 erschien eine komplett überarbeitete und erweiterte Version mit 34 IT-Prozessen und 300 Kontrollzielen. Im Juli 2000 wurde CobiT in der 3. Version im Wesentlichen um Aspekte des IT-Governance im Rahmen sog. Management Guidelines erweitert. Es sind darin auch die Kernziele, die kritischen Erfolgsfaktoren, sowie die messbaren Leistungsindikatoren aufgeführt, welche eine klare Überwachung der IT-Prozesse durch das Management ermöglichen. Das CobiT Framework besteht aus verbreiteten, generell akzeptierten Praktiken (Best Practices), welche sicherstellen, dass die benutzte Informationstechnologie die Geschäftsziele abdeckt, dass die Ressourcen verantwortungsvoll eingesetzt und die Risiken entsprechend überwacht werden was mit dem Begriff IT-Governance bezeichnet wird. CobiT ist die einzige allumfassende Methode zur Unterstützung von IT-Governance auf allen Ebenen Zielgruppe Ursprünglich war CobiT eine Sammlung von Kontrollzielen als Unterstützung im Rahmen von IT-Revisionen. Heute stellt CobiT eine Sammlung von Veröffentlichungen dar, die als allgemein akzeptierter Standard für IT-Sicherheit und IT-Kontrolle bezeichnet werden können, und die ein Modell ergeben, das von Mitgliedern des Managements, Anwendern, Auditoren und Sicherheitsfachleuten angewandt werden kann. Zielgruppe sind somit alle betroffenen Stakeholder wie Direktoren, das obere Management, die Eigner von Prozessen, Anwender, IT-Lieferanten, Revisoren, etc Verantwortliche Institution Die CobiT Dokumentationen werden vom IT Governance Institut ITGI (siehe Kap ) und der ISACA Information Systems Audit and Control Association, herausgegeben. Die ISACA ist die führende Vereinigung von Professionals in den Bereichen Audit, Kontrolle, Sicherheit und Governance von Informationssystemen. ISACA hat Mitglieder in 100 Ländern und in fast allen Ländern lokale Unterorganisationen. Die Mitglieder sind CEOs, CFOs, CIOs, Instruktoren, Spezialisten für Informationssicherheit, IT- Consultants und Studenten. ISACA bietet Ausbildungslehrgänge und Zertifizierungen (CISA und CISM), gibt die Zeitschrift Information Systems Control Journal heraus und sponsert Konferenzen

21 3.1.3 Überblick und Struktur CobiT hat das Ziel, IT-Governance für alle betroffenen Ebenen in einer Organisation mit Best Practices zu unterstützen. Dies geschieht durch die Bereitstellung umfangreicher Dokumentationen, in denen generisch die notwendigen Aktivitäten zur Zielerreichung beschrieben werden. Entsprechend den unterschiedlichen Zielgruppen, wie Top-Management, IT-Management, Revisoren, IT-Personal, Anwender etc. ist die CobiT Dokumentation in mehreren Bänden mit unterschiedlichen Schwerpunkten und steigendem Detaillierungsgrad organisiert. Basis bildet das Framework. Die folgende Abbildung zeigt die hierarchische Struktur der Dokumentationen mit der jeweiligen Zielgruppe und dem Schwerpunkt. Executive Summary Senior Executives (CEO, CIO) There is a Method... Framework Senior Operational Management The Method Is... Implementation Tool Set Director, Middle Management Here s How You Implement... Management Guidelines Director, Middle Management Here s How You Measure... Control Objectives Middle Management Minimum Controls Are... Audit Guidelines Line Management, Controls Practitioner Here s How You Audit... Key Goal Indicator Critical Success Factor Key Performance Indicator Maturity Model Bild 5 Struktur der CobiT Dokumentationen [Bitt05] Die CobiT Dokumentation besteht aus folgenden Bänden, die anschließend im Kap. 3.2 im Einzelnen besprochen werden: Executive Summary Framework Implementation Toolset Management Guidelines Control Objectives Audit Guidelines Control Practices (Zusatzdokumentation, nicht Bestandteil der 6-teiligen Standarddokumentation) 3.2 Komponenten Executive Summary Für die Zielgruppe Geschäftsleitung und Top-Management wird ausgehend vom Begriff der IT-Governance ein Überblick gegeben, der ein Verständnis der CobiT Konzepte und Prinzipien erlaubt

22 Für die Erreichung der Organisationsziele ist das effektive Management von Informationen und der damit verbundenen Informationstechnologie unerlässlich, mit anderen Worten IT- Governance, das mit folgender Definition eingeführt wird: IT-Governance: A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes. Die Ziele von IT-Governance sind: Die IT ist ausgerichtet auf die Geschäftstätigkeit, ermöglicht diese und maximiert dabei den Nutzen IT-Ressourcen werden vernünftig (wirtschaftlich) verwendet IT-bezogene Risiken werden angemessen gemanaged Bild 6 IT-Governance: Zielerreichung durch Managen der IT-Aktivitäten [ITGo00a] Damit das Management seine Geschäftsziele erreichen kann, muss es die IT-Aktivitäten derart leiten und managen, dass ein effektiver Ausgleich zwischen dem Managen der Risiken und dem erzielten Ertrag erreicht werden kann. Dazu müssen die wichtigsten Aktivitäten identifiziert und ihr Erfolgsbeitrag zur Zielerreichung gemessen werden. Zusätzlich muss die Maturität der Organisation mit den Best Practices der Industrie und internationalen Standards verglichen werden. Daraus wird die Notwendigkeit eines IT-Governance unterstützenden Rahmenmodells, wie es CobiT bietet, abgeleitet. Speziell die Management Guidelines mit der Beschreibung der kritischen Erfolgsfaktoren, den wesentlichen Kernzielen und Leistungsindikatoren und das Maturity Model für IT-Governance bieten die geeignete Unterstützung für das Management. Im Executive Summary werden die Struktur der Dokumentation und ein Überblick über das Frameworks mit seinen vier Domänen und den Prozessen dargestellt. Für Details über die Erfolgsfaktoren wird auf die Management Guidelines verwiesen Framework Das Framework bildet den Kern des CobiT Rahmenmodells. Ziel aller IT-Aktivitäten ist die Unterstützung der Geschäftsziele mit Hilfe der IT-Ressourcen. Um die Informationen bereitzustellen, die die Organisation für die Zielerreichung benötigt, müssen die IT-Ressourcen durch eine Gruppe von Prozessen gesteuert werden. Das CobiT Framework folgt diesem Ansatz und hat daher die im Folgenden beschriebene Architektur ausgebildet

23 Das CobiT Framework ist prozessorientiert organisiert und definiert für jeden IT-Prozess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontrollziele für diesen Prozess. Für die Formulierung der Kontrollziele werden sieben Arten von Geschäftsanforderungen, d.h. Kriterien für Qualität, Sicherheit und Ordnungsmäßigkeit berücksichtigt: die klassischen Sicherheitsanforderungen Vertraulichkeit, Integrität und Verfügbarkeit Effektivität (Wirksamkeit), Effizienz (Wirtschaftlichkeit) sowie Compliance (Einhaltung rechtlicher Erfordernisse) und Zuverlässigkeit (Ordnungsmäßigkeit der Berichterstattung). Die Struktur der Kontrollziele lehnt sich an ein prozessorientiertes Geschäftsmodell an. Geschäftsprozesse basieren laut CobiT auf IT-Ressourcen, also auf Daten, Anwendungen, Technologien, Anlagen und Personal (da zuständig für die Definition, die Implementierung, den Betrieb und die Überwachung der IT, kann es ebenfalls als IT-Ressource angesehen werden): Daten sind Datenelemente im weitesten Sinn (also externe und interne), strukturierte und nicht-strukturierte, wie z.b. Graphiken oder auch ein Ton. Als Anwendungen bezeichnet man die Summe manueller und programmierter Verfahren. Technologien umfassen Hardware, Betriebssysteme, Datenbankverwaltungssysteme, Netzwerke, Multimedia, usw. Anlagen beinhalten alle Ressourcen zur Beherbergung und Unterstützung von Informationssystemen. Die IT-Ressource Personal umfasst Kenntnisse, Bewusstsein und Produktivität zur Planung, Organisation, Beschaffung, Ablieferung, Unterstützung und Überwachung von Informationssystemen. Die für die Geschäftsprozesse benötigten Mitarbeiter, Daten, Anwendungen, Technologien und Anlagen müssen kontrolliert geplant, entwickelt, implementiert, betrieben und überwacht werden. CobiT definiert dazu 34 kritische Prozesse, die innerhalb der IT identifiziert werden können. Diese Prozesse sind für das Management erfolgsbestimmend. Sie lassen sich in vier übergeordnete Domänen (IT Domains) gruppieren, die einen geschlossenen Kreislauf bilden (Bild 7): Planung und Organisation: Die Domäne Planung und Organisation (planning and organisation) umfasst die Strategie und Taktik und betrifft die Bestimmung der Art, wie die Informationstechnologie am besten zur Erreichung der Geschäftsziele beitragen kann. Weiters muss die Realisierung der strategischen Vision für unterschiedliche Aspekte geplant, kommuniziert und geleitet werden. Schließlich muss eine geeignete Organisation wie auch eine technologische Infrastruktur bereitstehen. Beschaffung und Implementation: Um die IT-Strategie zu erreichen, müssen IT- Lösungen identifiziert, entwickelt, oder beschafft und implementiert werden. Des Weiteren deckt die Domäne Beschaffung und Implementation (acquisition and implementation) die Veränderungen und die Wartung von bestehenden Systemen ab. Betrieb und Unterstützung: Die Domäne Betrieb und Unterstützung (delivery and support) betrifft die effektive Bereitstellung der gewünschten Dienstleistungen, welche vom traditionellen Betrieb über Sicherheits- und Kontinuitätsfragen bis zur Ausbildung reichen. Zum Betrieb von Dienstleistungen müssen die notwendigen Unterstützungsprozesse etabliert werden. Diese Domäne beinhaltet auch die eigentliche

24 Datenverarbeitung durch Anwendungen (oft unter dem Begriff applikationsabhängige Kontrollen geführt). Überwachung: Domain Überwachung (monitoring): Alle Prozesse müssen regelmäßig auf ihre Qualität und auf die Erreichung der Kontrollziele (Erfüllung der Kontrollanforderungen) überprüft werden. Die folgende Abbildung verdeutlicht die Erkenntnisse und definiert schematisch das CobiT- Framework mit der Zuordnung der 34 Prozesse zu den 4 Domänen. COBIT Framew ork M1 Monitor the process M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit DS1 Define service levels DS2 Manage third-party services DS3 Manage peformance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and attribute costs DS7 Educate and train users DS8 Assist and advise IT customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations Criteria Effectiveness Efficiency Confidenciality Integrity Availability Compliance Reliability Bild 7 CobiT Framework mit den Prozessen der Domänen [ITGo00b] Gemäß einem Wasserfallmodell, das die Verbindung zwischen den Geschäftzielen und der IT herstellt, legt CobiT für jeden Prozess generisch fest: ein Hauptkontrollziel (high-level control objective) detaillierte Kontrollziele (zwischen 3 und 30) Kontrollpraktiken (control practices, 5 bis 7 je Kontrollziel ) Bild 8 CobiT Wasserfallmodell [ITGo00b] Business Objectives MONITOR AND EVALUATE Kontrolle über den IT Prozess IT RESOURCES Data Application systems Technology Facilities People DELIVER AND SUPPORT PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality ACQUIRE AND IMPLEMENT PLAN AND ORGANISE AI1 Identify automated solutions AI2 Acquire and mantain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures AI5 Install and accredit systems AI6 Manage changes zur Erfüllung der Geschäftsanforderungen wird ermöglicht durch und berücksichtigt Kontrollanweisungen Kontroll- Praktiken

25 In der Frameworks Dokumentation werden nur die Hauptkontrollziele in generischer Form, d.h. auf hohem Niveau und technologieunabhängig besprochen. Die detaillierten Kontrollziele werden im Band Control Objectives beschrieben. Im Folgenden sind die 34 Prozesse aufgelistet. PO Planning and Organisation Planung und Organisation PO1 Define a strategic IT plan Definition eines strategischen IT-Plans PO2 Define the information architecture Definition der Informationsarchitektur PO3 Determine the technological direction Bestimmung der technologischen Richtung PO4 Define the IT organisation and Definition der IT-Organisation und ihrer relationships Beziehungen PO5 Manage the IT investment Verwaltung der IT-Investitionen PO6 Communicate management aims and direction Kommunikation von Unternehmenszielen und -richtungen PO7 Manage human resources Personalwesen PO8 Ensure compliance with external Sicherstellung der Einhaltung von externen requirements Anforderungen PO9 Assess risks Risikobeurteilung PO10 Manage projects Projektmanagement PO11 Manage quality Qualitätsmanagement AI Acquisition and Implementation Beschaffung und Einführung AI1 Identify automated solutions Identifikation von automatisierten Lösungen AI2 Acquire and maintain application Beschaffung und Unterhalt von software Anwendungssoftware AI3 Acquire and maintain technology infrastructure Beschaffung und Unterhalt der technischen Architektur AI4 Develop and maintain IT procedures Entwicklung und Unterhalt von IT- Verfahren AI5 Install and accredit systems Installation und Akkreditierung von Systemen AI6 Manage changes Änderungswesen DS Delivery and Support Auslieferung und Unterstützung DS1 Define and manage service levels Definition und Management von Dienstleistungsgraden (SLA) DS2 Manage third-party services Management der Leistungen von Drittfirmen DS3 Manage performance and capacity Leistungs- und Kapazitätsmanagement DS4 Ensure continuous service Sicherstellung der kontinuierlichen Dienstleistunsbereitschaft DS5 Ensure systems security Sicherstellung der Systemsicherheit DS6 Identify and allocate costs Identifizierung und Zuordnung von Kosten DS7 Educate and train users Aus- und Weiterbildung der Benutzer DS8 Assist and advise customers Unterstützung und eratung von Kunden DS9 Manage the configuration Konfigurationsmanagement

26 DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations Umgang mit Problemen und Vorfällen Verwaltung der Daten Verwaltung von Einrichtungen Management des Operatings M Monitoring Überwachung M1 Monitor the process Überwachung der Prozesse M2 Assess internal control adequacy Beurteilung der Angemessenheit der internen Kontrollen M3 Obtain independent assurance Erlangen einer unabhängigen Bestätigung M4 Provide for independent audit Für eine unabhängige Revision sorgen Tabelle 2 Die 34 CobiT Prozesse in den 4 Domänen Control Objectives Der umfangreiche Band Control Objectives erweitert das Framework um die Beschreibung aller detaillierten Kontrollziele je Prozess. In Summe werden 318 Kontrollziele in generische Form beschrieben. Beispielhaft seien hier die Kontrollziele für den Prozess PO4 aufgelistet: PO 4 Definition der IT-Organisation und ihrer Beziehungen 4.1 Der IT-Planungs- und Lenkzngsausschuss 4.2 Organisatorische Einordnung der Informatik 4.3 Prüfung der organisatorischen Ausgestaltung 4.4 Rollen und Verantwortlichkeiten 4.5 Verantwortung der Qualitätssicherung 4.6 Verantwortung für logische und physische Sicherheit 4.7 Eigentümerprinzip und treuhänderische Tätigkeit 4.8 Eigentümerprinzip für Daten und Systeme Control Practices Dieser Band ist nicht Bestandteil des 6-teiligen Standard Sets, kann aber getrennt erworben werden. Er erweitert den Band Control Objectives um die Kontrollpraktiken (control practices) je Kontrollziel. Dies sind genauere Anweisungen auf einem tiefer liegenden Praxisniveau, durch welche Tätigkeiten die Erreichung des Kontrollziels abgesichert werden kann. Die Beschreibung ist jedoch noch immer Technologie-unabhängig Management Guidelines Die Management Guidelines richten sich an das Management auf oberster und mittlerer Ebene. Ausgehend vom CobiT Framework und seinen Kontrollzielen wurden die Management Guidelines vom IT Governance Institut in Zusammenarbeit mit weltweiten Experten und Analysten speziell für die Aufgabenstellungen des Managements entwickelt. In Weiterführung der Ansätze aus dem Executive Summary bieten sie genau die Werkzeuge für IT-Govenance, mit denen kontrolliert und gemessen werden kann, ob und wie die interne IT die geforderten Ziele erfüllt und damit ihren Beitrag zur Erreichung der globalen Ziele der Organisation liefert

27 Es wurden vier Komponenten entwickelt: Ein Reifegradmodell für strategische Entscheidungen und Benchmark Vergleiche, in Anlehnung an das CMM Modell für Softwareentwicklung Kritische Erfolgsfaktoren (Critical Success Factors, CSFs) um die IT-Prozesse unter Kontrolle zu bringen Zielerreichungsindikatoren (Key Goal Indicators, KGIs), um die Erreichung der Ziele für die IT-Prozesse zu messen Leistungsindikatoren (Key Performance Indicators, KPIs), um die Performance innerhalb jedes Prozesses zu messen. In den Komponenten wird u.a. auf den Prinzipien des Balanced Business Scorecard Modells von Kaplan/Norton aufgesetzt. Reifegradmodelle Es wird ein generisches 5-stufiges Reifegradmodell vorgestellt, mit dem jede Organisation die aktuelle Reife ihrer Entwicklung feststellen kann. 0 Non existent Überhaupt keine Management-Prozesse vorhanden 1 Initial Prozesse sind ad hoc und unorganisiert 2 Repeatable Prozesse folgen einem nicht formal definierten Muster 3 Defined Prozesse sind standardisiert, dokumentiert und kommuniziert 4 Managed Prozesse werden überwacht und gemessen 5 Optimised Prozesse nach Best Practices werden befolgt und sind automatisiert Kritische Erfolgsfaktoren definieren die wichtigsten Probleme und Aktionen für das Management um Kontrolle über oder innerhalb eines IT-Prozesses zu erreichen. Sie sind: die wichtigsten Dinge, die zu tun sind um die Erfolgswahrscheinlichkeit des Prozesses zu erhöhen beobachtbar, meist messbar, und Leistungsmerkmale der Organisation und des Prozesses fokussiert auf das Erreichen, Behalten und Unterstützen von Fähigkeiten, Kenntnissen und Verhalten Beispiele sind: Der strategische IT-Plan Die generellen Richtlinien, die eingehalten werden sollen Generalbebauungsplan für die IT-Systeme Der Sicherheitsplan Zielerreichungsindikatoren definieren Maßzahlen, die dem Management im Nachhinein angeben, ob ein IT-Prozess seinen Anforderungen gerecht wurde, üblicherweise in Form folgender Informationskriterien: Verfügbarkeit der Informationen, die für die Unterstützung der Geschäftsziele benötigt werden Kein Risiko bezüglich Datensicherheit und Datenintegrität Kosteneffizienz der Prozesse und Operationen Bestätigung von Zuverlässigkeit, Effektivität und Übereinstimmung mit den Anforderungen Sie sind auf die Geschäftsanforderungen fokussiert und bieten üblicherweise Maßzahlen, die für die Finanz- und Kunden-bezogenen Dimensionen des Balanced Business Scorecard benötigt werden. Beispiele sind: Erhöhter Service Level Grad

28 Anzahl der unterstützten Kunden und Kosten pro Kunde Verfügbarkeit der Systeme und Services Produktivität und Moral des Personals Verbesserte Produktivität Leistungsindikatoren definieren Maßzahlen, um zu bestimmen, wie gut der IT-Prozess das vorgegebene Ziel erreicht. Dies sind die wesentliche Indikatoren dafür, ob ein Ziel wahrscheinlich erreicht wird oder nicht und sind gute Indikatoren für Fähigkeiten, Verfahren und Kompetenzen. Im Gegensatz zu den Zielerreichungsindikatoren sind die Key Performance Indikatoren auf die Ressourcen und die IT Prozesse fokussiert und drücken die Qualität des Ressourcenmanagements und der Prozessperformance aus, dies immer mit dem Ziel, die Prozesse und deren Performance zu verbessern. Beispiele für derartige Indikatoren sind: Verfügbarkeit der Anwendungen Antwortzeiten Anzahl des geschulten Personals Anzahl unbesetzter Stellen Die Management Guidelines beschreiben die Kriterien für die Reifegradbestimmung, die kritischen Erfolgsfaktoren und die Zielerreichungs- und Leistungsindikatoren für mehrere Ebenen: Für einen generellen generischen IT-Prozess Für den Prozess der gesamten IT-Governance Für jeden der 34 individuellen Prozesse aus dem Framework Damit sind dem Management aussagekräftige und detaillierte Hilfsmittel in die Hand gegeben, um IT-Governance sowohl auf Ebene der Geschäftsleitung als auch auf operativer Prozessebene durchzuführen und zu managen Audit Guidelines Dieser Band wendet sich speziell an Auditoren, Prüfer, Revisoren. Er sollte in Abstimmung mit dem Band Control Objectives eingesetzt werden. Er hat nicht den Anspruch, alles für jeden zu bieten, im Echteinsatz sind jeweils Adaptionen vorzunehmen. Ziele des Auditings sind: Sicherheit für das Management zu bieten, dass alle Kontrollziele erreicht werden Feststellung des Risikos, wo signifikante Kontrollschwächen sind Hinweise für das Management, welche Korrekturmaßnahmen zu erfolgen haben Ein Prüfprozess erfolgt nach folgendem Schema: 1. Feststellung und Dokumentation der zu überprüfenden Aktivitäten und deren Prüfprozedur 2. Evaluierung der Prüfmethoden 3. Test auf Übereinstimmung (compliance) 4. Prüfung auf Risiko der Nichterfüllung (substantive testing) Die Audit Guidelines enthalten einen generischen Guideline und 34 Prozess orientierte Guidelines. Der generische Guideline beschreibt verschiedene, für jedes Kontrollziel durchzuführende Prüfungen, während die Prozess-orientierten Anleitungen für jedes Kontrollziel individuelle Hinweise gegeben, was konkret überprüft werden soll und wie der

29 Test erfolgen kann. Die Audit Guidelines ermöglichen dem Prüfer, alle IT-Prozesse gegen die empfohlenen CobiT Control Objektives zu prüfen. Auch bei der Überprüfung jedes einzelnen Kontrollziels ist nach den oben angegebenen Schritten vorzugehen. Die Audit Guidelines stehen nicht nur in direktem Zusammenhang mit den Kontrollzielen (control objectives), sondern berücksichtigen auch die Indikatoren der Management Guidelines, wie die folgende Abbildung zeigt. Business requirements information IT Processes made ef f ect ive and ef f icient wit h measur ed by cont r olled by audit ed by t r anslat ed int o Control Objectives f or per f or mance f or out come f or mat ur it y Critical Success Factors Audit Guidelines implement ed wit h Control Practices Key Performance Indicators Key Goal Indicators Maturity Models = takes into consideration Bild 9 Zusammenspiel der Audit Guidelines mit allen anderen CobiT Elementen [ISAC04] Implementation Toolset Dieser Band enthält Anleitungen für eine Einführung von CobiT, wie einen Aktionsplan, Hinweise zur Risikofeststellung und Audit-Planung. Erster Schritt ist immer die Feststellung des Ist-Zustandes. Im Band sind enthalten: ein Überblick für das Management eine Reihe von Fallstudien zum Einführungsprozess mit lessons learned von Firmen, die erfolgreich eingeführt haben 25 Antworten zu häufig gestellten Fragen zu CobiT (FAQs) ein Einführungsleitfaden mit Fragebögen zu Diagnose der aktuellen Standes des Management Bewusstseins (awareness) und der aktuellen IT Kontrolle

30 3.3 Zusatzinformationen Verbreitung und Fallstudien CobiT hat inzwischen bereits einen beachtlichen Bekanntheitsgrad erreicht. Viele Vorträge und Seminare tragen auch dazu bei. In Deutschland kennt nach einer neueren Befragung ein Drittel der IT-Verantwortlichen den Begriff CobiT, damit befasst hat sich ein Viertel. Werte über Einsatzzahlen liegen nicht vor. Die beste Studie über die weltweite Verbreitung ist diejenige von der ITGI, nämlich der IT Governance Global Status Report [ITGo04d]. In dieser wird berichtet, dass 18% der Befragten CobiT bekannt war, 30% davon setzen CobiT ein, d.h. nur 5% aller Unternehmen setzen CobiT ein. Allerdings ist der Zufriedenheitsgrad mit 73-91% sehr hoch. Auf der Homepage der ISACA werden 33 Fallstudien über den Einsatz von CobiT bei bekannten Unternehmungen angeführt und weiters immer neuen Einsatzfälle publiziert. Nach einem Artikel in TechRepublic [Olts03] verwendet z.b. der Staat Kansas CobiT als Teil seiner virtual government Strategie und Dell Computer hat CobiT als Teil seiner Control Self Assessment (CSA) corporate policy übernommen Dokumentationen und Ausbildung Die CobiT Dokumentationen können kostenlos von der ISACA Homepage herunter geladen werden, außer den Audit Guidelines, die nur für ISACA Miglieder erhältlich sind. Natürlich können alle Bücher auch über den ISACA Bookstore gekauft werden. Für ISACA Mitglieder bietet CobiT Online die komplette Dokumentation und auch noch eine Reihe weiterer hilfreicher Dokumentationen und Dienste. CobiT ist nur in englischer Sprache verfügbar. ISACA Schweiz hat einige Teile (inoffiziell) auf Deutsch übersetzt und verwendet dies für Schulungszwecke. Die ISACA veranstaltet auch für Ausbildungszwecke - viele Konferenzen, auf denen aktuelle Themen behandelt werden. Ausbildungen in CobiT werden von den jeweiligen ISACA Landesstellen (ISACA.CH, ISACA.DE) auch in Zusammenarbeit mit Trainingsinstituten durchgeführt Weiterentwicklung und Trends Derzeit ist die CobiT Release 3 aktuell. Über CobiT Online (Gebühr) ist bereits eine geringfügig erweiterte Release 3.2 verfügbar. CobiT wird sicher weiterentwickelt werden, da die Verbreitung sichtlich zunimmt. Offizielle Aussagen dazu gibt es keine. 3.4 Zusammenfassende Bewertung CobiT ist sicherlich bezüglich der Breite das umfassendste Rahmenwerk und Referenzmodell für die Einführung von IT-Governance in allen Bereichen einer Unternehmung. Die definierten IT-Prozesse und ihre Kontrollziele können als Best Practice in diesem Bereich angesehen werden. Die Tiefe ist obwohl keine technischen Details angegeben werden, als relativ groß anzusehen, da aus den Kontrollzielen die notwendigen Maßnahmen leicht abzuleiten sind. Allerdings ist die CobiT Dokumentation generisch, d.h. es wird auf keine speziellen Technologien eingegangen. Sie kann aber problemlos unterschiedlichen Ausgangslagen angepasst werden. Um die Problematik des ersten Einsatzes zu mildern stehen viele Consulting-Firmen auch gerne hilfreich zur Seite. Es kann auch mit der Implementierung von Teilen begonnen werden und das CobiT Rahmenwerk dann als Leitfaden und Checkliste auf dem langen Weg zur perfekten IT-Governance verwendet werden

31 Als Ergebnis der Literaturrecherche wurden einige akademische Artikel mit Bewertungen von CobiT gefunden: Im Aufsatz von Lainhart [Lain00] wird nur der Inhalt von CobiT vorgestellt, Hawkins et al. [HaAK03] empfehlen den Einsatz von CobiT für Behörden mit hohen Sicherheitsanforderungen, wie The Critical Infrastructure Assurance Office (CIAO). Auf Grund der Qualität von CobiT sind kaum kritische Stimmen zu finden. Lediglich Mayer et al. merken an [MeZK03], dass bei der Prozessbetrachtung weder Input-/Output-Betrachtungen vorgenommen werden, noch konkrete Managementinstrumente aufgeführt sind, so dass eine genaue Betrachtung der Prozessbeziehungen nicht möglich ist und Ansätze zur Umsetzung der Aktivitäten innerhalb der einzelnen Prozesse unklar bleiben. Hochstein und Hunziker bewerten CobiT in [HoHu03] folgend: Das CobiT-Framework zeichnet sich durch eine hohe Konsistenz bezüglich der Darstellung der einzelnen Prozesse aus. Zieldefinitionen, Erfolgsfaktoren, Effizienz- und Effektivitätskriterien sind im Rahmen einer End-to-End-Betrachtung für jeden Prozess angegeben. Der Detaillierungsgrad bewegt sich bei der Prozessbetrachtung auf einem konstant hohen Niveau. Leider fehlen sowohl ein I/O- Schema als auch Managementinstrumente, so dass eine genaue Betrachtung der Prozessbeziehungen nicht möglich ist und innerhalb der einzelnen Prozesse unklar ist, wie die Aktivitäten umzusetzen sind. Auch die Verantwortlichkeiten und Zuständigkeiten bleiben weitestgehend unklar, da eine Rollendefinition nur ansatzweise vorhanden ist. Für die praktische Umsetzung des CobiT-Frameworks ist neben einem eigenen»implementation-toolset«ein Reifemodell vorhanden, welches Organisationen erlaubt, jeden Prozess einem Reifegrad zuzuordnen und geeignete Maßnahmen zur Erreichung eines höheren Reifegrads zu identifizieren. Trotz des hohen Detaillierungsgrades bleibt CobiT ein generisches Framework, so dass es problemlos unterschiedlichen Ausgangslagen angepasst werden kann. CobiT integriert insgesamt 41 nationale und internationale Standards aus den Bereichen Kontrolle, Sicherheit, Qualitätssicherung und IT. Trotzdem kann CobiT nicht alles abdecken, was viele andere Standards enthalten, vor allem nicht in deren Tiefe. So vergleicht von Solms [Solm05] CobiT mit ISO und kommt zum Schluss, dass sich diese beiden Standards als Frameworks für Information Security Governance gegenseitig ergänzen und optimalerweise gleichzeitig berücksichtigt werden sollten. Eine vom ITGI und der ISACA publizierte Studie mit dem Namen CobiT Mapping [ITGo04a] vergleicht CobiT relativ grob mit einer Anzahl anderer internationaler Standards: ITIL Die IT Infrastructure Library ist eine Sammlung von Best Practices für IT-Service- Management. ISO/IEC 17799:2000 Der Code of Practice for Information Security Management ist ein internationaler Standard, basierend auf BS Er wird als Best Practice für die Implementierung von Informationssicherheits-Management erachtet. ISO/IEC TR Der technische Bericht Guidelines for the Management of IT Security enthält Informationen über IT Sicherheits-Management sowohl aus der Planungs- als auch aus der Implementierungs- und Maintenance-Perspektive. ISO/IEC Security Techniques Evaluation Criteria for IT Security wird als Referenz für die Bewertung und Zertifizierung von IT-Produkten und Services verwendet. TickIT TickIT liefert ein Schema für die Zertifizierung des Software Qualitäts- Managementsystems. NIST Die spezielle Publikation Generally Accepted Principles and Practices for Securing Information Technology Systems enthält Informationen, um ein umfassendes IT Sicherheitsprogramm zu etablieren. COSO Integrated Framework definiert ein Framework, das einen integrierten Prozess der internen Kontrolle initiiert

32 Die Breite (Umfang) und die Tiefe (Detaillierung) der analysierten Standards stellen sich in einer Übersicht wie folgt dar: Bild 10 Umfang und Detaillierung der untersuchten Standards [ITGo04a] Wie erwartet, ist CobiT der breiteste Standard. Die sehr technisch orientierten Standards ITSEC und die Common Criteria, das IT-Grundschutzhandbuch und ITIL sind inhaltlich nicht derart umfassend, oder wie oben bezeichnen breit. Die Zertifizierungsstandards WebTrust und SysTrust sind breit, jedoch nicht detailliert, die Standards der Informationssicherheit liegen in beiden Kriterien im Mittelfeld. Der Information Risk Management Experte Markus Gaulke von KPMG Deutschland bewertet CobiT folgendermaßen [Gaul05]: Der intensive Einsatz von IT zur Unterstützung und Abwicklung geschäftsrelevanter Abläufe macht die Etablierung eines geeigneten Kontrollumfelds erforderlich. CobiT wurde als Methode entwickelt, um die Vollständigkeit und die Effektivität eines solchen Kontrollumfelds zur Begrenzung der entstehenden Risiken implementieren und prüfen zu können. CobiT ist auf die Sicherheitsbelange eines typischen Unternehmens ausgerichtet. Die Wahrung originärer Firmeninteressen (Integrität und Vertraulichkeit interner Informationen und Prozesse), wie die Einhaltung gesetzlicher Vorschriften (Datenschutz, Rechnungslegung) werden berücksichtigt. CobiT eignet sich insbesondere für international tätige Unternehmen, da CobiT fast alle international anerkannten Standards und Empfehlungen berücksichtigt, auf Englisch verfügbar ist und permanent weiterentwickelt wird. Eine kleine Auswahl der berücksichtigten Normen: Technische Standards aus ISO, EDIFACT, usw. Geschäftspraktiken, herausgegeben durch die EU, OECD, ISACA, usw. Qualifizierungskriterien, wie ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, usw. Berufsstandards für interne Kontrolle und Revision: COSO Report (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework), IFAC, AICPA, IIA MC und SAC (Institute of Internal Accountants Model Curriculum und Systems Auditability and Controls), ISACA, PCIE, GAO (Government Auditing Standards), usw. Anforderungen von Industrieforen (ESF, I4) und Behörden (IBAG, NIST, DTI), usw. Neue industrie-spezifische Anforderungen aus den Umfeld Banken, Electronic Commerce und IT- Herstellern. Auch der Implementierungsaufwand ist überschaubar: Experten gehen davon aus, dass eine vollständige Analyse aller Kontrollziele innerhalb eines mittelständischen Unternehmens rund einen Arbeitsmonat dauert

33 4 ITIL (IT Infrastructure Library) 4.1 Einführung ITIL (IT Infrastructure Library) ist ein herstellerunabhängiges Regelwerk der zentralen Informatik-Beratungsstelle der britischen Regierung (Central Computer & Telecommunications Agency) und wurde in den späten 80-er Jahren im Auftrag der britischen Regierung als Antwort auf die wachsende informationstechnologische Abhängigkeit entwickelt. Seit 2000 erfolgt die Herausgabe der Buchreihe durch das OGC (UK Office of Government Commerce). OCG Statement: The ethos behind the development of ITIL is the recognition that organisations are becoming increasingly dependent on IT in order to satisfy their corporate aims and meet their business needs. This leads to an increased requirement for high quality IT services. ( Das ITIL-Framework ist in Form einer themenspezifisch unterteilten Bücherreihe erhältlich, in der die ineinander greifenden Prozesse für das IT-Service-Management (Service- Support und Service-Bereitstellung) definiert werden. In diesen Büchern beschreibt ITIL nicht nur die reine Lehre, sondern auch ein systematisches, professionelles Vorgehen für das Management der IT und ihrer Dienstleistungen1. Die Bücher enthalten außerdem Richtlinien zu anderen Themenbereichen, wie Sicherheits- und Business Management von IT Zielgruppe ITIL richtet sich an alle Personen und Organisationen, die sich mit IT-Service-Management befassen, d.h. IT-Service Provider, CIOs, IT-Management und IT Personal, wie Softwareentwickler, Wartungsverantwortliche oder Testspezialisten. Die Informationen sind jedoch auch von Interesse für Business Manager, interne Dienstleister, externe Lieferanten, Kunden und Endbenutzer, die in engem Kontakt mit ihrem Service Provider stehen und jede Organisation, die IT-Services benötigt Verantwortliche Institution ITIL wird von der OGC (Office of Government Commerce) entwickelt. Das Office of Government Commerce (OGC) ist eine Stabsstelle der Regierung von Großbritannien und berichtet an den Chief Secretary des Treasury. Es ist für umfassende Programme mit dem Ziel der Verbesserung der Effizienz und Effektivität der Beschaffung von zentralen staatlichen Stellen verantwortlich. Für die Unterstützung der Anwender und Mitarbeit bei der Weiterentwicklung gibt es die ITIL User Group IT Service Management Forum itsmf mit der Zentralstelle in UK und nationalen Arbeitsgruppen weltweit (auch in Österreich Diese unabhängige nonprofit Organisation hat sich die Weiterentwicklung und Promotion von Best Practices für Service Management für die Industrie als Ziel gesetzt. Mitglieder sind Organisationen und Einzelpersonen aus dem privaten und öffentlichem Bereich (wie z.b. Sainsburys, Bass, First Direct, Orange and Hewlett Packard). Hauptaktivitäten der itsmf sind: Weiterentwicklung von Best Practices IT-Service- Management Standards, Organisation von Konferenzen und Arbeitsgruppen zum Thema ITIL und IT-Service-Management, Herausgabe von Publikationen (u.a. zum Thema ITIL), Mitarbeit an Standards in enger Zusammenarbeit mit dem Office of Government Commerce (OGC), der British Standards Institution (BSI) und verschiedenen Prüfungsinstitutionen (ISEB, EXIN)

34 4.1.3 Überblick und Struktur Das Best-Practices-Framework ITIL besteht seit dem Jahr 2002 aus sieben Hauptbereichen (sets), mit über 20 Einzelprozessen, die fast alle Aspekte eines heutigen IT-gestützten Geschäftsalltages umfassen und den Rahmen vorgeben, wie ein optimaler IT-Service innerhalb einer Firma aussehen und wie dieser implementiert werden könnte. ITIL baut eine Brücke zwischen den geschäftlichen Anforderungen einer Firma hin zu der IT- Technologie. Im Einzelnen werden, wie in Abbildung 11 gezeigt, die folgenden Hauptbereiche definiert, denen auch je ein Band (Buch) aus der Dokumentationsreihe ([Offi00a]-[Offi03]) zugeordnet ist: Business Perspective (Die geschäftliche Perspektive) Service Delivery (Planung und Lieferung von IT-Service) Service Support (Unterstützung und Betrieb des IT-Services) Security Management (Sicherheitsmanagement) ICT Infrastructure Management (Management der Infrastruktur) Application Management (Management der Anwendungen) Planning to Implement Service Management (Planung der Service Management Einführung) In den Büchern werden nicht nur die Teilaufgaben aus den einzelnen Bereichen detailliert behandelt, sondern auch die Querbezüge zwischen den Bereichen. T h e B u s i n e s s The Business Perspective Planning to Implement Service Management Service Management Service Delivery Service Support Security Management Applications Management ICT Infrastructure Management T h e T e c h n o l o g y Bild 11 Framework der ITIL Dokumentationen [Offi03] Die Inhalte dieser Bände werden im folgenden Kapitel 4.2 kurz beschrieben ([Köhl05; Szak04; Offi00a - Offi03]). Die wichtigsten Bände der Buchreihe sind Service Support und Service Delivery, in denen die wesentlichen ITIL-Kernprozesse behandelt werden. Daher werden diese in Kap. 4.3 speziell und ausführlicher besprochen

35 4.2 Komponenten Business Perspective Dieser Band behandelt die Sicht der Geschäftsleitung auf das IT-Service-Management. So werden z.b. die Beziehung zwischen der IT-Organisation einer Firma und ihren externen IT- Zulieferern, bzw. Facility-Management Unternehmen vom Managementstandpunkt aus betrachtet. Auch Outsourcing von IT-Leistungen und Business Continuity Management fällt in diesen Hauptbereich. Alle ITIL-Bereiche dienen der Sicherstellung von qualifizierten und kosteneffektiven IT-Dienstleistungen, welche die Geschäftsprozesse eines Unternehmens wirkungsvoll unterstützen Planning to Implement Service Management Der Hauptbereich Planning to Implement Service Management befasst sich mit der Planung, Einführung und fortlaufenden Verbesserung der ITIL-Prozesse. Dabei muss der Ist- Zustand erfasst und ein Ziel-Zustand definiert werden. Um eine kontinuierliche Verbesserung der ITIL-Prozesse durchführen zu können, ist eine laufende Analyse und Überprüfung der Ergebnisse notwendig Applications Management Das Modul Applications Management befasst sich mit dem Planen, Entwickeln, Testen, Implementieren und Außerbetriebnehmen von in einem Unternehmen eingesetzten Applikationsprogrammen. Über den gesamten Lebenszyklus einer Applikation wird versucht, ein für das Unternehmen sinnvolles Management dieser geschäftsprozessabbildenden Programme durchzuführen. Definierte Standards zu Abnahme, Veränderung und Test runden das Tätigkeitsprofil des Applications Management ab. Von der Evaluation der Bedürfnisse bis zum Applikationslebenslauf werden die Best Practices vorgestellt. Querbezüge zu Service Delivery, Service Support und ICT Infrastructure Management werden aufgezeigt ICT Infrastructure Management Im Modul ICT Infrastructure Management werden alle Aspekte abgehandelt, die sich mit der IT-Infrastruktur und deren Überwachung befassen. Typischerweise sind alle Rechenzentrumsaktivitäten hier wieder zu finden. Auch die kontrollierte Integration neuer IT-Verfahren bzw. IT-Infrastrukturen in ein Unternehmen und das Management von dezentral eingesetzten IT- Verfahren gehört zum ICT Infrastructure Management. ICT Infrastructure Management beschreibt die wichtigsten Prozesse, in welche das IT- Management involviert ist: Entwicklungs- und Planprozesse ( Design and Planing Processes ) Verteilungsprozesse ( Deployment Processes ) Betriebsprozesse ( Operations Processes ) Technische Unterstützungsprozesse ( Technical Support Processes ) Security Management Das Security Management gehört nicht zu den Kernkompetenzen von ITIL, ist aber wegen seiner zentralen Bedeutung für die IT mit den IT-Prozessen (insbesondere Availability Management) eng verknüpft. Das Security Management befasst sich mit Datenschutz und Datensicherheit (Verhindern von Datenverlust, Datendiebstahl und Datenverfälschung, Sicherstellen der Vertraulichkeit, Integrität und Verfügbarkeit firmeninterner Daten). Es umfasst sowohl organisatorische wie auch technische Elemente, ist jedoch dem taktischen,

36 strategischen Teil des IT-Geschäfts einer Firma zuzuordnen. Wichtige Aufgaben sind die Definition einer Firmen-Security-Policy und die Aufstellung eines Security-Plans, in dem alle Maßnahmen definiert sind, die die Datensicherheit einer Firma sicherstellen sollen. Mittels Audits muss die Einhaltung eingeführten Sicherheitsmaßnahmen überprüft werden. Angriffe von außen (z.b. durch Viren, Hackerversuche) müssen analysiert und klassifiziert und durch geeignete Maßnahmen minimiert werden. Auch die Einhaltung gesetzlicher Rahmenbedingungen bei den firmenspezifischen Geschäftsprozessen ist zu überprüfen Service Management Das ITIL Basis Framework zum Service Management besteht aus 10 ITIL Kernprozessen, die in den Büchern Service Support und Service Delivery umfassend beschrieben sind. Dabei unterstützen die Service Support Prozesse das tägliche operative Handeln, während die Service Delivery Prozesse das taktische Vorgehen und die Planung unterstützen. Die Bücher enthalten neben der detaillierten Beschreibung von Zielsetzungen und Nutzen der einzelnen Prozesse auch Darstellungen der zwischen den Prozessen bestehenden Beziehungen und Implementierungshinweise. Aber auch auf Schwierigkeiten, die bei der Umsetzung entstehen können, wird hingewiesen. Diese Prozessbeschreibungen bieten damit einen geeigneten Rahmen für individuelles IT-Service-Management. 4.3 Service Management im Detail IT-Service-Management bedeutet, die Qualität und Quantität der IT-Services zielgerichtet, geschäftsprozessorientiert, benutzerfreundlich und kostenoptimiert zu überwachen, zu steuern und letztendlich zu gewährleisten. Dazu werden die Leistungen zwischen Servicenehmer und Servicegeber durch Service Level Agreements vereinbart. Das ITIL Service Management wird in die Hauptbereiche Service Support und Service Delivery unterteilt, die ihrerseits wieder aus einer Reihe von Einzeldisziplinen bestehen. Innerhalb des Service Support Bereiches werden die Service-Prozesse behandelt, die den direkten Nutzersupport und die Betriebsunterstützung betreffen und das tägliche Geschäft abhandeln. Hiezu gehört die Bearbeitung der vom Nutzer gemeldeten Störungen, sowie das Upgrade von Applikationssoftware und Betriebssystemkomponenten, möglichst ohne Unterbrechung des normalen Arbeitsablaufes. Dieses ist nur gewährleistet, wenn Änderungen getestet sind und auch auf gesicherte Softwareversionen zurückgegriffen werden kann. Der Bereich Service Delivery handelt die Service-Prozesse ab, die planend oder steuernd auf die notwendige IT-Dienstleistung oder IT-Infrastruktur eingreifen. Hierzu gehören auch die ordnungsgemäße Zuordnung von Kosten zu den Kostenverursachern sowie eine optimale Auslastung und Qualität der genutzten DV-Verfahren bzw. deren zugrunde liegenden IT- Ressourcen. Die Service DeliveryProzesse handeln grundlegende Absprachen mit den Nutzern der DV-Verfahren, wie z.b. Erreichbarkeit von Supportpersonal (definiert in Service Level Agreements) und ergreifen vorbeugende bzw. taktische Maßnahmen für Ausnahmesituationen, wie z.b. softwarebasierte Virenattacken oder Erdbeben. IT Service Support Service Desk Incident Management Problem Management Change Management Configuration Management Release Management IT Service Delivery Service Level Management Financial Management Capacity Management Availability Management Continuity Management Tabelle 3 Subprozesse in Service Support und Service Delivery

37 4.3.1 Service Support Der Service Support soll nach ITIL-Philosophie für die Nutzer eines DV-Verfahrens von einer zentralen Stelle angeboten werden. Dies wird durch den Customer Help Desk realisiert, wo Anfragen, Störungen und Wünsche der Nutzer entgegengenommen und bearbeitet werden. Der Nutzersupport erfolgt durch den Service-Prozess Incident-Management (reaktiv) und durch den Problemmanagement-Prozess (proaktiv). Alle Komponenten eines DV-Verfahrens werden durch das Configuration Managements erfasst und beschrieben, mittels Change und Release Management erfolgt der Softwareupdate. Die folgende Abbildung zeigt die einzelnen Service Support Prozesse und auch das Zusammenspiel zwischen diesen und der CMDB (Configuration Management Database). Bild 12 Überblick Service Support Prozesse [Offi03] Incident Management und Help Desk Dieser Kernprozess von ITIL hat den Zweck, einen ausgefallenen Service so schnell als möglich dem Anwender wieder zur Verfügung zu stellen. Die Beseitigung der Ursache ist hierbei zweitrangig. Bereits eine Störungsumgehung zählt als Beseitigung der Störung (incident). Um die Reaktionszeit zu verkürzen und die Kundenorientierung zu erhöhen, wird das Incident Management häufig über einen Service Desk gesteuert. Der Service Desk, auch Help Desk genannt, stellt die zentrale Schnittstelle für die Endbenutzer dar. Des Weiteren stellt das Incident Management der Geschäftsführung Managementinformationen zur Verfügung

38 Problem Management Das Incident Management wird vom Problem Management unterstützt, indem es bei schwerwiegenden oder häufig auftretenden Störungen die Ursachen analysiert. Auf diese Weise können Lösungen zur Störungs- und Ursachenbeseitigung entwickelt und zur Umsetzung an das Change Management weitergeleitet werden. Auch die Dokumentation der bekannten Fehler (z.b. in Form einer Lösungsdatenbank) gehört zu den Aufgaben dieses Prozesses, der damit wiederum die Effizienz des Service Desk steigern kann. Configuration Management Das Configuration Managements hat zum Ziel, die anderen ITIL-Prozesse durch die Bereitstellung eines möglichst detaillierten Modells der IT-Infrastruktur zu unterstützen. Daher werden alle servicerelevanten IT-Komponenten und die Beziehungen zueinander vom Configuration Management in der Configuration Management Data Base (CMDB) erfasst und beschrieben. Diese Informationen stellen die Grundlage für die Arbeit anderer ITIL- Serviceprozesse, wie das Incident-, das Change Management und. das Financial Management dar. Bei seiner Aufgabe muss das Configuration Management deutlich über das Asset Management hinausgehen, da nicht nur Vermögenswerte bilanztechnisch erfasst, sondern auch Daten wie Standort, Verknüpfung mit anderen Komponenten, Spezifikationen etc. erforderlich sind. Change Management Änderungen sind einer normaler Bestandteil von Geschäftsabläufen, da auf Veränderungen im geschäftlichen Umfeld reagiert werden muss. Solche Veränderungen reichen auch in das komplexe IT-System hinein. Mögliche Gründe für Änderungen sind: das Lösen von Problemen aus dem Störungs- und Problem Management Reaktionen auf Kundenbeschwerden Installation oder Upgrades von Systemkomponenten Änderungen in den Geschäftsvorfällen der Kunden Veränderte oder neue Gesetzgebungen Einführung neuer Produkte oder Dienstleistungen Notwendige Änderungen müssen durch das Change Management erfasst werden. Danach müssen die Änderungen genehmigt, geplant und umgesetzt werden. Zudem muss die Umsetzung überprüft werden. Dadurch soll der Änderungsprozess kontrolliert und die Auswirkungen auf den produktiven Betrieb minimiert werden. Release Management Um sicherzustellen, dass nur autorisierte, kompatible und möglichst einheitliche Softwareversionen im Produktionsbetrieb eingesetzt werden (analoges gilt für Hardware- Einführungen), muss die Installation und Wartung kontrolliert werden. Release Management testet und genehmigt Software (Hardware) sowohl als einzelne Anwendung (Komponente), als auch im Zusammenspiel mit allen anderen eingesetzten Softwareversionen (Hardware- Komponenten). Die Wahrscheinlichkeit einer Einführung fehlerhafter Software und Hardware wird durch diese Qualitätssicherung gesenkt. Durch das Release Management können sich Anwender und Servicemitarbeiter rechtzeitig auf Änderungen einstellen (z.b. durch Schulungen), so dass die Anzahl der Änderungen gering gehalten wird (z.b. durch Releasepakete). Durch die Zusammenarbeit mit dem Configuration Management kann überdies die Dokumentation zeitnah aktualisiert werden. Falsche Versionen, nicht genehmigte Kopien, illegale Software, Viren und unerlaubte Eingriffe können durch eine homogene Softwarelandschaft leichter erkannt werden

39 4.3.2 Service Delivery Service Delivery befasst sich mit der mittel- bis langfristigen Planung und Verbesserung der IT-Services (taktische Ebene). Gemeinsam haben alle Service Delivery Prozesse, dass sie periodisch anlaufen, das Ergebnis ihrer Arbeit in einem Plan zusammengefasst wird und ihnen die Überwachung des Planes obliegt. Das Service Level Management dokumentiert die Services, die der Service-Provider für den Kunden erbringt. Durch Service Level Agreements werden jeweils die Rechte und Pflichten für beide Seiten verbindlich definiert. Das Finance Management sorgt durch ein Kostenmodell für eine möglichst transparente Verteilung aller Kosten und fördert damit den effizienten Einsatz von Ressourcen. Das Capacity Management stellt sicher, dass die vorgehaltenen Kapazitäten den Anforderungen gerecht werden. Dazu müssen permanent die Anforderungen aus den Service Level Agreements und deren Veränderungen überwacht werden, um rechtzeitig auf Änderungen des Bedarfs reagieren zu können. Nach Unterbrechungen des Geschäftsbetriebs durch externe Einflüsse müssen die Services für die Kunden in einer definierten Zeit wieder verfügbar sein. Das Continuity Management umfasst alle Vorkehrungen, um auf Basis einer Risikoanalyse die adäquaten Maßnahmen zur Wiederherstellung der Services zu gewährleisten. Im Availability Management werden Verfügbarkeitsanforderungen an die Services definiert und eine möglichst kostengünstige Abdeckung der Anforderungen sichergestellt. Die folgende Abbildung zeigt die einzelnen Service Delivery Prozesse mit ihren Plänen und Reports sowie deren Zusammenspiel. Bild 13 Überblick Service Delivery Prozesse [Offi03]

40 Service Level Management Ein Service-Level (Dienstleistungsgrad) beschreibt eine Leistung einer IT-Abteilung oder eines IT-Dienstleisters. Die gesamte Beschreibung der zu erbringenden Services wird als Service Level Agreement (SLA) bezeichnet. Der Service Level Manager ist die Kontaktperson des Kunden auf Management Ebene. Die Aufgabe des Service Level Management ist die Anpassung des Services an die Wünsche und Anforderungen des Kunden durch Aushandeln der SLA s. Zum Service Level Management gehört auch die Überwachung der Dienstleistungsqualität und eine entsprechende Berichterstattung (Reporting), sowie das Absichern der Kundenverträge durch entsprechende Vereinbarungen mit internen und externen Dienstleistern. Continuity Management Eine Katastrophe ist ein Ereignis, gegen das man sich kaum schützen kann. So kann z.b. ein ganzes Rechenzentrum durch ein Erdbeben zerstört werden. Die Aufgabe der IT Service Continuity (ITSC) Planung besteht darin, basierend auf einer Risikoanalyse die schützenswerten IT-Vermögenswerte zu identifizieren, risikosenkende Maßnahmen zu ergreifen und einen ITSC-Plan zu erstellen, so dass bei Eintritt eines solchen Notfalls kontrolliert und ohne Zeitverzug gehandelt werden kann, um so die drohenden Folgeschäden zu minimieren. Bei einer Zerstörung eines Rechenzentrums kann ein ITSC-Plan zum Beispiel darin bestehen, unternehmenskritische Anwendungen in andere Rechenzentren zu verlagern. Die Notfallmaßnahmen müssen selbstverständlich dem Change Management unterstellt und regelmäßig erprobt werden. Availability Management Bestimmte Elemente der Serviceerbringung sind außerhalb der Kontrolle des Service Managements und trotzdem erwartet der Kunde, dass der Service unabhängig von den Umständen gemäss Servicevereinbarungen erbracht wird. Availability Management hat zum Ziel, die Service-Verfügbarkeit zu sichern, indem es die Anforderungen aus den SLAs in einen Plan zur Erhaltung der Service-Verfügbarkeit umsetzt. Dies wird erreicht, indem man mögliche Ausfälle auf Basis von Analysen vorausberechnet, deren Risiko bewertet und dann entsprechende Maßnahmen zur Sicherung der geforderten Verfügbarkeit ergreift. Beispiele sind Support-Verträge mit Lieferanten, die rechtzeitige Initiierung von Changes (z.b. Hauptspeichererweiterung) oder die Optimierung der IT-Infrastruktur und der Arbeitsabläufe. Capacity Management Das Capacity Management bewertet die Anforderungen an die IT-Infrastruktur bezüglich Durchlaufzeiten, Antwortzeiten und Transaktionsvolumen. Hieraus wird unter Einbeziehung der Ergebnisse eine optimale Lastverteilung auf die bestehenden Systeme ermittelt. Weiterhin wird über Prognosen der zukünftigen Geschäftsanforderungen die rechtzeitige Erweiterung der Systeme gesteuert. Durch die Vermeidung von Überkapazitäten kann das Capacity Management zu Kosteneinsparungen führen. Financial Management Dieser Prozess umfasst Budgetierung, Kostenzuweisung (Accounting) und Leistungsverrechnung. Die Kostenzuweisung dient in erster Linie der Feststellung und Zuweisung der Kosten, die durch die IT verursacht werden. Auf diese Weise wird die Grundlage zu einem betriebswirtschaftlich sinnvollen Einsatz der IT gelegt. Besondere Bedeutung hat dieser Aspekt durch die Betrachtung der Total Cost of Ownership (TCO) bekommen. Betriebswirtschaftlich sinnvoll heißt nicht nur, die Kosten zu betrachten, sondern auch diese dem Nutzen

41 gegenüberzustellen. Der Nutzen der Leistung wird in diesem Ansatz direkt vom Kunden bewertet. Ziel der Kosten- und Leistungsverrechnung ist es also, die tatsächlich entstandenen Kosten transparent aufzuzeigen und dem Kunden die erbrachte Leistung in Rechnung zu stellen. So kann die Effizienz des Einsatzes der IT-Infrastruktur direkt gemessen werden. 4.4 Zusatzinformationen Implementierung Bei der Implementierung von ITIL Prozessen hat sich das IPW-Modell (Implementation of Process-oriented Workflow) als sehr nützlich erwiesen. Es wird vielfach als de-facto Standard dazu angesehen, da auch die itsmf den Einsatz empfiehlt. Das IPW-Modell vermittelt eine Prozess-orientierte Sicht auf die Organisationen und bezieht Kunden Anwender und Lieferanten in die Gesamtabläufe mit ein. Neben ITIL ist auch CMM integriert, so werden maturity levels für jeden der ITIL Prozesse und auch für ganze IT-ServiceProvider Organisationen.definiert. Bild 14 IPW Modell (Implementation of Process-oriented Workflow) Trademark von Quint Wellington Redwood und KPN Telecom Verbreitung und Fallstudien Der Bekanntheitsgrad, die Verbreitung und Nutzung von ITIL ist bereits als sehr hoch zu bezeichnen. So wird ITIL bereits in allen deutschen Lehrbüchern über strategisches IT

42 Management oder Service-Level Management [BMLS03] nicht nur erwähnt, sondern bereits ausführlich behandelt [Kres05]. Es gibt inzwischen auch eine große Zahl von Fachbüchern, die sich nur ITIL [Köhl05], [Olbr04], [FrHo05] widmen. Auch die große Zahl von einschlägigen Artikeln in deutschen Fachzeitschriften ([HoHu03], [HoZB04a], [HoZB04b], [KeHP04], [BöKr04]) und auch in der Computerwoche und ähnlichen Zeitungen beweisen, dass ITIL kein Exote mehr ist, sondern etabliert. Nach neueren Befragungen [Comp04] ist zwei Dritteln der deutschen Unternehmungen ITIL bekannt, ein Drittel hat ITIL-Programme im Einsatz. Dabei kommt ITIL in größeren Unternehmungen mit mehr als 50 Mitarbeitern wesentlich häufiger zum Einsatz als in kleinen. Die am häufigsten eingesetzten ITIL-Prozesse sind Change Management, Security Management und Service Desk. In einer empirischen Studie [KeHP04] über den Bekanntheits- und Nutzungsgrad von ITIL bei deutschen Unternehmungen wird berichtet, dass von 118 antwortenden Teilnehmern einer internetbasierten Befragung 63% das ITIL-Referenzmodell kannten. Von diesen hatten 57% ihre IT-Abteilung bereits nach ITIL ausgerichtet und weitere 8% wollten es demnächst tun. Primär werden die kundennahen Supportprozesse Service Desk, Incident Management und Problem Management eingesetzt. Hauptziel der Einführung ist die Steigerung der Effizienz der IT-Prozesse. Die Mehrzahl der Implementierungen wird als Erfolg gewertet. Die Verbreitung von ITIL wird auch dadurch gefördert, dass viele Softwarehersteller die ITIL-Philosophie ihrer eigenen Software zur Unterstützung des IT-Service-Management zu Grunde legen. So hat Microsoft ITIL als Basis für ihr Microsoft Operations Framework MOF verwendt und weist ausdrücklich darauf hin. Die Referenzmodelle von HP (ITSM) und IBM (ITPM) orientieren sich ebenfalls an ITIL [HoHu03]. Auch andere bekannte Hersteller, wie z.b. Materna bezeichnen ihre Software als ITIL kompatibel. Eine umfangreiche Studie über Softwarewerkzeuge zum IT-Servicemanagement stammt von Lehner et al. [LeDL04]. In dieser wird eine Reihe von ITIL-Tools untersucht. Die bekanntesten Softwareprodukte sind Remedy, HP OpenView, Axios und CA Unicenter. Die Nutzung weltweit dürfte bereits beachtlich sein, speziell bei Großfirmen und Behörden. Namentlich erwähnt werden u.a. Microsoft, IBM, Barclays Bank, HSBC, Guinness, Procter & Gamble, NHS, IBM, Hewlett Packard, Shell Oil and British Airways. Forrester schreibt in einem Bericht von August 2004, dass 2005 das Jahr sein wird when ITIL goes mainstream [Free04]. Bei Ausschreibungen deutscher Großkonzerne wird heute sog. ITIL-Konformität gefordert. Es wird auch von hohen Kosteneinsparungen durch den Einsatz berichtet. So hat die Regierung von Ontario in Kanada ITIL für Benutzer eingesetzt und Kosteneinsparungen von 40% erzielt. Proctor & Gamble setzt ITIL seit 1997 ein und ersparte in vier Jahren 500 Millionen US$ bei einer Kostenreduktion von 15 bis 20%. Die Stadt Köln konnte durch das Zusammenspiel der ITIL-Bereiche die Kosten pro IT-Arbeitsplatz um 30% senken [HoZB04b] Dokumentationen und Ausbildung Die englischsprachige ITIL Dokumentation [Offi00a - Offi02b] in Form von 8 Büchern kann nicht vom Web kostenlos geladen werden, sondern muss gekauft werden (Papierform, CD oder Internet Lizenz), Bestellung ist möglich entweder über das Online bookshop oder über die itsmf User Group. Ausgaben in Deutsch und anderen Sprachen sind von der OCG für Mitte 2005 angekündigt. Von der itsmf gibt es auch eine deutsche Einführung [itsm04a] und einen pocket guide [itsm04b]

43 Derzeit bieten zwei Organisationen Examen auf der Grundlage von ITIL an. Diese sind: Information Systems Examination Board (ISEB), in englischer Sprache für UK, Irland und den British Commenwealth. EXIN, eine von der holländischen Wirtschaft geförderten Stiftung, in Holländisch, sowie in anderen Sprachen in verschiedenen Ländern Europas und in Übersee. Beides sind nicht-proprietäre und nicht-profitorientierte Organisationen. Diese organisieren die Examen, bieten aber selber keine entsprechenden Schulungen an. Sie arbeiten bei der Ausarbeitung der Prüfungen sehr eng zusammen. Trainingsorganisationen, die Schulungen als Examensvorbereitungen anbieten, müssen bei diesen Organisationen akkreditiert sein. Die angebotenen Zertifikate sind: Foundation Certificate in IT Service Management, Practitionerlevel Examinations and Certificates, Certificate in IT Infrastructure Management. Die Prüfungen werden regelmäßig und in mehreren Ländern und Sprachen rund um den Erdball durchgeführt. Zahlreiche Unternehmen bieten ITIL-basiertes Training an (z.b. die Firma Glenfis in der Schweiz Die akkreditierten Kurse werden von den Prüfungsgremien auf die Übereinstimmung mit den Prüfungsreglementen abgenommen. Damit wird sichergestellt, dass die vermittelten Inhalte mit den Prinzipien von ITIL übereinstimmen ITIL und BS ITIL ist kein Standard, sondern ein Referenzmodell von Best Practices. Eine Zertifizierung kann mittels des Standards BS erfolgen ( ), der ein IT-Service-Management nach ITIL beschreibt und somit die erste Normierung von ITIL ist. Anfang Mai 2005 hat sich die ISO dazu entschlossen, den britischen Standard BS15000 zum internationalen ISO Standard zu erheben, wobei die offizielle Erklärung für Ende 2005 erwartet wird. Der British Standard BS "IT Service Management" basiert auf einem Satz miteinander verknüpfter Managementprozesse und soll als messbarer Qualitäts-Standard für IT-Service-Management dienen. Prozessauswahl und inhalte sowie die Terminologie sind eng mit ITIL verknüpft. Zitat BSI (British Standars Institut): "The BSI publications on IT Service Management share the same structure as the OGC s ITIL (IT Infrastructure Library). Together they form an integrated approach..." BS15000 besteht aus zwei Teilen: Part 1: Specification for service management: Spezifikation der Anforderungen an eine Organisation, um managed IT services in definierter Qualität für ihre Kunden bereitzustellen. Part 2: Code of practice for service management: Management Überblick mit Anleitungen und Empfehlungen zur Etablierung von IT-Service-Management. Behandelt das Warum und Was, nicht das Wer und Wie. Für die Überprüfung der Einhaltung der BS Richtlinien durch ITIL Prozesse hat das BSI zwei Dokumente publiziert: DISC PD 0005:1998 (DISC = Delivering Information Solutions to Customers; PD Dokumentenreihe (Published Document); Dokument Nr und DISC PD 0015:2000, IT service management Self-assessment Workbook. Ergänzend existiert ein von der OGC herausgegebener Questionnaire, der die Überprüfung der ITIL- Konformität von IT-Service-Management zum Ziel hat

44 Bild 15 Überprüfung der BS Konformität von ITIL [itre05] Weiterentwicklung und Trends Die aktuelle ITIL Version ist Revision 2. Im Mai 2005 begann die OCG nach einer Voruntersuchung mit der Entwicklung der Version 3, die bis Mitte 2007 ein Update (refreshment) aller Bände bewirken soll. Ziel ist eine Angleichung an Entwicklungen von BSI an ISO Bei diesem Vorhaben werden die itsmf und viele externe Experten mitarbeiten. 4.5 Zusammenfassende Bewertung IT-Service-Management Unter IT-Service-Management wird verstanden, die Qualität und Quantität der IT-Dienstleistungen kundenorientiert, d.h. zielgerichtet, geschäftsprozessorientiert, benutzerfreundlich und kostenoptimiert zu überwachen und zu steuern. Die Bereitstellung von IT-Dienstleistungen (IT Services) erfolgt zumeist durch eigenständige Unternehmensbereiche oder Drittanbieter als Dienstleistungserbringer (IT-Service Provider). Die IT-Dienstleistungen werden für die Fachbereiche des Unternehmens erbracht, die dabei als Kunden (Clients) der Dienstleistungserbringer auftreten. Zweck der IT Services ist die optimale Unterstützung der Fachbereiche des Unternehmens bei der Erreichung der Unternehmensziele. Nach einer Gartner Group Studie zum Thema IT-Service-Management ist ITIL die einzige umfassend dokumentierte, nicht-proprietäre Methodik. ITIL wird heute als weltweiter Defacto-Standard im Bereich IT-Service-Management angesehen und als Best Pratices, oft sogar als Synonym für IT-Service-Management verwendet. Unter Best Practice darf man aber nicht die beste aller möglichen Methoden verstehen. Dazu einige Definitionen: Eine einfache ist: "An industry accepted way of doing something, that works." (Aidan Lawes, CEO itsmf). Eine andere lautet: Best Practice is the best identified approach to a situation based upon observation from effective organisations in similar business circumstances, oder: Best Practice is all about "not re-inventing the wheel", but learning from others and implementing what has been shown to work. Die IT Infrastructure Library wurde in erster Linie für Personal geschrieben, das für die Planung, Überwachung und Steuerung von qualitativ hoch stehenden IT-Services verantwortlich ist. Die Bücher beschreiben hauptsächlich was getan werden muss und weniger wie es getan werden soll. Letzteres ist auf die Größe, die interne Kultur und vor allem auf die Anforderungen des Unternehmens abzustimmen. Die Bücher vermitteln jedoch insgesamt einen guten Überblick und ein gutes Verständnis der Zusammenhänge innerhalb einer IT-Serviceorganisation

45 Der Nutzen beim Einsatz von ITIL ITIL beschreibt ein systematisches, professionelles Vorgehen für das Management von IT- Dienstleistungen. Die Library stellt nachdrücklich die Bedeutung der wirtschaftlichen Erfüllung der Unternehmens-Anforderungen in den Mittelpunkt. Die Arbeit nach den in ITIL beschriebenen Best Practices bringt der Organisation: IT-Dienstleistungen die den Anforderungen entsprechen. Höhere Kundenzufriedenheit. Weniger Aufwand bei der Entwicklung von Prozessen, Prozeduren und Arbeitsanweisungen. Höhere Produktivität und der gezielte Einsatz von Wissen und Erfahrung. Grundlage für eine QM-Systematik im IT-Service-Management. Bessere Kommunikation und Information zwischen den IT-Mitarbeitern und ihren Kunden. Höhere Mitarbeiterzufriedenheit und niedrigere Personalfluktuation. Bei der Implementierung von ITIL werden oft die Hilfeleistungen von Consulting-Firmen in Anspruch genommen. Warum dieser Bedarf besteht, beschreiben z.b. Eggenberger et al. in [EgHK04] folgend: Grundsätzlich versteht sich ITIL als Leitfaden, der Inhalte, Prozesse und Ziele innerhalb der IT-Organisation beschreibt. Die konkrete Umsetzung und Ausgestaltung der Prozesse liegt im Ermessensspielraum der IT-Organisation. Dieser Gedanke der Offenheit und Flexibilität des ITIL-Regelwerks wird von ITIL-Nutzern aufgrund des oft als zu gering eingeschätzten Detaillierungsgrads als nachteilig empfunden. ITIL ist allgemein gültig und damit zwangsläufig wenig konkret, d.h., es fehlt an echten Praxisbeispielen. Die Beschreibung zur Planung der Implementierung in dem ITIL-Buch»Planning to Implement Service Management«stellt dabei nur eine kleine Hilfestellung dar. Kritik aus dem akademischen Bereich Obwohl ITIL durchwegs positiv bewertet wird und auch große Verbreitung gefunden hat (siehe Kap ), bringen Hochstein, Zarnekow und Brenner in mehreren Artikeln auch etliche kritische Anmerkungen. Im ersten Artikel [HoZB04a] wird ITIL mit einem kompletten Modell für ein Serviceorientiertes IT-Management (SOITM) mit allen Aufgaben zur IT-Leistungserbringung und IT-Leistungsabnahme verglichen. Es wird festgestellt, dass die einzelnen Module der ITIL in unterschiedlichen Detaillierungsgraden beschrieben sind. Nur für Service Delivery und Service Support liegen Beschreibungen von Seiten inklusive Zielen, Aktivitäten, Input/Output-Schemata, Kosten-Nutzen- Betrachtungen, Problemen, Herausforderungen, betrieblichen Kenngrößen, Rollenschemata, Dokumenten und Methoden vor. Zitat: Die Analyse der ITIL-Module hinsichtlich der Möglichkeiten und Grenzen für ein serviceorientiertes IT-Management zeigt, dass die ITIL nur Teilbereiche abdeckt. Für das Lieferantenund Portfoliomanagement sowie die strategischen Bereiche des Entwicklungs-, Produktions- und Kundenmanagements liefert die ITIL nur wenige, sehr allgemeine Hinweise. Für die planerischen und steuernden Bereiche des Entwicklungs-, Produktions- und Kundenmanagements können Inhalte der ITIL dahingegen intensiv genutzt werden. Allerdings ist auch hier eine vollständige Abdeckung durch die ITIL nicht gegeben. Wichtige Modellelemente, wie Aufgaben, Rollenträger, Dokumente, Methoden oder Inputs/ Outputs, werden innerhalb der ITIL gar nicht oder unvollständig adressiert. Beispielsweise finden sich innerhalb der ITIL keine Hinweise auf Aufgaben für den Einsatz kundenund segmentspezifischer Kommunikationsinstrumente (darunter fallen beispielsweise Werbemaßnahmen) oder die Distributionssteuerung hardwarenaher IT-Leistungen

46 Für das IT-Management bedeutet dies, dass die Umsetzung von und die Ausrichtung nach ITIL für die Gestaltung einer umfassenden, serviceorientierten IT-Organisation nicht genügt. Es kann daher nicht erwartet werden, dass alleine durch die Einführung von ITIL innerhalb der IT Wettbewerbsvorteile erzielt werden können. Zusätzlich zur ITIL sind weitere IT- Managementaufgaben und -bereiche zu berücksichtigen, wobei obige Analyse und eine detailliertere Betrachtung des SOITM-Modells Hinweise liefern. Dennoch kann die ITIL sinnvoll genutzt werden, etwa um bestehende und etablierte Best Practices in das operative Entwicklungs-, Produktions- und Kundenmanagement einfließen zu lassen. Im zweiten Artikel bewerten Hochstein und Hunziker [HoHu03] ITIL als umfangreiches und prozessbasiertes Set von Best Practices für IT-Management und weniger als Referenzmodell im wissenschaftlichen Sinn. Zitat: Die Interpretationsvielfalt der ITIL-Prozesse ist groß. Grund hierfür sind die formalen Schwächen des ITIL-Frameworks. Obwohl die Prozesse und Instrumente teilweise sehr detailliert beschrieben werden und im Rahmen einer End-to-End-Betrachtung sogar Rollen und Prozessziele definiert werden, fehlt ein eindeutiges und umfassendes Input/Output-Schema, so dass die Prozessbeziehungen unklar sind. Insbesondere diese spielen jedoch beim IT-Management eine wichtige Rolle und sollten Gegenstand von Verbesserungsbemühungen sein, da innerhalb der einzelnen Prozesse die Optimierungspotenziale weitestgehend ausgeschöpft sind. Des Weiteren fördert ein Mangel an Konsistenz den Eindruck formaler Schwächen des ITIL-Referenzmodells. Sowohl in Bezug auf die Struktur als auch auf den Detaillierungsgrad herrschen zwischen den Prozessbereichen teilweise stark ausgeprägte Unterschiede. Außerdem lassen sich Inkonsistenzen bezüglich der Angabe von Erfolgsfaktoren und Kennzahlen feststellen und auch die Granularität, in welcher die einzelnen Prozesse bzw. Aktivitäten beschrieben werden, variiert stark. Diese Schwächen bezüglich der formalen Anforderungen an Referenzprozessmodelle erschweren die Anwendung und Übertragung der beschriebenen Referenzprozesse. Im dritten Artikel [HoZB04b] wird obige Kritik noch weiter verfolgt und ITIL detailliert nach formalen Kriterien beurteilt, nämlich ob es den Grundsätzen ordnungsgemäßer Modellierung (GoM) entspricht und welche Implikationen für den Praxiseinsatz sich daraus ergeben. Nach Ansicht der Autoren ist ITIL kein Best-Practice-Referenzmodell, da innovative, theoriebasierte Erkenntisse, die für best Best-Practice-Modelle gefordert werden, bei ITIL nicht im Vordergrund stehen; es wird daher als Common-Practice-Referenzmodell bezeichnet. Als Grundlage für die Bewertung dienen zum einen vier zu diesem Zweck erhobene Fallstudien bei deutschen Unternehmungen mit erfolgreicher ITIL Nutzung und zum anderen die Analyse der ITIL-Dokumentation. ITIL wird bezüglich folgender sechs Grundsätze der GoM untersucht: Konstruktionsadäquanz, Spachadäquanz, Wirtschaftlichkeit, Systematischer Aufbau, Klarheit und Vergleichbarkeit. Dadurch können Defizite und Nutzenpotenziale, Schwächen und Stärken aufgedeckt werden. Dabei zeigt sich, dass der Nutzen von ITIL offensichtlich ist, hingegen bestehen einige Missverständnisse darüber, was ITIL ist und was es leisten kann. So ergeben sich z.b. Konsequenzen dadurch, dass ITIL nur in natürlicher Sprache und nicht formalsprachlich formuliert ist. Zu diesen strengen akademischen Kritiken ist anzumerken, dass bei den Anwendern diese hohen Qualitätsansprüche nach Vollständigkeit und Erfüllung der formalen Regeln der Modellierung kaum vorhanden sind und der Markt ITIL als wohl unvollständiges, aber doch Best Practice Referenzmodell akzeptiert hat

47 5 MOF (Microsoft Operations Framework) Microsoft entwickelt und vertreibt nicht nur Softwareprodukte, sondern stellt seinen Kunden für die Planung und Realisierung von IT-Projekten auch Komplettanleitungen zur Verfügung. Diese Anleitungen dienen als Modell und Orientierungshilfe bei Design, Entwicklung, Deployment, Betrieb und Support Microsoft-basierter Lösungen. Die Basis für diese Consulting-orientierten Produkte sind sowohl das Know-How von Microsoft selbst und deren Firmenkunden als auch die am Markt verfügbaren Best-Practices. Die Anleitungen sind in zwei komplementäre und eng miteinander verbundene Frameworks (Rahmenstrukturen) aufgeteilt: das Microsoft Operations Framework (MOF) und das Microsoft Solutions Framework (MSF). Während MSF bewährte Vorgehensweisen für das Planen, Entwerfen, Entwickeln und Bereitstellen erfolgreicher IT-Lösungen anbietet, adressiert MOF den kontinuierlichen Betrieb von Microsoft-basierten IT-Lösungen, d.h. IT- Service-Management. 5.1 Einführung Die Beschreibung der wesentlichen Produktmerkmale in den Kapiteln 5.1 und 5.2 basiert auf Produktdokumentationen von Microsoft [PuQA03; Micr02; Micr05]. MOF setzt auf der bewährten Best-Practice Lösung ITIL der OGC auf und ergänzt es an einigen Stellen zur besseren Unterstützung ihrer eigenen Produkte mit Richtlinien für das Verwenden von Microsoft-Produkten und -Technologien. Microsoft arbeitet auch an der Weiterentwicklung von ITIL mit und hat dazu beigetragen, dass die Bände Planning to Implement Service Management und Application Management erstellt wurden [PuQA03]. MOF bietet ebenso wie ITIL zusätzlich zu den Dokumentationen weitere Unterstützungsleistungen wie self-assesments, Trainingsprogramme und Zertifizierungen und Consulting Services, auch durch eine große Zahl von Drittanbietern. MOF ist auch verträglich mit vielen derzeit von Anwendern eingesetzten Qualitätsverbesserungsmethoden. So ist MOF kompatibel mit: PRINCE2, Six Sigma, ISO 9000 Qualitätsstandards, CMMS (Capability maturity models) wie CMM, ISO 15504, SPICE und auch CobiT. MOF erweitert ITIL speziell in folgenden Punkten: Zusätzliche Team und Prozess Modelle Unterstützung von Risk Management Fokussierung auf die Service Delivery Ebene. In Erweiterung der ITIL Service Delivery Publikation werden bei MOF über 20 Service Delivery Funktionen (sog. SMF service management functions) unterschieden und jede Funktion mit einer eigenen Beschreibung, Beispielen und einer Anleitung für Best-Practise ausgestattet. Darüber hinaus erweitert MOF die ITIL-Verfahrensnormen dahingehend, dass auch verteilte IT-Umgebungen, Branchentrends, wie z.b. Anwendungshosting und webbasierte Transaktions- und E-Commerce-Systeme, unterstützt werden. Die MOF Anleitungen und Prinzipien sind skalierungsfähig, anwendbar innerhalb eines Dienstes bis zu umfassenden Installationsumgebungen Zielgruppe MOF ist speziell für Anwender interessant, die eine reine Microsoft Softwarelandschaft installiert haben und diese optimal managen wollen

48 5.1.2 Überblick und Struktur MOF besteht aus drei grundlegenden Modellen. Jedes dieser drei Modelle repräsentiert eine Hauptkomponente des IT-Betriebs: Das Prozessmodell - Es stellt ein funktionales Modell der Prozesse dar, die von Service- Organisationen verwendet werden, um IT-Services zu erbringen, zu verwalten und zu warten. Das Teammodell - Eine vereinfachte Ansicht nötiger Rollen für den Betrieb hilft dem Management beim effektiven Organisieren des Personals. Das Risikomodell - Durch die Integration grundlegender Prinzipien, einer standardisierten Terminologie und eines strukturierten fünfstufigen Prozesses, dient das Risikomodell dem alltäglichen Management bestehender Risiken. Wichtige Begriffe aus der MOF Terminologie sind: Service Management Funktionen (SMFs). SMFs sind Prozesse und Richtlinien, die für die Erbringung von IT-Dienstleistungslösungen verwendet werden. Hierzu gehören das Change- Management, die System-Administration oder das Service-Desk. Operations Management Reviews (OMRs). Hierbei handelt es sich um Management- Überprüfungen, die sich auf die SMFs innerhalb eines Quadranten im MOF-Prozessmodell beziehen. 5.2 Komponenten Das Prozess Modell Das Prozessmodell für den Betrieb ist ein Funktionsmodell der Prozesse, welche Betriebsteams für die Verwaltung und Wartung von IT-Services ausführen. Es baut auf den Vorgehensweisen von ITIL auf. Das Modell setzt voraus, dass das Servicepersonal in erster Linie für das Verwalten von Änderungen in der IT-Infrastruktur verantwortlich ist. Die effektivste Art für den Umgang mit Änderungen während der Lebensdauer eines Service besteht darin, diese in einer Version zusammenzufassen, so dass die Änderungen als eine Einheit geplant und durchgeführt werden können. Das MOF-Prozessmodell basiert auf vier grundlegenden Prinzipien: Strukturierte Architektur Schneller Lebenszyklus, iterative Verbesserung Überprüfungsgesteuerte Verwaltung Eingebettetes Risikomanagement Terminologie Für eine detailliertere Erläuterung des Prozessmodells ist es hilfreich, eine spezielle Terminologie festzulegen, die zum großen Teil auf der vorhandenen ITIL-Terminologie basiert. IT-Lösungen: Die Möglichkeiten, die IT dem Unternehmen bietet. Beispiele hierfür sind Messaging, Geschäftsbereichsanwendungen, Datenspeicherung und Drucken. Version: Eine Gruppe von Änderungen, die das Betriebsteam als eine Einheit in die Produktionsumgebung einführt. Jede Version weist einen eigenen Lebenszyklus auf, und das Ende der einen Version kennzeichnet normalerweise den Beginn der nächsten Version. IT-Service-Management: Das Konzept der Anwendung von strukturierten Prozessen, um sicherzustellen, dass die Qualität unternehmenswichtiger IT-Dienste den mit dem Kunden vereinbarten Leistungsniveaus entspricht. Service Management Functions (SMFs oder Service Management Funktionen): 21 Prozesse, über die die meisten IT Lösungen verfügen und die während jeder Version erfolgen. Beispiele hierfür sind Capacity Management, Change Management, Service Desk und Sicherheitsverwaltung. Jede SMF bietet konsistente Richtlinien, Verfahren, Standards und

49 optimale Vorgehensweisen, die auf die gesamte Reihe von IT-Lösungen in den heutigen IT- Umgebungen angewendet werden können. Dienstleistungszweck: SMFs können in vier Kategorien unterteilt werden, die jeweils durch einen Dienstleistungszweck definiert sind. So unterstützen die SMFs Change Management, Configuration Management und Release Management beispielsweise den Dienstleistungszweck "Identifizieren, Prüfen, Steuern und Herausgeben von Änderungen an die IT-Umgebung". Quadranten: Die Kurzbezeichnung für die SMFs, die einen Dienstleistungszweck gemeinsam nutzen: "Änderung", "Betrieb", "Support" und "Optimierung". Jeder Quadrant enthält mehrere SMFs. Überprüfungen: Jeder Quadrant endet mit einer Überprüfung, während der das Team die Effektivität der zugehörigen SMFs auswertet. Bild 16 Das MOF Prozessmodell [Micro02] In der folgenden Tabelle werden der Dienstleistungszweck und die Überprüfung für die einzelnen Quadranten aufgeführt. Quadrant Dienstleistungszweck Überprüfung (OMR) Änderung Einführung neuer IT Lösungen, Technologien, Systeme, Anwendungen, Hardware und Prozesse. Versionsbereitschaft Betrieb Effektive und effiziente Ausführung täglich anfallender Aufgaben. Support Schnelle Bearbeitung und Auflösung von Zwischenfällen, Problemen und Anfragen. Optimierung Durchführung von Änderungen zum Optimieren von Kosten, Leistung, Kapazität und Verfügbarkeit bei der Bereitstellung von IT-Diensten. Betrieb Service Level Agreement (SLA oder Vereinbarung auf Dienstebene) Genehmigte Version Zwei dieser Überprüfungen werden durch den Versionszeitplan bestimmt. Die Überprüfung "Genehmigte Version" erfolgt, bevor eine Änderung an die Zielumgebung herausgegeben wird, und die Überprüfung "Versionsbereitschaft" erfolgt bei der endgültigen Installation der Version. Die Überprüfungen "Betrieb" und "Service Level Agreement (SLA)" erfolgen in

50 regelmäßigen Abständen nach der Einführung einer Version, um die internen Abläufe und die Leistung im Hinblick auf die Kundendienstebenen zu beurteilen. Die Service Management Funktionen Viele der MOF-SMFs basieren auf der IT Infrastructure Library von OGC. Die bemerkenserten Ausnahmen sind Workforce Management (im Quadranten "Optimierung") und sämtiche SMFs im Quadranten "Betrieb". Weil die ITIL plattformunabhängig ist, deckt sie diese Punkte nicht ab. Infolgedessen stellt MOF im Quadranten "Betrieb" den größten Teil der für Microsoft-Produkte und -Technologien spezifischen Hilfestellung beim Betrieb bereit. Da Microsoft den Schwerpunkt auf IT-Vorgänge legt, enthalten viele Produkte jetzt zusätzliche Features und Funktionen, die ihre Supportfähigkeit, Zuverlässigkeit und Verwaltbarkeit erhöhen sollen. MOF erweitert gegebenenfalls die grundlegenden IT-SMFs von ITIL mit speziellen Verweisen auf Microsoft-Produkte und -Features, die die Bereitstellung der SMF entweder automatisieren oder verbessern. Diese IT-SMFs sind optimale Vorgehensweisen und müssen angepasst werden, um eindeutige oder spezielle Anforderungen einer bestimmten Betriebsumgebung zu erfüllen. Im folgenden Diagramm wird der Versionslebenszyklus, einschließlich der vier Quadranten, der vier Überprüfungen und der 20 SMFs, dargestellt. Bild 17 Das MOF-Prozessmodell und SMFs [Micro02] Das Team Modell Das MOF Teammodell wurde entwickelt, um das Managen und die Zusammenarbeit von geographisch oder betrieblich verteilten Teams, die verteilte Systeme verwalten, zu unterstützen. Es beschreibt: Rollencluster für optimale Vorgehensweisen zum Strukturieren von Betriebsteams. Die Schlüsselaktivitäten und Kompetenzen der einzelnen Rollencluster. Die Verfahren zum Skalieren der Teams für unterschiedliche Größen und Unternehmenstypen. Die Rollen, die effektiv kombiniert werden können. Grundlegende Prinzipien, die beim Ausführen und Betreiben von verteilten Datenverarbeitungsumgebungen auf der Microsoft-Plattform helfen

51 Grundlegende Prinzipien Zum Erstellen erfolgreicher, effizienter Betriebsteams wird mehr als nur die Beschreibung von Rollen und Verantwortungsbereichen benötigt. Erforderlich sind außerdem einheitliche Prinzipien, die ein Gefühl für gemeinsame Werte wecken und Richtlinien für das Funktionieren des Teams festlegen. Die fünf primären Prinzipien und Richtlinien für das MOF- Teammodell umfassen: Bereitstellen einer umfassenden Kunden Dienstleistung. Verstehen der Unternehmensprioritäten, damit IT den wirtschaftlichen Nutzen erhöhen kann. Aufbauen von starken, synergetischen, virtuellen Teams. Nutzen von Tools für IT-Automatisierung und Knowledge Management. Anwerben, Entwickeln und Weiterbeschäftigen von leistungsfähigem IT-Betriebspersonal. Teamrollencluster Das MOF-Teammodell basiert auf der Erfahrung, dass ein erfolgreiches Betriebsteam eine Reihe von wichtigen Qualitätszielen erreichen muss. Die Rollencluster des Teammodells definieren sechs allgemeine Kategorien von Aktivitäten und Prozessen. Die Prozesse innerhalb eines Rollenclusters unterstützen alle dasselbe Qualitätsziel. Es ist wichtig zu erkennen, dass es sich bei Rollenclustern um Gruppen von Aktivitäten handelt, die ein gemeinsames Ziel haben. Rollencluster sind keine Tätigkeitsbeschreibungen, und sie sind mit keinem Organigramm irgendeiner Art verbunden. Es werden 6 Rollencluster unterschieden: Version (Release), Infrastruktur, Support, Betrieb, Partner, Sicherheit. Das folgende Diagramm ordnet die sechs Rollencluster möglichen funktionalen Rollen oder Funktionsteams in einer typischen Betriebsorganisation zu

52 Bild 18 Das MOF-Teammodell und Beispiele für Funktionsrollen oder Funktionsteams [Micro02] Verbinden des Prozess- und des Teammodells Die Teamrollencluster richten sich normalerweise an den vier Prozessquadranten des MOF- Prozessmodells aus, wie im folgenden Diagramm dargestellt wird. Dabei können mehrere Rollen zu einem einzigen Quadranten gehören und eine einzige Rolle (z. B. "Lieferant" oder "Sicherheit") kann in mehreren Quadranten enthalten sein. Bild 19 MOF-Teamrollencluster und ihre Anpassung [Micro02] Das Risikomodell Das Risikomodell für den Betrieb wendet bewährte Techniken des Risikomanagements auf die Probleme an, mit denen das Betriebspersonal täglich konfrontiert wird. Es gibt viele verschiedene Modelle, Rahmenstrukturen und Prozesse zum Verwalten von Risiken. Das MOF Risikomodell zeichnet sich durch seine grundlegenden Prinzipien, eine benutzerdefinierte Terminologie, einen strukturierten, wiederholbaren Prozesses aus fünf Schritten und die Integration in eine größere Betriebsrahmenstruktur aus. Es baut auf dem Microsoft Solutions Framework MSF-Risikomodell auf, das erweitert und angepasst werden kann, um die Anforderungen von Betriebsgruppen zu erfüllen. Grundlegende Prinzipien Dieses Risikomodell wendet folgende Prinzipien für ein erfolgreiches Risikomanagement im Betrieb an:

53 Kontinuierliches Bewerten von Risiken: Dies bedeutet, dass das Team die Suche nach neuen Risiken niemals beendet und dass bekannte Risiken regelmäßig neu bewertet werden. Integrieren des Risikomanagements in jede Rolle und jede Funktion: Grundsätzlich übernimmt jede IT-Rolle einen Teil der Verantwortung für das Risikomanagement, und beim Entwerfen jedes IT-Prozesses wird das Risikomanagement beachtet. Positives Umgehen mit der Risikoidentifizierung: Damit das Risikomanagement erfolgreich ist, müssen die Teammitglieder bereit sein, Risiken ohne Furcht vor Kritik oder Sanktionen zu identifizieren. Verwenden von risikobasierter Zeitplanung: Zur Aufrechterhaltung einer Umgebung ist es oft erforderlich, Änderungen der Reihe nach vorzunehmen. Dabei sollte das Team die riskantesten Änderungen nach Möglichkeit zuerst vornehmen, damit für Änderungen, die nicht herausgegeben werden können, keine Zeit und Ressourcen verschwendet werden. Festlegen eines akzeptablen Formalitätsniveaus: Ein erfolgreicher Prozess muss vom Team verstanden und tatsächlich angewendet werden. Diese Prinzipien werden im Begriff proaktiv zusammengefasst. Ein Team, das proaktives Risikomanagement betreibt, erkennt an, dass Risiken ein normaler Bestandteil des Betriebs sind. Statt Risiken zu fürchten, betrachtet sie das Team als eine Gelegenheit zum Schutz künftiger Versionen. Die Teammitglieder zeigen eine proaktive Einstellung, indem sie einen sichtbaren, messbaren, wiederholbaren und kontinuierlichen Prozess zur objektiven Bewertung von Risiken und Gelegenheiten anwenden und dann Maßnahmen ergreifen, die sich sowohl mit den Ursachen der Risiken als auch mit deren Symptomen befassen. Risikomanagementprozess Im folgenden Diagramm werden die fünf Schritte des Risikomanagementprozesses dargestellt: Identifizieren, Analysieren, Planen, Nachverfolgen und Steuern. Es ist wichtig zu verstehen, dass jedes Risiko alle diese Schritte mindestens einmal und oft zahlreiche Male durchläuft. Außerdem besitzt jedes Risiko einen eigenen Zeitrahmen. Deshalb können in jedem Schritt zu jedem beliebigen Zeitpunkt mehrere Risiken vorhanden sein. Bild 20 Der Risikomanagementprozess [Micro02] Im Risikoprozess werden folgende Risiko-Dokumentationen verwendet:

54 Risikobewertungsdokument: In den ersten drei Schritten werden Informationen zu einem bestimmten Risiko gesammelt und zum Risikobewertungsdokument hinzugefügt. In den letzten beiden Schritten wird dieses Dokument zur Unterstützung bei der Entscheidungsfindung herangezogen. Liste der wichtigsten Risiken: Diese Liste identifiziert die wenigen Hauptrisiken, die den größten Anspruch auf die begrenzte Zeit und die beschränkten Ressourcen des Teams haben. Liste der zurückgezogenen Risiken: Jedes irrelevant gewordene Risiko wird aus der Liste der Hauptrisiken in die Liste der zurückgezogenen Risiken verschoben. Diese Liste dient als Verlaufsreferenz, an die das Team sich zukünftig halten kann. Der Prozess umfasst folgende fünf Schritte: Schritt 1: Identifizieren. Ermitteln folgender Faktoren: Quelle des Risikos, Fehlerart, Bedingung, Folge für den Betrieb sowie Folge für das Unternehmen. Schritt 2: Analysieren. Ermitteln der Wahrscheinlichkeit und Auswirkung des Risikos sowie Verwenden der Ergebnisse zur Berechnung eines Gefährdungswertes als Hilfe beim Einstufen von Risiken. Schritt 3: Planen. Definieren von abschwächenden Faktoren, die das Risiko ganz vermeiden, es auf eine andere Partei übertragen oder aber die Auswirkung oder Wahrscheinlichkeit oder beides reduzieren. Definieren von Notfallplänen, die beim Eintreten des Risikos auszuführen sind. Definieren von Triggern, die das baldige Eintreten des Risikos anzeigen. Schritt 4: Nachverfolgen. Sammeln von Informationen darüber, wie sich verschiedene Elemente des Risikos im Lauf der Zeit ändern. Schritt 5: Steuern. Ausführen einer geplanten Reaktion auf bestimmte Änderungen. Beispiele: Wenn ein Triggerwert wahr wird, wird der Notfallplan ausgeführt. Wenn ein Risiko nicht mehr relevant ist, wird dieses Risiko zurückgezogen. Wenn sich die Auswirkung geändert hat, wird der Zyklus beim Schritt "Analysieren" neu gestartet, um die Auswirkung neu zu bewerten. 5.3 Zusatzinformationen Verbreitung und Fallstudien Über die Einsatzzahlen liegen wenige Informationen vor. Da die deutsche Übersetzung der letzten englischen Dokumentationen zur Version 3 von MOF nicht nachgezogen wurde, liegt die Vermutung nahe, dass die Verbreitung im deutschsprachigen Raum sehr gering sein dürfte. Über eine Microsoft Webseite [Micr05] kann auf case studies von erfolgreichen Einsätzen bei Deloittle Niederlande, BP und Cox Communications zugegriffen werden Dokumentationen und Ausbildung Die ausführlichen englischsprachigen Beschreibungen zu MOF sind in der Microsoft TechNet Dokumentation abgelegt, es kann über Internet kostenlos darauf zugegriffen werden. Microsoft bietet eigene Kurse zu ITIL und MOF an. Möglichkeiten für eine Microsoftspezifische Zertifizierung sind gegeben. Im Übrigen verweist Microsoft als Ergänzung auch auf die offizielle ITIL Dokumentation Weiterentwicklung und Trends MOF liegt derzeit in der Version 3 vor und baut auf ITIL Version 2 auf. Es ist anzunehmen, dass Microsoft bei Vorliegen der geplanten Version 3 von ITIL die Erweiterungen auch bei MOF nachziehen wird

55 5.4 Zusammenfassende Bewertung Da keine Artikel mit Bewertungen zu MOF gefunden wurden - wahrscheinlich da es als proprietäres Produkt angesehen wird - wird hier eine persönliche Bewertung vorgestellt. Microsoft bietet mit der MOF Dokumentation seinen Kunden als Ergänzung zu ITIL wertvolle Beratungsinformationen kostenlos an. Die Dokumentationen sind für IT-Fachleute auch ohne zusätzliche Schulung verständlich, ihr Studium fördert das allgemeine technische IT-Know-how. MOF ist auch für kleinere Firmen, die Microsoft Produkte einsetzen, gut verwendbar. Eine echte Implementierung mit verbindlicher Einführung von Abläufen sollte allerdings unter Anleitung eines Beraters erfolgen. MOF behandelt nicht alle Bereiche von ITIL, sondern ist nur auf den Hauptbereich Service Management (mit Service Support und Service Delivery) fokussiert. Hier allerdings werden 20 identifizierte Problembereiche in Form von SMFs (Service Management Funktionen) adressiert und detailliert behandelt. Die Anleitungen sind professionell und praxisbasiert. Wichtige Aspekte einer Microsoft Umgebung wie z.b. Directory Services Administration werden ausführlich behandelt. Das Rollenkonzept bietet gute Unterstützung bei der Personalorganisation und einer optimalen Zuordnung von Personen, Aktivitäten, Kompetenzen und Aufgabenbereichen. Die Einführung von Risikomanagement ist heutzutage ein Muss, das vorgestellte Risikomanagementkonzept daher eine zusätzliche Unterstützung für deren Durchführung. Zusammenfassung: Microsoft Kunden bringt die Beschäftigung und der Einsatz von MOF Richtlinien sicherlich einen verbesserten, sichereren und daher auch kostengünstigeren Betrieb ihrer IT-Installationen. Ein Ersatz für das komplette ITIL ist MOF nicht

56 6 Zusammenfassende Gegenüberstellungen Die in dieser Arbeit betrachteten IT-Governance Referenzmodelle wurden bereits in den jeweiligen Kapiteln individuell ausführlich bewertet. Es folgen daher hier nur mehr Darstellungen über deren Zusammenspiel und Gegenüberstellungen. 6.1 IT-Governance und das CobiT Framework Für die Implementierung einer IT-Governance gibt es zwar verschiedene Denkansätze und Prioritätsbewertungen (vgl. Kap. 2), jedoch gibt es nur einen De-facto- Standard dazu, das Referenzmodell CobiT. Diese Ansicht wird einhellig auch in der akademischen Literatur vertreten [HoHu03; MeZL03]. Die Aufgabe des Managements im Rahmen von IT-Governance ist es, die IT-Strategie und in weiterer Folge die IT-Aktivitäten derart zu steuern, zu kontrollieren und zu messen, dass diese bestmöglich zur Erreichung der globalen Geschäftsziele beitragen. Requirements Direction (IT Strategy and Policy) Goals CobiT Control Objectives Responsibilities Business IT Governance Information the Business Needs to Achieve Its Objectives Information (IT Control, Risk and Assurance) IT Governanc e Bild 21 IT-Governance und die CobiT Kontrollziele [ISAC04] Das CobiT Framework ist das Best Practice Werkzeug dazu, denn es definiert für die wichtigsten IT-Prozesse deren Kontrollziele (Control Objectives)und beinhaltet Eine Anleitung zur Performancemessung (Messergebnisse und Performancetreiber für alle IT-Prozesse) Eine Liste aller kritischen Erfolgsfaktoren, die (nicht technische) Best Practices für jeden IT Prozess liefert. Reifegradmodelle, die sich als Entscheidungshilfe anbieten und Benchmarking unterstützen. Für ein Management, das IT-Governance einführen und leben will, sind somit CobiT und im Speziellen die Management Guidelines das geeignete Tool dafür

57 6.2 ITIL - CobiT Abbildung Im CobiT Framework werden die 34 wichtigsten IT-Prozesse identifiziert, beschrieben und in vier Domänen (PO 01-13, AI 01-06, DS und M 01-04) gruppiert. Für diese werden Kontrollziele und Kontrollpraktiken definiert. Die Prozesse sind in Kap beschrieben. ITIL behandelt in seinen sieben Büchern ebenfalls die wesentlichen IT-Prozesse, wenn auch aus einer etwas anderen Sicht. Folgerichtig ist eine Zuordnung des Inhalts der ITIL Bücher auf die CobiT Prozesse möglich. Dazu wurden zwei verschiedene Darstellungen gefunden, wobei die beiden Darstellungen nicht zum gleichen Ergebnis kommen. In der von der ITGI veröffentlichten Schrift CobiT Mapping [ITGo04a] bewertet die ITGI die Unterstützung der CobiT Prozesse durch ITIL folgend: Tabelle 4 CobiT Prozesse, die von ITIL adressiert werden [ITGo04a] Nach der ITGI Darstellung behandelt ITIL primär die Prozesse der Domänen AI (Acquisition and Implementation) und DS (Delivery and Support). Die zweite, inverse Darstellung der Firma Glenfis [Glen05] zeigt hingegen detaillierter, welche CobiT Prozesse welchen ITIL Büchern zugeordnet werden können: COBIT Process Bild 22 Mapping der CobiT Prozesse auf die ITIL Bücher [Glen05]

58 Die beiden wichtigsten, umfangreichsten und auch am meisten verwendeten ITIL Bücher sind diejenigen über Service Management, nämlich Service Delivery und Service Support. Daher wird in der folgenden Abbildung eine noch genauere Zuordnung von CobiT Prozessen auf Teilgebiete aus diesen Büchern gezeigt. Bild 23 Mapping von CobiT Prozessen auf die ITIL Dokumentationen zu Service Delivery und Service Support [Glen05] Nach der Glenfis Darstellung behandeln die ITIL Bücher auch die meisten CobiT Prozesse der Domänen PO (Planning and Organisation)und M (Monitoring). Diese Abbildungen sind bei gleichzeitiger Verwendung sowohl der CobiT als auch der ITIL Dokumentation sehr nützlich und erlauben eine leichtere Zuordnung, da die verwendeten Begriffe in den beiden Dokumentationen naturgemäß nicht immer identisch sind. 6.3 Vergleichsmatrix In der folgenden Tabelle werden die besprochenen Referenzmodelle mittels einer eigenen Bewertung grob gegenübergestellt, wobei in dieser unter IT-Governance die Sicht und das Board Briefing des ITGI zu verstehen ist