Leibniz. sicherheit" M.H. Breitner. COBIT a

Transkript

1 Leibniz Universität Hannover Institut für Wirtschaftsinformatik Prof. Dr. Michael H. Breitner Seminar im SS07 "Informationsmanagement und - sicherheit" Betreuer: Dr. Wolfgangg Schadow/Prof. M.H. Breitner COBIT a als Bindeglied zwischen Corpor rate Governance und IT Governance Lubov Lechtchinskaia Matr.nr. 22xxxxx Ubbenstr Hannover Tel.: 0511/ Mobil:

2 Inhaltsverzeichnis Abbildungs- und Tabellenverzeichnis Abkürzungsverzeichnis 1. Einleitung Unternehmenssteuerung und IT Corporate Governance IT-Governance Strategisches IT-Alignment COBIT Ursprung und Entwicklung von COBIT Struktureller Aufbau von COBIT Control Objectives Management Guidelines Reifegradmodelle Strategisches Alignment durch COBIT Fazit und Ausblick Literaturverzeichnis

3 Abbildungsverzeichnis ABBILDUNG 2-1: ENTERPRISE GOVERNANCE ARCHITECTURE ABBILDUNG 2-2: STRATEGISCHE ALIGNMENT ABBILDUNG 2-3: STRATEGIC ALIGNMENT MODEL ABBILDUNG 3-1: EINORDNUNG ABBILDUNG 3-2: DER COBIT KUBUS ABBILDUNG 3-3: ZUSAMMENWIRKUNG VON COBIT-METRIKEN ABBILDUNG 3-4: DAS RAHMENWERK COBIT ABBILDUNG 3-5: IT-GOVERNANCE LIFE CYCLE ABBILDUNG 3-6: ALIGNMENTPARADOXON Tabellenverzeichnis TABELLE 3-1: KONZEPTE IM VERGLEICH TABELLE 3-2: KRITERIEN DER IT-GOVERNANCE II

4 Abkürzungsverzeichnis AI BSC CEO CFO CIO COBIT COSO CSF d.h. DS ISACA ISO IT IT BSC ITGI ITIL IuK KGI KPI ME PO ROI u.a. Acquisition und Implementierung Balanced Scorecard Chief Executive Officer Chief Financial Officer Chief Information Officer Control Objectives for Information and related Technology Committee of Sponsoring Organizations of the Treadway Commission Critical Success Factors das heißt Delivery and Support Information Systems Audit and Control Association International Organisation for Standardisation Informationstechnologie IT Balanced Scorecard IT-Governance Institute IT Infrastructure Library Informations- und Kommunikationstechnologie Key Goal Indicators Key Performance Indicators Monitoring und Evaluierung Planung und Organisation Return on Investment unter anderem III

5 1. Einleitung Einleitung Die Trennung zwischen Eigentümerschaft und Führungsaufgaben in Aktiengesellschaften und die Ausdifferenzierung ihrer Interessen hat die Notwendigkeit zur Schaffung adäquater Kontrollmechanismen im Sinne des Stakeholder-Ansatzes 1 bedingt. Den Interessen der verschieden Stakeholdergruppen soll durch das Konzept der Governance entsprochen werden, in dem die Berücksichtigung ihrer Ansprüche Einzug in die Unternehmensorganisation und -kultur findet. Dabei hat die zunehmende Abhängigkeit der Unternehmen von der Informationstechnologie (IT) dazu geführt, dass auch diese im Rahmen des Governance-Konzeptes durch stärkere Ausrichtung der IT-Ziele an Unternehmenszielen in ihrer Wirtschaftlichkeit optimiert werden. Die Unternehmensführung hat erkannt, dass die Rolle der IT in der strategischen Planung berücksichtigt werden sollte, um IT-Investitionen zum Vorteil der Unternehmung und ihrer Stakeholder ausschöpfen zu können. Diese Erkenntnis hat eine intensive Beschäftigung mit strategischem Business-IT-Alignment vorangetrieben. Dementsprechend hat das Konzept der IT-Governance bereits weite Verbreitung gefunden und die Entwicklung zahlreicher Referenzmodelle zu dessen Umsetzung gefördert. Das Framework COBIT wurde seit dessen Konzeption immer mehr zu einem Instrument zur Umsetzung der IT-Governance ausgebaut und fokussiert Business-IT-Alignment im Besonderen. Gegenstand dieser Arbeit ist die Untersuchung, inwiefern COBIT ein Bindeglied zwischen Corporate Governance und IT-Governance darstellt, d.h. ob und wie Business-IT-Alignment unterstützt wird. Im einführenden Abschnitt sollen die Begriffe der Governance erläutert und abgegrenzt sowie ihr Zusammenwirken im Rahmen des Business-IT-Alignments 1 Der Stakeholder-Ansatz setzt die Auseinandersetzung der Unternehmensführung mit den zum Teil konfliktären Interessen aller wirtschaftlichen und gesellschaftlichen Interessengruppen voraus, deren Einfluss im Unternehmen institutionalisiert werden soll

6 2. Unternehmenssteuerung und IT verdeutlicht werden. Im Hauptabschnitt wird das Framework COBIT und dessen wichtigste Element vorgestellt, wobei anschließend die Rolle von COBIT für Business- IT-Alignment geklärt werden soll. Unternehmenssteuerung und IT Die zunehmende Dynamik der Umwelt, die u.a. auch auf wachsende Globalisierungstendenzen zurückzuführen ist, hat eine Entkopplung der Großunternehmen aus dem staatlichen Gefüge bedingt. 2 Dies bedeutet eine gleichzeitige Verschiebung von Kontrollmechanismen zugunsten von Interessensgruppen der Unternehmung, aber auch zunehmend hin zu internen Regelungssystemen. Desweiteren tritt bei den Aktionärsgesellschaften, der häufigsten Rechtsform bei Großunternehmen und Konzernen, die sog. Principal- Agent-Problematik auf. Die durch die Principal-Agent-Theorie 3 postulierten Interessenskonflikte und Informationsasymmetrien bestimmen die Beziehung zwischen den Unternehmenseigentümern und dem von ihnen eingesetzten Management. 4 Die Unternehmensverfassung hat also einerseits ihren Zweck in der Erhaltung der Kontrollmöglichkeiten der Eigentümer, andererseits stellt sie auch eine Grundlage zur Klärung, Festlegung und Durchsetzung von Verantwortlichkeiten, Entscheidungsbefugnissen und Prozessen 5 dar. Langfristig wird durch diese Selbstregelung die Sicherung des Unternehmenserfolgs angestrebt und damit den Interessen der Eigentümer und anderer Stakeholder Rechnung getragen. Die Vorgaben und Regelungen der Führungsebene lassen sich zu Richtlinien und Strategien für alle unternehmerischen Ebenen herunterbrechen und wirken auf diese Weise zielweisend für die gesamte Unternehmung. Im Folgenden sollen die Begriffe der Unternehmenssteuerung bis hin zur Ebene der IT-Infrastruktur geklärt, von einander abgegrenzt sowie ihre Zusammenwirkung beleuchtet werden. 2 Vgl. Rüter (2006(, S. 7 3 Vgl. Principal-Agent-Theorie,Meyers Lexikon Online 4 Vgl. Principal-Agent-Theorie,Meyers Lexikon Online 5 Rüter (2006), S

7 2. Unternehmenssteuerung und IT Corporate Governance Der Begriff Corporate Governance hat sich in den letzten Jahren international etabliert und wird in der Literatur zunächst dem allgemeinen Begriff des Enterprise Governance untergeordnet. Letztere wird als Bündel an Verantwortlichkeiten und Aktivitäten verstanden, die durch den Vorstand und das ausführende Management mit dem Ziel der Strategiefestlegung wahrgenommen werden. Dabei soll die Strategie gewährleisten, dass sowohl die vorgegeben Ziele erreicht werden als auch Risiko- und Ressourcenmanagement stattfinden. 6 Um den langfristigen Unternehmenserfolg zu sichern, wird die Enterprise Governance in zwei Dimensionen gesehen. 7 Zunächst wird die Konformität mit gesetzlichen, ethischen oder unternehmensinternen Vorgaben angestrebt und Verantwortlichkeiten werden in einer Ex-post-Betrachtung, also aus dem Audit- Bereich heraus 8, festgelegt. Gleichzeitig muss aber auch die Möglichkeit zur Bewertung der Effizienz der Unternehmensaktivitäten in Form eine[r] laufend aktualisierte[n] Quelle von Kennzahlen verfügbar sein 9. Diese werden aus der Ex- Ante-Perspektive in der Betrachtung von Ressourceneinsatz und Leistungserstellung untersucht. 10 Nur die Unternehmen, die den Drahtseilakt zwischen Marktleistung und Anpassung schaffen, können langfristig wettbewerbsfähig bleiben und ihre Marktstellung sichern oder ausbauen, weil sie das Richtige auf die richtige Weise tun 11. Es erfordert also ein ausbalanciertes Verhältniss zwischen der Einhaltung gesetzlicher Anforderungen und gleichzeitiger ökonomischer Effizienz. In diesem Sinne geht Enterprise Governance über strategische Führung hinaus, da dieses Konzept sich vor allem mit dem Zusammenwirken von Führungskomponenten, komplexen Strukturen und Unternehmensprozessen auseinandersetzt und deren reibungslose Abstimmung fordert ITGI (2003b), S.7 (in eigener Übersetzung) 7 Vgl. Hamaker, Hutton ISCJ Vol. 6, Vgl. Niemann (2005), S Niemann (2005), S Vgl. Brand, Boonen (2004), S Parkinson, Baker ISCJ Vol , (in eigener Übersetzung) 12 Vgl. Hamaker, Hutton ISCJ Vol. 6,

8 2. Unternehmenssteuerung und IT Abbildung 2-1: Enterprise Governance Architecture (Quelle: Hamaker, Hutton 2003) In diesem Konstrukt eingebettet befindet sich die Corporate Governance (siehe Abbildung 2-1). Während die Enterprise Governance das gesamte Haftungsgefüge zwischen Führungsaufgaben und Anspruchsgruppen beleuchtet 13, legen im Rahmen der Corporate Governance die Mitglieder des Unternehmensvorstands und des Führungsstabs fest, welche Standards beziehungsweise spezielle Rahmenbedingungen für Strukturen und Prozesse der Führung, Verwaltung und Überwachung 14 des Unternehmens notwendig sind. Es geht also präzise formuliert um die Trennung von Eigentümerschaft und Kontrolle 15. Der Begriff der Unternehmensführung wird hier normativ ausgelegt und zielt wiederum auf die Wahrung von Interessen der Aktionäre und weiterer Anspruchsgruppen ab 16. Dazu gehört neben den Arbeitnehmern, Kunden und Lieferanten auch der Staat (Abbildung 2-1), dessen Einflussstruktur auf die multinationalen Unternehmen sich stark gewandelt hat. Nur durch Berücksichtigung dieser möglicherweise konfliktären Interessen kann ein langfristiger Unternehmenserfolg im Sinne der Enterprise Governance erzielt werden. Damit werden durch Corporate Governance letztendlich die Festlegung der Unternehmensziele und ihre strategische und operative Umsetzung gefördert. 17 Die Anspruchsgruppen des Unternehmens fungieren dann als Kontrollmechanismus in letzter Instanz. Somit bedingt die interne Ausrichtung auf die Unternehmensumwelt einen langfristigen kulturellen Wandel, der alle Bereiche der Firma erfasst und beeinflusst. 13 Vgl. Hamaker, Hutton ISCJ Vol. 3, Corporate Governance, Meyes Lexikon Online 15 Goltsche (2006), S Vgl. Corporate Governance, Online-Verwaltungslexikon 17 Vgl. Rüter (2006), S

9 2. Unternehmenssteuerung und IT Für die Corporate Governance existiert eine Reihe von Regelwerken, die ihre Umsetzung aus verschiedenen Blickwinkeln beleuchten. In Deutschland werden im deutschen Corporate Governance Kodex insbesondere die Rechte der Aktionäre, die der Gesellschaft das erforderliche Eigenkapital zur Verfügung stellen und das unternehmerische Risiko tragen 18, in Augenschein genommen. Die OECD-Leitsätze für multinationale Unternehmen stellen unverbindliche Empfehlungen der Regierungen an multinationale Unternehmen 19 dar und liefern dabei lediglich einen Mindeststandard, da nur zur Einhaltung gesetzlich geschützter Rechte der Stakeholder aufgerufen wird 20. Als wichtige Einflußgrößen setzen sich die Richtlinien der Corporate Governance bis hin zu Unternehmens- und damit auch IT-Strategie fort und wirken sich auf die IT- Prozessebene aus. Die Art und Weise dieser Interaktion zwischen Unternehmenssteuerung und informationstechnologischer Strategieplanung soll in Abschnitt 2.3 (Strategisches IT-Alignment) näher erläutert werden. Zunächst soll die IT-Strategieentwicklung im Rahmen der IT-Governance definiert werden. IT-Governance Der Einsatz von Informationstechnologien hat in der Vergangenheit stark zugenommen und zu einer Abhängigkeit der Unternehmen von der IT geführt. Gerade große, multinational agierende Unternehmen und Konzerne setzen komplexe Systeme in allen Bereichen der Unternehmenstätigkeit ein, um Prozesse zu beschleunigen und zu vereinfachen. Die Rolle der IT wird als eine integrierende und verbindende Komponente definiert 21 und ihr vermehrter Einsatz impliziert die Notwendigkeit IT schwerpunktmäßig in die Betrachtung einzubeziehen 22. Aufgrund der vielfältigen Anforderungen, die sich durch die dynamische Umwelt an die Unternehmen stellen, kann auch die Konzeption und Aktualisierung von IT nicht unabhängig von kurz- und langfristigen Unternehmenszielen erfolgen und wird somit ebenfalls zur strategischen Führungsaufgabe 23. Während das IT Management die Verfügbarkeit und Effizienz von IT-Dienstleistungen in das Zentrum der Betrachtung 18 Deutscher Corporate Governace Kodex Präambel 19 OECD (2000), S Vgl. Corporate Governance, Online-Verwaltungslexikon 21 Vgl. Rüter (2006), S Vgl. Kordel ISCJ Vol Vgl. Henderson, Venkatraman ISJ Vol , S

10 2. Unternehmenssteuerung und IT rückt 24, verfolgt IT-Governance weiterführende und umfassendere Ziele für die Führung und Kontrolle der IT 25. In diesem Sinne formuliert das IT-Governance Institute (ITGI) folgende Definition für die IT-Governance: IT-Governance is the responsibility of the Board of Directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization s IT sustains and extends the organization s strategy and objectives. 26 Die sich daraus ergebenden primären Ziele der IT-Governance sind demnach die strategische Ausrichtung der IT an den Unternehmenszielen, Bewertung und Kontrolle der IT-Leistung sowie IT-Risikomanagement. 27 Goltsche behauptet, dass IT-Governance durch Integration von Best-Practice-Modellen den Unternehmen ermöglicht den Nutzen aus vorliegenden Informationen in vollem Umfang abschöpfen und dadurch einen Wettbewerbsvorteil erzielen zu können 28. Damit lässt sich als Ziel der IT-Governance auch die Generierung eines Wertbeitrages für das Unternehmen ableiten 29. Eine unzureichende Beschäftigung mit den Fragen der IT- Governance könnte einen negativen Effekt auf die Marktstellung und damit den Fortbestand einer Unternehmung haben, da Anforderungen der Unternehmensstrategie an die IT unberücksichtigt blieben. Praktisch ergeben sich daraus nach Parkinson/Baker 30 drei zentrale Bereiche der IT- Governance: Führung, Organisation und Prozesse. Die Führungskomponente soll Visionen formulieren und Verantwortlichkeiten festlegen, während die organisatorische Komponente den strukturellen Aufbau von personellen und physischen Unternehmensressourcen sicherstellen soll. Anhand von anerkannten Standards und Abläufen sollen innerhalb der Prozesskomponente individuelle Vorgehensmodelle entwickelt werden. 24 Vgl. De Haes, Van Grembergen ISCJ Vol Goltsche (2006), S ITGI (2003b), S Vgl. Johnson ISCJ Vol Vgl. Goltsche (2006), S Vgl. Gaulke, in Froschle, Strahlinger (2006), S Vgl. Parkinson, Baker ISCJ Vol

11 2. Unternehmenssteuerung und IT Henderson/Venkatraman argumentieren bezüglich der Notwendigkeit für die IT- Governance, dass ein Wettbewerbsvorteil durch IT nur dann entstehen kann, wenn die Unternehmung diese langfristig zu ihrem Vorteil instrumentalisieren kann 31. Das beste und ausgefeilteste System kann also ohne einen adäquaten Umgang damit nicht optimal ausgeschöpft werden. Damit wird deutlich, dass erfolgreiche IT- Governance die Voraussetzung für das Verständnis der Rolle der IT für den Unternehmenserfolg darstellt und ihre Implementierung im höchsten Maße erfolgswirksam ist. In diesem Sinne ist der Umgang mit der Informationstechnologie ein wichtiger integrativer Bestandteil der Corporate-Governance-Grundsätze 32. Strategisches IT-Alignment Aus der Abhängigkeit von Corporate Governance und IT-Governance resultiert die Notwendigkeit einer Anpassung und strategischer Ausrichtung an gemeinsamen Zielen. Um der signifikanten Rolle der IT für die Unternehmenssteuerung gerecht zu werden, genügt eine einseitige Betrachtung der IT-Strategieanpassung in der Regel nicht. Als strategische Komponente nimmt auch die IT ihren Einfluss auf die Geschäftsstrategie und bedingt dessen Fortentwicklung oder Änderung. Wie die Abbildung 2-2 verdeutlicht, bedeutet strategisches Alignment eine gleichzeitige Abstimmung der Geschäfts- und IT-Strategie mit Ausrichtung auf die Unternehmensziele. Während die IT-Strategie die Geschäftsstrategie unterstützt, wird im Rahmen der Geschäftsstrategie versucht sinnvolle Vorgaben für die IT- Strategie zu definieren. Es entsteht ein kontinuierlicher Kreislauf der gegenseitigen Anpassung zum Vorteil der Unternehmensleistung. 31 Vgl. Henderson, Venkatraman ISJ VOl , S Vgl. Sury 2005, S

12 2. Unternehmenssteuerung und IT Abbildung 2-2: Strategisches Alignment (Quelle: eigene Darstellung nach Masak 2006, S. 166) Herderson/Venkatraman folgern aus dieser Erkenntnis, dass IT-Investitionen nur durch erfolgreiches Alignment zur Unternehmenswertsteigerung beitragen können und plädieren für die Optimierung der Ausrichtung der internen Unternehmensstruktur an den extern determinierten Marktentscheidungen der Unternehmensführung 33. Damit ist die klassische Empfehlung einer Ausrichtung der IT-Infrastruktur an der organisatorischen Unternehmensstruktur lediglich eine der Komponenten von strategischem Alignment. Den vollen Umfang dieses Konzeptes zeigen Herderson/Venkatraman in Ihrem Strategic Alignment Model (SAM) (siehe Abbildung 2-3). Strategisches Alignment wird in zwei Dimensionen, der strategischen und der operativen Integration, gesehen. Auf der externen Ebene wird die strategische Ausrichtung der Unternehmung und der Informationstechnologie determiniert und auf einander abgestimmt, während auf der internen Ebene organisatorische Strukturen und Prozesse sowohl der Unternehmung als auch der IT festgelegt werden. Es wird also nicht nur zwischen der unternehmensinternen Dimension und der von der Umwelt direkt beeinflussten externen Dimension unterschieden, sondern auch funktionsübergreifend zwischen den Bereichen Unternehmen und Informationstechnologie. Diese Unterteilung impliziert, dass strategisches Alignment ebenso vielseitig zu sehen und durchzuführen ist. Die Anpassung findet daher in mehreren Konstellationen statt. 33 Vgl. Henderson/Venkatraman ISJ Vol , S. 472/

13 2. Unternehmenssteuerung und IT Abbildung 2-3: Strategic Alignment Model (in Anlehnung an: Henderson,Venkatraman 1993,S.476) Die strategische Integration zielt auf die Generierung eines Wettbewerbsvorteils ab, während die operative Integration die Voraussetzungen für die Strategieumsetzung schaffen muss 34. Die Anpassung kann innerhalb des SAM fallweise vier Perspektiven annehmen. Wird eine Unternehmensstrategieumsetzung angestrebt, so muss zunächst die organisatorische Struktur und dann die IT-Infrastruktur angepasst werden. Im Falle einer Technologietransformation soll die IT-Strategie integriert und wiederrum operativ in Form der IT-Infrastruktur umgesetzt werden. Will die Unternehmung dagegen Wettbewerbspotentiale erschließen, so wird die Unternehmensstrategie an der IT-Strategie ausgerichtet und die operative Anpassung findet in Form von Unternehmensreorganisation statt. Als letzte Möglichkeit wird der Fall der Anpassung der Dienstleistungsebene beschrieben. Hier wirkt die nahe an den Marktanforderungen formulierte IT-Strategie als Anstoß für Veränderungen der IT- und damit auch der Organisationsinfrastruktur. Im Kern zeigt dieses Modells, dass die IT-Steuerung eine Transformation von der internen hin zur externen Sichtweise annehmen muss 35. Die Erkenntnis des Einflusses von IT-Strategie auf Marktergebnisse postuliert eine unbedingte Notwendigkeit für strategisches Alignment und impliziert eine Auseinandersetzung 34 Vgl. Henderson/Venkatraman ISJ Vol , S. 476/ Vgl. Henderson/Venkatraman ISJ Vol , S

14 3. COBIT mit den vier Perspektiven des Alignments und ihrer situativen und firmenindividuellen Anwendung. COBIT Die operative Umsetzung der Forderungen der IT-Governance gestaltet sich aufgrund der Komplexität der Unternehmensprozesse und der Dynamik der Umwelt eher schwierig. Um den Anforderungen gerecht zu werden, muss eine systematische und einheitliche Vorgehensweise für die Steuerung der IT gefunden werden. Gerade die Haltung und Nutzung von privaten Kundendaten hat zur Herausgabe von gesetzlichen Regelungen durch nationale Regierungen und andere Institutionen geführt. Mit der Entwicklung und zunehmender Reife des IT-Sektors wurde die Notwendigkeit für Standards offensichtlicher und förderte eine Reihe von öffentlich zugänglichen Regelwerken zutage, die sich mit der Rolle der IT auseinandersetzen. Dazu zählen u.a.: ITIL ISO / ISO COSO COBIT Bevor COBIT in das allgemeine Gerüst der IT-Governance eingeordnet und näher erklärt werden kann, sollen diese Regelwerke zunächst kurz vorgestellt werden. ITIL ITIL (Information Technology Infrastructure Library) wurde durch die Institution OGC (Office of Covernment Commerce) der britischen Regierung entwickelt und ist zu einem der am meisten verbreiteten Standards avanciert. ITIL bietet eine umfassende Sammlung an Organisationsstrukturen und Vorgaben für die Fähigkeiten des IT- Bereichs 36. Von den acht Büchern der ITIL werden insbesondere die Bücher Service Delivery und Service Support am häufigsten benutzt. ITIL basiert auf der Erkenntnis der zunehmenden Abhängigkeit der Unternehmen von IT und postuliert 36 Vgl. ITIL, IT-Governance and the Political Dimension

15 3. COBIT damit das Bedürfnis für hochqualitative IT-Dienstleistungen 37. Die ITIL Bücher sollen eine Anleitung für die Implementierung und Steuerung von effizienten, gut dokumentierten Prozessen zur Unterstützung der Geschäftsziele durch IT darstellen. Somit steht das strategische Alignment im Vordergrund, wobei ITIL beschreibt wie die zu erfüllenden Aufgaben angegangen werden sollten 38. ITIL fokussiert die Bedeutung der wirtschaftlichen Erfüllung der Unternehmensanforderungen 39, in dem eine Service- und Kundenorientierung angestrebt wird. Insofern stellt ITIL ein Vorgehensmodell für IT-Management dar. ISO Die ISO ist ein international anerkannter Informationssicherheitsstandard, in dem Best-Practice-Ansätze definiert werden. ISO wurde im Jahre 2000 erstmals veröffentlicht und bezieht sich hauptsächlich auf das IT-Risikomanagement. Die Entwicklung dieser Norm zum Marktsignal fördert dessen Fortentwicklung. Dieser internationale Standard hat in 2005 die letzte Revision erfahren. Genau wie COBIT legt ISO fest, welche Ziele erreicht werden sollten 40. COSO COSO (Committee of Sponsoring Organizations of the Treadway Commission) bezieht sich im Sinne von Governance-Grundsätzen auf die Effektivität und Effizienz von Prozessen und deren Konformität mit gesetzlichen Vorgaben 41. COSO definiert damit interne Kontrolle als einen kontinuierlichen Prozess, dessen Durchführung durch die verantwortlichen Personen bestimmt wird. 37 Vgl. About ITIL, ITIL Offizielle Website 38 Vgl. Froschle, Strahlinger (2006), S Andenmatten, in Bitterli (2006), S Vgl. Froschle, Strahlinger (2006), S Vgl. COSO Internal Control Definition

16 3. COBIT Abbildung 3-1: Einordnung (eigene Dartellung in Anlehnung an E.A. Oud ICSJ Vol ) Die Reichweite dieser Konzepte bleibt zunächst beschränkt auf ihre jeweiligen Schwerpunkte. Eine grobe Einteilung kann dabei anhand ihrer Orientierung an IT Management und IT-Governance vorgenommen werden (Abbildung 3-1). Während IT Management ein eher gegenwartsorientiertes und unternehmensinternes Konzept darstellt, wird im Rahmen von IT-Governance eine unternehmensexterne und zukunftsgewandte Perspektive eingenommen. Obwohl es keinen Standard gibt, der alle Aspekte von IT Management, IT Sicherheit und IT Qualität abdeckt 42 (siehe Tabelle 3-1), kann COBIT im Vergleich als ein allgemein anwendbares und umfassenderes Regelwerk verstanden werden, das die verwandten, spezielleren Konzepte integriert und alle Aspekte von IT-Governance anspricht 43. Durch Abwandlung und Anpassung wurde die Entwicklung von COBIT hin zu einem weltweit anerkannten Standard vorgezeichnet. Dieses Konzept beschäftigt sich als Einziges mit Kontrollaspekten von IT aus der unternehmerischen Perspektive 44. Die Notwendigkeit für die Berücksichtigung aller anerkannten Standards hat aber dazu geführt, dass eine enge Verbindung von COBIT zu anderen Konzepten in Form von inhaltlicher Zuordnung in aktuellen Veröffentlichungen der ISACA angestrebt wird. 42 Oud ISCJ Vol Vgl. IT-Governance Global Status Report 2004, S Vgl. FAQs;

17 3. COBIT Tabelle 3-1: Konzepte im Vergleich (Quelle: IT-Governance Global Status Report 2004, S ) Ursprung und Entwicklung von COBIT Das Referenzmodell COBIT wurde 1996 von dem Berufsverband Information Systems Audit and Control Association (ISACA) ausgearbeitet und eingeführt. ISACA ist eine Non-Profit-Organisation, die sich im Jahre 1969 aus einer kleinen Gruppe von Angestellten im IT Bereich entwickelt hat. 46 Seit ihrer Entstehung hat ISACA nicht nur zahlreiche Mitglieder hinzugewonnen, sondern setzt in Zusammenarbeit mit dem angegliederten IT-Governance Institute (ITGI) Standards im Bereich der IT-Kontrolle und IT-Steuerung. Mit der Entwicklung von COBIT verfolgte ISACA das Ziel ein Regelwerk für die Kontrolle und Sicherheit von IT zu erstellen und Anforderungen und Risiken für alle Managementebenen zu definieren 47. COBIT stellt somit eine Verbindung zwischen strategischen Unternehmensvorgaben und Fragen der Kontrolle von IT und ihrer technischen Umsetzung dar 48. Dabei hat sich ein Wandel in der Sicht auf COBIT vollzogen, indem das ursprüngliche Audit-Werkzeug zunehmend als Anleitung für die Verbesserung von IT-Steuerung und damit als Referenzmodell für IT-Governance verstanden wird 49. Die Anpassung von COBIT erfolgte bisher in drei Schritten, die dessen Evolution von einem Audit-Instrument hin zu einer schwerpunktmäßigen Ausrichtung an der IT 45 Verkürzte Darstellung 46 Vgl. ISACA Overview and History, ISACA Offizielle Website 47 Vgl. Bitterli (2006), S Vgl. FAQs; 49 Vgl. Hardy, Guldentops ISCJ Vol

18 3. COBIT Governance vorgezeichnet haben wurde das COBIT-Konzept vollständig überarbeitet und im Jahr 2000 in der 3. Version um für die IT-Governance relevante Aspekte erweitert. COBIT 4.0 wurde Ende 2005 veröffentlicht, nach dem Ergebnisse von Forschungsprojekten integriert wurden. Das aktuellste Update stellt COBIT 4.1 dar. Struktureller Aufbau von COBIT Wie im einleitenden Teil dieses Abschnittes bereits erwähnt, unterstützt COBIT das Konzept der IT-Governance und soll ein Instrument für deren operative Umsetzung darstellen. COBIT hilft bei der Erfüllung der IT-Governance-Kriterien (Tabelle 3-1), in dem die Orientierung an der Unternehmensstrategie als Ansatzpunkt für die prozessund ressourcenbasierte Sichtweise postuliert wird. Dieser Kriterienkatalog stellt eine Lebenszyklusbetrachtung dar, in dem die Kategorie der Bewertung und Überwachung den Kreislauf abschließt 50. Tabelle 3-2: Kriterien der IT-Governance (Quelle: in Anlehnung an COBIT 4.0, S ) COBIT beschreibt einen Kreislaufzusammenhang zwischen Unternehmensanforderungen, IT-Ressourcen und IT-Prozessen. Daraus entsteht der Grundsatz, dass um die Informationen bereitzustellen, die das Unternehmen zur Erfüllung seiner strategischen Ziele benötigt, [ ] IT-Ressourcen gesteuert und kontrolliert werden [müssen], in dem strukturierte IT-Prozesse eingesetzt werden. 52 Die Grundannahme des COBIT-Konzeptes legt fest, dass jedes Unternehmen die Anforderungen der Qualität, der Sicherheit und der Ordnungsmäßigkeit auch für 50 Vgl. Kordel ISCJ Vol in eigener Übersetzung, verkürzte Darstellung 52 ITGI (2005), S.11 (in eigener Übersetzung)

19 3. COBIT dessen Informationen erfüllen muss 53. Daraus ergeben sich insgesamt sieben Unterkriterien für die o.g. Oberkategorien. Qualitätsansprüche implizieren die Kategorien Effektivität und Effizienz. Sicherheit wird durch Vertraulichkeit, Integrität und Verfügbarkeit erreicht und Ordnungsmäßigkeit verlangt Zuverlässigkeit und Konformität. Wird diesen Kriterien entsprochen, so unterstützt die Bereitstellung der Informationen die strategischen Entscheidungen der Führungsebene. Somit lassen sich mithilfe dieser Kriterien, die den Unternehmenszielen entsprechenden, IT-Ziele definieren. Geht es aber um die Ausrichtung der Unternehmensarchitektur für IT an den IT- Zielen so kommen die IT-Ressourcen und IT-Prozesse ins Spiel. IT-Prozesse sind das Bindeglied zwischen IT-Zielen und IT-Ressourcen, die sich aus Informationen, Anwendungen, der Infrastruktur und dem Personal bilden. Jede Ressource benötigt eine adäquate Prozessstruktur, um optimal gesteuert zu werden. Außerdem muss zielorientiert in die Ressourcen der Unternehmung investiert werden, um diese optimal zu gestalten. Die Anpassung der Prozesse an die vier Ressourcenkategorien definiert somit die Unternehmensarchitektur für IT. Die letztendliche Ausrichtung der Unternehmensarchitektur an den IT-Zielen schließt den grundlegenden Kreislauf des Alignments. Der COBIT Kubus (siehe Abbildung 3-2) zeigt auf, dass sowohl die Informationskriterien als auch die IT-Ressourcen und IT-Prozesse eine enge Verbindung haben. Die IT-Ressourcen werden durch die IT-Prozesse unterstützt, um die IT-Ziele entsprechend den Informationskriterien zu erreichen. Der COBIT Kubus stellt somit ein Instrument für die Umsetzung der IT-Governance dar. 53 Vgl. IT-Governance Global Status Report 2004, S

20 3. COBIT Abbildung 3-2: Der COBIT Kubus (Quelle: in Anlehnung an COBIT 4.0, S. 23) Die Gestaltung der IT-Prozesse, die den Ressourcen zugrundeliegen, wird nach COBIT in vier Domains eingeteilt. Diese Domains entsprechen der traditionellen Aufteilung der Verantwortlichkeiten von IT in die Bereiche plan, build, run und monitor und liefern ein Referenzmodell für alle Beteiligten im Unternehmen 54. Den Domains werden 34 kritische Prozesse untergeordnet. In der Domain Planung und Organisation (PO) erfolgt die Festlegung der Strategie und Taktik und [ ] die Bestimmung der Art, wie die Informationstechnologie am besten zur Erreichung der Geschäftsziele beitragen kann 55. Außerdem soll die Szenarioplanung durchgeführt und an die Mitarbeiter kommuniziert werden. Die Domain Beschaffung und Implementierung (AI) beschäftigt sich mit der Entwicklung oder Beschaffung von IT-Lösungen und deren Implementierung 56. Die tatsächliche Bereitstellung der geforderten IT-Leistungen wird in der Domain Betrieb und Unterstützung (DS) verdeutlicht. Hier werden Fragen der Sicherheit, des kontinuierlichen Betriebes sowie des Kostenmanagements bearbeitet und die Schulung der Benutzer geplant. 54 Vgl. ITGI (2005), S Bitterli (2006), S Vgl. Bitterli (2006), S

21 3. COBIT Die letzte Domain Überwachung und Beurteilung (ME) ist die Kontrollinstanz der vorhergehenden Bereiche. Die Leistungsfähigkeit der IT und die Konformität sollen hier anhand von Kontrollzielen bewertet werden. Die Hauptstruktur des COBIT 4.0 gliedert sich in drei Bereiche. Es werden die Elemente Kontrollziele, Management Guidelines und Reifegradmodelle unterschieden, die in den folgenden Abschnitten näher erläutert werden sollen. Control Objectives COBIT verfügt über eine sehr detaillierte Ausarbeitung der Kontrollziele, die nach Bitterli als Aussage[n] zu gewünschtem Resultat 57 einer Aktivität definiert sind. Zunächst werden zu den vier COBIT-Domains die jeweiligen übergeordneten Kontrollziele und deren Zuordnung zu Informationskriterien, IT-Ressourcen und IT- Governance-Teilbereich beschrieben. Diese höchste Kontrollzielebenen wird um 318 nachgelagerte Kontrollziele erweitert. Zur Anschauung kann in Anlehnung an COBIT das übergeordnete Ziel PO1 (Plan and Organize 1) Festlegung eines strategischen IT-Plans betrachtet werden. Dieses Ziel dient primär der Anforderung der IT-Governance für strategisches Alignment und kann sekundär auch dem Ressourcenmanagement und dem Risikomanagement zugerechnet werden. Die Sicherstellung der Anpassung der IT an die Unternehmensstrategie erfordert also eine Transparenz in der Darstellung von Nutzen, Kosten und Risiken. Dazu muss IT-Planung in Abstimmung mit der Unternehmensführung erfolgen und die Kapazitäten und Fähigkeiten der IT geprüft werden. Letztendlich wird also die Dimension Qualität der Informationen angesprochen. Primär ist die Unterkategorie Effektivität betroffen, da die Eignung der bestehenden IT-Infrastruktur und IT Prozesse bewertet werden. Damit ist allerdings indirekt, also sekundär, die Effizienz von Informationen von Bedeutung, weil nur effektive Systeme ex-post als auch effizient zu bewerten sind. In diesem Sinne betrifft die Beschäftigung mit diesem Kontrollziel alle IT-Ressourcen, über Anwendungen und Infrastruktur, bis hin zu Personal. PO1 sind sechs weitere Ziele untergeordnet. PO1.2 postuliert beispielsweise die Notwendigkeit für Business-IT Alignment, also die Erzeugung von Synergien zwischen Unternehmen und ihrer IT im 57 Bitterli (2006), S Vgl. ITGI (2005), S

22 3. COBIT Sinne einer Ausschöpfung aller Vorteile, die die IT bietet. Dazu gehört auch die Identifizierung der Bereiche, die kritisch von IT abhängig sind, um gemeinsame Ziele festlegen zu können. PO1.4 beschreibt strategische IT-Planung als Festlegung der Rolle, die IT in der Verwirklichung von Unternehmensstrategie spielen soll und in welcher Form Ergebnisse beurteilt und durch Stakeholder bewilligt werden sollen. Die grobe und detaillierte Festlegung der Ziele in den vier Domains stellen sicher, dass die IT-Eben adäquat und systematisch kontrolliert wird 59. Den Anstoß zur Umsetzung findet die IT-Führungsebene in den Management Guidelines. Management Guidelines Die Management Guidelines sind in COBIT 4.0 integriert worden und stellen eine Verbindung zwischen IT-Governance und den Kontrollzielen her 60. Sie sind genau wie die Kontrollziele allgemein gehalten und gliedern sich systematisch in drei Aussagenbereiche. Zunächst werden für das übergeordnete Ziel Inputs anderer Kontrollziele oder auch externe Inputs aufgelistet. Danach werden Outputs des betrachteten Kontrollziels definiert, die für andere Ziele bedeutsam sind. Diese Verbindung einzelner Domains entspricht dem COBIT-Kreislaufmodell der IT-Prozesse (Abbildung 3-3), nach dem die nachfolgende Domain jeweils aus der vorhergehenden entsteht. Gemäß dem Managementzyklus 61 sind so die einzelnen Prozesse einander zeitlich nachgelagert, erlauben aber z. T. Rücksprünge. Die letzte Domain Monitor and Evaluate schließt somit den Kreislauf mit einer Bewertung ab. Ein weiterer Bestandteil der Management Guidelines sind die RACI-Charts. Dieses Element bezieht sich auf die jeweiligen Unterziele und die Personen bzw. Bereiche, die diese ausführen. Die Zuordnung der Aufgaben erfolgt nach dem Schema verantwortlich (R), haftbar (A), konsultiert (C) und informiert (I), sodass jeder betroffenen Position im Unternehmen das zugehörige Attribut tabellarisch zugeschrieben wird. Im Fall des bereits erwähnten Unterziels PO1.2 ist der CIO verantwortlich und haftbar für die Identifizierung der kritischen Abhängigkeiten und 59 Vgl. ITGI (2006b), S Vgl. ITGI (2006b), S Vgl. Management-Zyklus nach Hostraken, Kranendonk (1988) in Goltsche (2006), S

23 3. COBIT der IT-Leistung. Ebenfalls verantwortlich ist das ausführende Management. Der CEO und der CFO werden im Rahmen dieser Aufgaben konsultiert. Der dritte Bereich der Management Guidelines sind Ziele und Metriken, die in einer Kaskadendarstellung von der operativen Umsetzung und Beurteilung der konkreten Aufgaben über die Prozessebene hin zur IT-Zielebene führen. Jeder Ebene werden dabei Messinstrumente zugeordnet, die die Bewertung erleichtern sollen. Für die Metriken sieht COBIT auf jeder Ebene Key Performance Indicators (KPI) vor, die Anhaltspunkte zur Messung des Erreichten auf der jeweiligen Zielebene bieten. KPI der untergeordneten Ebene werden zu Key Goal Indicators (KGI), also zu Beschreibungen der Ergebnisse von Prozessen, für die übergeordnete Ebene 62 (Abbildung 3-3). Diese dienen daher der Identifizierung von Lücken in der Ausrichtung und dadurch der Verbesserung und Anpassung der Zielebene. Ein weiteres Instrument zur Prozessoptimierung stellen die Critical Success Factors (CSF) dar, in dem sie die kritischen Aktivitäten nennen, die zur Erreichung des angestrebten Prozessergebnisses unbedingt notwendig sind. Abbildung 3-3 zeigt am Beispiel des Kontrollzieles DS5 Sicherstellung der Systemsicherheit wie KPI und KGI in einander greifen und über COBIT hinaus eine Wirkung auf die Unternehmensebene ausüben. Es besteht hier ein enger Zusammenhang zwischen Prozess-, IT- und Unternehmensebene, wobei die COBIT Metriken messbare Ergebnisse für jede Ebene definieren. Damit beeinflusst dieses Vorgehensmodell die Leistungsfähigkeit der IT durch konsequente Anpassung der operativen Aufgabenebenen an die IT-Ziele und damit an die Geschäftsanforderungen 63. Durch die Standardisierung der Messung für alle Kontrollziele ergibt sich ein transparentes und objektives Bild der Zusammenwirkung von IT- und Geschäftsstrategie. 62 Vgl. ITGI (2005), S Vgl. ITGI (2005), S

24 3. COBIT Abbildung 3-3: Zusammenwirkung von COBIT-Metriken (Quelle: in Anlehnung an Van Grembergen et al., in: Bitterli 200, S. 75) Reifegradmodelle Zu jedem der 34 Kontrollziele liegen Reifegradmodelle vor. Dabei wird das Unternehmen auf einer sechsstufigen Skala darauf hin bewertet, wie der derzeitige Status des betrachteten Prozesses ist und dann mit dem Industriedurchschnitt verglichen. Das Ziel ist eine bestimmte überdurchschnittliche Positionierung. Die einzelnen Maturitätsstufen 64 werden wir folgt verteilt: 0. Managementprozesse sind nicht-existent 1. Prozesse sind spontan und unorganisiert 2. Prozesse laufen nach Vorlage 3. Prozesse sind dokumentiert und kommuniziert 4. Prozessüberwachung und -messung findet statt 5. Bewährte Verfahren werden eingesetzt, optimiert und automatisiert Konkret auf den betrachteten Prozess bezogen, werden typische Situationsbeschreibungen für jede Maturitätsstufe gegeben, um die Situation der eigenen Unternehmung besser einordnen zu können. Die existierenden Fähigkeiten des Unternehmens dürfen jedoch nicht in einem bestimmten Bereich eindimensional gesehen werden 65. Die durch das Unternehmensleitbild und die IT-Ziele definierten Vorgaben müssen ebenfalls auf ihre Durchführung geprüft werden. Das bloße 64 Bitterli (2006), S Vgl. ITGI (2005), S

25 3. COBIT Vorhandensein von Vorgaben reicht nicht aus. Es ergeben sich demnach drei Perspektiven auf die Reifegradbetrachtung. Neben den Vorgaben für die Art und Weise von Prozessen muss auch die Abdeckung der Systeme festgelegt werden, da nicht alle Elemente automatisch der gleichen Behandlung bedürfen. Der Grad der Abdeckung wird primär durch ROI (Return on Investment) und Kosteneffizienz bestimmt, die von einem System erwartet werden. Außerdem sollte durch eine Abstimmung mit der Risikoaffinität und den Konformitätsanforderungen der Unternehmung, der Grad der Kontrolle determiniert werden. Abbildung 3-4: Das Rahmenwerk COBIT (Quelle: in Anlehnung an ITGI 2005, S. 24) In Anlehnung an den COBIT Kubus (Abbildung 3-2) lässt sich das gesamte Gefüge von COBIT graphisch in seinen Zusammenhängen darstellen. Aus der Zusammenwirkung der einzelnen Elemente ergibt sich ein Konzept, dass in seiner Ausrichtung auf die IT-Governance auch der strategischen Ausrichtung der IT an Grundsätzen der Corporate Governance dienlich ist. Inwiefern COBIT ein Bindeglied zwischen den Governance-Konzepten darstellt soll im folgenden Abschnitt untersucht werden

26 3. COBIT Strategisches Alignment durch COBIT Als das ausschlaggebende Element 66 für IT-Governance ist strategisches Alignment eine sehr komplexe und schwer strukturierbare Aufgabe. COBIT orientiert sich bewußt eng an den einzelnen Aufgabenbereichen der IT-Governance und ist somit ein effektives Instrument für die Umsetzung der Vorgaben der IT-Governance. Der IT-Governance Life Cycle (Abbildung 3-4) verdeutlicht in welcher Weise COBIT die Bereiche der IT-Governance unterstützt und welche übergeordneten Ziele letztendlich mit der Umsetzung von COBIT verfolgt werden. Grundsätzlich bietet COBIT zwei Sichtweisen auf Kontrolle die Perspektive des Managements und die Perspektive der Sicherheits- und Auditverantwortlichen 67. Der Prozess der Kontrolle orientiert sich an den Aufgaben der IT-Governance, die im inneren Kreis des IT- Governance Life Cycle dargestellt sind. Der Zyklus beginnt mit der Anpassung der IT an die Unternehmensstrategie. Dies gewährleistet COBIT mit der Umsetzung der Kontrollziele und vor allem mit der Definition von KGI, d.h. der Indikatoren für die Abweichungsanalyse für Alignment. Danach wird entsprechend der gewählten Perspektive die Nutzen- oder die Risikoanalyse vorgenommen. Einerseits ist das Management daran interessiert die richtige Vorgehensweise zu identifizieren, um die gesteckten Ziele zu erreichen. Andererseits sind die Sicherheitsbeauftragten vor allem dafür verantwortlich, Risiken zu identifizieren und Präventionsmaßnahmen zu ergreifen. Beide Perspektiven werden durch die in COBIT festgelegten KPI, also die Leistungsmessgrößen, und die COBIT-IT-Prozesse unterstützt. Im nächsten Schritt erfolgt das Ressourcenmanagement. Mithilfe von Reifegradmodellen wird der Statusquo in jedem relevanten Bereich bewusst gemacht und durch die Abweichungsanalyse können notwendige Schritte identifiziert werden. Die Ergebnismessung wird u.a. mit Reifegradmodellen, aber auch unter Einsatz der IT BSC (IT Balanced Scorecard), die die Umsetzung der Strategie in Aktivitäten darstellt 68, durchgeführt. Dabei wird nicht nur die Kostenseite betrachtet, sondern darüberhinaus auch die Prozesseffizienz, die Kundenorientierung sowie die Lernfähigkeit der Unternehmung. Die Betrachtung der Leistungserbringung der IT schließt den Kreislauf der IT-Governance, in dem eine Rückkopplung zum Alignment erfolgt. Konkret bedeutet dies, dass messbare Ergebnisse der festgelegten IT- 66 Van Grembergen et al. ISCJ Vol Vgl. ITGI (2003a), S Vgl. ITGI (2003a), S

27 3. COBIT Strategie nun eine Ex-Post-Betrachtung ermöglichen. Alignment stellt also einen entscheidenden Meilenstein in der Umsetzung der IT-Governance dar und ermöglicht erst die operative Umsetzung der nachgelagerten Elemente. Abbildung 3-5: IT-Governance Life Cycle (Quelle ITGI 2003a, S.19) Bezug nehmend auf SAM (Abschnitt 2.3) lässt sich die Wirkungsweise einer Implementierung von COBIT für das strategische Alignment untersuchen. Durch die Betonung und Umsetzung der Elemente der IT-Governance ermöglicht COBIT die strategische Ausrichtung der internen und externen Bereiche der Unternehmensfunktion IT. Die in COBIT enthaltene Betrachtung der IT-Ressourcen und IT-Prozesse stellt die interne, funktionsübergreifende Verbindung von der Organisations- zur IT-Struktur dar, während mithilfe von Informationskriterien zur Qualität, Sicherheit und Ordnungsmäßigkeit die Brücke zu der externen Ebene der Unternehmensstrategie geschlagen wird. Letzteres bildet die Verbindung von COBIT zur Corporate Governance, da hier die Richtlinien der Unternehmensebene direkt auf die Unternehmensarchitektur für IT, also IT-Ressourcen und IT-Prozesse, wirken. Die Ergebnisse des IT-Governance Life Cycle fließen über das Element Alignment in die Determinierung der IT-Ressourcen und gleichzeitig in die Bildung der Unternehmensstrategie hinein (Abbildung 3-4). Somit ist COBIT ein Bindeglied des strategischen Alignments gemäß SAM

28 3. COBIT Trotz der integrativen Funktion von COBIT für das strategische Alignment sind auch einige Schwächen bzw. Risiken mit der Implementierung diesen Rahmenwerks verbunden. Gerade aufgrund der allgemeinen Formulierung von COBIT, die es ermöglichen soll dieses Konzept auf jede Unternehmung ausrichten zu können, besteht die Gefahr mangelnder Individualisierung. Die sehr ausführliche Festlegung der Kontrollziele kann von der Beschäftigung mit den konkreten Prozessen der anwendenden Unternehmung ablenken 69 und COBIT so letztendlich ineffizient oder schädlich machen. Außerdem bietet COBIT wenige Vorgaben dafür, wie Kontrollziele umgesetzt werden sollen. Die ITGI Publikation COBIT Implementation Guide erläutert zwar in welcher Weise Ziele umgesetzt werden sollen, die individuelle Anpassung an das Unternehmen und die Unternehmensumwelt erfordert jedoch ein weitreichendes Verständnis der Führungsebene für die IT und ihre Rolle im Unternehmen. Die daraus resultierende Komplexität bei der Umsetzung entspricht zwar dem Komplexitätsgrad der Problemstellung, verlangt aber einen verhältnismäßig großen Einsatz an Ressourcen und die Etablierung vieler zusätzlicher Positionen in der Unternehmung. Damit erzeugt COBIT eine bürokratische Prozessgestaltung mit weit verzweigtem Verantwortlichkeitsgefüge. Es lässt sich daher folgern, dass COBIT eine gut strukturierte Vorgehensweise für große und vielschichtige Organisationen bietet, aber keine vollständige Lösung für eher übersichtliche Unternehmen darstellt. Abbildung 3-6: Alignmentparadoxon (Quelle: in Anlehnung an Masak 2006, S. 31) Auch in Bezug auf das sehr stark betonte Alignment ist Vorsicht geboten. Das von Masak beschriebene Alignmentparadoxon (siehe Abbildung 3-6) verdeutlicht die 69 Vgl. Masak (2006), S

29 4. Fazit und Ausblick Problematik einer zu strikten Ausrichtung der IT an der Unternehmensstrategie. Dabei spielt die Dynamik der Umwelt eine große Rolle, da das strategische Alignment die Flexibilität einer Organisation negativ beeinflussen kann. Die graphische Darstellung des Alignmentparadoxons stellt die Entwicklung der unternehmerischen Flexibilität dem Grad des strategischen Alignment gegenüber und identifiziert das optimale Investitionsvolumen für die IT. Je größer die Investitionssumme, desto besser lässt sich die IT an der Unternehmensstrategie ausrichten. Gleichzeitig geht aber auch die Flexibilität verloren, die es ermöglicht auf Änderungen der Umwelt zu reagieren und die IT demensprechend anzupassen. Diesen Zustand bezeichnet Masak als IT-Underutilization und verdeutlicht, dass IT- Kapazitäten nicht mehr optimal ausgeschöpft werden können 70. Wird jedoch zu wenig in IT investiert, so kommt es zum Fall des IT-Shortfalls, in dem die IT nicht mehr ausreichend Einsatzmöglichkeiten zur Strategieumsetzung bietet. Insofern gilt es auch beim Einsatz von COBIT darauf zu achten, dass strategisches Alignment kein erstrebenswertes Ziel an sich darstellt, sondern vielmehr eines ausbalancierten Verhältnisses zur langfristigen strategischen Unternehmensentwicklung bedarf. Fazit und Ausblick Abschließend an die Ausführungen dieser Arbeit lässt sich schlussfolgern, dass COBIT als ein umfassendes Instrument der IT-Governance eingesetzt werden kann, um notwendige Kontrollmechanismen zu implementieren. Dadurch werden langfristig die IT-Prozesse nicht nur optimiert, sondern auch im Rahmen des strategischen Alignment an der Unternehmensstrategie ausgerichtet. Die Zuordnung der Verantwortlichkeiten zu Positionen und IT-Akivitäten verleiht COBIT die notwendige Governance-Fokusierung und ermöglicht eine klare Strukturierung der Governance- Aktivitäten. Dabei müssen Anpassungen des Referenzmodells COBIT an die Unternehmerorganisation, -struktur und -kultur erfolgen, um nicht blind den generischen Mustern des Konzepts zu folgen. Gerade das Alignmentparadoxon zeigt, dass ein differenzierter und bedachter Umgang der Frage des strategischen 70 Masak (2006), S

30 4. Fazit und Ausblick Alignments von großer Bedeutung ist. Die Optimierung der IT im Hinblick auf ihre Wirtschaftlichkeit ist damit eine logische Folge aus der zunehmenden Abhängigkeit der Unternehmen von IT. Trotzdessen, dass COBIT ein sehr umfassendes und weitreichendes Konzept ist, wird die letztendliche operative Umsetzung der Kontrollziele nur mithilfe einiger anderer operativ ausgerichteter Konzepte möglich. So wird COBIT oft zusammen mit ITIL umgesetzt, in dem die formalen Kontrollziele von COBIT mit dem auf Angemessenheit und Flexibilität ausgerichteten Framework von ITIL 71 abgeglichen werden. Auch die ISACA unterstützt die Zusammenwirkung verschiedener Rahmenwerke, in dem weitere Literatur zur paarweisen Anwendung von Konzepten (COBIT Mapping) herausgegeben wird. Die Entwicklung von COBIT wird indes durch die ISACA vorangetrieben. In dem Update COBIT 4.1 vom März diesen Jahres wurden die Inhalte von COBIT optimiert und gestrafft. Die Kontrollziele wurden entsprechend neuer Vorgehensweisen aktualisiert und auf Überschneidungen hin geprüft. Durch eine präzisere Aufteilung von Kontrollzielen innerhalb eines Prozesses wird versucht, das Konzept zu vereinfachen und zu verkürzen. Die Darstellung von COBIT soll also in Zukunft noch verständlicher sein und eine schnellere Anpassung an die Unternehmung ermöglichen. 71 Andenmatten, in Bitterli (2006), S

31 Literaturverzeichnis Literaturverzeichnis Bücher: Bitterli (2006): Bitterli, P. (Hrsg.), Praxishandbuch COBIT, 1.Aufl. Symposion, Düsseldorf, 2006 Brand, Boonen (2004): Brand, K.; Boonen, H., IT-Governance:a pocket guide based on COBIT, 2. Aufl. Van Haren [ ], 2004 Fröschle, Strahlinger (2006): Fröschle, H.-P.; Strahlinger, S. (Hrsg.), IT-Governance,in: HMD(Praxis der Wirtschaftsinformatik) Heft 250, dpunkt.verlag, Heidelberg, 2006 Goltsche (2006): Goltsche, W.: COBIT kompakt und verständlich, 1.Aufl. Friedr.Vieweg & Sohn Verlag, GWV Fachverlage, Wiesbaden 2006 ITGI (2003a): IT-Governance Institute, IT-Governance Implemenation Guide based on COBIT, Rolling Meadows, Ill., USA, 2003 ITGI (2003b): IT-Governance Institute, Board Briefing on IT-Governance, 2. Aufl. USA, 2003 ITGI (2005)I: IT-Governance Instiute, COBIT 4.0, USA, 2005 ITGI (2006a): IT-Governance Institute, IT-Governance Global Status Report, USA, 2006 ITGI (2006b): IT-Governance Institute, COBIT Mapping: Overview of the International Guidance, 2. Aufl., USA,

32 Literaturverzeichnis Masak (2006): Masak, D., IT-Alignment, Springer Berlin/Heidelberg 2006 Niemann (2005): Niemann, K. D., Von der Unternemensarchitektur zur IT-Governance, 1. Aufl., Friedr.Vieweg & Sohn Verlag, GWV Fachverlage, Wiesbaden 2005 OECD (2000): OECD-Leitsätze für multinationale Unternehmen, Neufassung 2000, Rastogi, von Solms (2005): Rastogi, R.; von Solms, R., Security Management, Integrity, and Internal Control in Information Systems,in: IFIP International Federation for Information Processing, Vol. 193/2005, Springer Boston, 2005 Rüter (2006): Rüter, A.(Hrsg.) u.a., IT-Governance in der Praxis, 1. Aufl. Springer, Berlin, 2006 Sury (2005): Sury, U., IT-Governance, in:informatik Spektrum, Vol.28, Number 1/Februar 2005 Seiten 69-86, Springer Berlin/Heidelberg Zarnekow u.a. (2004): Zarnekow, R. u.a., Informationsmanagement, 1. Aufl. dpunkt.verlag, Heidelberg, 2004 Artikel: Henderson, J.; Venkatraman, N., Strategic Alignment: Leveraging Information Technology for Transforming Organizations, in: IBM Systems Journal, Vol. 32 No 1, 1993, reprinted in IBM Systems Journal Vol. 38 Nos 2&3,