4 IT-Governance-Implementierung (S. 157-158)

In dem Kapitel wird zunächst erläutert, was es bedeutet, COBIT einzuführen und welche Implikationen damit verbunden sind. Danach wird die Methodik bei der Einführung erläutert und zum Schluss auf die verfügbaren Tools eingegangen.

4.1 Einführung von COBIT

COBIT ist als ein Mittel zur Auditierung von Prozessen entworfen worden. Es legt daher besonderes Augenmerk auf die Kontrollmechanismen. Jede IT-Organisation hat Prozesse zur Abarbeitung der Aufgaben. Die Frage erhebt sich, in welchen Ausmaß diese Prozess schriftlich fixiert, wiederholbar oder auch selbstverbessernd sind. Mit anderen Worten, in welchem Reifegrad befinden sich die Prozesse. Nicht jede Organisation will sich bis zum höchsten Reifegrad steigern, denn dieses kann mit unvertretbar hohen Kosten verbunden oder für die Organisation ganz unangemessen sein. Die erste Frage, bei der Einführung lautet daher auch, welchen Reifegrad möchte ich überhaupt erreichen, welcher ist für mich angemessen?

Kontrollstrukturen können ganz unabhängig von der gewählten Prozessstruktur aufgebaut werden. Diese Kontrollstrukturen zielen dann auf die einzelnen Prozessergebnisse und fragen in erster Linie nicht, ob ein Prozess im COBIT-Sinne etabliert ist. Die COBIT-Prozessstruktur dient in diesen Fällen dazu, die vorhandenen Prozesse zu strukturieren und deren Ergebnisse zu bewerten. Trotzdem bedeutet schon diese Einführung erhebliche Anpassungen und Änderungen. Das, was vorher so lief, wird jetzt transparent und kontrollierbar gemacht. Das schafft Ängste und schürt Misstrauen, dem begegnet werden muss, soll die Einführung nicht scheitern. COBIT als ein Mittel zum Aufbau einer Kontrollstruktur kann daher als ein Mittel zur Einführung von IT-Governance gesehen werden, denn es schafft Transparenz, liefert Handlungsfelder und führt zu einer insgesamt besseren Führung des IT-Betriebes.

4.2 Methodisches Vorgehen

Die Einführung von IT-Governance in eine Organisation bedeutet eine erhebliche Anstrengung, weil diese immer mit einer organisatorischen Veränderung verbunden ist. Die Mitarbeiter müssen neue ungewohnte Arbeitsweisen und Techniken lernen und sich mit ihnen vertraut machen. Zudem reicht es nicht aus, Governance auf einer oberen Ebene zu definieren und einzuführen, denn die Governance muss das ganze Unternehmen durchdringen. Einzuführende Gremien, Führungsstrukturen und Verantwortlichkeiten sind nicht dem oberen Management vorbehalten, sondern müssen bis auf die operative Mitarbeiterebene heruntergebrochen werden. Die gesamte Firma ist also betroffen. Die Durchführung solcher Änderungen kann nur im Rahmen eines korrekt geführten Change-Projektes erfolgen. Ein solches Projekt kann in den folgenden Phasen durchgeführt werden:

1. Vorbereitung und Situationsanalyse Definieren der Stakeholder
2. Ist-Zustandsanalyse Prozess-Analyse Risiko-Analyse Healthcheck
3. Strategie und Sollzustand Reifegradmodellentwicklung GAP-Analyse (Was fehlt zum Soll?)
4. Transition-Strategie und Plan Auswirkungsanalyse Geschäftliche Relevanz Projektplan für die Transition
5. Durchführung des Plans der Transition Erstellen der Metriken, Arbeitsanweisungen, etc Verantwortliche benennen Bewusstsein für das Vorhaben aufbauen Personal schulen Prozesse implementieren Projektstatusberichte erstellen und verteilen
6. Projektbegutachtung Erfolgsfaktoren des Projektes festlegen Berichten an Hand der Kriterien und des Statusses

4.2 Methodisches Vorgehen

Diese Auflistung ist für ein derart komplexes Changeprojekt natürlich nicht vollständig. Bitte ziehen Sie für eine vollständige Definition eines solchen Vorhabens professionelle Projektmanagementmethoden (z.B. Prince2) zu Rate und berücksichtigen Sie, dass es nicht nur darauf ankommt, die Arbeiten durchzuführen und die definierten Arbeitsergebnisse des Projektes zu erzeugen, sondern dass der Erfolg in hohem Maße von der Berücksichtung der Stakeholder, den kulturellen Aspekten, den unausgesprochenen Erwartungen der Beteiligten und den spezifischen Bedingungen in der Firma abhängt.