Ist COBIT das bessere ITIL?

Wenn zwei Frameworks von sich behaupten, der ultimative Good-Practice Leitfaden für professionelle IT Dienstleistungen zu sein, dürfen sie gezwungenermassen nicht allzu verschieden sein. Ok – viele Wege führen bekanntlich nach Rom und ob eine Dienstleistung oder ein IT Service wirklich gut ist, lässt sich letztlich nur durch den Kunden selbst beurteilen. Aber beide Frameworks nehmen für sich in Anspruch, ein international anerkannter Praxisleitfaden zu sein – und nicht etwa ein theoretisches, wissenschaftliches Modell. Eine akzeptierte Praxis also, welche sicherstellt, dass die Businessziele erreicht, Ressourcen optimal eingesetzt und die Qualität, Risiken und Kosten angemessen gemanagt sind.

Die Überschneidungen beider Frameworks lassen sich erst im Detail wirklich gut erkennen. In der groben Übersicht haben beide Frameworks eine unterschiedliche Flughöhe. Während ITIL® in seiner Kompaktheit doch recht bodenständig und direkt anwendungsorientiert erscheint, hat man bei COBIT® eher den Eindruck ein abgehobenes, relativ komplexes Gebilde vorzufinden. COBIT® wirkt trotzdem äusserst strukturiert und präzise, während ITIL® andererseits eher die weichen Faktoren der Service-Erbringung wortreich zelebriert und damit aber trotz der Bodenständigkeit doch nicht so konkret fassbar scheint.

COBIT® 5 Enablers. © 2012 ISACA® All rights reserved.

COBIT® 5 Enablers. © 2012 ISACA® All rights reserved.

Was das eine Framework hat, fehlt dem anderen. COBIT® ist ein Framework zur Planung, Umsetzung und Überwachung eines Governance und Management Systems. ITIL® demgegenüber ist ein guter Leitfaden zum Aufbau einer Service Organisation mit entsprechenden Service Management Prozessen. Sie werden sich fragen – was ist denn da der Unterschied? Im Grunde geht es ja um das Gleiche.

Nur im Grunde. ITIL hat einen grossen Nachteil. Dem Framework fehlt die Verbindlichkeit. Es ist nicht wirklich so klar, was tatsächlich notwendig ist, und was man problemlos adaptieren oder gar weglassen kann. Das macht es so schwer greifbar und in der Umsetzung und für das Management so schwer steuerbar. Es passt nicht so recht in die klassischen Führungssysteme, was letztlich dazu führt, dass viele Prozesse „geboren“ werden, welche ein herrenloses Dasein fristen. Es gibt zwar einen Prozessowner – der ist aber in aller Regel auf sich alleine gestellt. Wie er seinen Prozess dann jeweils an den Service koppelt und wie daraus Vorgaben für die Steuerung des Prozesses abgeleitet werden, lässt sich nicht gut genug aus ITIL ableiten. Wie Business-Ziele letztlich auf die Services, Prozesse und Aktivitäten heruntergebrochen werden, bleibt völlig offen.

Goal Cascadeing:  COBIT®5, figure 4. © 2012 ISACA® All rights reserved.

Goal Cascadeing:  COBIT®5, figure 4. © 2012 ISACA® All rights reserved.

Dies ist demgegenüber die grosse Stärke von COBIT®. Das Framework ist auf die Steuerung und das Management der Governance der Unternehmens-IT ausgerichtet. Es beinhaltet konkrete Stakeholder-Bedürfnisse, welche auf die Business-Ziele, auf die IT und die zugrundeliegenden Prozesse und Aktivitäten heruntergebrochen sind. Mehr noch: es gibt eine klare und strikte Trennung zwischen der Governance und dem Management der Unternehmens-IT. Jeder Prozess ist hinsichtlich der Governance, bzw. Management Praktiken klar strukturiert und mit den Business-Zielen sowie konkreter Verantwortlichkeitszuweisung sowohl auf Business- wie auch auf IT-Seite versehen. Lesen Sie dazu auch meinen Blog zu COBIT® 5.

Ein grosser Verdienst von COBIT® sind zudem die vollständig vorhandenen Kontrollpraktiken, welche es dem internen und externen Auditor oder Revisor ermöglichen, die Einhaltung der gesetzlichen und sicherheitsrelevanten Vorschriften zu überprüfen. Damit wird COBIT® nicht nur als internes Management-System wertvoll, sondern auch als Grundlage zur Erfüllung der Nachweispflicht für regulative und gesetzliche Vorschriften. Und dies wird für IT-Organisationen in Zukunft immer wichtiger.

Ist COBIT® also das bessere ITIL? Müsste man meinen, lässt sich so aber nicht behaupten. COBIT® ist in seiner Grösse zu abstrakt und schwer zu verstehen. COBIT hat es trotz seiner mittlerweile 5. Version nicht wirklich geschafft, die Herzen der IT-Manager und –Mitarbeiter zu erreichen. Es hat eine Schwerfälligkeit, dass die Verantwortlichen vielfach entmutigt. Vor lauter Bäumen wird der Wald nicht mehr erkannt. ITIL® ist da viel “volkstümlicher”. Die Umschreibungen der Praktiken sind aus dem konkreten IT-Leben gegriffen und deren Nutzen leuchten der grossen Mehrheit auf Anhieb ein. Das zeigt sich auch an der Beliebtheit der Ausbildungen von ITIL® Foundation bis zum ITIL®-Experten. COBIT® ist bis heute leider das primäre Werkzeug der Auditoren geblieben.

Klug ist, wer beides anzuwenden weiss. Und hier kann ich Sie nur ermuntern, über den Framework-Schatten zu springen. Es gibt nicht das „Entweder-oder“-Prinzip. Es gilt, ein Management System, ein Target Operation Modell (TOM) für die eigene Organisation aufzubauen. Was liegt da näher, als sich die Erkenntnisse beider Frameworks zunutze zu machen. Also statt einen Framework-Glaubenskrieg loszuschlagen, sollten die Vorteile von beiden für die eigene Umgebung vereint werden.

In der Ausbildung hat sich hierzu auch schon einiges getan. Mittlerweile wurde APMG als Gralshüter der Marke ITIL® auch zum Accreditation Center der COBIT® Ausbildungen erkoren. Was zusammen gehört, wächst wohl irgendwann zusammen…

Dieser Eintrag wurde veröffentlicht in ITIL von Martin Andenmatten. Permanenter Link des Eintrags.

Über Martin Andenmatten

Founder & Managing Director Glenfis AG - ITIL Master - CISA-CRISC-CGEIT - DPSM Als diplomierter Wirtschaftsinformatiker II und diplomierter Betriebsökonom FH verfügt er über ein breit abgestütztes theoretisches Wissen. Er ist zertifizierter ITIL® Service Manager und ITIL® V3 Master. 2003 hat er die Prüfung zum "Certified Information Systems Auditor (CISA)" erfolgreich bestanden. Seit Herbst 2004 ist er zertifizierter ISO 20000 Consultant und Auditor. Martin Andenmatten ist seit 2008 auch "Certified in the Governance of Enterprise IT (CGEIT)" und seit 2010 "Certified in Risk and Information Systems Control (CRISC)". Seine Praxiserfahrungen hat er als Herausgeber und Autor in seinen Büchern "ISO 20000: Praxishandbuch für Servicemanagement und IT-Governance" sowie "Services managen mit ITIL" beschrieben.“ 2012 hat Martin das priSM Credential DPSM erhalten, Distinguished Professional in Service Management.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>