Back

COBIT 5 – Identifikation geschäftsrelevanter IT-Prozesse

Grundvoraussetzung für die IT-Governance ist eine hinreichende Qualität der IT-Prozesse im Unternehmen. Dabei müssen sowohl eine verlässliche Steuerung, sowie Ablauf und Überwachung gewährleistet sein, um geschäftsrelevante IT-Prozesse zu identifizieren oder zu aktualisieren.

Governance bedeutet das Festlegen von Rahmenbedingungen, Richtlinien und Zielen, die der IT dienen sollen. COBIT 5 lässt aber bewusst offen, wie diese umgesetzt werden sollen. Die „Control Objectives“ werden aus den Unternehmenszielen für die IT abgeleitet. Aus den IT-Zielen ergibt sich die IT-Architektur.

Im Unternehmen dient die IT nicht dem Selbstzweck, sondern unterstützt beim Erfüllen der Unternehmensziele. COBIT 5 bezeichnet dies als Zielkaskade und hilft beim Ableiten der Unternehmensziele, der IT-Prozesse, der Rahmenbedingungen aus dem Unternehmenszweck.

Es ist nicht zielführend, die Prozessqualität aller IT-Prozesse gleichzeitig im Unternehmen zu steigern, da dies unter anderem zu Ressourcenengpässen führen kann. Aus diesem Grund müssen die wichtigsten IT-Prozesse für ein Unternehmen identifiziert werden.

In unserem Beitrag „COBIT 5 – Understand the framework“, über das COBIT 5 Framework der ISACA, wurden die fünf „COBIT 5 Principles“, die „COBIT 5 Enablers“ und das „COBIT 5 Process Reference Model“ bereits beschrieben.

Je nach Industrie, Region, Unternehmensgröße etc. spielen unterschiedliche Prozesse unterschiedlich wichtige Rollen. Bei der Anwendung von COBIT sind demnach jene Prozesse auszuwählen, deren Optimierung dem Unternehmen den größtmöglichen Nutzen bringt.

COBIT liefert gleich mehrere Ansätze, zur Auswahl eben dieser relevanten IT-Prozesse, wobei sich in der Praxis vor allem zwei Vorgehensweisen bewährt haben. Die Auswahl der relevanten IT-Prozesse geschieht entweder über die Designfaktoren oder über die Geschäftsziele des Unternehmens (COBIT – Zielkaskade).

Auswahl der IT-Prozesse über Design Faktoren:

Bei den Design-Faktoren handelt es sich um eine neue Schlüsselkomponente des COBIT 2019. Sie haben Einfluss auf das Design des Governance Systems eines Unternehmens und tragen somit zum Erfolg der verwendeten Informationen und Technologien bei.

COBIT Design Faktoren
  • Unternehmensstrategie: Verschiedene Strategien können in einem Unternehmen verfolgt werden. Meist existieren eine Primärstrategie und eine Sekundärstrategie.
  • Unternehmensziele: Die Unternehmensstrategie wird von den Unternehmenszielen unterstützt. Das heißt die Unternehmensstrategie wird durch das Erreichen von Unternehmenszielen verwirklicht. Diese Ziele sind im COBIT-Framework definiert.
  • Risikoprofil: Das Risikoprofil identifiziert die Art des IT bezogenen Risikos, dem das Unternehmen derzeit ausgesetzt ist. Es werden jene Bereiche aufgezeigt, in denen die Risikobereitschaft überstiegen wird.
  • IT- verbundene Themen: Eine Methode für eine IT-Risikobewertung besteht darin, zu prüfen, mit welchen IT bezogenen Problemen das Unternehmen aktuell konfrontiert ist.
  • Bedrohungen: Die Bedrohungen, unter der das Unternehmen agieren, kann klassifiziert werden (z.B.: niedrig, mittel, hoch).
  • Compliance Anforderungen: Klassifizierung der Compliance-Anforderungen (z.B.: hohe, mittlere oder niedrige).
  • Rolle der IT: Klassifizierung der Rolle der IT im Unternehmen (z.B.: Support, Turnaround, Fabrik oder strategisch).
  • IT-Beschaffungsmodell: Klassifizierung des verwendeten Beschaffungsmodells (z.B.: Outsourcing, Cloud, Insourced, hybrid)
  • IT-Implementierungsmethoden: Klassifizierung der angewendeten Methoden (z.B.: Agile, DevOps, traditionell, hybrid).
  • Technologieübernehmestrategie (Adaption Strategy): Klassifizierung der Strategie zur Übernahme von Technologien (z.B.: First Mover, Follower, Slow Adopter).
  • Unternehmensgröße: Zuordnung zu zwei Kategorien (Large, SME).

Durch den Einfluss der Designfaktoren kann es geschehen, dass einige Governance- und Managementziele wichtiger werden als andere. Gegebenenfalls können einige sogar gänzlich vernachlässigbar werden. In der Praxis bedeutet dies, dass ein höherer Reifegrad für diese Bereiche festgelegt werden soll. Einige Designfaktoren können die Wichtigkeit einer oder mehrerer Komponenten beeinflussen oder spezifische Variationen erfordern. Damit lässt sich ein Governance-System viel besser an die eigene Realität anpassen.

Auswahl der IT-Prozesse über die Geschäftsziele (COBIT Zielkaskade):

Die COBIT 5 Zielkaskade siedelt die Anforderungen der Anspruchsgruppen als strategische Ziele auf den verschiedenen Unternehmensebenen an. Es ist notwendig, die Anforderungen der einzelnen Stakeholder in den Unternehmenszielen zu berücksichtigen.und von dort aus werden die Ziele durch die Kaskade für einzelne Bereiche heruntergebrochen. Diese gelten als Ausgangspunkt, um die Ziele für einzelne Bereiche durch die Kaskade herunterzubrechen.

COBIT5 stellt umfassende Tabellen zur Verfügung, die sich mit möglichen Anforderungen der Stakeholder beschäftigen und diese generischen Unternehmenszielen zuordnet.

Beispiel:

Die Anforderung der Anspruchsgruppe lautet: „Wie erlange ich Sicherheit über die IT?“.

Diese Anforderung wird den beiden Unternehmenszielen „Einhaltung externer Gesetze und Bestimmungen“ und „Compliance mit internen Richtlinien“ zugeordnet.

Die Unternehmensziele werden generischen IT-Zielen gegenübergestellt und diese wiederum den 37 Prozessen, welche durch COBIT5 identifiziert wurden. Somit kann über die Zielkaskade verfolgt werden, welche Prozesse zu welchen Anforderungen der Stakeholder einen Mehrwert bietet.

Fortsetzung des Beispiels:

 „Wie erlange ich Sicherheit über die IT?“ wird dem Unternehmensziel „Compliance mit internen Richtlinien<“ zugeordnet. Dadurch kommt man auf IT-Ziele wie „IT-Compliance mit internen Richtlinien“ oder „Sicherheit von Informationen, Verarbeitungsinfrastruktur und Anwendungen“.

Für diese IT-Ziele lassen sich mehrere Prozesse identifizieren und zuordnen.

„Sicherheit von Informationen, Verarbeitungsinfrastruktur und Anwendungen“ lässt sich zum Beispiel dem Prozess „Sicherstellen der Risiko-Optimierung“ (EDM03) oder „Managen von Sicherheit“ (APO013) zuordnen.

Zu all diesen Prozessen liefert COBIT 5 eine umfangreiche Prozessbeschreibung, Inputs, Outputs. Zuständigkeiten und Aktivitätsbeschreibungen.

COBIT Zielkaskade

Für weitere Informationen zum Thema COBIT 5 oder Interne Kontrollsysteme, empfehlen wir weiter Artikel oder unsere Trainingskurse zu den folgenden Themen:

Tag:, , , ,

Gregor Nussbaumer

Mag. Gregor Nussbaumer ist Manager bei Graser Consulting. Neben der Durchführung von klassischen Management Consulting Tätigkeiten umfasst sein Aufgabengebiet die Organisation und Durchführung von IT- und Kontrollprüfungen nationaler und internationaler Unternehmen sowie die Abwicklung von Projekten im Bereich Interne Revision, Interne Kontrollsysteme, Governance, Risk & Compliance sowie IT Security, Sales, Customer Service und Asset Management.

error: Content is protected !!