Seit Mitte November steht nun das völlig überarbeitete Governance Rahmenwerk von ISACA, das COBIT 2019 zur Verfügung. Erfreulich gegenüber anderen Methoden und Framework-Anbieter ist bei COBIT nicht das Ausbildungs-Schema, sondern der Inhalt im Vordergrund. Und wiederum anders als bei anderen Anbietern kosten die Rahmenwerk-Grundlagen für ISACA-Mitglieder und auch Nicht-Mitglieder nichts (Link).
Das neue Rahmenwerk ist regelrecht «agilisiert» worden. Das heisst jetzt nicht, dass es extrem schlank gehalten ist – nein, eigentlich im Gegenteil. Es ist vollständiger und in sich viel schlüssiger. Es hat aber mit den neue definierten «Focus Areas» die Möglichkeit, das Governance-System auf unterschiedliche Bedürfnisse zu «taylern», respektive anzupassen.
Ein Fokusbereich beschreibt ein bestimmtes Governance-Thema, eine Domäne oder ein Problem, das durch eine Sammlung von Governance- und Managementzielen und deren Komponenten angegangen werden kann. Fokusbereiche können eine Kombination aus allgemeinen Governance-Komponenten und -Varianten enthalten. Die Anzahl der Fokusbereiche ist nahezu unbegrenzt. Das macht COBIT offen. Neue Fokusbereiche können nach Bedarf hinzugefügt werden oder als Sachverständiger und Praktiker beitragen.
Focus Areas sind beispielsweise Betrachtungen aus einem spezifischen Blickwinkel, wie zum Beispiel:
- KMU Organisationen
- Security
- DevOps
- Regulatoren
Was hat sich denn alles geändert am neuen COBIT 2019?
Die bisherige Version COBIT 5 stammt aus dem Jahr 2012 und ist nun doch schon bald 7 Jahre alt. Wie wir alle wissen, hat sich die IT- und Digitalisierungs-Erde ziemlich stark gedreht. Neue Methoden und Service Delivery Modelle haben sich etabliert, welche mit dem bestehenden COBIT 5 Framework schwierig zu adressieren waren. Zudem hat es ISACA mit der alten Version leider immer noch zu wenig geschafft, COBIT aus der IT-Audit-Ecke herauszustellen und das Rahmenwerk als übergreifendes Governance-Modell für das Unternehmen zu platzieren.
Jetzt wo Daten und Informationen im Rahmen der Digitalisierungsbemühungen im Fokus aller Unternehmen stehen, sieht man die Chance gekommen, die in Anbetracht der dazu notwendigen Informationen und Technologien (I & T) und nicht mehr einfach wegdelegierbaren Verantwortung das Thema Governance auf höchster Unternehmensebene zu platzieren. COBIT 5 war als Framework zur Festlegung eines Governance und Management Systems für die Unternehmens-IT definiert. Unter COBIT 2019 heisst das Rahmenwerk neu «ENTERPRISE GOVERNANCE OF INFORMATION AND TECHNOLOGY (EGIT)». IT ist nicht gleich I&T. IT – bezeichnet oft die Organisationsabteilung mit Hauptverantwortung für Technologie – im Vergleich zu I & T – dies sind alle Informationen, die das Unternehmen generiert, verarbeitet und verwendet, um seine Ziele zu erreichen, sowie die Technologie, die dies unternehmensweit unterstützt. Mit COBIT 2019 will man die Bedeutung der Informationen im Unternehmen und die dazu notwendige Technologie explizit hervorheben.
Neben der Namensänderung hat es aber eine Reihe von bemerkenswerten Veränderungen gegeben, welche ich hier nur in der Übersicht wiedergeben kann:
Neu gibt es 6 Governance System Prinzipien und drei Governance Framework Prinzipien
COBIT 5 hat 5 Prinzipien gekannt, welche ein gutes Governance Framework und System erfüllen sollte. Hier ist man in der neuen Version viel präziser geworden.
Die folgenden sechs (6) Prinzipien sind die Hauptanforderungen an ein Governance-System für die Steuerung der Unternehmensinformation und -technologie.
- Jedes Unternehmen benötigt ein Governance-System, um die Bedürfnisse der Stakeholder zu befriedigen und durch die Nutzung von I & T einen Mehrwert zu schaffen.
- Ein Governance-System für Enterprise I & T setzt sich aus einer Reihe von Komponenten zusammen, die unterschiedlichen Typs sein können und ganzheitlich zusammenarbeiten.
- Ein Governance-System sollte dynamisch sein. Dies bedeutet, dass bei jeder Änderung eines oder mehrerer Designfaktoren die Auswirkungen dieser Änderungen auf das EGIT-System berücksichtigt werden müssen.
- Ein Governance-System sollte klar zwischen Governance- und Managementaktivitäten und -strukturen unterscheiden.
- Ein Governance-System sollte auf die Bedürfnisse des Unternehmens zugeschnitten sein, wobei eine Reihe von Designfaktoren als Parameter zur Anpassung und Priorisierung der Governance-Systemkomponenten verwendet werden.
- Ein Governance-System sollte das gesamte Unternehmen abdecken und sich nicht nur auf die IT-Funktion konzentrieren, sondern auf die gesamte Technologie- und Informationsverarbeitung, die das Unternehmen zur Erreichung seiner Ziele einsetzt.
In den nächsten drei (3) Grundsätzen werden die Grundprinzipien für ein Governance-Framework festgelegt, der zum Aufbau eines Governance-Systems für das Unternehmen verwendet werden kann:
- Ein Governance-Framework sollte auf einem konzeptionellen Modell basieren, das die Schlüsselkomponenten und Beziehungen zwischen Komponenten identifiziert, um die Konsistenz zu maximieren und Automatisierung zu ermöglichen.
- Ein Governance-Framework sollte offen und flexibel sein. Es sollte das Hinzufügen neuer Inhalte ermöglichen und die Möglichkeit bieten, neue Probleme auf möglichst flexible Weise anzugehen und dabei die Integrität und Konsistenz zu wahren.
- Ein Governance-Framework sollte sich an relevante wichtige einschlägige Standards, Rahmen und Vorschriften anpassen
Diese Prinzipien mögen auf den ersten Blick noch etwas abstrakt erscheinen, haben aber spannende Konzepte adressiert, welche helfen, die irgendwie doch wichtigen Governance-Aspekte in heute teilweise schwierig zu steuernde, selbstorganisierenden Teams zu adressieren. Erstens spricht man nun von Komponenten, welche zur Verwirklichung des Governance Systems notwendig sind. Hier hat man aber einfach den Begriff «Enabler» neu positioniert.
Anderseits hat man neu Designfaktoren identifiziert, welche bei der Gestaltung des Governance-Systems angewendet werden können. Mehr dazu weiter unten.
Das Buch «Enabler Processes» wird zum «Governance and Management Objectives»
Wie schon besprochen, wurden Enabler zu «Komponenten» umfunktioniert. Es war auch zurecht immer etwas bemängelt, dass sich COBIT 5 intensivst mit dem Enabler «Prozesse» (und auch etwas mit dem Enabler «Information») auseinandergesetzt hat, jedoch die anderen nicht weniger wichtigen Enabler etwas aussenvor gelassen hat.
Diesem Umstand hat man nun gebührend Rechnung getragen. Das «Prozess-Referenz-Modell» PRM gibt es in dieser Form nicht mehr. Es gibt etwas viel Besseres: Das «Governance and Management Objective».
Auf den ersten Blick mag dieses «Ziel-Schaubild» ähnlich aussehen, wie die COBIT 5 Prozesslandkarte. Aber es ist viel mehr: Hinter jedem der nun mehr 40 abgebildeten «Governance and Management Objectives» sind nun nicht bloss die Prozesse beschrieben, sondern sämtliche 7 Komponenten sowie das gesamte Zielkaskaden-System inklusive Metriken. Dies beinhaltet beispielsweise zu jedem Thema auch die zugehörigen Aspekte wie relevante Policies, Organisations-Strukturen, Informations-Flüsse, notwendige Skills auf Basis des «Skills Framework for the Information Age V6», notwendigen Tools (Component: Services, Infrastructure and Applications).
Design Faktoren
Eine neue Schlüsselkomponente des COBIT 2019 sind die Design Faktoren. Diese Faktoren haben Einfluss auf das Design des Governance Systems eines Unternehmens und tragen zum Erfolg der verwendeten Informationen und Technologien bei.
- Enterprise Strategy – Unternehmen können unterschiedliche Strategien verfolgen, die als einer oder mehrere der Archetypen ausgedrückt werden können. Organisationen haben normalerweise eine primäre Strategie und höchstens eine sekundäre Strategie.
- Unternehmensziele zur Unterstützung der Unternehmensstrategie – Die Unternehmensstrategie wird durch das Erreichen (einer Reihe von) Unternehmenszielen verwirklicht. Diese Ziele sind im COBIT-Framework definiert, strukturiert nach den Dimensionen der Balanced Scorecard (BSC) und umfassen die gezeigten Elemente.
- Risikoprofil des Unternehmens und aktuelle Probleme in Bezug auf I & T – Das Risikoprofil identifiziert die Art des I & T bezogene Risikos, dem das Unternehmen derzeit ausgesetzt ist, und gibt an, welche Risikobereiche die Risikobereitschaft übersteigen.
- I & T-bezogene Probleme – Eine verwandte Methode für eine I & T-Risikobewertung für das Unternehmen besteht darin, zu prüfen, mit welchen I & T bezogene Problemen es aktuell konfrontiert ist, oder mit anderen Worten, mit welchem Risiko in Bezug auf I & T.
- Bedrohungslandschaft – Die Bedrohungslandschaft, unter der das Unternehmen operiert, kann klassifiziert werden als hoch oder normale Bedrohung.
- Compliance-Anforderungen – Die Compliance-Anforderungen, denen das Unternehmen unterliegt, können klassifiziert werden als hohe, mittlere oder niedrige Compliance Anforderungen.
- Rolle der IT – Die Rolle der IT für das Unternehmen kann klassifiziert werden als Support, Turnaround, Fabrik oder strategisch.
- Beschaffungsmodell für IT – Das Beschaffungsmodell, das das Unternehmen verwendet, kann klassifiziert werden als Outsourcing, Cloud, Insourced, hybrid.
- IT-Implementierungsmethoden: Die Methoden, die das Unternehmen anwendet, können klassifiziert werden als Agile, DevOps, traditionell, hybrid.
- Strategie zur Übernahme der Technologie (Adaption Strategy) – Die Strategie zur Übernahme der Technologie kann klassifiziert werden als First Mover, Follower, Slow Adapter.
- Unternehmensgrösse: Zwei Kategorien (Large, SME) werden für die Gestaltung des Governance-Systems eines Unternehmens festgelegt.
Durch den Einfluss des Designfaktors können einige Governance- und Managementziele wichtiger werden als andere, und zwar in dem Masse, dass sie vernachlässigbar werden. In der Praxis bedeutet dies, dass höhere Reifegrade für diese Bereiche festgelegt werden sollen. Einige Designfaktoren können die Wichtigkeit einer oder mehrerer Komponenten beeinflussen oder spezifische Variationen erfordern. Damit lässt sich ein Governance System viel besser an die eigene Realität anpassen.
Neues Capability Bewertungs-System
Mit COBIT 5 wurde ein neues Prozess-Assessment Modell auf Basis des Standards ISO15504, respektive neu ISO/IEC 33000 eingeführt. Damit wurde auch ein Process Assessment Model, ein PAM publiziert, welches exakt den Vorgaben des Assessment-Standards entspricht. COBIT hat sich bewusst auf ein Capability Assessment beschränkt, welches eine Beurteilung eines einzelnen Prozesses ermöglicht. Ein Maturity Assessment, welches eine Reife auf Organisationsebene ermöglicht, war damit bewusst nicht angestrebt.
Im März 2016 hat ISACA den führenden Anbieter von Capability und Maturity Assessments, CMMI vom Software Engineering Institute SEI übernommen. Das Modell von CMMI entspricht in den Abstufungen und Definitionen der Reifegrade völlig anders, als dies der Standard ISO/IEC33000 vorsieht. Wie diese zwei Welten nun zusammen zu bringen sind, darüber hat man lange gerätselt.
Nun ist die Katze aus dem Sack: COBIT nimmt wieder etwas Abstand vom ISO/IEC 33000 und führt neu ein CMMI-Kompatibles «COBIT Performance Management» System ein. Das CPM-Modell wird weitgehend an CMMI®Development V2.0201-Konzepte angepasst und erweitert:
- Prozessaktivitäten sind mit Fähigkeitsstufen verbunden. Dies ist im COBIT®2019-Framework: Governance und Management Objectives Leitfaden enthalten.
- Für andere Arten von Governance- und Verwaltungskomponenten (z. B. Organisationsstrukturen, Informationen) können auch in zukünftigen Leitlinien definierte Fähigkeitsstufen festgelegt werden.
- Reifegrade sind mit Fokusbereichen verbunden (d. H. Einer Sammlung von Governance- und Managementzielen und zugrunde liegenden Komponenten) und werden erreicht, wenn alle erforderlichen Fähigkeiten erreicht werden.
Das heisst, dass eine Maturitäts-Reifegrad auf Organisationsebene so gemacht werden, dass alle Governance- und Management-Prozesse innerhalb einer Fokus-Area einzeln einen bestimmten Reifegrad aufweisen können und bei Vorliegen aller Prozesse, abhängig definierter Maturitätsstufe erreichen.
Selbstverständlich kann auch noch nach dem ISO/IEC33000 analysiert werden und sollte grundsätzlich funktionieren. Aber es wird kein separates PAM, Process Assessment Modell für COBIT 2019 geben.
Fazit
COBIT 2019 hat sich zu einem kompletten Governance Rahmenwerk weiterentwickelt. Die neue Version bietet Unternehmen Flexibilität, um praktische Governance-Lösungen so zu entwickeln, die auf die Unternehmensziele und den jeweiligen Kontext von Organisationen zugeschnitten sind.
COBIT war immer schon eine Perle unter den Rahmenwerken. Es ist zu hoffen, dass mit dieser Version COBIT 2019 etwas besser aus dem IT-Audit Schatten hervortreten kann und die wahren Schätze in den unterschiedlichen Organisationen gehoben werden können.
Pingback: SIAM – Governance und Management Multiprovider Ökosystem mit COBIT | Disruptive agile Service Management