Enablers COBIT 5

COBIT® 5 ist da! Governance of Enterprise IT

Seit dem 12. April 2012 ist COBIT® 5 freigegeben. Pünktlich wie es sich für ein Governance Framework gehört, welches den Unternehmen verspricht, Qualität, Ziele und Termine einzuhalten. Und es ist in der Tat gelungen, diese neue Version.

Man kann den Umfang dieses Releases schon mit dem Wechsel von ITIL® V2 auf V3 vergleichen. Doch während bei ITIL® die Wogen der Entrüstung und die Angst vor der neuen Komplexität lange anhielten, werden sich all jene, welche sich noch mit der Vorgängerversion 4.1 herumgeschlagen haben, sehr schnell anfreunden und die Vorzüge der besseren Strukturierung sowie die absolut hervorragenden Integration der verschiedenen Themen zu schätzen wissen.

Eine erste Information zum neuen COBIT Release 5 habe ich bereits letzten August dokumentiert „COBIT 5 – eine reife Leistung!“. Ich möchte Euch heute vor allem zwei zentrale Elemente dieses neuen Releases aufzeigen. Erstens die Ziel-Kaskadierung von den Unternehmenszielen auf die IT-Ziele; und von den IT-Zielen  zu den Prozess-Zielen. Dann möchte ich die Granularität der Prozess-Beschreibungen aufzeigen, welche in dieser Detaillierung eine echte Bereicherung und Ergänzung zur reinen ITIL-Sicht darstellt. Dazu aber etwas später.

Das Governance Framework hat einen erstaunlichen Wandel durchgemacht. Als die erste Version 1996 publiziert wurde, war es nicht mehr als eine Checkliste für IT-Auditoren. Schon zwei Jahre später wurde in der zweiten Version das Prinzip der „Control Objectives“ im Auditoren-Umfeld populär, weil erstmals die Zielzustände beschrieben wurden, wie Kontrollen zu definieren sind.

COBIT History
COBIT History

Im Jahre 2000 wurde das Framework in seiner dritten Version für das Management nutzbar. Die Prozesse wurden mit RACI-Charts, Aktivitäten und Zielen ergänzt. Als Governance-Framework für die IT wurde das Rahmenwerk in seiner vierten Version bereits ein mächtiges und weit beachtetes Referenzmodell, um Governance-Strukturen aufzubauen. Sobald es heute bei der Umsetzung von regulatorischen Anforderungen in der IT geht, wird vom Regulator auf COBIT verwiesen – und nicht etwa auf ITIL (…). COBIT war aber bis zu dieser Version auf die IT Umgebung begrenzt. In der aktuellen Version 5 hat COBIT die gesamten Informationen des Unternehmens im Scope. Es nennt sich daher auch Governance of Enterprise IT: GEIT.

Principles COBIT 5
Principles COBIT 5

Wichtige Bestandteile des COBIT 5 Frameworks sind die Prinzipien und die sogenannten Enabler. Die Prinzipien stellen die fest verankerten Grundsätze dar, welche für den Aufbau einer wirkungsvollen Governance beachtet werden müssen:

  1. Meeting Stakeholder needs: Unternehmen können nur existieren, wenn sie einen Mehrwert generieren. Den Nutzen zu realisieren, die Risiken zu optimieren und die Ressourcen treuhänderisch und optimal einzusetzen ist durch klare Zielsetzungen und Messkriterien sicherzustellen.
  2. Covering the Enterprise end-to-end: Die Governance und das Management von Informationen wird in COBIT 5 aus einer unternehmensweiten Sicht betrachtet. Daher lässt sich das Governance System der Enterprise IT auch nahtlos in jedes Unternehmens Governance System integrieren.
  3. Applying a Single Integrated Framework: COBIT 5 hat sich auf die heute relevanten Framewok ausgerichtet und deckt alle Unternehmensthemen ab. COBIT 5 positioniert sich als Integrationsframework für andere Standardwerke.
  4. Enablers COBIT 5
    Enablers COBIT 5

    Enabling a Holistic Approach: Enablers sind Faktoren welche einzeln oder im Kollektiv einen Einfluss darauf nehmen, ob die Governance funktioniert oder nicht. Diese Enablers werden durch kaskadierende Ziele angetrieben. Beispielsweise definieren höhere IT-Ziele was die unterschiedlichen Enabler erreichen müssen.

  5. Trennung Governance & Management
    Trennung Governance & Management

    Separating Governance from Management: COBIT 5 macht eine klare Unterscheidung zwischen Governance und Management. Governance stellt sicher, dass die Stakeholder Bedürfnisse, Bedingungen und Optionen bewertet werden und die notwendigen Direktiven erlassen und kontrolliert werden, um diese umzusetzen. Management ist dafür zuständig, die alle dafür notwendigen Aktivitäten zu planen, zu betreiben und zu überwachen, um die Direktiven und Ziele zu erfüllen.

Verlinkung der Unternehmensziele mit den IT-Zielen

Verlinkung Enterprise-Goals mit IT-Goals
Verlinkung Enterprise-Goals mit IT-Goals

Dieses Feature war bereits in der Version 4.1 enthalten – jedoch von vielen nicht beachtet. Die Zielkaskadierung wurde in der Version 5 vollständig überarbeitet. Ausgehend von den Stakeholder-Bedürfnissen, welche durch eine Reihe von Einflussfaktoren wie beispielsweise Strategie-Änderungen, Business-Änderungen, Regulatorische Veränderungen etc. geprägt werden sind in COBIT 5 auf Basis einer Balanced Scorecard 17 generische Unternehmensziele definiert worden.

Die Erreichung dieser Unternehmensziele bedingt eine Anzahl von IT-bezogenen Ergebnissen, welche in COBIT 5 durch „IT-related Goals“ dargestellt werden. IT-related steht dabei für Informationen und zugehörige Technologie. In COBIT 5 wurden diese IT Ziele ebenfalls in einer IT Balanced Scorecard generisch festgehalten.

In der Graphik werden nun die Unternehmens-Ziele mit den IT-Zielen verlinkt. Dabei wird mit „P“ der primäre Einfluss dargestellt, „S“ sekundär.

IT Goals - Process Goals
IT Goals – Process Goals

Verlinkung der IT-Ziele mit den Enabler-Zielen
Um die IT Ziele zu erreichen, müssen die eine Reihe Enabler erfolgreich angewendet werden. Diese Enabler beinhalten Grundsätze, Richtlinien, Prozesse, Organisations Strukturen, Kultur & Ethik, Informationen, Services sowie Mitarbeiter mit Erfahrung, Kompetenzen und Ausbildung. Für alle diese Enabler gibt es ein spezifisches Set an Zielen, welche die IT-related Ziele unterstützen.


Die COBIT 5 Prozessbeschreibung

Prozess Reference Model COBIT 5
Prozess Reference Model COBIT 5

Das COBIT 5 Prozessframework umfasst 37 Prozesse! Folgende Prozesse sind gegenüber der Version 4.1 neu oder stark überarbeitet worden:

  • APO03 Manage enterprise architecture.
  • APO04 Manage innovation.
  • APO05 Manage portfolio.
  • APO06 Manage budget and costs.
  • APO08 Manage relationships.
  • APO13 Manage security.
  • BAI05 Manage organisational change enablement.
  • BAI08 Manage knowledge.
  • BAI09 Manage assets.
  • DSS05 Manage security service.
  • DSS06 Manage business process controls.
Beispiel Incident Management Teil 1
Beispiel Incident Management Teil 1

Diese Prozesse umfassen nun die End-to-End Business und IT Aktivitäten in einer ganzheitlichen unternehmerischen Sicht. Gegenüber der Version 4.1 wird der Input und Output nicht bloss auf Ebene Prozesse beschrieben, sondern auf Ebene der Management oder Governance Praktiken.

Incident Management RACI Chart COBIT 5
Incident Management RACI Chart COBIT 5

Die Governance und Management Praktiken ersetzen die in den Vorgängerversionen definierten „Control Objectives“. Die „Control Practices“ sind neu in COBIT 5 als Aktivitäten der Management Praktiken vollständig integriert.

Incident Mgmt Prozess Praktiken
Incident Mgmt Prozess Praktiken

Ebenfalls die auf Basis von COBIT 4.1 entwickelten Frameworks „Val IT“ und „Risk IT“ sind vollständig in das Basis-Framework COBIT 5 integriert. Dadurch ist die neue Version vollständiger und handlicher in der Handhabung.

Mit der aktuellen Publikation sind jedoch noch nicht alle Guidelines verfügbar. Bis im Herbst 2012 sind insbesondere folgende Produkte zu erwarten:

Prozess Enablers
Prozess Enablers
  • COBIT 5 for Information Security
  • COBIT 5 for Assurance (Audit Guidelines)
  • COBIT 5 for Risk
  • COBIT 5: Enabling Information
  • COBIT Online Replacement (Ersatz vom heutigen COBIT Online)
  • Process Assessment Model (PAM):  Using COBIT 5
  • Assessor Guide:  Using COBIT 5
  • Self-assessment Guide:  Using COBIT 5

Im Unterschied zu ITIL stellt ISACA als Owner und Treiber von COBIT die Publikationen elektronisch gratis zur Verfügung. Die folgenden Links führen direkt zu den entsprechenden Informationen:

COBIT 5 Product Family
COBIT 5 FAQs
COBIT 5 News
Introduction COBIT5 English
COBIT 5 Overview-Seminar bei der Glenfis
ITIL Edition 2011 & COBIT 5 Mapping

Lustig: Österreichsiche Prozessmap von Jimmy Heschl

Ausbildung und Zertifizierungsprogram für COBIT 5
Es ist zu erwarten, dass die Foundation-Ausbildung bis im Herbst 2012 zertifizierbar sein wird. Anlässlich des ITIL Forums Schweiz findet ein Pre-Workshop „COBIT 5 Overview“ statt, in welchem bereits eine sehr vertiefte Sicht zur Handhabung dieses neuen Frameworks vermittelt wird.

Die Glenfis AG bietet zudem gezielte Ausbildungen für Service Manager in der Anwendung von COBIT an. Es lohnt sich, den Blick für die Governance zu öffnen. Denn ohne Governance ist auch für das Service Managment das Fundament für die Generierung von Mehrwert, für eine wirkungsvolle und effiziente Erreichung der Business-Ziele nicht gefestigt.

Arbeiten Sie bereits mit COBIT? Wie positionieren Sie COBIT und wo sehen Sie Synergien mit ITIL? Ihre Meinung interessiert mich.


 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert