suchung zu COBIT und ITIL - Koordinierungs
suchung zu COBIT und ITIL - Koordinierungs
suchung zu COBIT und ITIL - Koordinierungs
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Autoren:<br />
Abschlussbericht<br />
Wissenschaftliche Unter<strong>suchung</strong> <strong>zu</strong>r „Integration der <strong>COBIT</strong> <strong>und</strong><br />
<strong>ITIL</strong> Standards mit der Rahmenarchitektur IT-Steuerung B<strong>und</strong>“<br />
Prof. Dr. Ulrich Frank<br />
Dr. Stefan Strecker<br />
Dipl.-Wirt.-Inf. Heiko Kattenstroth<br />
Dipl.-Wirt.-Inf. David Heise<br />
(BA-Nr.: 0369/10)<br />
Lehrstuhl für Wirtschaftsinformatik <strong>und</strong> Unternehmensmodellierung<br />
Institut für Informatik <strong>und</strong> Wirtschaftsinformatik (ICB)<br />
Universität Duisburg-Essen<br />
Universitätsstr. 9<br />
45141 Essen<br />
Tel.: +49-201-183-4041, Fax: +49-201-183-4011<br />
E-Mail: ulrich.frank@uni-due.de<br />
18. März 2011
Abschlussbericht BA-Nr. 0369/10 - 2-<br />
Überblick über die Studie aus Sicht des BMI<br />
Von Oktober 2010 bis Mai 2011 führte der Lehrstuhl für Wirtschaftsinformatik <strong>und</strong> Unternehmensmodellierung<br />
der Universität Duisburg-Essen unter Leitung von Professor Doktor Ulrich<br />
Frank die wissenschaftliche Unter<strong>suchung</strong> <strong>zu</strong>r „Integration der <strong>COBIT</strong> <strong>und</strong><br />
<strong>ITIL</strong> Standards mit der Rahmenarchitektur IT-Steuerung B<strong>und</strong>“ durch. Die Studie wurde vom<br />
B<strong>und</strong>esministerium des Innern (BMI) vom Referat IT-Steuerung B<strong>und</strong> (IT 2) beauftragt <strong>und</strong><br />
begleitet.<br />
Das Ziel der Studie war es, fest<strong>zu</strong>stellen, ob die zwei Rahmenwerke IT Infrastructure Library<br />
(<strong>ITIL</strong>) <strong>und</strong> Control Objectives for Information and Related Technology (<strong>COBIT</strong>) an die Rahmenarchitektur<br />
IT-Steuerung B<strong>und</strong> (RA) „anschlussfähig“ sind. Unter Anschlussfähigkeit<br />
verstehen die Autoren die Frage, ob sich die RA gemeinsam mit den vorgenannten Rahmenwerken<br />
einsetzen lässt <strong>und</strong> welche Schwierigkeiten bei diesem gemeinsamen Einsatz<br />
<strong>zu</strong> erwarten sind. Weiterhin wurde betrachtet, wie die RA von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> profitieren<br />
kann <strong>und</strong> konkrete Handlungsempfehlungen <strong>zu</strong>r Weiterentwicklung der RA formuliert. Analysiert<br />
wurden die Ziele, die Begriffe, die Prozesse <strong>und</strong> die Organisationsstrukturen von<br />
<strong>COBIT</strong>, <strong>ITIL</strong> <strong>und</strong> der RA. Die Studie erbrachte aus Sicht des BMI zwei gr<strong>und</strong>sätzliche Ergebnisse:<br />
• Anschlussfähigkeit ist gegeben: Die Rahmenarchitektur IT-Steuerung B<strong>und</strong> ist gr<strong>und</strong>sätzlich<br />
anschlussfähig an <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong>. Das heißt beim gemeinsamen Einsatz<br />
von <strong>ITIL</strong> <strong>und</strong> der RA in den IT-Dienstleistungszentren des B<strong>und</strong>es sind keine gr<strong>und</strong>legenden<br />
Schwierigkeiten <strong>zu</strong> erwarten.<br />
• Keine Ad-Hoc Integration von <strong>COBIT</strong>, <strong>ITIL</strong> <strong>und</strong> RA: Obwohl die hier vorliegende Analyse<br />
zahlreiche Berührungspunkte zwischen <strong>COBIT</strong>, <strong>ITIL</strong> <strong>und</strong> der RA aufzeigt, ist eine<br />
schnelle Integration der drei Standards weder möglich noch sinnvoll. Es ist vielmehr<br />
ab<strong>zu</strong>wägen, welche Elemente von <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> in eine IT-Steuerung der B<strong>und</strong>esverwaltung<br />
einfließen sollten. Nach dieser Entscheidung können dann, basierend auf<br />
dieser Studie, die Begriffe, die Prozesse <strong>und</strong> die organisatorischen Strukturen dieser<br />
drei Rahmenwerke einander angeglichen werden.<br />
Für die Integration von <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit der RA, bietet die Studie drei Handlungsoptionen.<br />
Diese Handlungsoptionen bauen aufeinander auf <strong>und</strong> sind nach ihrem Aufwand gestaffelt:<br />
1) Konsolidierende Angleichung: Bei der konsolidierenden Angleichung werden im Wesentlichen<br />
die Schnittstellen zwischen <strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong> der RA betrachtet. Nur in diesen<br />
Bereichen werden die Ziele, die Begriffe, die Prozesse <strong>und</strong> die organisatorischen<br />
Einheiten konsolidiert <strong>und</strong> angeglichen. Diese relativ einfach her<strong>zu</strong>stellende Angleichung<br />
übernimmt unreflektiert nicht nur die Stärken sondern auch die Schwächen der<br />
drei Rahmenwerke.<br />
2) Vollständige Integration: Die vollständige Integration der drei Rahmenwerke geht weit<br />
über eine konsolidierende Angleichung hinaus. Ziele, Begriffe, Prozesse <strong>und</strong> organisatorische<br />
Einheiten werden umfassend einander angeglichen. Am Ende dieses Prozesses<br />
steht ein kohärentes Ganzes, das nur noch die Konturen von <strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong><br />
der RA enthalten wird. Es ist <strong>zu</strong> erwarten, dass bei einer vollständigen Integration, die<br />
Schwächen von <strong>COBIT</strong>, <strong>ITIL</strong> <strong>und</strong> der RA gemildert werden können <strong>und</strong> das Architektur-<br />
<strong>und</strong> IT-Service Management insgesamt eine höhere Reife erlangt.<br />
3) Verzahnung von IT <strong>und</strong> Organisation: Noch einen Schritt weiter geht die Empfehlung<br />
einer besseren Verzahnung von Organisation <strong>und</strong> IT Management, bei dem IT einen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 3-<br />
höheren Stellenwert in der Organisation eingeräumt wird <strong>und</strong> diese beiden Bereiche<br />
<strong>zu</strong>sammenwachsen.<br />
Die Studie hat zwei gr<strong>und</strong>sätzliche Einschränkungen, die bei der Lektüre <strong>zu</strong> berücksichtigen<br />
sind:<br />
1) Die Studie ist eine Analyse der in Anhang B gelisteten Dokumente. Insbesondere bei<br />
der Betrachtung der Prozesse <strong>und</strong> der organisatorischen Rollen wurde also nicht<br />
überprüft, inwieweit die Prozesse <strong>und</strong> Rollen in der Praxis auch gelebt werden. Diese<br />
Prüfung hätte den Rahmen der Studie gesprengt.<br />
2) Die RA hat derzeit noch sehr wenige Prozesse definiert, sodass der Vergleich der<br />
Prozesse mit <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> entsprechend allgemein ausgefallen ist. Vor diesem<br />
Hintergr<strong>und</strong> konnte nur ansatzweise geprüft werden, welche Prozesse aus <strong>COBIT</strong><br />
<strong>und</strong> <strong>ITIL</strong> für die RA relevant sind.<br />
Der vorliegende Bericht ist in sieben Kapitel gegliedert. Die dem Bericht <strong>zu</strong>gr<strong>und</strong>e liegende<br />
Methode wird in Kapitel 1 erläutert. Kapitel 2 dient der Einordnung von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> in die<br />
Studie. Die Hauptteile bilden die Kapitel 3 (Ziele), Kapitel 4 (Begriffe), Kapitel 5 (Prozesse)<br />
<strong>und</strong> Kapitel 6 (organisatorische Elemente). Kapitel 7 enthält einige Schlussbetrachtungen<br />
sowie eine ausführliche Beschreibung der Handlungsoptionen, die sich aus der Studie ergeben.<br />
Der ausschließlich an den Ergebnissen interessierte Leser findet in Anhang A eine Liste<br />
aller Handlungsempfehlungen. Die Anhänge B–O enthalten sämtliche Detailinformationen<br />
der Studie.<br />
Dieser Abschlussbericht wurde von der Universität Duisburg-Essen verfasst <strong>und</strong> trägt eine<br />
deutlich wissenschaftliche Handschrift. Um einen raschen Überblick über Gegenstand <strong>und</strong><br />
Ziele des Forschungsberichts <strong>zu</strong> geben, wurde dem Forschungsbericht dieses Kapitel vorangestellt.<br />
Weiterhin wurde der Studie mit Anhang A eine Übersicht über alle Handlungsempfehlungen<br />
in Tabellenform hin<strong>zu</strong>gefügt. An wenigen Stellen wurden vom BMI Fußnoten<br />
eingefügt, um beispielweise einige Hintergründe genauer <strong>zu</strong> erläutern. Diese Fußnoten sind<br />
mit dem Akronym „BMI“ gekennzeichnet. An wenigen Stellen wurde der Text neu formatiert.<br />
Diese kleinen Änderungen wurden nicht deutlich gemacht.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 4-<br />
Zusammenfassung<br />
Die vorliegende Studie unternimmt eine vergleichende Analyse der Rahmenarchitektur IT-<br />
Steuerung B<strong>und</strong> (RA) mit den Rahmenwerken IT Infrastructure Library (<strong>ITIL</strong>) <strong>und</strong> Control<br />
Objectives for Information and Related Technology (<strong>COBIT</strong>). Da<strong>zu</strong> werden zentrale Ziele,<br />
Begriffe, Prozesse <strong>und</strong> Organisationsstrukturen vergleichend betrachtet. Die Unter<strong>suchung</strong><br />
ist dabei vor allem auf zwei Ziele gerichtet: Zum einen ist <strong>zu</strong> klären, ob <strong>und</strong> inwiefern die RA<br />
anschlussfähig an <strong>ITIL</strong> bzw. <strong>COBIT</strong> ist. Zum anderen sollen Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen<br />
für die Weiterentwicklung der RA vor allem mit Blick auf eine Integration<br />
mit <strong>ITIL</strong> bzw. mit <strong>COBIT</strong> aufgezeigt werden. Dabei soll u. a. betrachtet werden, wie eine<br />
solche Integration vor<strong>zu</strong>nehmen ist <strong>und</strong> welche Fragen da<strong>zu</strong> <strong>zu</strong> beantworten sind.<br />
Die Studie lässt vier zentrale Schlussfolgerungen <strong>zu</strong>:<br />
1) Anschlussfähigkeit besteht: Die Unter<strong>suchung</strong> verdeutlicht, dass sich die RA gr<strong>und</strong>sätzlich<br />
anschlussfähig an die Rahmenwerke <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> zeigt.<br />
2) Anknüpfungspunkte deutlich erkennbar: Die Analyse der Rahmenwerke zeigt <strong>zu</strong>dem,<br />
dass die RA sowohl <strong>zu</strong> <strong>ITIL</strong> als auch <strong>zu</strong> <strong>COBIT</strong> deutliche Anknüpfungspunkte hinsichtlich<br />
zentraler Ziele, Begriffe, Prozesse <strong>und</strong> Organisationsstrukturen aufweist.<br />
3) Kritisch-reflektierte Orientierung für Weiterentwicklung der RA: Die Studie kommt <strong>zu</strong><br />
dem Schluss, dass Potenziale für eine gewinnbringende Weiterentwicklung der RA<br />
durch eine kritisch-reflektierte Orientierung an Zielen, Begriffen, Prozessen <strong>und</strong> organisatorischen<br />
Aufbauelementen in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> bestehen.<br />
4) Integration ad hoc nicht möglich: Die Studie zeigt allerdings, dass eine Integration der<br />
RA mit <strong>ITIL</strong> bzw. mit <strong>COBIT</strong> ad hoc nicht möglich ist. Vielmehr ist da<strong>zu</strong> eine sorgfältige<br />
Rekonstruktion gemeinsamer Konzepte, d. h. die Entwicklung eines gemeinsamen<br />
semantischen Referenzsystems, <strong>und</strong> darauf abgestimmter Prozesse <strong>und</strong> organisatorischer<br />
Aufbauelemente erforderlich.<br />
Die Ergebnisse der Analyse führen <strong>zu</strong> einer Reihe von Empfehlungen <strong>zu</strong>r Weiterentwicklung<br />
der RA. Sie betreffen Ansatzpunkte <strong>zu</strong>r sinnvollen Erweiterung <strong>und</strong> Verfeinerung der RA<br />
durch ergänzende bzw. weiterentwickelte Ziele, Konzepte <strong>und</strong> Prozesse sowie organisatorische<br />
Aufbauelemente. Die Studie legt da<strong>zu</strong> u. a. erweiterte Zielmodelle der RA, ein überarbeitetes<br />
<strong>und</strong> konsolidiertes Glossar der RA, konsolidierte Glossare <strong>zu</strong> <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong>,<br />
integrierte Begriffsnetze <strong>zu</strong>r RA <strong>und</strong> <strong>ITIL</strong> sowie <strong>zu</strong>r RA <strong>und</strong> <strong>COBIT</strong> <strong>und</strong> eine kompakte Aufbereitung<br />
der Prozesse <strong>und</strong> organisatorischen Aufbauelemente in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> als<br />
Gr<strong>und</strong>lage für die Weiterentwicklung der RA vor. Abschließend werden aus der Analyse<br />
differenzierte Handlungsempfehlungen <strong>zu</strong>r Weiterentwicklung von Zielen, Konzepten, Prozessen<br />
<strong>und</strong> organisatorischen Aufbauelementen der RA abgeleitet <strong>und</strong> um weitergehende<br />
Empfehlungen vor dem Hintergr<strong>und</strong> des gegenwärtigen Stands der wissenschaftlichen Diskussion<br />
ergänzt, die über die Orientierung an <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> hinausgehen. Die Studie<br />
schließt mit der Darstellung von drei Handlungsoptionen für die Weiterentwicklung, Einführung<br />
<strong>und</strong> Nut<strong>zu</strong>ng der RA, die auch als Anregung für die strategische Planung des IT-<br />
Managements dienen. Sie unterscheiden sich hinsichtlich ihrer Zielset<strong>zu</strong>ng, des Aufwands<br />
<strong>und</strong> des <strong>zu</strong> realisierenden Nutzens sowie des jeweiligen organisatorischen Stellenwerts des<br />
IT-Managements in der B<strong>und</strong>esverwaltung.<br />
Neben diesem Abschlussbericht sind die Ergebnisse der Unter<strong>suchung</strong> in einem umfangreichen<br />
Foliensatz sowie zwei DIN A1-Postern dokumentiert, die am 10.03.2011 in Berlin im<br />
Rahmen des Abschlussworkshops präsentiert <strong>und</strong> übergeben wurden.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 5-<br />
Inhaltsverzeichnis<br />
Überblick über die Studie aus Sicht des BMI ........................................................................... 2<br />
Zusammenfassung ................................................................................................................... 4<br />
Abbildungsverzeichnis .............................................................................................................. 7<br />
Tabellenverzeichnis .................................................................................................................. 8<br />
1 Ziele <strong>und</strong> Gang der Unter<strong>suchung</strong> .................................................................................... 9<br />
2 Einordnung der untersuchten Rahmenwerke <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> ........................................ 11<br />
3 Unter<strong>suchung</strong>sbereich Ziele ............................................................................................ 14<br />
3.1 Analyse der Ziele der RA ....................................................................................... 14<br />
3.2 Analyse der Ziele der <strong>ITIL</strong> ...................................................................................... 16<br />
3.3 Analyse der Ziele der <strong>COBIT</strong> ................................................................................. 19<br />
3.4 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen ................................................ 23<br />
4 Unter<strong>suchung</strong>sbereich Konzepte .................................................................................... 31<br />
4.1 Rekonstruktion zentraler Begriffe der RA ............................................................... 31<br />
4.2 Rekonstruktion zentraler Begriffe der <strong>ITIL</strong> ............................................................. 33<br />
4.3 Rekonstruktion zentraler Begriffe der <strong>COBIT</strong> ......................................................... 35<br />
4.4 Gegenüberstellung ................................................................................................. 37<br />
4.4.1 Zentrale Begriffe aus RA <strong>und</strong> <strong>ITIL</strong> .............................................................. 38<br />
4.4.2 Zentrale Begriffe aus RA <strong>und</strong> <strong>COBIT</strong> ......................................................... 41<br />
4.5 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen ................................................ 46<br />
5 Unter<strong>suchung</strong>sbereich Prozesse .................................................................................... 48<br />
5.1 Prozesse der RA .................................................................................................... 48<br />
5.1.1 Ableitung von Diensten aus Geschäftsprozessen ...................................... 49<br />
5.1.2 Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage ................................. 50<br />
5.2 Prozesse <strong>und</strong> Vorgehensweisen der <strong>ITIL</strong> .............................................................. 51<br />
5.3 Prozesse <strong>und</strong> Vorgehensweisen der <strong>COBIT</strong> ......................................................... 52<br />
5.4 Gegenüberstellung ................................................................................................. 54<br />
5.4.1 Ableitung von Diensten aus Geschäftsprozessen ...................................... 54<br />
5.4.2 Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage ................................. 55<br />
5.5 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen ................................................ 56<br />
5.5.1 Übergreifende Handlungsempfehlungen .................................................... 57<br />
5.5.2 Prozess: Ableitung von Diensten aus Geschäftsprozessen<br />
(„Diensteableitung“) .................................................................................... 59<br />
5.5.3 Prozess: Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage<br />
(„Nachfragebündelung“) ............................................................................. 62<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 6-<br />
6 Unter<strong>suchung</strong>sbereich organisatorischer Aufbauelemente ............................................. 66<br />
6.1 Organisatorische Aufbauelemente der RA ............................................................. 66<br />
6.2 Organisatorische Aufbauelemente der <strong>ITIL</strong> ........................................................... 70<br />
6.3 Organisatorische Aufbauelemente der <strong>COBIT</strong> ....................................................... 70<br />
6.4 Gegenüberstellung ................................................................................................. 71<br />
6.5 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen ................................................ 75<br />
7 Schlussbetrachtung <strong>und</strong> Handlungsoptionen .................................................................. 78<br />
Referenzierte Literatur ............................................................................................................ 85<br />
Anhang A Liste der Handlungsempfehlungen .................................................................... 87<br />
Anhang B Gr<strong>und</strong>lagen der Studie: Quellenangaben .......................................................... 89<br />
Anhang C <strong>ITIL</strong>-Prozesse <strong>und</strong> ihre Zielset<strong>zu</strong>ngen ............................................................... 91<br />
Anhang D Grafischer Übersicht über <strong>ITIL</strong>-Prozesse .......................................................... 95<br />
Anhang E Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse ........................................... 96<br />
Anhang F <strong>COBIT</strong>-Prozesse <strong>und</strong> abgeleitete Be<strong>zu</strong>gsobjekte ........................................... 104<br />
Anhang G Abgeleitete Be<strong>zu</strong>gsobjekte aus Control Objectives <strong>und</strong> Aktivitäten der<br />
<strong>COBIT</strong>-Prozesse ............................................................................................. 112<br />
Anhang H Verdichtete Ziele der <strong>COBIT</strong>-Prozesse ........................................................... 116<br />
Anhang I Glossar zentraler Begriffe der RA .................................................................... 118<br />
Anhang J Glossar zentraler Begriffe der <strong>ITIL</strong> .................................................................. 123<br />
Anhang K Glossar zentraler Begriffe der <strong>COBIT</strong> .............................................................. 126<br />
Anhang L Organisatorische Aufbauelemente der RA ...................................................... 133<br />
Anhang M Organisatorische Aufbauelemente der <strong>ITIL</strong> ..................................................... 137<br />
Anhang N Organisatorische Aufbauelemente der <strong>COBIT</strong> ................................................ 143<br />
Anhang O Notation der Semantischen Netze ................................................................... 145<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 7-<br />
Abbildungsverzeichnis<br />
Abbildung 1: Zielmodell der RA für das Handlungsfeld „Handlungsfähigkeit“ [Zielmodell] ..... 15<br />
Abbildung 2: Rekonstruktion der Ziele der IT Infrastructure Library (<strong>ITIL</strong>) ............................. 17<br />
Abbildung 3: Rekonstruktion der Ziele von <strong>COBIT</strong> aus Sicht der IT-Revision ....................... 20<br />
Abbildung 4: Rekonstruktion der Ziele der von <strong>COBIT</strong> thematisierten IT-Prozesse aus<br />
Sicht des IT-Managements ............................................................................. 22<br />
Abbildung 5: Gegenüberstellung der zentralen Ziele von RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Fokus<br />
auf das Zielmodell „Handlungsfähigkeit” ......................................................... 28<br />
Abbildung 6: Gegenüberstellung der zentralen Ziele von RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Fokus<br />
auf das Zielmodell „Wirtschaftlichkeit“ ............................................................. 29<br />
Abbildung 7: Gegenüberstellung der zentralen Ziele von RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Fokus<br />
auf das Zielmodell „Hohe Dienstleistungsqualität“ .......................................... 30<br />
Abbildung 8: Rekonstruktion der zentralen Begriffe <strong>und</strong> ihrer Zusammenhänge aus der<br />
Dokumentation der Rahmenarchitektur .......................................................... 32<br />
Abbildung 9: Rekonstruktion der zentralen Begriffe <strong>und</strong> ihrer Zusammenhänge aus der<br />
Dokumentation der <strong>ITIL</strong> ................................................................................... 34<br />
Abbildung 10: Zentrale Konzepte der <strong>ITIL</strong>, die im Folgenden nicht weiter betrachtet<br />
werden ............................................................................................................ 35<br />
Abbildung 11: Rekonstruktion zentraler Konzepte von <strong>COBIT</strong> der Revisions-<br />
Perspektive ..................................................................................................... 37<br />
Abbildung 12: Rekonstruktion zentraler Konzepte von <strong>COBIT</strong> der Management-<br />
Perspektive ..................................................................................................... 37<br />
Abbildung 13: Vergleichende Gegenüberstellung zentraler Konzepte in RA <strong>und</strong> <strong>ITIL</strong> ........... 39<br />
Abbildung 14: Vergleichende Gegenüberstellung primärer Konzepte in RA <strong>und</strong> <strong>COBIT</strong>:<br />
Revisions-Perspektive ..................................................................................... 42<br />
Abbildung 15: Vergleichende Gegenüberstellung primärer Konzepte in RA <strong>und</strong> <strong>COBIT</strong>:<br />
Management-Perspektive ............................................................................... 43<br />
Abbildung 16: Übersicht über die <strong>ITIL</strong>-Prozesse .................................................................... 52<br />
Abbildung 17: Übersicht der <strong>COBIT</strong>-Prozesse (in Anlehnung an [<strong>COBIT</strong>-DE], S. 24) ........... 53<br />
Abbildung 18: Prozesse aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit Anknüpfungspunkten an den Prozess<br />
der RA <strong>zu</strong>r Diensteableitung ........................................................................... 60<br />
Abbildung 19: Prozesse aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit Anknüpfungspunkten an den Prozess<br />
der RA <strong>zu</strong>r Nachfragebündelung ..................................................................... 63<br />
Abbildung 20: Identifizierte Rollen <strong>und</strong> Gremien der RA <strong>und</strong> ihre Beteiligung an den<br />
zentralen Prozessen ....................................................................................... 69<br />
Abbildung 21: Identifizierte Rollen <strong>und</strong> Gremien in <strong>COBIT</strong> .................................................... 71<br />
Abbildung 22: Beispielhafter Aufbau eines Unternehmensmodells (eigene Darstellung) ...... 83<br />
Abbildung 23: Übersicht über <strong>ITIL</strong>-Prozesse (in Anlehnung an ITGI 2008, S. 20) ................. 95<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 8-<br />
Tabellenverzeichnis<br />
Tabelle 1: Notation <strong>und</strong> Heuristik für Analyse gemeinsamer Konzepte ................................. 38<br />
Tabelle 2: Prozess – Ableitung von Diensten aus Geschäftsprozessen ................................ 50<br />
Tabelle 3: Prozess – Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage ........................... 51<br />
Tabelle 4: Prozesse aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Anknüpfungspunkten <strong>zu</strong>m Prozess der<br />
Diensteableitung der RA ................................................................................. 55<br />
Tabelle 5: Prozesse aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit Anknüpfungspunkten <strong>zu</strong>m Prozess der<br />
Nachfragebündelung der RA ........................................................................... 56<br />
Tabelle 6: Organisatorische Aufbauelemente der RA ............................................................ 69<br />
Tabelle 7: Gegenüberstellung organisatorischer Aufbauelemente ........................................ 75<br />
Tabelle 8: Dokumente, die der Rekonstruktion der RA <strong>zu</strong>gr<strong>und</strong>e liegen ............................... 90<br />
Tabelle 9: <strong>ITIL</strong>-Prozesse <strong>und</strong> ihre Zielset<strong>zu</strong>ngen ................................................................... 94<br />
Tabelle 10: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der Domäne „Plan<br />
and Organise“ (PO) ......................................................................................... 98<br />
Tabelle 11: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der Domäne<br />
„Acquire and Implement“ (AI) ........................................................................ 100<br />
Tabelle 12: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der Domäne<br />
„Deliver and Support“ (DS) ............................................................................ 102<br />
Tabelle 13: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der Domäne<br />
„Monitor and Evaluate“ (ME) ......................................................................... 103<br />
Tabelle 14: <strong>COBIT</strong>-Prozesse <strong>und</strong> abgeleitete Be<strong>zu</strong>gsobjekte ............................................. 111<br />
Tabelle 15: Abgeleitete Be<strong>zu</strong>gsobjekte aus den Control Objectives <strong>und</strong> Aktivitäten der<br />
<strong>COBIT</strong>-Prozesse ........................................................................................... 115<br />
Tabelle 16: Verdichtete Ziele der <strong>COBIT</strong>-Prozesse ............................................................. 117<br />
Tabelle 17: Glossar zentraler Begriffe der RA ...................................................................... 122<br />
Tabelle 18: Glossar zentraler Begriffe der <strong>ITIL</strong> .................................................................... 125<br />
Tabelle 19: Glossar zentraler Begriffe von <strong>COBIT</strong> ............................................................... 132<br />
Tabelle 20: Organisatorische Aufbauelemente der RA ........................................................ 136<br />
Tabelle 21: Organisatorische Aufbauelemente der <strong>ITIL</strong> ....................................................... 142<br />
Tabelle 22: Organisatorische Aufbauelemente der <strong>COBIT</strong> .................................................. 144<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 9 -<br />
1 Ziele <strong>und</strong> Gang der Unter<strong>suchung</strong><br />
Die wissenschaftliche Unter<strong>suchung</strong> <strong>zu</strong>r „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der<br />
Rahmenarchitektur IT Steuerung B<strong>und</strong>“ zielt darauf, die konzeptuelle <strong>und</strong> prozessuale Anschlussfähigkeit<br />
der Rahmenarchitektur IT-Steuerung B<strong>und</strong> (RA) an die Rahmenwerke IT<br />
Infrastructure Library (<strong>ITIL</strong>) in der derzeit aktuellen Version 3 <strong>und</strong> Control Objectives for<br />
Information and Related Technology (<strong>COBIT</strong>) in der derzeit aktuellen Version 4 kritischreflektiert<br />
<strong>zu</strong> analysieren. Weiter sollen aus dieser Analyse wissenschaftlich f<strong>und</strong>ierte Handlungsempfehlungen<br />
für den praktischen Einsatz <strong>und</strong> die Weiterentwicklung der RA entwickelt<br />
werden.<br />
Die drei untersuchten Ansätze RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong>, werden in der vorliegenden Studie als<br />
Methoden interpretiert. Der Unter<strong>suchung</strong> liegt dabei ein allgemeiner Methodenbegriff <strong>zu</strong>gr<strong>und</strong>e.<br />
Unter einer Methode wird allgemein ein systematisches, planmäßig auf ein Ziel<br />
ausgerichtetes Verfahren <strong>zu</strong>r Lösung einer Klasse von Problemen verstanden, das <strong>zu</strong> „technischer<br />
Fertigkeit bei der Lösung theoretischer <strong>und</strong> praktischer Aufgaben führt“ (Lorenz<br />
1995, S. 876). Eine Methode besteht mindestens aus einer sprachlichen Struktur <strong>und</strong> mindestens<br />
einer darauf abgestimmten Vorgehensweise (Frank 2006, S. 22). Ausgehend von<br />
diesem Methodenbegriff erfolgt eine Integration durch gemeinsame Begriffe (konzeptuelle<br />
Integration), <strong>und</strong> korrespondierende Vorgehensweisen, die auf die gemeinsamen Konzepte<br />
verweisen (prozessuale Integration).<br />
Die vorliegende Studie untersucht daher anhand zentraler Ziele, Begriffe, Prozesse <strong>und</strong><br />
Organisationsstrukturen, ob <strong>und</strong> inwiefern die RA anschlussfähig 1 an <strong>ITIL</strong> bzw. <strong>COBIT</strong> ist<br />
<strong>und</strong> erörtert Potentiale einer gewinnbringenden, weitergehenden konzeptuellen wie prozessualen<br />
Integration der RA mit <strong>ITIL</strong> bzw. <strong>COBIT</strong>. Im Fokus der Studie steht dabei die paarweise<br />
Gegenüberstellung der RA mit <strong>ITIL</strong> bzw. der RA mit <strong>COBIT</strong>. Anderweitige Überlegungen<br />
etwa der Integration von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> sind nicht Bestandteil der Studie (siehe da<strong>zu</strong> bspw.<br />
ISACA <strong>und</strong> itSMF 2008). Aus Gründen der sprachlichen Vereinfachung bezieht sich die<br />
Rede vom „Vergleich der drei Ansätze“ somit immer auf diese beiden Paarvergleiche. Die<br />
Analyseziele im Einzelnen umfassen:<br />
1) Vergleich der Zielstellungen der drei Ansätze. Da<strong>zu</strong> werden die expliziten <strong>und</strong> – soweit<br />
nachvollziehbar – impliziten Zwecke <strong>und</strong> Ziele sowie intendierte Nut<strong>zu</strong>ngsszenarien<br />
analysiert <strong>und</strong> <strong>zu</strong>einander in Beziehung gesetzt.<br />
2) Vergleich der drei Ansätze hinsichtlich ihrer begrifflichen Kompatibilität. Da<strong>zu</strong> werden<br />
Begriffsanalysen durchgeführt <strong>und</strong> die inhaltlichen Beziehungen zwischen zentralen<br />
Konzepten untersucht.<br />
3) Vergleich der drei Ansätze im Hinblick auf ihre prozessuale Kompatibilität. Da<strong>zu</strong> werden<br />
zentrale Prozesse identifiziert <strong>und</strong> auf inhaltliche Überschneidungen, Widersprüche<br />
<strong>und</strong> Integrationsmöglichkeiten hin untersucht.<br />
4) Vergleich der drei Ansätze in Be<strong>zu</strong>g auf die Kompatibilität der organisatorischen Aufbauelemente.<br />
Da<strong>zu</strong> werden zentrale Organisationsstrukturen (z. B. Rollen <strong>und</strong> Gremien)<br />
der drei Ansätzen identifiziert <strong>und</strong> auf inhaltliche Überschneidungen,<br />
Widersprüche <strong>und</strong> Integrationsmöglichkeiten hin untersucht.<br />
1 BMI: Unter Anschlussfähigkeit verstehen wir die Frage, ob die RA gemeinsam mit den Rahmenwerken <strong>ITIL</strong> <strong>und</strong><br />
<strong>COBIT</strong> eingesetzt werden kann, ohne dass es dabei <strong>zu</strong> Inkonsistenzen kommt. In diesem Bericht wurden Inkonsistenzen<br />
bzgl. der Zielstellungen, der Begrifflichkeiten, der Prozesse sowie der Aufbauorganisation von <strong>COBIT</strong>,<br />
<strong>ITIL</strong> <strong>und</strong> der RA untersucht.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 10 -<br />
Zur Durchführung der Studie wurde eine allgemeine Methode <strong>zu</strong>r Evaluation von Artefakten<br />
für den Vergleich von Rahmenwerken adaptiert (Frank 2000). Die Unter<strong>suchung</strong>smethode<br />
besteht aus einem Be<strong>zu</strong>gsrahmen, der durch die vier Foki Ziele, Begriffe, Prozesse <strong>und</strong><br />
Organisationsstrukturen konstituiert ist <strong>und</strong> aus einem iterativ durchlaufenen Vorgehensmodell.<br />
Die Analyse der drei Ansätze erfolgt anhand von Primärquellen <strong>und</strong> ausgewählter Sek<strong>und</strong>ärliteratur<br />
(Anhang A enthält eine Aufstellung der untersuchten Quellen) in mehreren,<br />
iterativ durchlaufenen Schritten der Identifikation, Interpretation, Rekonstruktion <strong>und</strong> Gegenüberstellung<br />
zentraler Ziele, Begriffe, Prozesse <strong>und</strong> Organisationsstrukturen. Diese vier<br />
Unter<strong>suchung</strong>sbereiche werden auf Gemeinsamkeiten, Überschneidungen, Ähnlichkeiten<br />
<strong>und</strong> Identitäten sowie Widersprüche, Lücken <strong>und</strong> Divergenzen hin untersucht <strong>und</strong> interpretiert.<br />
Dabei treten aufgr<strong>und</strong> von unklaren, vagen, unvollständigen oder inkonsistenten Spezifikationen<br />
in den Dokumentationen der drei Ansätze Interpretationsspielräume auf, die nicht<br />
endgültig ausgeräumt werden können. Dem begegnet die vorliegende Studie dadurch, dass<br />
Interpretationsspielräume als solche kenntlich gemacht <strong>und</strong> durch eine entsprechende<br />
Kommentierung erläutert werden.<br />
Das vorliegende Dokument fasst die Ergebnisse der Analyse gegliedert nach den vier Unter<strong>suchung</strong>sbereichen<br />
Ziele, Begriffe, Prozesse <strong>und</strong> Organisationsstrukturen <strong>zu</strong>sammen. Die<br />
Unter<strong>suchung</strong>sbereiche werden jeweils in gleicher Reihenfolge der behandelten Ansätze<br />
analysiert: Zunächst wird die RA untersucht, dann <strong>ITIL</strong> <strong>und</strong> anschließend <strong>COBIT</strong>. Abschließend<br />
erfolgt ein Zwischenfazit <strong>zu</strong>m jeweiligen Unter<strong>suchung</strong>sbereich mit einer <strong>zu</strong>sammenfassenden<br />
Einschät<strong>zu</strong>ng der Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen. Am Ende<br />
des Dokuments wird eine Schlussbetrachtung vorgenommen. Die Darstellung der Unter<strong>suchung</strong>sergebnisse<br />
verweist auf einen umfangreichen Anhang. Im Anhang sind u. a. im Rahmen<br />
der Studie konsolidierte <strong>und</strong> erweiterte Glossare <strong>und</strong> Übersichten über Ziele, Prozesse<br />
<strong>und</strong> Organisationsstrukturen aufgeführt. Zur Darstellung der Unter<strong>suchung</strong>sergebnisse<br />
kommen neben natürlich sprachlichen Beschreibungen tabellarische Übersichten <strong>und</strong> semiformale<br />
Beschreibungsansätze (semantische Netze) <strong>zu</strong>m Einsatz. Die verwendete Notation<br />
dieser Begriffsnetze ist in Anhang O erläutert.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 11 -<br />
2 Einordnung der untersuchten Rahmenwerke <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
Die IT Infrastructure Library (<strong>ITIL</strong>) wird seit 1989 von der britischen „Office of Government<br />
Commerce“ (OGC 2 ) im Auftrag der britischen Regierung entwickelt. Ausgangspunkt für die<br />
Entwicklung der <strong>ITIL</strong> war die Beobachtung, dass mit steigender Diffusion von Informations-<br />
<strong>und</strong> Kommunikationstechnik die Durchführung der (Geschäfts-)Prozesse in Organisationen<br />
<strong>zu</strong>nehmend auf die Unterstüt<strong>zu</strong>ng durch Informationssysteme angewiesen ist. Zugleich<br />
wurde festgestellt, dass sich über verschiedene Organisationen (Unternehmen <strong>und</strong> Behörden)<br />
hinweg gleichartige Prozesse <strong>und</strong> Strukturen etabliert hatten, um die Leistungen der IT-<br />
Organisation <strong>zu</strong> erbringen. Aus der Analyse „erfolgreicher“ IT-Organisationen ist ein Bündel<br />
an Empfehlungen entstanden, das als „good practice“ für das Management von IT-<br />
Dienstleistungen ([Service Strategy], S. 8) in der mittlerweile dritten Version in der Praxis<br />
Verbreitung gef<strong>und</strong>en hat (für einen Überblick über den gegenwärtigen Implementierungsstand<br />
in der Unternehmenspraxis vgl. Marrone <strong>und</strong> Kolbe 2011).<br />
Den inhaltlichen Kern von <strong>ITIL</strong> (Version 3) bilden eine Reihe von Publikationen, die von der<br />
OGC herausgegeben werden [Service Strategy; Service Design; Service Transition; Service<br />
Operation; Continual Service Improvement]. Die Publikationen beschreiben verschiedene<br />
Aspekte des Managements – d.h. der Planung, der Realisierung, des Betriebs <strong>und</strong> der<br />
Überwachung – der Dienstleistungen von IT-Organisationen. Während in Version 2 der <strong>ITIL</strong><br />
der Fokus mit Prozessen wie z. B. „Incident Management“, „Problem Management“ <strong>und</strong><br />
„Change Management“ noch primär auf der Gewährleistung eines möglichst störungsfrei<br />
laufenden operativen IT-Betriebs lag, liegt mit der dritten Version ein Rahmenwerk vor, das<br />
das Management von IT-Dienstleistungen über ihren gesamten Lebenszyklus – von Entwurf<br />
über Umset<strong>zu</strong>ng <strong>und</strong> Betrieb bis <strong>zu</strong>r Einstellung – betrachten möchte <strong>und</strong> somit auch auf<br />
planerische Aspekte [Service Design; Service Strategy] gerichtet ist.<br />
Darüber hinaus existiert eine Vielzahl weiterer Publikationen <strong>zu</strong> <strong>ITIL</strong> von Autoren aus Wissenschaft<br />
<strong>und</strong> Praxis (z. B. van Bon 2009). <strong>ITIL</strong> ist Gr<strong>und</strong>lage der Norm ISO ISO/IEC 20000,<br />
die aus dem britischen Standard BS 15000 entwickelt wurde. Die Zertifizierung einer IT-<br />
Organisation kann derzeit nach ISO/IEC 20000-1:2005 (Teil 1 aus dem Jahr 2005) erfolgen.<br />
Die Control Objectives for Information and Related Technology (<strong>COBIT</strong>) werden seit 1993<br />
entwickelt. Die erstmalige Veröffentlichung in der Version 1.0 erfolgte im April 1996 durch die<br />
„Information Systems Audit and Control Fo<strong>und</strong>ation“ (ISACF) als damalige Forschungseinrichtung<br />
der „Information Systems Audit and Control Association“ (ISACA 3 ). Die ISACA wird<br />
maßgeblich dominiert von Mitarbeitern der sogenannten „BigFour“-Wirtschaftsprüfungsgesellschaften<br />
(KPMG, PWC, Deloitte Touche Tohmatsu, Ernst & Young). Ihre Mitglieder<br />
sind mehrheitlich IT-Revisoren <strong>und</strong> in der IT-Prüfung (IT-Auditing) tätige Wirtschaftsprüfer.<br />
Die ISACA bietet ihren Mitgliedern kostenpflichtige Schulungen <strong>und</strong> Zertifizierungen an <strong>und</strong><br />
ist an der Entwicklung von Prüfungsstandards beteiligt. Nach Version 2 (April 1998) <strong>und</strong><br />
Version 3 (Juli 2000) veröffentlichte das „IT Governance Institute“ (ITGI 4 ) – als 1998 gegründetes<br />
Nachfolgeinstitut der ISACF – im Dezember 2005 <strong>COBIT</strong> in der Version 4.0. Eine<br />
Überset<strong>zu</strong>ng der Version 4.0 in die deutsche Sprache durch KPMG Österreich aus dem Jahr<br />
2006 liegt vor. In der Folge wird <strong>COBIT</strong> in einigen Details überarbeitet <strong>und</strong> im Mai 2007 in<br />
2 vgl. http://ogc.gov.uk<br />
3 http://www.isaca.org<br />
4 http://www.itgi.org/<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 12 -<br />
der Version <strong>COBIT</strong> 4.1 veröffentlicht, <strong>zu</strong> der derzeit keine offizielle deutsche Fassung vorliegt.<br />
5<br />
Den inhaltlichen Kern der <strong>COBIT</strong> (Version 4.1) bildet die Publikation [<strong>COBIT</strong>]; begleitet von<br />
einer Reihe von ergänzenden Dokumenten (u. a. Vorgehensmodelle <strong>zu</strong>r Prüfungsdurchführung<br />
(siehe u. a. Gaulke 2010, S. 12 sowie [<strong>COBIT</strong>-DE], S. 195f, ITGI 2007a). Darüber hinaus<br />
existiert eine Vielzahl weiterer Publikationen der ISACA, des ITGI, der da<strong>zu</strong>gehörigen<br />
Landesverbände <strong>und</strong> davon unabhängiger Autoren aus Wissenschaft <strong>und</strong> Praxis, bspw.<br />
auch Mappings zwischen <strong>COBIT</strong> <strong>und</strong> der <strong>ITIL</strong> (ISACA <strong>und</strong> itSMF 2008; ITGI 2007) sowie<br />
ergänzende Rahmenwerke für IT-bezogene Investitionen (ISACA 2008) <strong>und</strong> Risiken (ISACA<br />
2009).<br />
Die Primärquellen rücken seit der ersten Version der <strong>COBIT</strong> den spezifischen Fokus der IT-<br />
Revision (interne Revision <strong>und</strong> Wirtschaftsprüfung) in den Mittelpunkt. Entstehungshintergr<strong>und</strong><br />
der <strong>COBIT</strong> bilden verschiedene U.S.-amerikanische Rechnungslegungsstandards des<br />
„Public Company Accounting Oversight Board“ (PCAOB) <strong>und</strong> Prüfungsstandards des „American<br />
Institute of Certified Public Accountants“ (AICPA) sowie deren Anwendung im Rahmen<br />
der Wirtschaftsprüfung (v. a. Jahresabschlussprüfung) <strong>zu</strong>r Ermittlung einer möglichen Beeinträchtigung<br />
der Ordnungsmäßigkeit der Rechnungslegung durch Informations- <strong>und</strong> Kommunikationstechnik.<br />
Diese Revisionsperspektive hat im Zuge des Sarbanes-Oxley-Act of 2002<br />
(SOX) <strong>und</strong> seiner „Section 404“ („SOX 404“) für IT-Organisationen in der Jurisdiktion dieser<br />
Rechtsvorschriften (z. B. auch für deutsche Unternehmen, die in den USA börsennotiert<br />
sind) erheblich an Bedeutung gewonnen. Mit der Version 4 werden auch allgemeiner gefasste<br />
Empfehlungen für das IT-Management formuliert (z. B. es sollte ein „Strategic IT Plan“<br />
erstellt werden), deren Be<strong>zu</strong>g <strong>zu</strong>r ursprünglichen Revisionsperspektive deutlich weniger<br />
offensichtlich ist (siehe da<strong>zu</strong> auch Strecker 2009).<br />
Sowohl <strong>ITIL</strong> als auch <strong>COBIT</strong> sind im Zeitverlauf <strong>zu</strong> umfangreichen Rahmenwerken angewachsen.<br />
Während <strong>ITIL</strong> im Kern auf die Realisierung eines IT-Service-Managements (ITSM)<br />
<strong>und</strong> die Gestaltung <strong>und</strong> Durchführung des IT-Betriebs gerichtet ist, dient <strong>COBIT</strong> <strong>zu</strong>r Sicherstellung<br />
der Einhaltung gesetzlicher <strong>und</strong> weiterer regulatorischer Anforderungen (im Sinne<br />
einer IT-Compliance) im Rahmen der IT-Revision (IT-Auditing, Wirtschaftsprüfung). Beide<br />
Rahmenwerke unterscheiden sich hinsichtlich ihrer Ziele, der verwendeten Terminologie<br />
(Begriffe) <strong>und</strong> insbesondere hinsichtlich der vorgeschlagenen Prozesse <strong>und</strong> Organisationsstrukturen.<br />
Ferner sind sie vor ihren deutlich unterschiedlichen Entstehungshintergründen<br />
<strong>und</strong> den damit verb<strong>und</strong>enen spezifischen Interessen der beteiligten Akteure <strong>zu</strong> interpretieren.<br />
Im Vergleich mit den Empfehlungen in <strong>ITIL</strong> (die r<strong>und</strong> 1500 Seiten Umfang aufweisen) ist<br />
auffällig, dass die Spezifikation der <strong>COBIT</strong> deutlich weniger umfangreich (die Spezifikation<br />
umfasst r<strong>und</strong> 200 Seiten) <strong>und</strong> deutlich weniger konkret ausfällt, <strong>zu</strong>m Beispiel fehlen weitgehend<br />
notwendige Details <strong>zu</strong> Gestaltungsempfehlungen. Beispielsweise wird nicht näher<br />
ausgeführt, welche Inhalte der oben angeführte „Strategic IT Plan“ thematisieren muss bzw.<br />
soll. Sehr ausführlich sind in der <strong>COBIT</strong>-Spezifikation die sog. „Control Objectives“ beschrieben.<br />
Ein „Control Objective“ kann dabei als ein für einen Revisor prüfbaren Sachverhalt<br />
aufgefasst werden (z. B. ein „Strategic IT Plan“ liegt vor oder das Gremium „IT steering<br />
committee“ existiert). 6<br />
5 Da Versionen 4.1 <strong>und</strong> 4.0 in weiten Teilen deckungsgleich sind <strong>und</strong> 4.1 nicht auf Deutsch vorliegt, wird an<br />
geeigneter Stelle auch auf die deutsche Version 4.0 verwiesen [<strong>COBIT</strong>-DE].<br />
6 Damit ist insofern ein intendierter Zustand (ein Ziel oder „objective“) verb<strong>und</strong>en als bei Vorliegen eines <strong>zu</strong><br />
prüfenden Sachverhalts davon ausgegangen wird, dass eine mögliche Beeinträchtigung der Ordnungsmäßigkeit<br />
der Rechnungslegung durch Informations- <strong>und</strong> Kommunikationstechnik gemindert wird. In diesem Zusammenhang<br />
ist wenig überraschend, dass <strong>COBIT</strong> gegenüber <strong>ITIL</strong> eine deutlich differenziertere Beschreibung von Ver-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 13 -<br />
Die Dokumentation <strong>zu</strong> <strong>ITIL</strong> wie <strong>COBIT</strong> betont ihre Interpretation als Rahmenwerke, die für<br />
konkrete Anwendungszwecke in Organisationen an<strong>zu</strong>passen seien. <strong>ITIL</strong> wie <strong>COBIT</strong> sind<br />
demnach darauf gerichtet, einen Rahmen vor<strong>zu</strong>geben, der einer spezifischen Anpassung für<br />
eine Organisation bedarf. Allerdings wird in den untersuchten Dokumentationen keine Anleitung<br />
geliefert, wie diese Anpassung erfolgen könnte oder, idealerweise, sollte. Auch hier<br />
liefert der Entstehungshintergr<strong>und</strong> eine Erklärung: Beide Rahmenwerke sind nicht nur Gegenstand<br />
von Konsolidierungsbemühungen vordergründig „neutraler“ Organisationen, sondern<br />
vor allem Gr<strong>und</strong>lage für Beratungsprodukte einschlägiger Beratungsunternehmen.<br />
Damit stehen diejenigen, die die Entwicklung der beiden Rahmenwerke maßgeblich vorantreiben<br />
in einem Interessenskonflikt zwischen Offenlegung konkreter Handlungsweisen <strong>und</strong><br />
dem bewussten Offenlassen konkreter Empfehlungen, um im Anschluss Beratungsgeschäft<br />
<strong>zu</strong> generieren. Darüber hinaus dürfen aufgr<strong>und</strong> der relativ vagen, abstrakten Aussagen der<br />
Rahmenwerke berechtigte Zweifel angemeldet werden, ob den Autoren eine differenzierte<br />
<strong>und</strong> damit anspruchsvolle Auseinanderset<strong>zu</strong>ng mit der Varianz <strong>und</strong> Kontingenz organisationaler<br />
Wirklichkeit überhaupt gelingen würde. 7<br />
antwortlichkeiten der definierten Rollen aufweist (z. B. eine Rolle kann „<strong>zu</strong>ständig“ - responsible oder „verantwortlich“<br />
- accountable - im Sinne der rechnungslegungsrelevanten Gesetzgebung sein), da diese Prüfung für haftungsrechtliche<br />
Fragen von hoher Relevanz ist.<br />
7 BMI: Die sich daraus ergebenen Konsequenzen für die B<strong>und</strong>esverwaltung werden ausführlich in Kapitel 7<br />
(insbes. Punkt 6 auf S. 81) diskutiert.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 14 -<br />
3 Unter<strong>suchung</strong>sbereich Ziele<br />
Die in dieser Unter<strong>suchung</strong> betrachteten Rahmenwerke RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> sind vor ihren<br />
unterschiedlichen Entstehungshintergründen, den damit verb<strong>und</strong>enen spezifischen Interessen<br />
der beteiligten Akteure <strong>und</strong> insb. den jeweils mit ihrer Entwicklung <strong>und</strong> ihrem Einsatz<br />
verfolgten Zielen <strong>zu</strong> interpretieren. Die Unter<strong>suchung</strong> beginnt daher mit einer vergleichenden<br />
Analyse der mit der RA verb<strong>und</strong>enen Zwecke <strong>und</strong> Ziele mit denen von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong>. Die<br />
Zweckset<strong>zu</strong>ngen <strong>und</strong> Ziele der drei Ansätze liefern die entscheidenden Hinweise für eine<br />
Positionierung relativ <strong>zu</strong>einander <strong>und</strong> liefern gleichzeitig Referenzpunkte für ihre Rekonstruktion<br />
etwa im Hinblick auf das Nachvollziehen von Entwurfsentscheidungen, die den Ansätzen<br />
<strong>zu</strong>gr<strong>und</strong>e liegen. Hier<strong>zu</strong> werden <strong>zu</strong>nächst die Ziele der RA identifiziert <strong>und</strong> analysiert. Darauf<br />
aufbauend werden jeweils die Ziele von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> untersucht. Dabei wird auf die Terminologie<br />
der RA bzw. der für die RA spezifizierten Ziele <strong>zu</strong>rückgegriffen. Für die Analyse<br />
der Anschlussfähigkeit bzw. der Integrationspotentiale der Ansätze im Hinblick auf die Zielset<strong>zu</strong>ngen<br />
(bspw. <strong>zu</strong> Identifizierung gemeinsamer oder widersprüchlicher Ziele) werden in<br />
einem zweiten Schritt Schlussfolgerungen gezogen, Handlungsempfehlungen abgeleitet <strong>und</strong><br />
integrierte Zielmodelle entwickelt.<br />
Zur besseren Unterscheidung werden Ziele im Text kursiv gesetzt. Die Ziele sind in der<br />
Terminologie der Ziele der RA verfasst <strong>und</strong> auf die Konzeptualisierung aus dem Zielemodell<br />
[Ziele] abgestimmt. Ziele, die sich <strong>ITIL</strong> <strong>und</strong>/oder <strong>COBIT</strong>, nicht jedoch der RA <strong>zu</strong>ordnen lassen,<br />
werden durch den Zusatz <strong>ITIL</strong> bzw. <strong>COBIT</strong> kenntlich gemacht.<br />
3.1 Analyse der Ziele der RA<br />
Die „IT-Steuerung B<strong>und</strong>“ ist eine Initiative <strong>zu</strong>r Stärkung der IT-Organisation des B<strong>und</strong>es. Sie<br />
ist darauf gerichtet, dem <strong>zu</strong>nehmenden Stellenwert <strong>und</strong> der <strong>zu</strong>gleich steigenden Komplexität<br />
von Informationstechnologie in den B<strong>und</strong>esbehörden Rechnung <strong>zu</strong> tragen. Hierfür wurden<br />
verschiedene Handlungsfelder identifiziert, die darauf zielen, serviceorientierter gegenüber<br />
dem Bürger <strong>zu</strong> werden, Innovationen <strong>zu</strong> fördern, die Handlungsfähigkeit <strong>zu</strong> bewahren <strong>und</strong><br />
die Effizienz des IT-Einsatzes <strong>zu</strong> steigern [Konzept]. Im Zentrum der Maßnahmen stehen<br />
insbesondere die Bündelung <strong>und</strong> Konsolidierung der Nachfrage nach IT-Dienstleistungen<br />
einerseits <strong>und</strong> des Angebots an IT-Dienstleistungen andererseits. Wesentlicher Schritt hierfür<br />
ist auch die Konsolidierung verschiedener, z. T. behördlich individueller IT-Dienstleister<br />
<strong>zu</strong> drei IT-Dienstleistungszentren (DLZ-IT) des B<strong>und</strong>es sowie insbesondere die Entwicklung<br />
einer „Rahmenarchitektur IT-Steuerung B<strong>und</strong>“ (RA), die im Fokus dieser Unter<strong>suchung</strong> steht<br />
[Umset<strong>zu</strong>ngsplan].<br />
Die RA dient als Instrument, um den Abgleich von Angebot <strong>und</strong> Nachfrage von IT-<br />
Unterstüt<strong>zu</strong>ng vor dem Hintergr<strong>und</strong> der Ziele der Initiative <strong>zu</strong> unterstützen. Sie stellt einen<br />
übergeordneten Rahmen für die Strukturierung der IT-Landschaft des B<strong>und</strong>es <strong>zu</strong>r Verfügung.<br />
Hierbei wird von zwei Perspektiven ausgegangen:<br />
• Einerseits die Geschäftsperspektive, <strong>zu</strong> der die behördlichen Prozesse <strong>und</strong> Aufbaustrukturen<br />
<strong>zu</strong>r Erreichung der Ziele des B<strong>und</strong>es bzw. der B<strong>und</strong>esbehörde gehören.<br />
• Andererseits die komplementäre IT-Perspektive, in der die IT-Systeme, ihre Hard-<br />
<strong>und</strong> Software <strong>und</strong> die Daten – die IT-Leistungserstellung – im Vordergr<strong>und</strong> stehen.<br />
Die RA zielt darauf, diese Perspektiven in einen Zusammenhang <strong>zu</strong> setzen. Hierfür bietet sie<br />
eine Integrations- <strong>und</strong> Vermittlungsschicht zwischen geschäftlichen <strong>und</strong> informationstechni-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 15 -<br />
schen Perspektiven <strong>und</strong> somit zwischen Angebot <strong>und</strong> Nachfrage nach IT-Dienstleistungen<br />
an.<br />
Darüber hinaus ist die Rahmenarchitektur eingebettet in einen organisatorischen Kontext,<br />
der ihre Anwendung erleichtern soll: Ein zentrales Architekturmanagement übernimmt die<br />
Vermittlung zwischen den Akteuren der Perspektiven <strong>und</strong> stellt Methoden(teile) – insbesondere<br />
eine sprachliche Struktur <strong>zu</strong>r Beschreibung von Angebot, Nachfrage <strong>und</strong> den vermittelnden<br />
Diensten – bereit, um die gegenseitige Abstimmung <strong>zu</strong> erleichtern. Die RA stellt<br />
damit ein Instrument dar, mit dem „gemeinsame Begriffe <strong>und</strong> Strukturen <strong>zu</strong>r Unterstüt<strong>zu</strong>ng<br />
einer effizienten ressortübergreifenden Zusammenarbeit geschaffen“ <strong>und</strong> die Kommunikation<br />
unter den verschiedenen Beteiligten unterstützt werden soll ([Gr<strong>und</strong>lagen], S. 3).<br />
Durch die strukturierte Erfassung <strong>und</strong> Abstimmung von Nachfrage <strong>und</strong> Angebot an IT-<br />
Unterstüt<strong>zu</strong>ng soll u. a. Red<strong>und</strong>anz verringert, Transparenz geschaffen <strong>und</strong> Komplexität in<br />
der Betrachtung der Zusammenhänge zwischen Geschäfts- <strong>und</strong> IT-Sicht reduziert werden.<br />
Die RA verfolgt drei Hauptzielset<strong>zu</strong>ngen, die im Folgenden als Handlungsfeld bezeichnet<br />
werden:<br />
1) Handlungsfähigkeit: Die B<strong>und</strong>esverwaltung setzt ihre IT so ein, dass sie stets nachweisbar<br />
in der Lage ist, ihren gesetzlichen Auftrag <strong>zu</strong> erfüllen.<br />
2) Wirtschaftlichkeit: Die B<strong>und</strong>esverwaltung betreibt <strong>und</strong> entwickelt ihre IT jederzeit unter<br />
Beachtung des Prinzips der Wirtschaftlichkeit <strong>und</strong> Sparsamkeit.<br />
3) Hohe Dienstleistungsqualität: Die IT-Systeme sind so gestaltet, dass die Arbeitsabläufe<br />
bestmöglich unterstützt werden.<br />
Diese Ziele werden in einem Zielmodell detaillierter dargestellt <strong>und</strong> durch Angabe von Gewichtungen<br />
<strong>und</strong> Beeinflussungsrichtungen näher beschrieben. Für eine bessere Übersichtlichkeit<br />
wird das Zielmodell den drei Handlungsfeldern entsprechend in drei Teilmodelle<br />
zerlegt betrachtet <strong>und</strong> grafisch dargestellt. Ein Teilmodell entspricht somit einem Ausschnitt<br />
aus dem Zielmodell.<br />
Für das Handlungsfeld Handlungsfähigkeit findet sich ein Ausschnitt aus dem Zielmodell in<br />
Abbildung 1; die vollständige Beschreibung der Ziele <strong>und</strong> ihren Abhängigkeiten findet sich<br />
<strong>zu</strong>sammen mit den vollständigen Zielmodellen in [Ziele].<br />
+<br />
Zukunftsfähigkeit<br />
+<br />
Innovations-<br />
Management<br />
Verkür<strong>zu</strong>ng der<br />
Einführungsdauer<br />
('time to market')<br />
+<br />
Fachliche Integration<br />
+<br />
Effizienz<br />
++<br />
Effektivität<br />
++<br />
++<br />
Beherrschbarkeit der<br />
Prozesse<br />
Standardisierung <strong>und</strong><br />
Optimierung der<br />
Prozesse<br />
++<br />
Prozessorientierung<br />
Interoperabilität<br />
Wiederverwendung<br />
Agilität<br />
Handlungsfähigkeit<br />
++ ++ + ++ ++<br />
+<br />
+<br />
+<br />
++<br />
+<br />
+<br />
++<br />
++<br />
Flexibilität<br />
Zuverlässigkeit<br />
Optimierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong><br />
Administration<br />
Standardisierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong><br />
Administration<br />
Abbildung 1: Zielmodell der RA für das Handlungsfeld „Handlungsfähigkeit“ [Zielmodell]<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
-<br />
-<br />
++<br />
++<br />
+<br />
++<br />
++<br />
Sicherheit<br />
++<br />
Gewährleistung des<br />
Schutzbedarfs<br />
+<br />
++<br />
+<br />
+<br />
+<br />
Reduzierung der<br />
Komplexität<br />
Rechtskonformität<br />
+<br />
Transparenz für IT-<br />
Spezialisten<br />
+<br />
+<br />
Hohe<br />
Dienstleistungsqualität<br />
Schneller IT-Service<br />
Stabilität der IT-<br />
Systeme<br />
++<br />
+
Abschlussbericht BA-Nr. 0369/10 - 16 -<br />
Durch die strukturierte Erfassung <strong>und</strong> Beschreibung der IT-Leistungsnachfrage <strong>und</strong> des IT-<br />
Leistungsangebots lassen sich mit der RA eine Vielzahl an Anwendungsszenarien unterstützen.<br />
Typische Anwendungsszenarien sind etwa:<br />
• die Identifikation von (<strong>zu</strong> unterstützenden) Diensten aus den Geschäftsprozessen der<br />
Behörden<br />
• die Identifikation von Diensten aus bestehenden IT-Lösungen <strong>und</strong> IT-Komponenten<br />
• die Ableitung von bereit<strong>zu</strong>stellenden IT-Lösungen <strong>und</strong> IT-Komponenten aus den<br />
Diensten<br />
• Planung der zeitlichen Entwicklung des IT-Angebots <strong>und</strong> der <strong>zu</strong>gehörigen Implementierung<br />
Zielgruppen der Rahmenarchitektur sind damit sowohl die verschiedenen Akteure in den<br />
DLZ-IT des B<strong>und</strong>es (z. B. IT-Leiter, IT-Experten) bzw. die in den B<strong>und</strong>esbehörden für den IT-<br />
Einsatz verantwortlichen Mitarbeiter (z. B. ressortspezifische IT-Beauftragte) als auch die<br />
Fachanwender der geschäftlichen Seite sowie das Architekturmanagement, das als Schnittstelle<br />
<strong>und</strong> Vermittler zwischen geschäftlicher <strong>und</strong> technischer Perspektive steht.<br />
3.2 Analyse der Ziele der <strong>ITIL</strong><br />
Zu Zielen des Ansatzes finden sich in der <strong>ITIL</strong>-Dokumentation kaum Aussagen. Aus der<br />
Funktion von <strong>ITIL</strong> als Rahmenwerk können übergeordnete Ziele abgeleitet werden. So kann<br />
<strong>ITIL</strong> weithin als Ansatz aufgefasst werden, mit dem die Transparenz über die Aktivitäten der<br />
IT-Organisation gefördert <strong>und</strong> die Komplexität der Steuerung der IT-Organisation reduziert<br />
werden kann (Ziel: Reduzierung der Komplexität). Es ist <strong>zu</strong> rekonstruieren, dass der Ansatz<br />
darauf gerichtet ist, verschiedenen Akteuren einer IT-Organisation (z. B. IT-Leiter, IT-<br />
Experten) <strong>und</strong> externen IT-Lieferanten einen einheitlichen <strong>und</strong> konsistenten Begriffsapparat<br />
<strong>zu</strong> bieten (Ziel: Kommunikation<strong>ITIL</strong>) <strong>und</strong> damit ein einheitliches Verständnis über die Rolle der<br />
IT-Organisation als „Lieferant“ einerseits <strong>und</strong> die des Fachanwenders als „K<strong>und</strong>e“ andererseits<br />
<strong>zu</strong> fördern (z. B. von Bon 2009, S. 15; [Service Strategy], S. 75). Mit <strong>ITIL</strong> soll offenbar<br />
eine wirtschaftliche <strong>und</strong> zweckmäßige Erbringung von IT-Leistungen erreicht <strong>und</strong> dabei eine<br />
hohe Qualität der IT-Leistungserstellung gewährleistet werden (z. B. Böttcher 2010, S. 1;<br />
Ziel: Standardisierung von Entwicklung, Betrieb, Wartung <strong>und</strong> Administration). Der Einsatz<br />
von <strong>ITIL</strong> verspricht, die IT-Dienstleistungen <strong>und</strong> ihre Erbringung an den Anforderungen des<br />
Geschäfts aus<strong>zu</strong>richten, da zentrale Konzepte <strong>und</strong> Prozesse des Ansatzes auf eine Abstimmung<br />
der IT-Dienstleistungen an den „Erwartungen“ des K<strong>und</strong>en ausgerichtet sind (z. B.<br />
[Service Design], S. 72).<br />
Ein explizites Zielsystem ist in der <strong>ITIL</strong>-Dokumentation nicht <strong>zu</strong> finden. Lediglich die Ziele<br />
Utility (Zweckmäßigkeit) <strong>und</strong> Warranty (Einsatzfähigkeit) von Services 8 (]Service Strategy],<br />
S. 18ff.) sowie die K<strong>und</strong>enorientierung ([Service Strategy], S. 75) werden in der Primärliteratur<br />
explizit als übergeordnete Ziele von <strong>ITIL</strong> <strong>und</strong> den <strong>ITIL</strong>-Prozessen genannt. Konkret operationalisiert<br />
wird von diesen Zielen einzig die „Warranty“. Sie ist gegeben, wenn ein Service<br />
„genau dann verfügbar ist, wenn es benötigt wird, <strong>und</strong> zwar in einer ausreichenden Kapazität<br />
oder Menge <strong>und</strong> mit einer <strong>zu</strong>verlässigen Kontinuität <strong>und</strong> Sicherheit“ ([Service Strategy], S.<br />
19f.). Eine weiterführende Operationalisierung oder Verfeinerung (oder eine weitergehende<br />
Beschreibung), insbesondere der anderen beiden Ziele, erfolgt in der <strong>ITIL</strong>-Spezifikation nicht.<br />
8 Unter Utility versteht <strong>ITIL</strong> den (positiven) Beitrag eines Services auf die Durchführung der Geschäftsprozesse;<br />
Warranty beschreibt die angemessene Verfügbarkeit etwa mit Blick auf Kapazität <strong>und</strong> Sicherheit. Siehe Abschnitt<br />
4.4.1 für eine Gegenüberstellung der Konzepte Service (<strong>ITIL</strong>) <strong>und</strong> Dienst (RA).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 17 -<br />
Den Zielen „Utility“ <strong>und</strong> „Warranty“ lassen sich die in der RA verwendeten Ziele Effektivität<br />
<strong>und</strong> Effizienz der IT-Leistungserstellung <strong>zu</strong>ordnen.<br />
Neben diesen explizit angeführten übergeordneten Zielen lässt sich für <strong>ITIL</strong> eine Reihe impliziter<br />
Ziele identifizieren, die aus den Zweckset<strong>zu</strong>ngen der verschiedenen <strong>ITIL</strong>-Prozesse<br />
abgeleitet werden können. So wird z. B. für den <strong>ITIL</strong>-Prozess „Incident Management“ die<br />
Zweckset<strong>zu</strong>ng „schnellstmögliche Wiederherstellung von unerwartet beeinträchtigten oder<br />
unterbrochenen Services, um die Auswirkungen auf das Business <strong>zu</strong> minimieren“ ([Service<br />
Operations], S. 53f.) formuliert, aus der die Ziele Zuverlässigkeit, Stabilität der IT-Systeme<br />
<strong>und</strong> Schneller IT-Service abgeleitet werden können. Für derartige Zuordnungen wurden die<br />
<strong>ITIL</strong>-Prozesse hinsichtlich ihrer in den Primärquellen explizit angegebenen Zweckset<strong>zu</strong>ngen<br />
analysiert. Da die Zweckset<strong>zu</strong>ngen der Prozesse auf unterschiedlichen Abstraktionsniveaus<br />
beschrieben werden bzw. für einige Prozesse keine Beschreibung ihrer Zweckset<strong>zu</strong>ng in<br />
<strong>ITIL</strong> gegeben wird, sind die so identifizierten Ziele der <strong>ITIL</strong>-Prozesse jedoch Rekonstruktionen,<br />
die mit Interpretationsspielräumen verb<strong>und</strong>en sind. Um Transparenz über die Zweckset<strong>zu</strong>ngen<br />
der Prozesse <strong>und</strong> der abgeleiteten Ziele <strong>zu</strong> schaffen, wird in Anhang C als<br />
Ergebnis der Rekonstruktion eine Übersicht über die mit den <strong>ITIL</strong>-Prozessen verknüpften<br />
Zwecke sowie daraus abgeleitete Ziele gegeben <strong>und</strong> Ziele der <strong>ITIL</strong> auf die Ziele der RA<br />
übertragen.<br />
In Abbildung 2 werden die genannten expliziten, übergeordneten Ziele <strong>und</strong> die impliziten<br />
Ziele grafisch visualisiert. Ziele, die nur in <strong>ITIL</strong> <strong>und</strong> nicht in der RA genannt werden, sind<br />
durch den Vermerk <strong>ITIL</strong>“ gekennzeichnet. Da Zusammenhänge zwischen Zielen in <strong>ITIL</strong> – mit<br />
Ausnahme der Operationalisierung von „Warranty“ (s.u.) – nicht expliziert werden, sind die<br />
dargestellten Beziehungen aus den Zielmodellen der RA in vereinfachter Form übernommen.<br />
Zugleich ist an<strong>zu</strong>nehmen, dass die Zusammenhänge zwischen den Zielen je nach konkreter<br />
Ausgestaltung von <strong>ITIL</strong> in der Organisation variieren; Gewichtungen der Zielbeziehungen,<br />
wie sie für die RA vorliegen, lassen sich ebenfalls nicht ableiten. Deshalb werden die in der<br />
Terminologie der RA rekonstruierten Ziele der <strong>ITIL</strong> in vereinfachter Form, d.h. ohne Gewichtungen,<br />
abgebildet. Abbildung 2 erhebt dabei keinen Anspruch auf Vollständigkeit. Es ist<br />
einerseits möglich, dass weitere Ziele aus den <strong>ITIL</strong>-Prozessen abgeleitet werden können.<br />
Andererseits können mit der konkreten Ausgestaltung <strong>und</strong> Umset<strong>zu</strong>ng von <strong>ITIL</strong> in einer<br />
Organisation auch andere <strong>und</strong> weitere, in Abbildung 2 nicht aufgeführte Ziele verfolgt werden.<br />
Effektivität<br />
+<br />
Fachliche Integration<br />
+<br />
Angebotsransparenz für<br />
Endnutzer<br />
Standardisierung von Entwicklung,<br />
Betrieb, Wartung <strong>und</strong> Administration<br />
+<br />
Kommunikation<br />
Reduzierung der<br />
Komplexität<br />
Abbildung 2: Rekonstruktion der Ziele der IT Infrastructure Library (<strong>ITIL</strong>)<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
<strong>ITIL</strong><br />
Effizienz<br />
+ +<br />
Zuverlässigkeit Stabilität<br />
+ +<br />
+<br />
Optimierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong> Administration +<br />
Schneller IT-Service<br />
K<strong>und</strong>enorientierung<br />
<strong>ITIL</strong><br />
Sicherheit<br />
+<br />
Kontinuität<br />
+ +<br />
<strong>ITIL</strong><br />
Transparenz für IT-<br />
Spezialisten
Abschlussbericht BA-Nr. 0369/10 - 18 -<br />
• Die fachliche Integration soll in <strong>ITIL</strong> durch die Ausrichtung von Services an den Anforderungen<br />
des K<strong>und</strong>en gefördert werden; hierauf zielen insbesondere die Service Strategy<br />
<strong>und</strong> Service Design Prozesse „Service Portfolio Management“, „Demand Management“,<br />
„Service Catalogue Management“ <strong>und</strong> „Service Level Management“ ab.<br />
• Die Zuverlässigkeit soll durch verschiedene <strong>ITIL</strong>-Prozesse gefördert werden, u. a. „Service<br />
Level Management“, „Capacity Management“ sowie den Service Operations, den<br />
Service Transition Prozessen <strong>und</strong> dem Continual Service Improvement.<br />
• Die Stabilität der IT-Systeme steht bei „Availability Management“ <strong>und</strong> „Capacity Management“<br />
sowie verschiedenen Service Operations <strong>und</strong> Service Transition Prozessen im<br />
Vordergr<strong>und</strong>.<br />
• Ein schneller IT-Service soll durch „Incident Management“, „Event Management“ <strong>und</strong><br />
„Request Fulfilment“ adressiert werden. Unter „IT-Service“ wird an dieser Stelle von der<br />
RA eine störungs-behebende Organisationseinheit (vergleichbar <strong>zu</strong>m „Help Desk“ in <strong>ITIL</strong>)<br />
verstanden. Der Begriff des „IT-Service“ besitzt in <strong>ITIL</strong> eine abweichende Bedeutung.<br />
Siehe hier<strong>zu</strong> die terminologische Analyse in Abschnitt 4.4.1<br />
• Die Angebotstransparenz für Endnutzer soll durch das „Service Catalogue Management“<br />
hergestellt werden.<br />
• Die Optimierung von Entwicklung, Betrieb, Wartung <strong>und</strong> Administration wird explizit durch<br />
das Continual Service Improvement angestrebt.<br />
• Das „Service Asset and Configuration Management“ zielt darauf die Transparenz für IT-<br />
Spezialisten <strong>zu</strong> verbessern.<br />
• Schließlich wird die Sicherheit als Ziel angeführt. Dedizierte Prozesse hier<strong>zu</strong> sind etwa<br />
das „Access Management“ sowie das „Information Security Management“.<br />
• Ein nicht im Kontext der RA aufgeführtes Ziel, das dediziert von <strong>ITIL</strong> adressiert wird, ist<br />
die Gewährleistung einer Kontinuität <strong>ITIL</strong> (i.S. eines Katastrophen-Managements). <strong>ITIL</strong><br />
schlägt hierfür das „IT Service Continuity Management“ vor.<br />
• Die in Abbildung 2 dargestellten Beziehungen zwischen den Zielen zeigen, dass die<br />
verschiedenen <strong>ITIL</strong>-Prozesse, wenngleich i. d. R. indirekt, <strong>zu</strong>r Effektivität <strong>und</strong> Effizienz<br />
der IT-Leistungserstellung beitragen. Explizit auf diese beiden Ziele gerichtet sind das<br />
„Service Portfolio Management“ <strong>und</strong> das „Service Catalogue Management“ (Effektivität),<br />
die eine Ausrichtung der IT an den K<strong>und</strong>en <strong>zu</strong>r Unterstüt<strong>zu</strong>ng seiner „K<strong>und</strong>en-Assets“ fokussieren,<br />
sowie das „Financial Management“ (Effizienz), das eine stetige Bewertung der<br />
IT-Leistungserstellung mit Blick auf das Kosten-Nutzen-Verhältnis fordert. 9<br />
Von der <strong>ITIL</strong> wird eine Vielzahl von Anwendungsszenarien unterstützt. Im Fokus stehen<br />
dabei Szenarien um den Lebenszyklus von Services, <strong>zu</strong>m Beispiel<br />
• die ökonomische Bewertung einer Entwicklung oder Änderung eines Services<br />
• der Aufbau eines Service-Katalogs<br />
• die Planung von Änderungen an Services <strong>und</strong> ihrer Distribution<br />
• die Behebung einer Störung während des IT-Betriebs<br />
Hierfür werden in der <strong>ITIL</strong>-Dokumentation in unterschiedlichem Umfang typische (empfehlenswerte)<br />
Konzepte, Vorgehensweisen, beteiligte Rollen/Positionen <strong>und</strong> <strong>zu</strong>sätzliche Hilfestellungen<br />
(z. B. Artefakte, Instrumente, Informationsquellen) beschrieben.<br />
Vor diesem Hintergr<strong>und</strong> werden in <strong>ITIL</strong> als Zielgruppen in erster Linie Personen, die für die<br />
Planung, Realisierung, Betrieb <strong>und</strong> Überwachung von Dienstleistungen der IT-Organisation<br />
9 Das Prinzip der Wirtschaftlichkeit <strong>und</strong> die Sparsamkeit (Definition des Ziels Wirtschaftlichkeit der RA, [Ziele])<br />
steht dagegen in <strong>ITIL</strong> nicht im Vordergr<strong>und</strong>; Sparsamkeit wird in <strong>ITIL</strong> nicht thematisiert.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 19 -<br />
<strong>zu</strong>ständig sind, angeführt – <strong>und</strong> somit vor allem Leitern der IT-Organisation (z. B. CIO, IT-<br />
Manager) <strong>und</strong> den operativ Ausführenden (z. B. IT-Experten). Fachanwender oder Manager<br />
auf der Geschäftsseite werden in <strong>ITIL</strong> nicht explizit als Zielgruppe angeführt.<br />
3.3 Analyse der Ziele der <strong>COBIT</strong><br />
<strong>COBIT</strong> versteht sich als Sammlung von „good practices“, die auf dem Konsens von (IT-<br />
Revisions-) Experten beruhen <strong>und</strong> unabhängig von Branche <strong>und</strong> eingesetzter Technik vordergründig<br />
da<strong>zu</strong> dienen sollen, Unternehmen bei Aufgaben der IT-Governance <strong>zu</strong> unterstützen.<br />
Dabei fällt IT-Governance nach dem Verständnis von <strong>COBIT</strong> in den<br />
Verantwortungsbereich von Führungskräften <strong>und</strong> Leitungs- <strong>und</strong> Kontrollgremien <strong>und</strong> besteht<br />
aus „Führung, Organisationsstrukturen <strong>und</strong> Prozessen, die sicherstellen, dass die Unternehmens-IT<br />
da<strong>zu</strong> beiträgt, die Organisationsstrategie <strong>und</strong> -ziele <strong>zu</strong> erreichen <strong>und</strong> <strong>zu</strong> erweitern.“<br />
([<strong>COBIT</strong>-DE], S. 6). 10 Damit verb<strong>und</strong>en werden als Ziele von <strong>COBIT</strong> folgende Punkte<br />
explizit genannt ([<strong>COBIT</strong>-DE], S. 7):<br />
• Ausrichtung der IT an Unternehmenszielen <strong>und</strong> Erfordernissen des Kerngeschäfts,<br />
• Realisierung des versprochenen Nutzens der IT-Investitionen,<br />
• verantwortungsvoller Umgang mit IT-Ressourcen <strong>und</strong><br />
• angemessenes Management von IT-Risiken.<br />
Vor dem Hintergr<strong>und</strong> der Entstehungsgeschichte, der Verwendung in der Praxis <strong>und</strong> der<br />
Struktur von <strong>COBIT</strong> sind diese Ziele jedoch <strong>zu</strong> relativieren. Dies wird im Folgenden erläutert.<br />
Jeder in <strong>COBIT</strong> behandelte IT-Prozess ist mit einem übergeordneten „Control Objective“ 11<br />
verb<strong>und</strong>en, das durch ein oder mehrere nachgelagerte „Control Objectives“ konkretisiert <strong>und</strong><br />
um die Nennung konkreter Konzepte (z. B. „IT Strategic Plan“), Vorgehensweisen (z. B.<br />
„Analysiere Programm-Portfolios <strong>und</strong> manage Projekt- <strong>und</strong> Service Portfolios.“) sowie eine<br />
Menge fest definierter organisatorischer Rollen <strong>und</strong> ihrer Verantwortlichkeiten ergänzt wird.<br />
Hierbei versteht <strong>COBIT</strong> ein Control Objective als „… eine Aussage über das gewünschte<br />
Ergebnis oder den <strong>zu</strong> erreichenden Zweck, der mit der Umset<strong>zu</strong>ng von in bestimmten Aktivitäten<br />
integrierten Controls (engl.: control procedure) erreicht werden soll. Die Control<br />
Objectives von <strong>COBIT</strong> sind Minimalanforderungen für eine wirksame Steuerung jedes IT-<br />
Prozesses“ ([<strong>COBIT</strong>-DE], S. 17). Ein Control kann sich dabei auf Richtlinien, Verfahren,<br />
Praktiken <strong>und</strong> Organisationsstrukturen beziehen, „die entwickelt wurden, um ausreichende<br />
Sicherheit <strong>zu</strong> geben, dass die Unternehmensziele erreicht werden <strong>und</strong> dass unerwünschte<br />
Ereignisse verhindert oder erkannt <strong>und</strong> korrigiert werden“ ([<strong>COBIT</strong>-DE], S. 17). Durch Checklisten-artige<br />
Prüfungen hinsichtlich des Vorliegens der in den Control Objectives genannten<br />
Konzepte, Vorgehensweisen <strong>und</strong> Rollen soll ihre Einhaltung bzw. Umset<strong>zu</strong>ng (durch einen<br />
Revisor oder Wirtschaftsprüfer) ermittelt werden.<br />
Ein „Control Objective“ kann dabei als ein für einen Revisor prüfbaren Sachverhalt aufgefasst<br />
werden (z. B. ein „Strategic IT Plan“ liegt vor, das Gremium „IT Steering Committee“<br />
existiert). Damit ist insofern ein intendierter Zustand (ein Ziel oder „objective“) verb<strong>und</strong>en, als<br />
bei Vorliegen eines <strong>zu</strong> prüfenden Sachverhalts davon ausgegangen wird, dass eine mögliche<br />
Beeinträchtigung der Ordnungsmäßigkeit der Rechnungslegung durch Informations- <strong>und</strong><br />
Kommunikationstechnik gemindert wird. Durch die Vorgabe von „Control Objectives“ <strong>und</strong><br />
deren Verortung in den (aus Sicht der <strong>COBIT</strong>-Herausgeber für eine IT-Organisation typi-<br />
10 Auf eine tiefergehende Diskussion <strong>zu</strong>m Thema IT-Governance <strong>und</strong> der <strong>zu</strong>gehörigen Aufgaben wird an dieser<br />
Stelle verzichtet (für weiter gehende Überlegungen siehe z. B. Strecker 2009).<br />
11 Eine Übersicht über die Prozesse <strong>und</strong> den jeweiligen Control Objectives findet sich in Anhang C.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 20 -<br />
schen <strong>und</strong> <strong>zu</strong> empfehlenden) IT-Prozessen zielt <strong>COBIT</strong> somit darauf, Organisationen bei der<br />
Sicherstellung der Einhaltung gesetzlicher <strong>und</strong> weiterer regulatorischer Anforderungen <strong>zu</strong><br />
unterstützen. Dies wird durch Richtlinien <strong>zu</strong>r IT-Revision unterstützt. Diese Zielset<strong>zu</strong>ng von<br />
<strong>COBIT</strong> ähnelt dem Ziel der Rechtskonformität der RA. Bei <strong>COBIT</strong> steht insbesondere die aus<br />
Wirtschaftsprüfungssicht verlässliche Anwendung von Informationstechnologie bzw. die<br />
Prüfung <strong>und</strong> Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung<strong>COBIT</strong> (Stichwort<br />
„IT-Compliance“) im Vordergr<strong>und</strong> (Gaulke 2010, S. 10f.; [<strong>COBIT</strong>], S. 6). Dies wird in der RA<br />
nicht explizit berücksichtigt.<br />
In diesem Zusammenhang ist <strong>COBIT</strong> auch darauf ausgerichtet, eine einheitliche <strong>und</strong> (möglichst)<br />
konsistente Terminologie <strong>zu</strong>r Beschreibung von IT-Organisationen für deren Mitarbeiter<br />
<strong>und</strong> vor allem für prüfende IT-Revisoren bzw. Revisions-Berater <strong>zu</strong> formulieren <strong>und</strong><br />
dadurch die Kommunikation<strong>COBIT</strong> <strong>zu</strong> erleichtern <strong>und</strong> <strong>zu</strong> verbessern ([<strong>COBIT</strong>], S. 8). Eine<br />
Darstellung der übergeordneten Ziele der <strong>COBIT</strong> findet sich in Abbildung 3.<br />
Revisionsbezogene<br />
Ziele<br />
von <strong>COBIT</strong><br />
Abbildung 3: Rekonstruktion der Ziele von <strong>COBIT</strong> aus Sicht der IT-Revision<br />
Neben diesen auf die Unterstüt<strong>zu</strong>ng der IT-Revision bezogenen Zielen scheint <strong>COBIT</strong> mit<br />
der aktuellen Version eine weitere Kategorie an Zielen verstärkt <strong>zu</strong> adressieren: die Unterstüt<strong>zu</strong>ng<br />
des IT-Managements. Durch die Anreicherung der in <strong>COBIT</strong> beschriebenen IT-<br />
Prozesse, etwa mit Ziel- <strong>und</strong> Leistungsindikatoren sowie mit Reifegraden, scheint sich<br />
<strong>COBIT</strong> von Seiten der Herausgeber <strong>zu</strong>nehmend als allgemeines Rahmenwerk für das IT-<br />
Management <strong>zu</strong> verstehen. Die genannten Aspekte sind für die IT-Revision von nachgelagerter<br />
Relevanz. Dabei wird insbesondere das Ziel hervorgehoben, die IT-Organisation an<br />
den Anforderungen des Geschäfts aus<strong>zu</strong>richten (Ziel: Fachliche Integration) (Gaulke 2010,<br />
S. 15; [<strong>COBIT</strong>], S. 12ff.).<br />
Aus Sicht der Gutachter adressiert <strong>COBIT</strong> nicht die konkrete Ausgestaltung der IT-<br />
Organisation, bspw. in Form detaillierter Prozesse <strong>und</strong> Instrumente, sondern übergeordnete<br />
Managementaufgaben <strong>und</strong> die Identifikation von Handlungsbedarfen. Diese Einschät<strong>zu</strong>ng<br />
wird durch die Aussagen der ISACA <strong>und</strong> des itsmf <strong>zu</strong>r „Aufgabenteilung“ zwischen <strong>COBIT</strong><br />
<strong>und</strong> <strong>ITIL</strong> gestützt, die deutlich werden lässt, das <strong>zu</strong>künftig <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> sich verstärkt<br />
ergänzen sollen ([<strong>COBIT</strong>], S. 9, 28; ITGI 2008, S. 6f.). In Kurzform: <strong>COBIT</strong> fokussiert auf das<br />
Was, weniger auf das Wie: Die in <strong>COBIT</strong> gegebenen Vorgaben <strong>und</strong> Anforderungen an das<br />
IT-Management – bspw. der Forderung nach der Definition eines strategischen IT-Plans<br />
(PO1 12 ) oder der Definition <strong>und</strong> des Managements von Service-Levels (DS1) – beziehen sich<br />
auf das Vorliegen bzw. die Existenz von prüfbaren Dokumenten <strong>und</strong> Organisationsstrukturen<br />
(es soll ein „Strategic IT Plan“ vorliegen). Konkrete Vorgaben <strong>zu</strong>r Gestaltung der IT-<br />
Organisation <strong>und</strong> der vorgeschlagenen Instrumente (z. B. wie dieser „Strategic IT Plan“<br />
inhaltlich gestaltet sein sollte) werden nicht thematisiert. <strong>COBIT</strong> abstrahiert von weiteren<br />
Ausführungen <strong>zu</strong> Prozessen, Konzepten, Aufbaustrukturen <strong>und</strong> technischen Mitteln von IT-<br />
Organisationen.<br />
12 <strong>COBIT</strong> verwendet eine durchgängige Systematik für die Kennzeichnung der Prozesse <strong>und</strong> Control Objectives:<br />
PO kennzeichnet die Phase „Plan and Organise“, die Nummer verweist auf den Prozess. PO1 steht damit für den<br />
Prozess Nr. 1 „Define a Strategic IT-Plan“ aus der Phase (auch „Domäne“ genannt) „Plan and Organise“.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 21 -<br />
Vor dem beschriebenen Hintergr<strong>und</strong> lassen sich die von <strong>COBIT</strong> bzw. mit dem Einsatz von<br />
<strong>COBIT</strong> verfolgten Ziele in zwei Kategorien unterteilen (vgl. [<strong>COBIT</strong>-DE], S. 9; [<strong>COBIT</strong>], S. 8):<br />
1. Primäres Ziel von <strong>COBIT</strong> ist die Unterstüt<strong>zu</strong>ng der IT-Revision durch Sicherstellung<br />
der Prüfbarkeit im Sinne der Wirtschaftsprüfung für den IT-Einsatz in Organisationen<br />
bzw. Erfüllung der Anforderung an ein internes Kontrollsystem über die IT (nach<br />
COSO bzw. SOX 404). Daraus abgeleitet werden die revisions-bezogenen Ziele Einhaltung<br />
gesetzlicher <strong>und</strong> weiterer regulativen Anforderungen (Rechtskonformität)<br />
bzw. Prüfung <strong>und</strong> Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung <strong>und</strong><br />
die Unterstüt<strong>zu</strong>ng der Kommunikation. Diese Ziele sind in Abbildung 3 als primäre<br />
Zielset<strong>zu</strong>ngen von <strong>COBIT</strong> dargestellt. Das Ziel der Rechtskonformität findet sich auch<br />
in der RA. Für die Ziele der Prüfung <strong>und</strong> Sicherstellung der Ordnungsmäßigkeit der<br />
Rechnungslegung <strong>und</strong> der Kommunikation finden sich hingegen keine äquivalenten<br />
Ziele in der RA.<br />
2. Darüber hinaus kann als weitere Kategorie von Zielen die Unterstüt<strong>zu</strong>ng des IT-<br />
Managements verstanden werden, indem die in <strong>COBIT</strong> genannten Gr<strong>und</strong>prinzipien<br />
(z. B. Ableitung der IT-Ziele aus den Unternehmenszielen, Messung der Zielerreichung/Performanz)<br />
<strong>und</strong> die Ausführungen <strong>zu</strong> den in <strong>COBIT</strong> behandelten IT-<br />
Prozessen als Gestaltungsempfehlungen für IT-Organisationen aufgefasst werden.<br />
Hier<strong>zu</strong> lassen sich konkrete Ziele ableiten, die mit den in <strong>COBIT</strong> thematisierten IT-<br />
Prozessen verfolgt werden. So benennt <strong>COBIT</strong> für jeden IT-Prozess eine Reihe von<br />
Zielen, die sich in IT-, Prozess- <strong>und</strong> Aktivitätsziele untergliedern <strong>und</strong> die mit der Umset<strong>zu</strong>ng<br />
dieses Prozesses verfolgt werden sollen. Für diese Ziele werden jeweils<br />
Kennzahlen <strong>zu</strong>r Messung der Zielerreichung vorgeschlagen. Die Rekonstruktion dieser<br />
Ziele von <strong>COBIT</strong> in der Terminologie der Rahmenarchitektur ist jedoch mit einigen<br />
Unwägbarkeiten verb<strong>und</strong>en, da die IT-Prozesse, ihre Ziele <strong>und</strong> die in den IT-<br />
Prozessen referenzierten Artefakte (z. B. „IT Strategic Plan“) in der Dokumentation <strong>zu</strong><br />
<strong>COBIT</strong> nicht näher ausgeführt werden <strong>und</strong> somit Spielraum für Interpretationen bieten.<br />
Einen Überblick über die Ziele aller in <strong>COBIT</strong> behandelten IT-Prozesse findet<br />
sich in Anhang D, deren Abstimmung auf die Terminologie <strong>und</strong> die Ziele der RA – sofern<br />
möglich – findet sich in Anhang H. Folgende Ziele werden in <strong>COBIT</strong> genannt,<br />
denen sich keine korrespondieren Ziele der RA <strong>zu</strong>ordnen lassen. In Klammern ist ein<br />
verdichtetes Ziel, das im weiteren verwendet wird, <strong>zu</strong>sammen mit der Nummer des<br />
entsprechenden <strong>COBIT</strong>-Ziels aus Anhang H angegeben:<br />
1. „Reagiere auf Anforderungen der Governance entsprechend der Geschäftsführungsvorgaben“<br />
(Prüfung <strong>und</strong> Sicherstellung der Ordnungsmäßigkeit<br />
der Rechnungslegung<strong>COBIT</strong> , <strong>COBIT</strong>-Ziel Nr. 2)<br />
2. „Beschaffe <strong>und</strong> erhalte IT-Skills, die der IT-Strategie entsprechen“<br />
(Mitarbeiterkompetenz<strong>COBIT</strong>, <strong>COBIT</strong>-Ziel Nr. 9)<br />
3. „Sicherstellung gegenseitig <strong>zu</strong>friedenstellender Lieferantenbeziehungen“ (Zufriedenstellende<br />
Lieferantenbeziehungen<strong>COBIT</strong>, <strong>COBIT</strong>-Ziel Nr. 10)<br />
4. „Schaffe Klarheit über Geschäftsauswirkungen der Risiken von IT-Zielen <strong>und</strong><br />
IT-Ressourcen“ (Risikotransparenz<strong>COBIT</strong>-Ziel Nr. 18)<br />
5. „Setze Projekte pünktlich <strong>und</strong> im Budgetrahmen <strong>und</strong> unter Einhaltung der<br />
Qualitätsstandards um“ (Termin- <strong>und</strong> budgetgerechte Projekte<strong>COBIT</strong>, <strong>COBIT</strong>-<br />
Ziel Nr. 25)<br />
Abbildung 4 stellt den Versuch dar, die Ziele der in <strong>COBIT</strong> vorgeschlagenen IT-Prozesse in<br />
Terminologie <strong>und</strong> Konzeptualisierung der RA <strong>zu</strong> rekonstruieren. In <strong>COBIT</strong> werden weder<br />
Zielbeziehungen noch Gewichtungen definiert. Die Beziehungen in Abbildung 4 entstammen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 22 -<br />
daher meist in vereinfachter Form dem Zielmodell der RA. Ziele, die nicht in der RA benannt<br />
werden, sind durch den Hinweis „<strong>COBIT</strong>“ kenntlich gemacht. Beziehungen von „reinen“<br />
<strong>COBIT</strong>-Zielen basieren auf Interpretationen der <strong>COBIT</strong>-Dokumentation.<br />
Rekonstruierte Ziele der in <strong>COBIT</strong> thematisierten IT-Prozesse<br />
Abbildung 4: Rekonstruktion der Ziele der von <strong>COBIT</strong> thematisierten IT-Prozesse aus Sicht des IT-<br />
Managements<br />
Durch den Mangel an Zielbeziehungen, der Vielzahl an Zielen der IT-Prozesse <strong>und</strong> ihrer<br />
Unbestimmtheit lassen sich die in <strong>COBIT</strong> genannten Ziele nicht als ein kohärentes <strong>und</strong> konsistentes<br />
Zielsystem verstehen.<br />
Aus den Zielset<strong>zu</strong>ngen von <strong>COBIT</strong> lassen sich insbesondere folgende Anwendungsszenarien<br />
ableiten:<br />
• Prüfung eingesetzten Informations- <strong>und</strong> Kommunikationstechnik auf ihre Beeinträchtigung<br />
der Ordnungsmäßigkeit der Rechnungslegung,<br />
• Beurteilung des Reifegrads der in <strong>COBIT</strong> behandelten IT-Prozesse <strong>zu</strong>r Aufdeckung<br />
von Verbesserungspotenzialen,<br />
• Strategische Ausrichtung der IT an Unternehmenszielen <strong>und</strong> -strategie, sowie<br />
• Aufbau <strong>und</strong> Anwendung von Kennzahlensystemen <strong>zu</strong>r Messung der Zielerreichung<br />
<strong>und</strong> der Performanz der Leistungserstellung.<br />
Vor dem Hintergr<strong>und</strong> der identifizierten Ziele <strong>und</strong> der möglichen Anwendungsszenarien<br />
lassen sich drei Zielgruppen von <strong>COBIT</strong> identifizieren: Im Vordergr<strong>und</strong> der prüfungsbezogenen<br />
Sichtweise stehen einerseits interne wie externe Revisoren <strong>und</strong> Wirtschaftsprüfer, die<br />
<strong>COBIT</strong> als Rahmenwerk <strong>zu</strong>m Aufbau <strong>und</strong> <strong>zu</strong>r Überprüfung des internen Kontrollsystems<br />
(IKS) mit Blick auf den IT-Einsatz nutzen. Andererseits – nicht <strong>zu</strong>letzt aufgr<strong>und</strong> der u.U.<br />
persönlichen Haftung bei Betrugsfällen aufgr<strong>und</strong> fehlender IKS – steht die Geschäftsführung<br />
von Unternehmen im Fokus. Aus Perspektive des Management-Fokus von <strong>COBIT</strong> lassen<br />
sich vor allem Leiter der IT-Organisation (z. B. CIO, IT-Manager) identifizieren, die für die<br />
Planung, Realisierung, Betrieb <strong>und</strong> Überwachung von Dienstleistungen (IT-Services) der IT-<br />
Organisation <strong>zu</strong>ständig sind <strong>und</strong> bspw. auf die beschriebenen Prozesse <strong>zu</strong>rückgreifen<br />
([<strong>COBIT</strong>], S. 10).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 23 -<br />
3.4 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen<br />
Dieser Abschnitt stellt Auffälligkeiten, Beobachtungen <strong>und</strong> Schlussfolgerungen aus der Analyse<br />
<strong>zu</strong>sammen <strong>und</strong> entwickelt auf Gr<strong>und</strong>lage dieser Analyseergebnisse Handlungsempfehlungen<br />
für die RA. Zunächst werden generelle Beobachtungen diskutiert. Anschließend wird<br />
näher auf das Zielsystem der RA <strong>und</strong> die Paarvergleiche RA-<strong>ITIL</strong> <strong>und</strong> RA-<strong>COBIT</strong> eingegangen.<br />
Eine bereits thematisierte zentrale Beobachtung betrifft den Grad der Explikation von Zielen.<br />
Während für die RA ein explizites Zielsystem formuliert ist, lassen sich sowohl für <strong>ITIL</strong> als<br />
auch für <strong>COBIT</strong> Zielset<strong>zu</strong>ngen weitgehend nur durch Interpretation des Betrachters rekonstruieren;<br />
ein Zielsystem mit explizit beschriebenen Zielbeziehungen findet sich nicht. Das ist<br />
insofern problematisch, als dies nicht nur einer vergleichenden Analyse der Ziele im Wege<br />
steht, sondern insbesondere bei der Umset<strong>zu</strong>ng <strong>und</strong> Anwendung dieser beiden Ansätze von<br />
Anwendern verlangt, diese Lücke eigenständig <strong>zu</strong> füllen. Die Ergebnisse der vorliegenden<br />
Analyse bieten hier allerdings eine Unterstüt<strong>zu</strong>ng an, in dem explizite <strong>und</strong> implizite Ziele von<br />
<strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> differenziert rekonstruiert werden.<br />
H-1 Handlungsempfehlung: Zieldissonanzen deutlicher thematisieren<br />
Das Zielsystem der RA suggeriert durch die Angabe unidirektionaler, gewichteter Beziehungen<br />
zwischen Zielen vor allem Konsistenz <strong>und</strong> Kohärenz des Zielsystems. Dabei fällt auf,<br />
dass einige offensichtliche Zieldissonanzen nicht explizit berücksichtigt sind. Beispielsweise<br />
muss Wiederverwendung nicht die Flexibilität erhöhen, sondern kann sie sogar behindern.<br />
Das hängt wesentlich davon ab, welche Abstraktions- (<strong>und</strong> damit: Anpassungs-) konzepte<br />
mit den wiederverwendbaren Artefakten verb<strong>und</strong>en sind. Prozessstandardisierung muss<br />
nicht die fachliche Integration fördern, wobei <strong>zu</strong>nächst eine differenziertere Konzeptualisierung<br />
von fachlicher Integration <strong>zu</strong> entwickeln wäre. Dass Standardisierung Flexibilität fördert,<br />
ist ohne weitere Differenzierung <strong>und</strong> ohne die Explikation damit verb<strong>und</strong>ener Annahmen<br />
kaum haltbar.<br />
Weitere wichtige Zielkonflikte werden nicht adressiert, z. B. zwischen enger <strong>und</strong> loser Kopplung<br />
<strong>und</strong> zwischen Wiederverwendungskomfort <strong>und</strong> Wiederverwendungsreichweite im Hinblick<br />
auf die Ziele der RA Interoperabilität, Wiederverwendung <strong>und</strong> Angemessene Vielfalt.<br />
Hier empfiehlt sich eine explizite <strong>und</strong> differenzierte Erläuterung <strong>zu</strong>m Zielsystem, die Annahmen<br />
offenlegt, potenzielle Zieldissonanzen diskutiert <strong>und</strong> die Zielbeziehungen begründet.<br />
Dabei ist aus Sicht der Gutachter <strong>zu</strong> berücksichtigen, dass alle drei untersuchten Ansätze<br />
nach aktuellem Stand der Forschung der Berücksichtigung von mehreren, z.T. komplementären,<br />
z.T. konfliktären Zielen bedürfen. Es empfiehlt sich also den Umstand <strong>zu</strong> betonen,<br />
dass es sich um ein mehrdimensionales Zielsystem handelt, das neben (formalen) Organisationszielen<br />
wie Effektivität <strong>und</strong> Effizienz auch Humanziele (z. B. Mitarbeiter<strong>zu</strong>friedenheit) <strong>und</strong><br />
Sachziele (z. B. Integration <strong>und</strong> Termineinhaltung) explizit berücksichtigt.<br />
Darüber hinaus erscheinen im Kontext der RA übergeordnete (z.T. dem politischen Willensbildungsprozess<br />
unterworfene) Zielset<strong>zu</strong>ngen von Bedeutung <strong>zu</strong> sein, die derzeit nicht im<br />
Zielsystem der RA explizit berücksichtigt sind. Hier ist <strong>zu</strong> fragen, inwiefern der Verzicht auf<br />
eine explizite Berücksichtigung die Erreichung der Ziele der RA gefährden könnte <strong>und</strong> ob<br />
sich bspw. im Diskurs mit übergeordneten Gremien <strong>und</strong> Stellen eine Einbindung der Ziele<br />
der RA erzielen ließe.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 24 -<br />
H-2 Handlungsempfehlung: Ziele operationalisieren<br />
In der RA findet keine weitere Operationalisierung der Ziele statt. In <strong>COBIT</strong> <strong>und</strong> eingeschränkt<br />
auch in <strong>ITIL</strong> werden <strong>zu</strong>mindest Prozessen Ziele <strong>zu</strong>geordnet, auch wenn die Zielset<strong>zu</strong>ngen<br />
im Einzelnen durchaus kritisch <strong>zu</strong> hinterfragen sind. Ein Beitrag <strong>zu</strong> einer weiter<br />
gehenden Präzisierung der Ziele der RA könnte durch eine Zuordnung von Zielen <strong>zu</strong> Prozessen,<br />
<strong>zu</strong> Organisationseinheiten oder <strong>zu</strong> Diensten erfolgen. Denkbar wäre auch die weitere<br />
Verfeinerungen der Zielmodellierung durch Konzepte für Entscheidungen <strong>und</strong><br />
Handlungen. Die Potenziale des Konzepts Maßnahme in der Zielmodellierung scheinen hier<br />
noch nicht ausgereizt. Der mit einer derartigen Operationalisierung der Ziele verb<strong>und</strong>ene<br />
Mehraufwand ist dann im Lichte des <strong>zu</strong> vermutenden Gewinns an Nachvollziehbarkeit <strong>und</strong><br />
Transparenz <strong>zu</strong> bewerten. Dabei ist auch an Indikatoren <strong>zu</strong>r Einschät<strong>zu</strong>ng <strong>und</strong> Beurteilung<br />
des Ausmaßes an Zielerreichung <strong>zu</strong> denken. Im Gegensatz <strong>zu</strong> <strong>COBIT</strong> (<strong>und</strong> teilweise auch<br />
<strong>ITIL</strong>) finden sich in der RA derzeit nur rudimentäre Angaben <strong>zu</strong> solchen Indikatoren (Kennzahlen;<br />
siehe da<strong>zu</strong> auch Abschnitte 4.4.2 <strong>und</strong> 4.5). Aus Sicht der Gutachter sollten dabei die<br />
Grenzen der sinnvollen „Messbarkeit“ ebenso wie dysfunktionale Effekte aus einem unreflektierten<br />
Einsatz von Kennzahlen beachtet werden.<br />
H-3 Handlungsempfehlung: Zielsystem präzisieren<br />
Einige der im Zielsystem der RA vorgesehenen Ziele bedürfen nach Ansicht der Gutachter<br />
einer Präzisierung. Zwar geht die Rahmenarchitektur in Be<strong>zu</strong>g auf den Detailgrad an Zielset<strong>zu</strong>ngen<br />
an vielen Stellen deutlich über <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> hinaus. Dennoch gibt es nach unserer<br />
Einschät<strong>zu</strong>ng –unabhängig von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> – folgenden Korrekturbedarf:<br />
• Die gegenwärtigen Konzeptualisierungen der Ziele Handlungsfähigkeit, Effizienz <strong>und</strong><br />
Effektivität sowie Wirtschaftlichkeit sind insbesondere <strong>zu</strong> überdenken: Wirtschaftlichkeit<br />
<strong>und</strong> Effizienz werden im allgemeinen Sprachgebrauch üblicherweise synonym<br />
verwendet, wobei sich sofort die Frage nach der Konkretisierung eines Wirtschaftlichkeitskonzepts<br />
stellt, das für die RA sinnvoll einsetzbar ist. Klassische ökonomische<br />
Definitionen (z. B. Ertrag/Aufwand) erscheinen wenig brauchbar; eine bessere Orientierung<br />
liefern ggfs. erweiterte Wirtschaftlichkeitskonzepte wie sie etwa von Picot et<br />
al. (2003), S. 569ff. vorgeschlagen werden.<br />
• Das Ziel der Handlungsfähigkeit ist sowohl in der wissenschaftlichen Literatur als<br />
auch in der Praxis des IT-Managements unüblich <strong>und</strong> nach unserer Kenntnis bislang<br />
nicht als explizites übergeordnetes Ziel <strong>zu</strong> finden. Zugleich werden in der Praxis angeführte<br />
Ziele (z. B. „Steigerung des Erfolgsbeitrags der IT“), so problematisch sie<br />
auch sein mögen, nicht angeführt. Gleichzeitig finden sich gängige übergeordnete<br />
Zielset<strong>zu</strong>ngen (z.B. Effektivität <strong>und</strong> Effizienz) in der RA nicht als solche vorkommen.<br />
Hier empfiehlt es sich <strong>zu</strong>m einen deutlicher heraus<strong>zu</strong>stellen, aus welchen Gründen<br />
die Ziele Effektivität <strong>und</strong> Effizient benannt werden <strong>und</strong> wie sie <strong>zu</strong> interpretieren sind.<br />
Denn klassische betriebswirtschaftliche Konzeptualisierungen von Effektivität <strong>und</strong> Effizienz<br />
sind für eine Behörde ohne weitere Präzisierung nicht operational. (Gemeinhin<br />
wird einem Unternehmen Gewinnstreben als Ziel unterstellt <strong>und</strong> davon werden die<br />
Ziele Effektivität <strong>und</strong> Effizienz abgeleitet).<br />
• In ähnlicher Wendung bleibt das Ziel schneller IT-Service aufgr<strong>und</strong> seiner Formulierung<br />
vage (was bedeutet „schnell“?). Offenbar steht vielmehr das Ziel der Termineinhaltung<br />
(bspw. von in vertraglichen Vereinbarungen festgelegten Fristen) im<br />
Vordergr<strong>und</strong>, das derzeit nicht explizit genannt wird; in der Literatur jedoch hervorgehoben<br />
wird (z. B. bei Krcmar 2005, S. 420ff.).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 25 -<br />
Insgesamt erscheint eine Weiterentwicklung des Zielmodellierungsansatzes ratsam, um u. a.<br />
zwischen Zielen der RA (d.h. Zielen des Architekturmanagements), übergeordneten („Formalzielen“)<br />
<strong>und</strong> nachgelagerten Zielen („Sachzielen“) explizit <strong>zu</strong> differenzieren. Die erläuterten<br />
Mehrdeutigkeiten wichtiger Ziele gefährden eine angemessene Interpretation des<br />
Zielsystems. Die Präzisierung des Zielsystems scheint daher insbesondere angeraten, um<br />
mit den vielfältigen, verschiedenen Gruppen an Akteuren, die mit <strong>ITIL</strong> <strong>und</strong>/oder <strong>COBIT</strong> arbeiten<br />
(z. B. aus den DLZ-IT des B<strong>und</strong>es, aus dem B<strong>und</strong>esrechnungshof), in einen Diskurs<br />
treten <strong>zu</strong> können. Die z.T. erheblichen Abweichungen von üblicherweise im IT-Management<br />
oder in der Betriebswirtschaftslehre vor<strong>zu</strong>findenden Zielen <strong>und</strong> Zielstrukturierungen könnten<br />
eine derartigen Austausch <strong>und</strong> Diskurs mit den Beteiligten beeinträchtigen.<br />
H-4 Handlungsempfehlung: Zielsystem um weitere Ziele ergänzen<br />
Das Zielsystem der RA enthält derzeit einige Ziele nicht, die für das Architekturmanagement<br />
von Bedeutung sein könnten bzw. gemäß der <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> Literatur von Bedeutung sein<br />
sollten. Da<strong>zu</strong> zählen u. a.:<br />
• K<strong>und</strong>enorientierung<strong>ITIL</strong>: das in <strong>ITIL</strong> formulierte Ziel der K<strong>und</strong>enorientierung findet sich<br />
in Teilen im Ziel der hohen Dienstleistungsqualität der RA wieder. Jedoch ist die Betonung<br />
eine andere. So steht bei der K<strong>und</strong>enorientierung die allgemeine Ausrichtung<br />
am K<strong>und</strong>en <strong>und</strong> dessen Interessen im Vordergr<strong>und</strong>. Das Ziel der hohen Dienstleistungsqualität<br />
subsumiert als strategisches Handlungsfeld zahlreiche Aspekte: u. a.<br />
bestmögliche Unterstüt<strong>zu</strong>ng der Arbeitsabläufe, schneller <strong>und</strong> sicherer Zugriff auf benötigte<br />
Prozesse, Informationen <strong>und</strong> Dienstleistungen, schnelle Behebung von Störungen.<br />
Das Ziel der RA betont daher stärker Qualitätsaspekte als die Ausrichtung<br />
am K<strong>und</strong>en. Die Aufnahme eines entsprechenden Ziel erscheint daher empfehlenswert.<br />
• Kontinuität<strong>ITIL</strong>: Weiterhin wird das Ziel der Kontinuität in <strong>ITIL</strong> betont, das im Zielsystem<br />
der RA nicht explizit erwähnt, gleichzeitig jedoch von erheblicher Bedeutung für die<br />
mit der RA verfolgten Ziele (insb. den Zielen der Handlungsfähigkeit, der Stabilität der<br />
IT-Systeme <strong>und</strong> der Zuverlässigkeit) <strong>zu</strong> sein scheint.<br />
• Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung<strong>COBIT</strong>: Auch das Primärziel<br />
von <strong>COBIT</strong> der Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung wird<br />
derzeit nicht im Zielsystem der RA verortet. Ob <strong>und</strong> inwieweit Fragen der Rechnungslegung,<br />
Revision <strong>und</strong> Wirtschaftsprüfung für die IT der B<strong>und</strong>esverwaltung eine Rolle<br />
spielen, ist an dieser Stelle nicht <strong>zu</strong> beantworten <strong>und</strong> sollte nachfolgend sorgfältig untersucht<br />
werden. Der B<strong>und</strong>esrechnungshof „prüft die Rechnung sowie die Wirtschaftlichkeit<br />
<strong>und</strong> Ordnungsmäßigkeit der Haushalts-<strong>und</strong> Wirtschaftsführung“ (Art. 114 Abs.<br />
2 Satz 1 <strong>und</strong> 2 Gr<strong>und</strong>gesetz) <strong>und</strong> somit auf der Gr<strong>und</strong>lage deutscher Gesetzgebung<br />
<strong>und</strong> Rechtsprechung. Ob <strong>und</strong> inwieweit ein Rahmenwerk, dass auf der Gr<strong>und</strong>lage eines<br />
U.S.-amerikanischen Rechtsformenverständnisses entwickelt wurde, für deutsche<br />
B<strong>und</strong>esbehörden von Bedeutung ist, bleibt ebenfalls <strong>zu</strong> klären.<br />
• Kommunikation<strong>ITIL</strong>&<strong>COBIT</strong>: Das sowohl von <strong>ITIL</strong> als auch <strong>COBIT</strong> verfolgte Ziel der Förderung<br />
einer besseren Kommunikation zwischen den beteiligten Gruppen wird derzeit<br />
nicht explizit in der RA berücksichtigt. Die Aufnahme wird vor dem Hintergr<strong>und</strong> der<br />
Heterogenität der beteiligten Akteure der B<strong>und</strong>esverwaltung <strong>und</strong> damit verb<strong>und</strong>enen<br />
Kommunikationsproblemen empfohlen. Auf die Bedeutung eines gemeinsamen Begriffsverständnisses<br />
wird in Kapitel 4 näher eingegangen.<br />
• Mitarbeiterkompetenz<strong>COBIT</strong>: Die Qualifikation <strong>und</strong> Kompetenz von Mitarbeitern („IT<br />
Skills“, <strong>COBIT</strong>-Ziel Nr. 9) markiert einen Aspekt, der in der RA nicht explizit Erwäh-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 26 -<br />
nung findet. Die Bedeutung von qualifizierten <strong>und</strong> motivierten Mitarbeitern für ein erfolgreiches<br />
Architekturmanagement bzw. für eine erfolgreiche Organisation allgemein<br />
steht außer Frage.<br />
• Risikotransparenz<strong>COBIT</strong>: Ähnliches gilt für die Transparenz über Risiken aus dem IT-<br />
Einsatz <strong>und</strong> ihrem in Be<strong>zu</strong>g auf die Erreichung von Zielen (<strong>COBIT</strong>-Ziel Nr. 18). Die<br />
Identifikation von <strong>und</strong> der systematische Umgang mit Risiken nimmt in <strong>COBIT</strong> eine<br />
zentrale Rolle ein.<br />
• Zufriedenstellende Lieferantenbeziehungen<strong>COBIT</strong>: <strong>COBIT</strong> betont ein <strong>zu</strong>friedenstellendes<br />
Lieferantenmanagement insbesondere vor dem Hintergr<strong>und</strong> der mit der Nut<strong>zu</strong>ng<br />
von externen Leistungen verb<strong>und</strong>enen Risiken (Ausfall des Lieferanten, etc.).<br />
• Termin- <strong>und</strong> budgetgerechte Projekte<strong>COBIT</strong>: Im Kontext der RA findet sich <strong>zu</strong>dem kein<br />
dediziertes Ziel, das auf (IT-)Projekte gerichtet ist (<strong>COBIT</strong>-Ziel Nr. 25); im Rahmen<br />
von Architekturmanagement ist allerdings an<strong>zu</strong>nehmen, dass Projekte eine wichtige<br />
Abstraktion darstellen. Dies spiegelt sich bspw. bereits im Konzept der Maßnahme<br />
der Zielmodellierung wieder. Die Ausgestaltung von <strong>COBIT</strong> ist jedoch sehr allgemein<br />
gehalten, so dass eher auf andere Ansätze <strong>zu</strong>m Projektmanagement (z. B. PMBoK 13 )<br />
<strong>zu</strong>rückgegriffen werden sollte. Die Berücksichtigung von termin- <strong>und</strong> budgetgerechten<br />
Projekten im Zielmodell der RA wird vor dem Hintergr<strong>und</strong> des <strong>COBIT</strong>-Ziels empfohlen.<br />
Die konkrete Realisierung von Projekten bzw. deren Management ist dagegen<br />
nicht Gegenstand von <strong>COBIT</strong>.<br />
Darüber hinaus lassen sich weder in <strong>ITIL</strong> noch in <strong>COBIT</strong> Ziele identifizieren, die dediziert auf<br />
die Konzepte Unternehmensarchitektur, IT-Architektur oder ein Architekturmanagement<br />
gerichtet sind oder dieses erwähnen.<br />
Auf der Metaebene wird nach Einschät<strong>zu</strong>ng der Gutachter mit dem Zielsystem der RA ein<br />
besonderes Ziel verfolgt, das derzeit ebenfalls noch nicht expliziert ist: das Ziel einer ausgeprägten<br />
Zielorientierung. Die „Stakeholder“ der RA sollen durch das explizite <strong>und</strong> im Vergleich<br />
mit <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> sehr differenzierte Zielsystem der RA offenbar da<strong>zu</strong> angeregt<br />
werden, Ziele wahr- <strong>und</strong> ernst <strong>zu</strong> nehmen <strong>und</strong> Ziele als Orientierung für ihr Reden <strong>und</strong> Handeln<br />
ein<strong>zu</strong>setzen. Eine ähnliche Form der Ausrichtung an Zielen <strong>und</strong> Strategien betont<br />
<strong>COBIT</strong>, bspw. in Form der Zielhierarchien <strong>und</strong> der Zuordnung von Zielen <strong>zu</strong> den IT-<br />
Prozessen. Wenn die Einschät<strong>zu</strong>ng für die RA <strong>zu</strong>trifft, bietet es sich an, diese Zielorientierung<br />
explizit hervor<strong>zu</strong>heben <strong>und</strong> ihre Funktion <strong>zu</strong> betonen.<br />
Fazit<br />
Das derzeitige Zielsystem der RA weist einen hohen Grad an Differenzierung <strong>und</strong> Explikation<br />
auf, der z. T. deutlich über die Angaben <strong>zu</strong> Zielen von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> hinausgeht. Die RA<br />
berücksichtigt bspw. die Ziele Mitarbeiter<strong>zu</strong>friedenheit, Integration <strong>und</strong> Wiederverwendung,<br />
die in <strong>COBIT</strong> & <strong>ITIL</strong> keine Rolle spielen. Das vorliegende Zielsystem eignet sich daher nach<br />
Einschät<strong>zu</strong>ng der Gutachter als hervorragenden Ausgangspunkt für eine gezielte Weiterentwicklung.<br />
Die vergleichenden Analysen <strong>und</strong> die anschließend vorgestellten integrierten Zielmodelle<br />
zeigen die prinzipielle Anschlussfähigkeit des Zielsystems der RA an die Ziele von <strong>ITIL</strong> <strong>und</strong><br />
<strong>COBIT</strong>. Um den Anschluss des Zielsystems der RA an <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> <strong>zu</strong> fördern, sind die<br />
genannten Handlungsempfehlungen <strong>zu</strong> berücksichtigen, wobei der Anschluss an <strong>COBIT</strong><br />
eine gr<strong>und</strong>legende Auseinanderset<strong>zu</strong>ng mit dem Ziel der Ordnungsmäßigkeit der Rechnungslegung<br />
im Kontext der B<strong>und</strong>esverwaltung bedingt.<br />
13 Project Management Body of Knowledge, siehe http://www.pmi.org/PMBOK-Guide-and-Standards.aspx<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 27 -<br />
Um die Anschlussfähigkeit der RA an die beiden untersuchten Rahmenwerke noch stärker<br />
<strong>zu</strong> konturieren, werden nachfolgend drei Zielmodelle abgebildet, die das bestehende Zielsystem<br />
der RA mit rekonstruierten Zielen von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> verknüpfen. Da<strong>zu</strong> werden die in<br />
den Abschnitten 3.1 bis 3.3 rekonstruierten Ziele <strong>zu</strong>einander in Beziehung gesetzt. Ausgangspunkt<br />
bilden die strategischen Handlungsfelder der RA Handlungsfähigkeit (Abbildung<br />
5), Wirtschaftlichkeit (Abbildung 6) <strong>und</strong> hohe Dienstleistungsqualität (Abbildung 7). Für jedes<br />
dieser strategischen Handlungsfelder ist in der entsprechenden Abbildung eine Teildarstellung<br />
des Zielmodells dargestellt. Die Zielmodelldarstellung basiert auf der Methode <strong>zu</strong>r Zielmodellierung<br />
[Zielmodellierung]. Ziele werden dementsprechend als Rechtecke mit r<strong>und</strong>en<br />
Ecken <strong>und</strong> Zielbeziehungen als Pfeile dargestellt. Für die bessere Übersichtlichkeit der Darstellung<br />
wurden jedoch die subjektiven Zielwichtigkeiten entfernt. Ziele der RA, die auch von<br />
<strong>ITIL</strong> oder <strong>COBIT</strong> angeführt werden, sind mit einer entsprechenden Markierung „<strong>ITIL</strong>“ bzw.<br />
„<strong>COBIT</strong>“ versehen.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 28 -<br />
Abbildung 5: Gegenüberstellung der zentralen Ziele von RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Fokus auf das Zielmodell<br />
„Handlungsfähigkeit”<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 29 -<br />
++ Wirtschaftlichkeit<br />
+<br />
++<br />
Effizienz<br />
++<br />
<strong>ITIL</strong> <strong>COBIT</strong><br />
++<br />
+<br />
++<br />
+<br />
Stärkung des<br />
Wettbewerbs von<br />
Herstellern <strong>und</strong><br />
Lieferanten<br />
++<br />
++<br />
++<br />
Beherrschbarkeit der<br />
Prozesse<br />
Standard-<br />
Komponenten <strong>und</strong> -<br />
- -<br />
Produkte nutzen<br />
<strong>COBIT</strong><br />
+ +<br />
Stärkung der DLZ-IT<br />
des B<strong>und</strong>es<br />
Nut<strong>zu</strong>ng von<br />
Skaleneffekten bei der<br />
Beschaffung<br />
+<br />
Reduzierung red<strong>und</strong>anter<br />
IT-Lösungen<br />
+<br />
Optimierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong><br />
Administration<br />
<strong>ITIL</strong><br />
+<br />
Reduzierung der<br />
Komplexität<br />
Agilität<br />
+<br />
--<br />
--<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
+<br />
+<br />
Ressourcenschonung<br />
Angemessene Vielfalt<br />
Abbildung 6: Gegenüberstellung der zentralen Ziele von RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Fokus auf das Zielmodell<br />
„Wirtschaftlichkeit“<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
-<br />
+<br />
++<br />
++<br />
Wiederverwendung<br />
+<br />
+<br />
++<br />
++<br />
Umwelt- <strong>und</strong><br />
Klimaschutz<br />
++<br />
Zuverlässigkeit Schneller IT-Service<br />
Flexibilität<br />
Angebotstransparenz<br />
<strong>ITIL</strong> <strong>COBIT</strong> <strong>ITIL</strong> <strong>COBIT</strong><br />
für Endnutzer<br />
Interoperabilität<br />
Transparenz für IT-<br />
Spezialisten<br />
++ ++ -<br />
+<br />
<strong>ITIL</strong> <strong>COBIT</strong><br />
<strong>ITIL</strong><br />
+<br />
+<br />
Standardisierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong><br />
Administration<br />
+<br />
-<br />
+<br />
<strong>ITIL</strong><br />
+
Abschlussbericht BA-Nr. 0369/10 - 30 -<br />
Hohe<br />
Dienstleistungsqualität<br />
++<br />
--<br />
++ +<br />
Stabilität der IT-<br />
Systeme<br />
<strong>COBIT</strong><br />
Reduzierung<br />
red<strong>und</strong>anter IT-<br />
Lösungen<br />
+<br />
--<br />
Angemessene Vielfalt<br />
Schneller IT-Service<br />
+<br />
Reduzierung der<br />
Komplexität<br />
<strong>ITIL</strong> <strong>COBIT</strong><br />
++<br />
<strong>ITIL</strong><br />
+<br />
++<br />
IT-Arbeitsplätze sind<br />
attraktiv<br />
+<br />
Angebotstransparenz<br />
+ ++<br />
für Endnutzer<br />
<strong>ITIL</strong> <strong>COBIT</strong><br />
+<br />
Optimierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong><br />
Administration<br />
Abbildung 7: Gegenüberstellung der zentralen Ziele von RA, <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Fokus auf das Zielmodell<br />
„Hohe Dienstleistungsqualität“<br />
Da die Zielsysteme von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> deutlich weniger expliziert sind als dies für die RA<br />
gilt, lassen sich keine Zielbeziehungen <strong>und</strong> Gewichtungen für die Zielesysteme von <strong>ITIL</strong> <strong>und</strong><br />
<strong>COBIT</strong> rekonstruieren. Auf Wunsch des Bedarfsträgers wurden die Einflussstärken der Zielbeziehungen<br />
aus den <strong>zu</strong>gr<strong>und</strong>eliegenden Zielmodellen der RA übernommen. Nach Einschät<strong>zu</strong>ng<br />
der Autoren sind die dargestellten Ziel<strong>zu</strong>sammenhänge daher im Hinblick auf die<br />
Übertragbarkeit auf die Ziele von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> notwendigerweise mit einem erheblichen<br />
Interpretationsspielraum verb<strong>und</strong>en <strong>und</strong> können je nach gewähltem Anwendungszweck <strong>und</strong><br />
-szenario auch deutlich unterschiedlich ausfallen. Die integrierten Zielmodelle sind daher als<br />
Arbeitsgr<strong>und</strong>lage für weitere, der Studie nachgelagerte Überlegungen intendiert <strong>und</strong> nicht als<br />
abgeschlossene <strong>und</strong> in sich geschlossene Zielmodelle <strong>zu</strong> interpretieren.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
-<br />
<strong>ITIL</strong><br />
Rechtskonformität<br />
<strong>COBIT</strong><br />
+<br />
Transparenz für IT-<br />
Spezialisten<br />
+<br />
Standardisierung von<br />
Entwicklung, Betrieb,<br />
Wartung <strong>und</strong><br />
Administration<br />
<strong>ITIL</strong> <strong>ITIL</strong><br />
++<br />
+<br />
+<br />
+<br />
Flexibilität Wiederverwendung<br />
Sicherheit<br />
<strong>COBIT</strong>
Abschlussbericht BA-Nr. 0369/10 - 31 -<br />
4 Unter<strong>suchung</strong>sbereich Konzepte<br />
Die Integration von Ansätzen setzt gemeinsame Konzepte voraus. Deshalb werden hier die<br />
in der RA, in <strong>ITIL</strong> bzw. <strong>COBIT</strong> verwendeten zentralen Begriffen in Beziehung gesetzt. Da<strong>zu</strong><br />
sind verschiedene Schritte erforderlich. Zunächst werden in einem ersten Schritt jeweils die<br />
zentralen Konzepte aus den drei Ansätzen rekonstruiert. Dies geschieht jeweils in Form<br />
eines Glossars (Beschreibung der Konzepte) in Verbindung mit semantischen Netzen (Erfassung<br />
der Zusammenhänge). 14 In einem zweiten Schritt werden die erstellten Glossare<br />
<strong>und</strong> semantischen Netze von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> denen der RA gegenüberstellt <strong>und</strong> <strong>zu</strong>einander<br />
in Beziehung gesetzt.<br />
Dabei wird insbesondere berücksichtigt, welche Konzepte in den jeweiligen Ansätzen auf<br />
welcher Abstraktionsebene <strong>und</strong> in welchem Detaillierungsgrad verwendet werden. Übereinstimmende<br />
<strong>und</strong> widersprüchliche Konzepte werden identifiziert <strong>und</strong> dokumentiert. Dieses<br />
Vorgehen zielt darauf ab, ein möglichst kohärentes <strong>und</strong> konsistentes Begriffssystems für die<br />
RA <strong>zu</strong> erarbeiten. Darauf aufbauend kann dann die Anschluss- <strong>und</strong> Integrationsfähigkeit mit<br />
den Begriffssystemen von <strong>ITIL</strong> bzw. <strong>COBIT</strong> ermittelt werden.<br />
4.1 Rekonstruktion zentraler Begriffe der RA<br />
Die Rekonstruktion der zentralen Begriffe der RA basiert auf den vorgelegten Dokumenten<br />
<strong>zu</strong>r RA (vgl. Anhang A). Zum einen erfolgt eine Analyse der textuellen Beschreibung der<br />
Rahmenarchitektur in diesen Dokumenten. In Abstimmung mit dem Bedarfsträger wurden<br />
dabei zentrale Begriffe identifiziert <strong>und</strong> ihre Beziehungen <strong>zu</strong>einander festgehalten. Zum<br />
anderen wurden die in den analysierten Dokumenten bereits vorhandenen Glossare <strong>zu</strong>sammengeführt.<br />
Weiterhin wurde das so konsolidierte Glossar um Begriffe der RA ergänzt, die<br />
für die Analyse wesentlich waren. Auf Basis dieser Zusammenführung werden drei Analyseschritte<br />
durchgeführt:<br />
• Bisher in den Glossaren der RA nicht aufgeführte, jedoch als relevant identifizierte<br />
Begriffe werden um eine (vorläufige) Definition ergänzt, sofern diese aus der Dokumentation<br />
der RA entnommen werden kann.<br />
• Begriffe der RA werden auf abweichende Definitionen überprüft; dies betrifft insbesondere<br />
Begriffe, die in mehreren Glossaren, d.h. in unterschiedlichen Dokumenten<br />
der RA, definiert werden.<br />
• Die Definitionen werden auf inhaltliche Konsistenz <strong>und</strong> auf Kohärenz <strong>zu</strong> anderen Begriffen<br />
der RA überprüft, bspw. <strong>zu</strong>r Aufdeckung von Synonymen.<br />
Das bereinigte Glossar ist dem Bericht in Anhang I angehängt. Dabei sind vom Bedarfsträger<br />
als (für die Unter<strong>suchung</strong>) irrelevant eingestufte Begriffe nicht mehr aufgeführt.<br />
Neben Vagheiten von Begriffen <strong>und</strong> Mehrdeutigkeiten in den Begriffsdefinitionen (Roelcke<br />
2010, S. 68ff.) ist auch die Verwendung von (möglichen) Synonymen auffällig. Wenngleich<br />
diese im Kontext einer natürlich-sprachlichen, textuellen Beschreibung der Rahmenarchitektur<br />
eine spezifische Funktion erfüllen (sprachlich-rhetorische Abwechslung für den Leser),<br />
empfiehlt es sich für eine Konzeptualisierung der Rahmenarchitektur <strong>und</strong> ihren Vergleich mit<br />
14 Semantische Netze (Begriffsnetze) dienen der visuell überschaubaren <strong>und</strong> an der natürlichen Sprache orientierten<br />
Erfassung von Begriffen <strong>und</strong> ihren Beziehungen. Da<strong>zu</strong> wird ein gerichteter Graph verwendet, in dem<br />
Knoten Begriffe <strong>und</strong> Kanten Beziehungen darstellen (siehe Anhang N ). Teilweise werden gestrichelte Linien <strong>zu</strong>r<br />
Verfeinerung von Beziehungen verwendet.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 32 -<br />
<strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> die zentralen Begriffe der RA eindeutig <strong>zu</strong> definieren, ein<strong>zu</strong>ordnen <strong>und</strong><br />
ab<strong>zu</strong>grenzen. Als Synonyme wurden vom Bedarfsträger aus der Liste der potentiellen Synonyme<br />
die folgenden Begriffe identifiziert:<br />
• Aufgabe, fachliche Aufgabe, Fachaufgabe, Verwaltungsaufgabe, geschäftliche Aufgabe<br />
• Geschäftlicher Prozess, Verwaltungsprozess, Kernprozess<br />
• IT-Lösung, IT-System<br />
Nach der Rekonstruktion <strong>und</strong> Abstimmung der zentralen Begriffe <strong>und</strong> ihrer wesentlichen<br />
Zusammenhänge ergibt sich das in Abbildung 8 dargestellte Begriffsnetz. Das Netz fokussiert<br />
auf die Konzepte, die Bestandteil der Rahmenarchitektur sind. Nicht dargestellt sind<br />
Begriffe, welche die Anwendung der Rahmenarchitektur begleiten, etwa im Hinblick auf die<br />
organisatorische Aufbaustruktur (z. B. Rollen wie „Lösungsarchitekt“) oder auf die Einbettung<br />
der Rahmenarchitektur in den Kontext der IT-Steuerung B<strong>und</strong> (z. B. „Planungsinstrument“).<br />
Der Darstellung liegen darüber hinaus weitere, mit dem Bedarfsträger abgestimmte Annahmen<br />
<strong>zu</strong> Gr<strong>und</strong>e:<br />
• Die Differenzierung in Basis, Fach <strong>und</strong> Querschnitt (-Aufgaben, -IT <strong>und</strong> -Dienste) ist<br />
nicht wesensbestimmend, d.h. die Beschreibungsmerkmale für z. B. Basis-, Fach-<br />
<strong>und</strong> Querschnitts-Dienste sind identisch. Es handelt sich somit um kontextspezifische<br />
Attributierungen (Rollen), die je nach Betrachter (i.S. Behörde) vorgenommen werden.<br />
Beispielsweise handelt es sich beim Dienst „Reisekosten abrechnen“ um einen<br />
Querschnittsdienst aus dem Blickwinkel eines Ministeriums. Aus dem Blickwinkel des<br />
B<strong>und</strong>esverwaltungsamt, die diesen Dienst anbieten, handelt es sich jedoch um einen<br />
Fachdienst. Aus der Sichtweise der RA ist die Beschreibung des Dienstes „Reisekosten<br />
abrechnen“ unabhängig vom Blickwinkel (Ministerium vs. B<strong>und</strong>esverwaltungsamt)<br />
aber identisch.<br />
• Die Begriffe IT-Angebot, IT-Nachfrage, Dienstedomäne <strong>und</strong> Aufgabenbereich sowie<br />
Basis-, Fach- <strong>und</strong> Querschnitts-IT dienen im Wesentlichen der Gruppierung (der angebotenen/nachgefragten<br />
Dienste, der Dienste, der Aufgaben,…) <strong>und</strong> besitzen keine<br />
darüber hinausgehende Bedeutung.<br />
• Bei den verschiedenen Modellen (z. B. Geschäfts-, Dienst- oder technisches Modell)<br />
handelt es sich um Sichten auf die Rahmenarchitektur.<br />
Dienstedomäne<br />
gruppiert in<br />
Dienstekatalog<br />
Diensteklasse<br />
verwaltet in<br />
gruppiert in<br />
Aktivität Teil von<br />
Prozess<br />
benötigt<br />
Funktionalität<br />
bündelt<br />
Dienst<br />
realisiert durch<br />
Diensterealisierung<br />
IT-Lösung basiert auf IT-Komponente<br />
interagiert mit<br />
Abbildung 8: Rekonstruktion der zentralen Begriffe <strong>und</strong> ihrer Zusammenhänge aus der Dokumentation<br />
der Rahmenarchitektur<br />
Im Mittelpunkt der Rahmenarchitektur stehen insbesondere die Konzepte Dienst <strong>und</strong> Diensterealisierung.<br />
Ein Dienst steht für eine Menge an Anforderungen (auch: Funktionalitäten),<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
nutzt<br />
erbracht durch<br />
erbracht durch<br />
nutzt<br />
besteht aus<br />
besteht aus<br />
Hardware Software
Abschlussbericht BA-Nr. 0369/10 - 33 -<br />
welche die Geschäftsseite an die IT-Unterstüt<strong>zu</strong>ng stellt; die Beschreibung der Anforderungen<br />
erfolgt dabei losgelöst von technischen Details. Die technisch orientierte Beschreibung<br />
der Anforderungen erfolgt stattdessen in der Diensterealisierung; die Beschreibung der<br />
Diensterealisierung ist bereits auf eine Implementierung durch Informationstechnologie gerichtet,<br />
die die abstrakter gehaltenen, in Terminologie der Geschäftsseite formulierten Anforderungen<br />
– den Dienst – erfüllt. Die konkrete Implementierung einer Diensterealisierung wird<br />
durch IT-Lösungen (auch: IT-System), die wiederum aus IT-Komponenten bestehen, oder<br />
direkt durch einzelne IT-Komponenten erbracht. Eine IT-Komponente kann Hardware<br />
<strong>und</strong>/oder Software sein. Zur Strukturierung von Diensten können diese in Diensteklassen –<br />
<strong>und</strong> diese wiederum <strong>zu</strong> Dienstedomänen – gruppiert werden.<br />
Die Konzepte IT-Leistung sowie verbindliche Vereinbarung werden in den Dokumenten <strong>zu</strong>r<br />
RA erwähnt ([Gr<strong>und</strong>lagen], S. 15), bisher jedoch noch nicht näher eingeordnet. Ebenso<br />
werden im Metamodell [Metamodell] noch die Konzepte IT-Produkt <strong>und</strong> IT-Dienstleistung<br />
angedeutet. Sie werden an dieser Stelle lediglich der Vollständigkeit halber aufgeführt, bleiben<br />
für die weitere Analyse aber unberücksichtigt.<br />
4.2 Rekonstruktion zentraler Begriffe der <strong>ITIL</strong><br />
Der Rekonstruktion zentraler Begriffe der <strong>ITIL</strong> liegen die genannten Kernpublikationen der<br />
OGC <strong>zu</strong> Gr<strong>und</strong>e. Es handelt sich insgesamt um r<strong>und</strong> 1500 Seiten Dokumentation verteilt<br />
über 5 Handbücher. Für die Rekonstruktion wird für jeden <strong>ITIL</strong>-Prozess ein semantisches<br />
Netz entwickelt. Diese Netze enthalten die Ergebnisse der Begriffsanalyse in Form von<br />
<strong>zu</strong>einander in Beziehung stehenden zentralen Konzepten. Die Analyse der Konzepte in <strong>ITIL</strong><br />
ist wie auch die Analyse der Ziele mit Ungenauigkeiten <strong>und</strong> Interpretationsspielräume verb<strong>und</strong>en.<br />
Daher stellen die rekonstruierten Netze notwendigerweise immer eine Interpretation<br />
durch die Rekonstrukteure dar. In einem Zwischenschritt der Rekonstruktion ergeben sich<br />
somit mehrere detaillierte semantische Netze, die jeweils die Konzepte eines Prozesses der<br />
<strong>ITIL</strong> (z. B. Incident Management Prozess) <strong>und</strong> ihre Beziehungen beschreiben. Erst bei der<br />
Zusammenführung der einzelnen Netze über die Fokussierung auf gemeinsam verwendete<br />
Konzepte entsteht ein Netz, das überblicksartig ein Gesamtbild von <strong>ITIL</strong> zeichnet. Das Netz<br />
ist in Abbildung 9 dargestellt. Es ist in zweifacher Hinsicht eine Vereinfachung, die vor dem<br />
Hintergr<strong>und</strong> der Zielset<strong>zu</strong>ng der Unter<strong>suchung</strong> vorgenommen wird:<br />
1. In der <strong>ITIL</strong>-Dokumentation findet sich eine Reihe von unbestimmten – d.h. mehrdeutigen<br />
oder vagen – Begriffen. Einerseits können sich diese Unbestimmtheiten aus der<br />
Zielset<strong>zu</strong>ng von <strong>ITIL</strong> ergeben, Gestaltungsempfehlungen für den IT-Betrieb über alle<br />
Branchen <strong>und</strong> Unternehmensausprägungen hinweg <strong>zu</strong> geben <strong>und</strong> dabei als Kommunikationsinstrument<br />
zwischen den verschiedenen Beteiligten (auch unterschiedlicher<br />
IT-Organisationen) <strong>zu</strong> dienen. Unbestimmtheiten können hierbei den Zweck erfüllen,<br />
„[in einer Fachdiskussion] <strong>zu</strong>r Herstellung eines einheitlichen Kenntnisstandes <strong>zu</strong>nächst<br />
sehr unbestimmt <strong>zu</strong> bleiben <strong>und</strong> dann im weiteren Verlauf der Diskussion <strong>zu</strong><br />
immer präziseren Formulierungen über<strong>zu</strong>gehen“ (von Hahn 1998, S. 379). Andererseits<br />
können die Unbestimmtheiten Folge einer inkonsistenten Begriffsverwendung,<br />
etwa aufgr<strong>und</strong> der Vielzahl beteiligter Autoren an den Publikationen sein (z. B. die<br />
Begriffe „IT-Asset“ <strong>und</strong> „Service-Asset“); in diesem Fall werden die Unbestimmtheiten<br />
unter Wahl bestimmter Annahmen nachfolgend ausgeräumt.<br />
2. Konzepte, die ein niedriges Abstraktionsniveau besitzen <strong>und</strong> mit Blick auf IT-<br />
Organisationen bereits sehr detailliert sind (z. B. „Statement of Requirement“, „Information<br />
Security Policy“) werden ausgeblendet; sie werden nicht als zentrale Begriffe<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 34 -<br />
aufgefasst. Sie entfalten ihre Bedeutung bei der konkreten Implementierung von <strong>ITIL</strong><br />
in einer Organisation <strong>und</strong> sind daher inhaltlich sehr weit von dem in der RA adressierten<br />
Abstraktionsniveau entfernt.<br />
Eine Auflistung der Kernbegriffe sowie ihre offiziellen Definitionen aus der <strong>ITIL</strong> finden sich in<br />
Anhang K ergänzt um <strong>zu</strong>sätzliche Kommentierungen.<br />
Das Netz in Abbildung 9 zeigt die zentralen Konzepte der <strong>ITIL</strong>. 15 Im Mittelpunkt von <strong>ITIL</strong> steht<br />
der Service (auch IT Service), der die Schnittstelle zwischen Geschäftssicht mit den Geschäftsprozessen<br />
<strong>und</strong> (Unternehmens-) Zielen einerseits <strong>und</strong> der IT-Sicht mit den Daten,<br />
(Software-) Anwendungen <strong>und</strong> der technischen Infrastruktur (z. B. Hardware, Betriebssysteme,<br />
Netzwerk) andererseits darstellt. Ein Service repräsentiert eine Leistung der IT-<br />
Organisation, die für die Geschäftsseite einen Nutzen generiert. Dabei liegt dem Service-<br />
Begriff eine weite <strong>und</strong> unbestimmte Definition <strong>zu</strong>gr<strong>und</strong>e. Ein Service ist in <strong>ITIL</strong> definiert als<br />
„Möglichkeit, einen Mehrwert für K<strong>und</strong>en <strong>zu</strong> erbringen, indem das Erreichen der von K<strong>und</strong>en<br />
angestrebten Ergebnisse erleichtert oder gefördert wird“ (z. B. [Service Design], S. 13f.).<br />
Eine Auflistung aller geplanten bzw. aller umgesetzten <strong>und</strong> in Umset<strong>zu</strong>ng befindlichen Services<br />
wird in der Service-Pipeline bzw. im Service-Katalog vorgenommen, die <strong>zu</strong>sammen<br />
das Service-Portfolio – das (geplante) Angebot – der IT-Organisation darstellen. Services<br />
können dabei in Service-Linien strukturiert <strong>und</strong> in verschiedenen Abstufungen (etwa im<br />
Hinblick auf Qualität, Verfügbarkeit etc.) angeboten werden (Service Levels). Ein Service<br />
besteht aus Komponenten, die einerseits andere Services sein können (in der Abbildung<br />
wird hiervon abstrahiert) oder andererseits durch Daten, Anwendungen oder Infrastruktur-<br />
Elemente realisiert sein können. Um die Erwartungen von Service-Abnehmern sowie die<br />
Verpflichtungen des Service-Erbringers (etwa aus rechtlichen Gründen) <strong>zu</strong> fixieren, werden<br />
nachdrücklich Vereinbarungen empfohlen: Service Level Agreement (SLA) bezeichnet eine<br />
Vereinbarung zwischen IT-Organisation <strong>und</strong> dem Diensteabnehmer, Operational Level Agreement<br />
(OLA) innerhalb der IT-Organisation <strong>und</strong> Underpinning Contracts (UC) zwischen IT-<br />
Organisation <strong>und</strong> ihren externen (Dienstleistungs-) Lieferanten.<br />
Serviceportfolio<br />
bilden<br />
bilden<br />
Servicelinie<br />
strukturiert in<br />
Service Package<br />
strukturiert in<br />
Servicekatalog<br />
Servicepipeline<br />
Ziel<br />
Bestandteil von<br />
Bestandteil von<br />
unterstützt<br />
Business-<br />
Prozess<br />
unterstützt<br />
Abbildung 9: Rekonstruktion der zentralen Begriffe <strong>und</strong> ihrer Zusammenhänge aus der Dokumentation<br />
der <strong>ITIL</strong><br />
15 Gr<strong>und</strong>lage der Rekonstruktion von <strong>ITIL</strong> ist die deutsche Überset<strong>zu</strong>ng. Einige der Begrifflichkeiten sind jedoch<br />
auch dort nicht übersetzt (z.B. „Event“, „Incident“); um Verzerrungen <strong>zu</strong> vermeiden werden deshalb auch in dieser<br />
Studie nicht übersetzt.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Service<br />
besteht aus<br />
Komponente<br />
besitzt<br />
SLA<br />
abhängig von/<br />
nutzt<br />
kann sein<br />
kann sein kann sein kann sein<br />
Daten Anwendung Infrastruktur<br />
UC<br />
erfüllt<br />
besitzt<br />
Anforderung<br />
OLA<br />
Produkt<br />
Service Levels
Abschlussbericht BA-Nr. 0369/10 - 35 -<br />
Darüber hinaus werden in <strong>ITIL</strong> <strong>zu</strong>sätzliche Abstraktionen <strong>und</strong> detailliertere Konzepte genutzt,<br />
von denen in Abbildung 9 aus Gründen der Übersichtlichkeit abstrahiert wird (siehe auch<br />
Anhang J):<br />
• Von organisationsexternen Lieferanten bezogene Komponenten werden auch als<br />
Produkt bezeichnet.<br />
• Eine von den IT-Experten in der IT-Organisation als <strong>zu</strong>sammengehörig aufgefasste<br />
Kombination von Daten, Anwendung <strong>und</strong> Infrastruktur kann auch als IT-System bezeichnet<br />
werden.<br />
• Elemente (gleich welcher Art) der IT-Organisation, die als besonders relevant angesehen<br />
werden, werden als IT-Assets angesehen; gleiches gilt für Elemente der Geschäftsseite<br />
(Assets).<br />
• Services können im Zuge des Angebots im Service-Katalog gruppiert in Form von<br />
Service Packages angeboten werden; unterschieden werden in einem Service<br />
Package dabei Core Services als Kernbestandteile des Paket-Angebots <strong>und</strong> unterstützende<br />
Services, die z. B. als Aufwertung des Angebots dienen.<br />
• Als Abstraktion über materielle wie immaterielle Produktionsfaktoren wird der Begriff<br />
Ressource genutzt.<br />
• In der Dokumentation <strong>zu</strong>m Service-Design wird an einigen wenigen Stellen der Begriff<br />
der Servicelösung verwendet ([Service Design] , S. 33f. <strong>und</strong> 49ff.), der das Ergebnis<br />
eines Service-Entwicklungsprozesses kennzeichnet; dieser Begriff wird in <strong>ITIL</strong><br />
jedoch nicht weiter verwendet.<br />
Weiterhin in <strong>ITIL</strong> genutzt werden die Begriffe Anforderung, welche die Geschäftsseite an die<br />
IT-Unterstüt<strong>zu</strong>ng stellt <strong>und</strong> die ein entsprechender Service erfüllen muss, sowie Standard,<br />
der sowohl in technischer Hinsicht (z. B. Speicher- oder Austauschformate) als auch in betriebswirtschaftlicher<br />
Sicht (z. B. Prozessqualität-Bewertungsansätze) genutzt wird.<br />
<strong>ITIL</strong> nennt eine Reihe von weiteren Konzepten, die zwar als zentrale Konzepte angesehen<br />
werden können, jedoch aufgr<strong>und</strong> ihres Abstraktionsniveaus nicht näher im Fokus der Studie<br />
stehen <strong>und</strong> nicht weiter betrachtet werden. Eine Übersicht dieser Konzepte wird in Abbildung<br />
10 gegeben (grau gefärbte Begriffe dienen nur <strong>zu</strong>m Verständnis des Netzes).<br />
Verfügbarkeit<br />
Kapazität<br />
weist auf<br />
weist auf<br />
Kontinuität weist auf<br />
besitzt<br />
Konfiguration<br />
stellt dar<br />
Baseline<br />
arbeitet auf<br />
Komponente<br />
ist ein<br />
betrifft<br />
Service<br />
ist ein<br />
Configuration Item<br />
Release resultiert aus<br />
ist ein<br />
betrifft<br />
SLA/OLA/UC<br />
Change<br />
beeinträchtigt<br />
beeinträchtigt<br />
Abbildung 10: Zentrale Konzepte der <strong>ITIL</strong>, die im Folgenden nicht weiter betrachtet werden<br />
4.3 Rekonstruktion zentraler Begriffe der <strong>COBIT</strong><br />
Die zentralen Begriffe aus <strong>COBIT</strong> werden auf Basis der genannten Kernpublikation rekonstruiert<br />
[<strong>COBIT</strong>; <strong>COBIT</strong>-DE]. Die mit der Rekonstruktion verb<strong>und</strong>ene Interpretation der Begriffe<br />
in <strong>COBIT</strong> <strong>und</strong> deren Zusammenhänge sind – deutlicher noch als bei <strong>ITIL</strong> – mit<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Incident<br />
verursacht<br />
Problem<br />
erzeugt<br />
deutet auf<br />
deutet auf<br />
deutet auf<br />
Event
Abschlussbericht BA-Nr. 0369/10 - 36 -<br />
erheblichen Herausforderungen verb<strong>und</strong>en, da die Begriffe in <strong>COBIT</strong> nicht näher definiert<br />
sind. Damit bleiben die Relevanz <strong>und</strong> Bedeutung zahlreicher Begriffe unklar bzw. unbestimmt<br />
(z. B. „Strategic IT-Plan“, „IT Service Portfolio“). Darüber hinaus nimmt <strong>COBIT</strong> keine<br />
Unterscheidung zwischen Kernkonzepten <strong>und</strong> ergänzenden Konzepten vor, die sich vor dem<br />
Hintergr<strong>und</strong> der aus 34 thematisierten IT-Prozessen resultierenden Begriffsvielfalt für die<br />
vorliegende Unter<strong>suchung</strong> empfiehlt. Es ist daher notwendig, eine eigene Differenzierung<br />
zwischen Kernkonzepten <strong>und</strong> ergänzenden (sek<strong>und</strong>ären) Konzepten <strong>zu</strong> entwickeln.<br />
Entsprechend der Unterscheidung der Ziele <strong>und</strong> Sichtweisen von <strong>COBIT</strong> in die Sichtweise<br />
der IT-Revision bzw. die Sichtweise der Management-Unterstüt<strong>zu</strong>ng können die Begriffe in<br />
<strong>COBIT</strong> wie folgt eingeteilt werden:<br />
• Prüfungsbezogene Konzepte: Zur dieser Gruppe werden alle Kernkonzepte gerechnet,<br />
die auf die Unterstüt<strong>zu</strong>ng der Wirtschaftsprüfung gerichtet sind. Eine Darstellung<br />
der Kernkonzepte dieser Gruppe findet sich in Abbildung 11. Im Mittelpunkt steht dabei<br />
das Control Objective als zentrales Konzept. Jedes Control Objective ist auf ein<br />
Unternehmensziel gerichtet, dessen Erreichung durch IT-Risiken bedroht wird. Diesen<br />
Risiken sollen mit der Umset<strong>zu</strong>ng von in Aktivitäten integrierten Controls (bspw.<br />
Richtlinien, Verfahren, Praktiken <strong>und</strong> Organisationsstrukturen) verhindert oder erkannt<br />
<strong>und</strong> korrigiert werden ([<strong>COBIT</strong>-DE], S. 17).Organisatorische Rollen haben definierte<br />
Verantwortlichkeiten für die Aktivitäten. Letztere dienen wiederum der<br />
Sicherstellung der Einhaltung der Control Objectives. Geprüft werden die Control<br />
Objectives im Rahmen eines Audits. Aktivitäten beziehen sich i. d. R. auf Be<strong>zu</strong>gsobjekte.<br />
Diese Be<strong>zu</strong>gsobjekte können von unterschiedlicher Art sein. Ein Be<strong>zu</strong>gsobjekt<br />
ist dabei als Abstraktion über dynamische <strong>und</strong> statische Aspekte (bspw. Instrumente,<br />
Methoden, Prozesse, Dokumente, Verantwortlichkeiten) eines Unternehmens bzw.<br />
dessen IT-Organisation <strong>zu</strong> verstehen. Die Aktivität „Erstelle einen strategischen IT-<br />
Plan“ aus dem Prozess „Define a Strategic IT Plan (PO1)“ betrifft bspw. das Be<strong>zu</strong>gsobjekt<br />
„Strategic IT-Plan“. Darüber hinaus werden die Konzepte Be<strong>zu</strong>gsobjekt <strong>und</strong><br />
Aktivität mit denen der managementbezogenen Kernkonzepte verknüpft.<br />
• Managementorientierte Konzepte: Zur dieser Gruppe lassen sich Konzepte mit Fokus<br />
auf die Unterstüt<strong>zu</strong>ng des IT-Managements zählen. Dargestellt sind diese Konzepte<br />
in Abbildung 12. Im Mittelpunkt steht hier der IT-Prozess, der als zentrales Element<br />
diesen Bereich strukturiert: So dient ein IT-Prozess der Erreichung eines oder mehrerer<br />
IT-Ziele, die durch die Unternehmensziele bestimmt werden. Die Erreichung der<br />
Ziele durch den IT-Prozess wird durch Kennzahlen gemessen. Ein IT-Prozess besitzt<br />
einen Reifegrad <strong>zu</strong>r Einschät<strong>zu</strong>ng seines Implementierungsstands <strong>und</strong> der Identifizierung<br />
von Verbesserungspotenzialen. Jeder IT-Prozess ist genau einer der vier Domänen<br />
planen, bauen, betreiben <strong>und</strong> überwachen <strong>zu</strong>geordnet. Ein IT-Prozess<br />
erzeugt Informationen (Output) <strong>und</strong> verwendet IT-Ressourcen als Input. Diese IT-<br />
Ressourcen untergliedern sich in Informationen, Anwendungen, Infrastruktur <strong>und</strong><br />
Personal. 16 Der IT-Prozess wird durch Aktivitäten näher beschrieben. Diese Aktivitäten<br />
dienen auch der Verknüpfung mit der prüfungsbezogenen Sichtweise von <strong>COBIT</strong>.<br />
In <strong>COBIT</strong> werden Aktivitäten lediglich durch eine Bezeichnung (z. B. „Analyse programme<br />
portfolios and manage project and service portfolios“) <strong>und</strong> die Zuordnung<br />
von Verantwortlichkeiten beschrieben. Weitere Informationen wie beispielsweise eine<br />
Detailbeschreibung der Aktivität sind nicht vorgesehen. Die Zuordnung von Verant-<br />
16 Die Gesamtheit der IT-Prozesse <strong>und</strong> der IT-Ressourcen in Form von Informationen, Anwendungen, Infrastruktur<br />
<strong>und</strong> Personal werden <strong>COBIT</strong> als „Unternehmensarchitektur für IT“ bezeichnet [<strong>COBIT</strong>-DE, S. 15]. Eine weitergehende<br />
Konzeptualisierung geschieht nicht, sodass der Architekturbegriff nicht weiter berücksichtigt wird.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 37 -<br />
wortlichkeiten <strong>zu</strong> Aktivitäten wird über sog. RACI-Matrizen (Respnsible = verantwortlich,<br />
Accountable = rechenschaftspflichtig, Consulted = konsultierend, Informed = <strong>zu</strong><br />
informieren) realisiert.<br />
Abbildung 11: Rekonstruktion zentraler Konzepte von <strong>COBIT</strong> der Revisions-Perspektive<br />
Abbildung 12: Rekonstruktion zentraler Konzepte von <strong>COBIT</strong> der Management-Perspektive<br />
Über die Kernkonzepte hinaus wird in den Beschreibungen der Prozesse <strong>und</strong> ihrer Aktivitäten,<br />
sowie den jeweiligen Control Objectives auf zahlreiche weitere Begriffe Be<strong>zu</strong>g genommen.<br />
Diese werden in <strong>COBIT</strong> jedoch meist nicht näher erläutert. Vielmehr finden sich<br />
Aussagen der Form, dass bspw. das IT-Serviceportfolio aktualisiert werden soll. Wie dieses<br />
IT-Serviceportfolio umgesetzt werden soll, wird nicht erläutert. Diese Konzepte werden hier<br />
als sek<strong>und</strong>är betrachtet <strong>und</strong> in den semantischen Netzen als Be<strong>zu</strong>gsobjekte dargestellt. Die<br />
aus den Aktivitäten <strong>und</strong> den Control Objectives der <strong>COBIT</strong>-Prozesse rekonstruierten Be<strong>zu</strong>gsobjekte<br />
sind tabellarisch im Anhang F erfasst. Nähere Beschreibungen <strong>zu</strong> den Be<strong>zu</strong>gsobjekten<br />
finden sich im Glossar <strong>zu</strong> <strong>COBIT</strong> in Anhang K.<br />
4.4 Gegenüberstellung<br />
Auf der Gr<strong>und</strong>lage der Rekonstruktionen der zentralen Begriffe <strong>und</strong> ihrer Beziehungen in<br />
Form der semantischen Netze <strong>und</strong> der begleitenden Glossare können die zentralen Konzepte<br />
der Ansätze gegenübergestellt werden. Damit ist die Intention verb<strong>und</strong>en, Anknüpfungspunkte<br />
für die Weiterentwicklung der RA im Hinblick auf Konzepte in <strong>ITIL</strong> bzw. <strong>COBIT</strong> <strong>zu</strong><br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 38 -<br />
identifizieren. Die Gegenüberstellung erfolgt in grafischer Form. Da<strong>zu</strong> wird folgende Notation<br />
verwendet:<br />
Notationssymbol Beschreibung<br />
Blauer, eckiger, durchgezogener Rahmen: Das Konzept findet<br />
im anderen Ansatz keine Berücksichtigung.<br />
Roter, eckiger, gestrichelter Rahmen: Das Konzept findet in<br />
der RA keine Berücksichtigung.<br />
Grüner, r<strong>und</strong>er, durchgezogener Rahmen: Das Konzept wird<br />
in der RA weniger differenziert konzeptualisiert<br />
Gelber, r<strong>und</strong>er, gestrichelter Rahmen: Das Konzept ist in der<br />
RA differenzierter konzeptualisiert<br />
Ohne Rahmen, unterstrichen: Das Konzept ist in beiden<br />
Ansätzen in gleicher Detaillierung <strong>zu</strong> finden.<br />
Tabelle 1: Notation <strong>und</strong> Heuristik für Analyse gemeinsamer Konzepte<br />
Tendenzielle<br />
Anschlussfähigkeit<br />
Für die Ermittlung der tendenziellen konzeptuellen Anschlussfähigkeit der RA mit <strong>COBIT</strong> <strong>und</strong><br />
<strong>ITIL</strong> ergeben sich folgende vier Heuristiken (siehe Spalte „Anschlussfähigkeit“ in Tabelle 1):<br />
1) Konzepte, die nur in einem Ansatz beschrieben werden, sind sehr wahrscheinlich<br />
(++) in dem anderen Ansatz anschlussfähig. Ein Konzept, was beispielsweise nur<br />
in <strong>ITIL</strong> existiert, kann sehr wahrscheinlich mit geringem Aufwand in die RA übernommen<br />
werden.<br />
2) Konzepte, die in der RA weniger ausführlich konzeptualisiert sind, besitzen Interpretations-<br />
bzw. (Aus-)Gestaltungsspielraum <strong>und</strong> sind damit voraussichtlich anschlussfähig<br />
(+) an konkreter ausgestaltete Konzepte in <strong>COBIT</strong> bzw. <strong>ITIL</strong>;<br />
3) Konzepte, die in der RA differenzierter konzeptualisiert sind <strong>und</strong> somit eine spezifischere<br />
(eingeschränktere) Bedeutung haben, können dagegen von organisationsspezifischen<br />
Umset<strong>zu</strong>ngen von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> des B<strong>und</strong>es abweichen; eine<br />
Anschlussfähigkeit ist damit tendenziell nur bedingt (o) gegeben <strong>und</strong> ist näher <strong>zu</strong> prüfen.<br />
4) Bei gleich detaillierten Konzepten liegt keine Tendenz vor; hier muss in jedem Fall auf<br />
inhaltliche Anschlussfähigkeit geprüft werden (?).<br />
Die tendenzielle Anschlussfähigkeit wird jeweils durch ein Vergleich der Konzeptualisierungen<br />
näher untersucht, bei dem es ggf. <strong>zu</strong> abweichenden Ergebnisse kommen kann. Beispielweise<br />
kann bei der näheren Unter<strong>suchung</strong> zweier gleich detaillierter Konzepte<br />
(Heuristik 4) festgestellt werden, dass die Anschlussfähigkeit ohne Einschränkungen gegeben<br />
ist (++).<br />
Im Folgenden werden die Konzepte der RA den Konzepten aus <strong>ITIL</strong> bzw. <strong>COBIT</strong> im Detail<br />
gegenübergestellt.<br />
4.4.1 Zentrale Begriffe aus RA <strong>und</strong> <strong>ITIL</strong><br />
Eine grafische Gegenüberstellung von RA <strong>und</strong> <strong>ITIL</strong> erfolgt in Abbildung 13.<br />
Prozess: Sowohl in der RA als auch in <strong>ITIL</strong> werden Prozesse als „Abfolge von Aktivitäten“<br />
definiert, in denen Dienste (RA) bzw. Services (<strong>ITIL</strong>) <strong>zu</strong>r Unterstüt<strong>zu</strong>ng genutzt werden können.<br />
Im Fokus stehen dabei in beiden Ansätzen Prozesse, die in den Fachabteilungen ausgeführt<br />
werden („Geschäftsprozesse“). Ein Kontrollfluss wird in beiden Ansätzen unterstellt;<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
++<br />
++<br />
+<br />
o<br />
?
Abschlussbericht BA-Nr. 0369/10 - 39 -<br />
die Möglichkeit der Modellierung von Prozessen, etwa mit Kontrollflussdiagrammen in der<br />
Notation Ereignisgesteuerter Prozessketten, wird nur in der RA erwähnt. Ob auch Prozesse<br />
der IT-Organisation – sog. IT-Prozesse – damit adressiert werden, ist sowohl in der RA als<br />
auch in <strong>ITIL</strong> unklar.<br />
Zwischenfazit: Die Konzepte stimmen überein. Anschlussfähigkeit im Hinblick auf die<br />
Geschäftssicht, insbesondere die Prozesse, ist gegeben (Anschlussfähigkeit: ++).<br />
Abbildung 13: Vergleichende Gegenüberstellung zentraler Konzepte in RA <strong>und</strong> <strong>ITIL</strong><br />
Dienst: Zentrales Konzept beider Ansätze ist der Dienst, der in <strong>ITIL</strong> mit Service, in der RA<br />
mit Dienst <strong>und</strong> Diensterealisierung bezeichnet wird. In <strong>ITIL</strong> ist der Begriff des Service trotz<br />
seiner zentralen Bedeutung für das Rahmenwerk unbestimmt <strong>und</strong> sehr weit gefasst. Es<br />
bleibt offen, auf welchem Abstraktionsniveau (grob oder detailliert), aus welcher Perspektive<br />
(Geschäfts- oder technische Sicht) <strong>und</strong> mit welchem Inhalt (Beschreibung einer Anforderung,<br />
einer Lösung, …) ein Service <strong>zu</strong> beschreiben ist. Eine eventuelle Einschränkung des Servicebegriffs<br />
obliegt der <strong>ITIL</strong> einsetzenden Organisation. Hinweise oder eine Anleitung für<br />
eine solche Präzisierung gibt <strong>ITIL</strong> jedoch nicht. In der Rahmenarchitektur wird das Konzept<br />
des Dienstes mit der Zweiteilung Dienst <strong>und</strong> Diensterealisierung adressiert. Ein Dienst in der<br />
RA ist eine Menge von Anforderungen; eine Diensterealisierung ist die IT-technische Unterstüt<strong>zu</strong>ng<br />
eines Dienstes. Damit ist das Diensteverständnis in der RA differenzierter als in<br />
<strong>ITIL</strong>. Es liegt eine spezifische (eingeschränktere) Bedeutung <strong>zu</strong> Gr<strong>und</strong>e.<br />
Zwischenfazit: Die Konzepte weichen erheblich voneinander ab. Die Gegenüberstellung<br />
der Dienste-Konzepte in RA <strong>und</strong> <strong>ITIL</strong> führt dabei <strong>zu</strong> einem ambivalenten Ergebnis:<br />
Einerseits kann der Service-Begriff in <strong>ITIL</strong> aufgr<strong>und</strong> seiner Unbestimmtheit auch die<br />
Konzeptualisierung des Dienste(realisierungs)-Begriffs der RA umfassen. Zugleich ist es<br />
allerdings möglich, dass in <strong>ITIL</strong> Services definiert werden, die nicht der spezifischen<br />
Konzeptualisierung von Dienst bzw. Diensterealisierung in der RA entsprechen. Eine<br />
Anschlussfähigkeit ist somit nur bedingt gegeben (Anschlussfähigkeit: o).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 40 -<br />
Dienstekatalog: Verfügbare oder <strong>zu</strong>künftige Dienste werden in der Rahmenarchitektur im<br />
Dienstekatalog gelistet; in <strong>ITIL</strong> entspricht dies dem Servicekatalog. Die Gesamtheit aller<br />
Dienste – auch der geplanten, die jedoch noch nicht umgesetzt werden sollen oder können –<br />
wird in der RA im Dienstmodell (siehe Glossar <strong>zu</strong>r RA, Anhang I), in <strong>ITIL</strong> (<strong>zu</strong>sammen mit<br />
eingestellten Diensten) im Serviceportfolio verwaltet. In <strong>ITIL</strong> wird darüber hinaus noch die<br />
Servicepipeline vorgeschlagen; diese beinhaltet nur die geplanten Dienste <strong>und</strong> richtet sich in<br />
erster Linie an Akteure der IT-Organisation (z. B. IT-Experten). <strong>ITIL</strong> empfiehlt, für die Entwicklung<br />
<strong>und</strong> den Betrieb von Diensten Vorlagen für die Dienstbeschreibung <strong>zu</strong> nutzen,<br />
konkretisiert dies jedoch nicht weiter. In der RA werden Steckbriefe für Dienste konkret vorgeschlagen;<br />
eine Ausgestaltung für den Dienstekatalog (z. B. [Service Design], S. 259) gibt<br />
es noch nicht.<br />
Zwischenfazit: Die gr<strong>und</strong>legenden Überlegungen, die mit dem Dienstekatalog in der<br />
RA <strong>und</strong> dem Servicekatalog in <strong>ITIL</strong> verb<strong>und</strong>en sind, sind sehr ähnlich. Allerdings gibt es<br />
in der RA für die Servicepipeline keine Entsprechung, <strong>und</strong> es ist unklar, inwiefern in der<br />
RA auch eingestellte Dienste verwaltet werden. Die in <strong>ITIL</strong> geforderten Vorlagen <strong>zu</strong>r<br />
Dienstebeschreibung werden in der RA – mit Ausnahme des Katalogs – konkretisiert.<br />
Eine Anschlussfähigkeit ist somit nur unter bestimmten Bedingungen gegeben. Eine Anschlussfähigkeit<br />
beim Dienstekatalog ist gegeben, sofern sich (1) eine “Dienstepipeline”<br />
jederzeit aus dem Dienstemodell ableiten lässt <strong>und</strong> (2) eingestellte Dienste weiterhin im<br />
Dienstekatalog, im Dienstemodell oder einer anderen Datenquelle auffindbar sind (Anschlussfähigkeit:<br />
o).<br />
Dienstegruppierung: Während in <strong>ITIL</strong> <strong>zu</strong>r Gruppierung von Diensten Service Packages <strong>und</strong><br />
Servicelinien angeboten werden, werden in der RA Dienste <strong>zu</strong> Diensteklassen <strong>und</strong> Dienstedomänen<br />
<strong>zu</strong>sammengefasst. In der RA wird hierfür eine thematische Zusammengehörigkeit<br />
unterstellt. In <strong>ITIL</strong> bleibt offen, nach welchem Kriterium die Zusammenfassung erfolgen soll.<br />
Zudem sind die Konzepte Service Package <strong>und</strong> Servicelinie im Detail nicht eindeutig definiert<br />
(siehe Anmerkung im Glossar <strong>zu</strong> <strong>ITIL</strong> in Anhang J).<br />
Zwischenfazit: Eine Anschlussfähigkeit ist gegeben. Es empfiehlt sich jedoch, mit<br />
<strong>ITIL</strong>-Anwendern (z. B. die DLZ-IT des B<strong>und</strong>es) über ihre Konkretisierung, etwa auch mit<br />
Blick auf die Gruppierungskriterien, von Service Package, Servicelinie <strong>und</strong> damit <strong>zu</strong>sammenhängenden<br />
Konzepten <strong>zu</strong> sprechen <strong>und</strong> die Anschlussfähigkeit im Einzelfall <strong>zu</strong><br />
prüfen bzw. diesbezüglich ein gemeinsames Begriffsverständnis auf<strong>zu</strong>bauen (Anschlussfähigkeit<br />
+).<br />
Vertragliche Vereinbarung: Um die Bedingungen des Diensteaustauschs zwischen Dienste-Anbieter<br />
<strong>und</strong> Dienste-Nachfrager <strong>zu</strong> regeln, werden in <strong>ITIL</strong> dediziert verschiedene Konzepte<br />
für vertragliche Vereinbarungen (Service Level Agreement (SLA), Operational Level<br />
Agreement, (OLA) <strong>und</strong> Underpinning Contract (UC)) vorgeschlagen. In der RA wird die verbindliche<br />
Vereinbarung erwähnt, jedoch nicht näher konzeptualisiert.<br />
Zwischenfazit: Die RA erscheint durch das nicht näher bestimmte Konzept der vertraglichen<br />
Vereinbarung prinzipiell an <strong>ITIL</strong> anschlussfähig. Die RA könnte sich sogar für<br />
eine weitere Konzeptualisierung an der aus <strong>ITIL</strong> orientieren; dies sollte jedoch mit Blick<br />
auf den besonderen b<strong>und</strong>esbehördlichen Kontext der RA geprüft werden (Anschlussfähigkeit:<br />
+).<br />
IT-Lösung, IT-Komponente: In der RA werden unter IT-Lösungen (auch mit IT-System<br />
bezeichnet) die konkreten Implementierungen von Diensten aufgefasst. IT-Lösungen stellen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 41 -<br />
dabei „<strong>zu</strong>sammengehörige“ IT-Komponenten (z. B. Software <strong>und</strong>/oder Hardware) dar. In <strong>ITIL</strong><br />
wird eine ähnliche Begrifflichkeit verwendet: Zusammengehörige Komponenten (Daten,<br />
Anwendungen, Infrastruktur) können als IT-System bezeichnet werden – wenngleich dieser<br />
Begriff nicht <strong>zu</strong>m Kernrepertoire von <strong>ITIL</strong> gehört <strong>und</strong> bis auf wenige Ausnahmen in den Publikationen<br />
nicht verwendet wird (vgl. Abschnitt 4.2). Zugleich ist die Verwendung des (IT-)<br />
System-Begriffs in <strong>ITIL</strong> widersprüchlich (vgl. z. B. Verwendung in [Service Design, z. B.<br />
S. 114] gegenüber [Service Transition, S. 86]).). Es ist <strong>zu</strong> vermuten, dass die Begriffe Anwendung<br />
(<strong>ITIL</strong>)/Software (RA) bzw. Infrastruktur(<strong>ITIL</strong>)/Hardware(RA) eine ähnliche Semantik<br />
aufweisen.<br />
Zwischenfazit: Eine Anschlussfähigkeit scheint gegeben <strong>zu</strong> sein. 17 Gleichzeitig sind<br />
diese Begrifflichkeit von zentraler Bedeutung, da sie <strong>zu</strong> den Gr<strong>und</strong>begriffen von IT-<br />
Organisationen gehören. Insbesondere der Komponenten- <strong>und</strong> der Infrastruktur-Begriff<br />
können bei unterschiedlichen IT-Experten verschieden belegt sein. Es empfiehlt sich<br />
deshalb, sämtliche dieser Basisbegriffe – sowohl aus RA als auch aus <strong>ITIL</strong> – <strong>zu</strong> definieren,<br />
ein<strong>zu</strong>ordnen <strong>und</strong> dabei ggf. auch als synonym <strong>zu</strong> kennzeichnen (Anschlussfähigkeit<br />
+).<br />
Anforderung, Funktionalität: Die Begriffe Anforderung <strong>und</strong> Funktionalität werden in der RA<br />
differenziert definiert. Sie stellen <strong>zu</strong>dem zentrale Begriffe für die Terminologie der RA, etwa<br />
auch <strong>zu</strong>r Definition anderer Konzepte, dar. In <strong>ITIL</strong> wird der Begriff der Anforderung an vielen<br />
Stellen verwendet. Obwohl der Begriff im Glossar der <strong>ITIL</strong>-Primärliteratur definiert wird, ist<br />
seine Verwendung in diesen Publikationen unterschiedlich; seine Einordnung <strong>und</strong> Abgren<strong>zu</strong>ng,<br />
beispielsweise im Hinblick auf Begriffe wie Service <strong>und</strong> (Geschäfts-)Prozess, bleibt<br />
unklar. Der Begriff Funktionalität gehört nicht <strong>zu</strong>m Repertoire von <strong>ITIL</strong>.<br />
Zwischenfazit: Die gr<strong>und</strong>legenden Überlegungen <strong>zu</strong>r Anforderung in <strong>ITIL</strong> scheinen<br />
ähnlich der entsprechenden Begrifflichkeit in der RA <strong>zu</strong> sein. Allerdings können sich aus<br />
der Unbestimmtheit in <strong>ITIL</strong> auch abweichende Interpretationen des Begriffs ergeben –<br />
<strong>zu</strong>r Begrifflichkeit in der RA einerseits wie auch <strong>zu</strong> eventuell anderen Interpretationen der<br />
Anforderung in <strong>ITIL</strong> andererseits. Eine Anschlussfähigkeit ist somit nur bedingt gegeben.<br />
Gleichzeitig birgt die Unbestimmtheit in <strong>ITIL</strong> das Risiko von Missverständnissen innerhalb<br />
von <strong>ITIL</strong>(-Anwendern). Es scheint deshalb vielversprechend, das differenzierte Begriffsverständnis<br />
von Anforderung <strong>und</strong> Funktionalität aus der RA auch für die <strong>ITIL</strong>-<br />
Anwendungen des B<strong>und</strong>es (z. B. in den DLZ-IT des B<strong>und</strong>es) <strong>zu</strong> übernehmen. (Anschlussfähigkeit<br />
o für Anforderung, ++ für Funktionalität)<br />
4.4.2 Zentrale Begriffe aus RA <strong>und</strong> <strong>COBIT</strong><br />
Die Gegenüberstellung zentraler Begriffe der RA mit Begriffen aus <strong>COBIT</strong> folgt dem gleichen<br />
Vorgehen, das auch der Gegenüberstellung mit den Begriffen aus <strong>ITIL</strong> <strong>zu</strong>gr<strong>und</strong>e liegt. So<br />
werden auf Gr<strong>und</strong>lage der rekonstruierten zentralen Begriffe, ihrer Beziehungen dargestellt<br />
in Form semantischer Netze <strong>und</strong> der begleitenden Glossare (Anhang J) die zentralen Konzepte<br />
der Ansätze vergleichend gegenübergestellt.<br />
In grafischen Gegenüberstellungen werden zentrale Konzepte aus der RA <strong>und</strong> <strong>COBIT</strong> gemäß<br />
des Detailierungsgrades ihrer Konzeptualisierung im Vergleich mit dem jeweils anderen<br />
Ansatz eingeordnet. Die Gegenüberstellung erfolgt ausgehend von der RA, d.h. ihre Terminologie<br />
liegt der Gegenüberstellung <strong>zu</strong>gr<strong>und</strong>e. Es werden da<strong>zu</strong> die Notation <strong>und</strong> Heuristik<br />
verwendet, wie sie in Abschnitt 4.4 beschrieben sind.<br />
17 BMI: Die am Anfang von Abschnitt 4.4 eingeführten Heuristiken können hier nicht angewendet werden.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 42 -<br />
Im Folgenden werden <strong>zu</strong>nächst die Konzepte der RA mit Konzepten der Revisions-<br />
Perspektive aus <strong>COBIT</strong> gegenübergestellt (vgl. Abschnitt 4.3). Die grafische Darstellung<br />
findet sich in Abbildung 14.<br />
Ziel<br />
Risiko<br />
Legende:<br />
<br />
<br />
<br />
sichert Erreichung von<br />
dient Vermeidung von<br />
Control Objective<br />
geprüft durch<br />
Audit<br />
Konzept ist in RA weniger<br />
ausführlich dokumentiert<br />
Konzept existiert in beiden Ansätzen<br />
in gleicher Detaillierung<br />
Konzept findet in RA keine<br />
Berücksichtigung<br />
dient Einhaltung von<br />
<br />
<br />
Aktivität<br />
Konzept ist in RA ausführlicher<br />
dokumentiert<br />
Konzept findet in <strong>COBIT</strong> keine<br />
Berücksichtigung<br />
Abbildung 14: Vergleichende Gegenüberstellung primärer Konzepte in RA <strong>und</strong> <strong>COBIT</strong>: Revisions-<br />
Perspektive<br />
Aktivität: Eine Aktivität ist sowohl in der RA als auch <strong>COBIT</strong> Bestandteil eines Prozesses. In<br />
<strong>COBIT</strong> werden im Gegensatz <strong>zu</strong>r RA keine näheren Angaben <strong>zu</strong> den Merkmalen einer Aktivität<br />
gemacht.<br />
Zwischenfazit: Eine Aktivität weist in der RA eine spezifischere Semantik auf <strong>und</strong><br />
steht nicht im Widerspruch mit <strong>COBIT</strong>. Die Anschlussfähigkeit ist bedingt gegeben (Anschlussfähigkeit:<br />
o).<br />
Verantwortlichkeit: Das Konzept der Verantwortlichkeit nimmt in <strong>COBIT</strong> eine zentrale Rolle<br />
ein. Es wird zwischen vier Verantwortlichkeiten (<strong>zu</strong>ständig, verantwortlich, konsultiert, informiert)<br />
unterschieden, die für die Zuweisung von Rollen <strong>zu</strong> den einzelnen Aktivitäten verwendet<br />
werden. In der RA wird keine durchgängige Verwendung von Verantwortlichkeiten<br />
vorgenommen. Im Prozess der Nachfragebündelung (Abschnitt 5.4.2) werden zwar die vier<br />
Verantwortlichkeiten aus <strong>COBIT</strong> um zwei weitere Verantwortlichkeiten (Mitarbeit, Qualitätsprüfend)<br />
ergänzt <strong>und</strong> im Rahmen des Prozesses verwendet, jedoch gehört dieser Prozess<br />
nicht uneingeschränkt <strong>zu</strong>r RA <strong>und</strong> die verwendeten Verantwortlichkeiten entsprechend daher<br />
nicht notwendigerweise Festlegungen der RA. Vielmehr sind diese Festlegungen noch nicht<br />
getroffen worden. Aus diesen Gründen wird das Konzept Verantwortlichkeit in Abschnitt 4.1<br />
nicht als Konzept der RA aufgeführt.<br />
Zwischenfazit: Einerseits wird das Konzept Verantwortlichkeit in der RA differenzierter<br />
ausgestaltet, andererseits nicht durchgängig verwendet Das Verständnis <strong>und</strong> die Verwendung<br />
des Konzepts Verantwortlichkeit stimmt zwischen <strong>COBIT</strong> <strong>und</strong> RA gr<strong>und</strong>sätzlich<br />
überein. Sofern die Verantwortlichkeiten der RA auf die Verantwortlichkeiten in <strong>COBIT</strong><br />
abbildbar sind <strong>und</strong> bleiben, d.h. auf die vier dort definierten Verantwortlichkeiten eindeutig<br />
<strong>zu</strong>rückgeführt werden können <strong>und</strong> Verantwortlichkeiten durchgängig <strong>und</strong> konsistent in<br />
der RA verwendet werden, ist die Anschlussfähigkeit an <strong>COBIT</strong> <strong>zu</strong> erwarten (Anschlussfähigkeit:<br />
+).<br />
Rolle: In <strong>COBIT</strong> wird über die Zuordnung von Aktivitäten <strong>und</strong> Verantwortlichkeiten hinaus,<br />
keine differenzierte Betrachtung oder Verwendung des Konzepts Rolle vorgenommen. So<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
für<br />
Verantwortlichkeit<br />
hat<br />
Rolle
Abschlussbericht BA-Nr. 0369/10 - 43 -<br />
findet sich keine Beschreibung der Rollen in <strong>COBIT</strong>, die über eine Benennung <strong>und</strong> knappe<br />
Charakterisierung hinausgeht. In der RA werden die Rollen differenzierter beschrieben. Das<br />
Konzept Rolle ist sowohl in <strong>COBIT</strong> als auch der RA eng an das Konzept der Verantwortlichkeiten<br />
geb<strong>und</strong>en.<br />
Zwischenfazit: Das Konzept Rolle wird in der RA differenzierter betrachtet als in<br />
<strong>COBIT</strong>. Die gr<strong>und</strong>legende Übereinstimmung ist mit <strong>COBIT</strong> jedoch gegeben, sodass von<br />
einer bedingten Anschlussfähigkeit im Hinblick auf das Konzept Rolle ausgegangen werden<br />
kann (Anschlussfähigkeit: o). 18<br />
Control Objective, Audit, Risiko: Die weiteren Konzepte der Revisions-Perspektive<br />
(Control Objective, Audit, Risiko) werden in der RA <strong>zu</strong>m gegenwärtigen Zeitpunkt nicht betrachtet.<br />
Für die weitere Betrachtung ist gr<strong>und</strong>sätzlich <strong>zu</strong> klären, inwiefern insb. die Unterstüt<strong>zu</strong>ng<br />
von Audits für die RA relevant ist. Es sind jedoch keine gr<strong>und</strong>legenden<br />
Widersprüche <strong>zu</strong> erkennen, die einer Weiterentwicklung der RA um diese Konzepte entgegenstehen.<br />
Zwischenfazit: Da die Konzepte bisher in der RA nicht berücksichtigt werden <strong>und</strong> es<br />
keine Widersprüche mit existierenden Konzepten gibt, ist die Anschlussfähigkeit gegeben<br />
(Anschlussfähigkeit: ++). In Be<strong>zu</strong>g auf die Unterstüt<strong>zu</strong>ng für Audits ist die Notwendigkeit<br />
<strong>und</strong> Sinnhaftigkeit <strong>zu</strong> prüfen. Die Berücksichtigung von allgemeinen Control Objectives<br />
im Kontext von Prozessen <strong>und</strong> Anwendungen (Process Controls <strong>und</strong> Application Controls)<br />
stellt ggf. eine Bereicherung der RA dar. Da<strong>zu</strong> sind die in <strong>COBIT</strong> vorgeschlagenen<br />
Control Objectives hinsichtlich des spezifischen Kontextes der RA <strong>zu</strong> überprüfen. Die<br />
Aufnahme des Konzepts Risiko in die RA <strong>zu</strong>r Erfassung von Risiken, die mit dem IT-<br />
Einsatz verb<strong>und</strong>en sind, erscheint angebracht.<br />
Im nächsten Schritt werden die Konzepte der RA mit primären Konzepten der Management-<br />
Perspektive aus <strong>COBIT</strong> gegenübergestellt. Die grafische Darstellung findet sich in Abbildung<br />
15.<br />
Abbildung 15: Vergleichende Gegenüberstellung primärer Konzepte in RA <strong>und</strong> <strong>COBIT</strong>: Management-<br />
Perspektive<br />
18 BMI: Die am Anfang von Abschnitt 4.4 eingeführten Heuristiken können hier nicht angewendet werden.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 44 -<br />
Prozess <strong>und</strong> IT-Prozess: Sowohl in der RA als auch in <strong>COBIT</strong> werden Prozesse als Abfolge<br />
von Aktivitäten konzeptualisiert. Während in der RA primär Geschäftsprozesse <strong>und</strong> deren<br />
Anforderungen an eine IT-Unterstüt<strong>zu</strong>ng betrachtet werden, sind in <strong>COBIT</strong> vornehmlich IT-<br />
Prozesse, d.h. Prozesse der IT-Leistungserbringung sowie allgemeine IT-<br />
Managementprozesse (z. B. die strategische IT-Planung), Gegenstand der Betrachtung.<br />
<strong>COBIT</strong> verwendet das Konzept Prozess nur oberflächlich im Sinne einer Sammlung von<br />
Aktivitäten <strong>und</strong> <strong>zu</strong>geordneten Verantwortlichkeiten; Kontrollflüsse werden nicht betrachtet.<br />
Zwischenfazit: Die Unterschiede sind inhaltlicher Art <strong>und</strong> bergen keine konzeptuellen<br />
Differenzen: Ein (IT-)Prozess ist eine Abfolge von Aktivitäten. Zur Vermeidung von Irritationen<br />
empfiehlt sich für die RA die Unterscheidung zwischen Geschäftsprozessen, die<br />
durch IT unterstützt werden, <strong>und</strong> IT-Prozessen, die der Erbringung dieser Unterstüt<strong>zu</strong>ng<br />
dienen. Die Anschlussfähigkeit ist gegeben. (Anschlussfähigkeit: +).<br />
Dienst: Den Konzepten des Dienstes <strong>und</strong> der Diensterealisierung in der RA steht das Konzept<br />
des IT-Service in <strong>COBIT</strong> gegenüber. Dabei stellt ein IT-Service in <strong>COBIT</strong> die Unterstüt<strong>zu</strong>ng<br />
der Prozesse durch die IT dar, d.h. sie werden durch die IT (sowohl intern als auch<br />
extern) erbracht <strong>und</strong> in Geschäftsprozessen verwendet. Eine nähere Differenzierung bzw.<br />
Strukturierung nimmt <strong>COBIT</strong> nicht vor.<br />
Zwischenfazit: Das Konzept IT-Service ist in <strong>COBIT</strong> wesentlich weiter gefasst als das<br />
Zusammenspiel der Konzepte Dienst <strong>und</strong> Diensterealisierung in der RA. Diese Zweiteilung<br />
der RA findet sich in <strong>COBIT</strong> nicht wieder. Letztlich bleibt die Semantik des Konzepts<br />
in <strong>COBIT</strong> unklar. Die Betrachtung der Anschlussfähigkeit kommt daher <strong>zu</strong> einem ähnlichen<br />
Ergebnis wie bei der Gegenüberstellung von <strong>ITIL</strong> <strong>und</strong> der RA: Einerseits kann der<br />
IT-Service-Begriff in <strong>COBIT</strong> aufgr<strong>und</strong> seiner Unbestimmtheit auch die Konzeptualisierung<br />
des Dienste(realisierungs)-Begriffs der RA umfassen. Zugleich ist es allerdings möglich,<br />
dass in <strong>COBIT</strong> IT-Services definiert werden, die nicht der spezifischen Konzeptualisierung<br />
von Dienst bzw. Diensterealisierung in der RA entsprechen. Die Anschlussfähigkeit<br />
ist daher nur bedingt gegeben (Anschlussfähigkeit: o).<br />
IT-Komponente / IT-Ressource: In <strong>COBIT</strong> ist das Konzept IT-Ressource sehr weit gefasst.<br />
So werden IT-Ressourcen in Prozessen der IT-Organisation eingesetzt, um die Unternehmensziele<br />
<strong>zu</strong> erreichen. Dabei wird in <strong>COBIT</strong> zwischen Anwendungen, Informationen, Infrastruktur<br />
<strong>und</strong> Personal als Arten von IT-Ressourcen unterschieden. Demgegenüber findet<br />
sich in der RA das Konzept IT-Ressource nicht direkt wieder. Dort wird insb. die Erbringung<br />
der technischen Leistung stärker strukturiert (IT-Komponente, IT-Lösung, etc.). Im Gegensatz<br />
<strong>zu</strong> <strong>COBIT</strong> wird dabei jedoch der Einsatz von Personal <strong>und</strong> Information nicht explizit<br />
berücksichtigt. Die Unterscheidung in der RA zwischen Hardware <strong>und</strong> Software stimmt weitgehend<br />
mit den Konzepten Infrastruktur <strong>und</strong> Anwendung überein, wenn auch die letzten<br />
Begriffe in <strong>COBIT</strong> wesentlich grobgranularer als in der RA verwendet werden.<br />
Zwischenfazit: Das Konzept IT-Ressource aus <strong>COBIT</strong> kann, beschränkt auf Software<br />
<strong>und</strong> Hardware, als das Konzept IT-Komponente in der RA interpretiert werden. Somit<br />
stimmen die Konzepte zwar nicht direkt überein, lassen sich aber ineinander überführen:<br />
Die Gesamtheit der IT-Lösungen <strong>und</strong> IT-Komponenten lassen sich als IT-Ressourcen<br />
auffassen. Für eine weitergehende Anschlussfähigkeit sollte der Einsatz von Personal<br />
<strong>und</strong> von Informationen als Teil der IT-Lösungen <strong>und</strong> –Komponenten dediziert durch entsprechende<br />
Konzepte in der RA berücksichtigt werden (Anschlussfähigkeit: o).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 45 -<br />
Ziel: Das Konzept Ziel wird in der RA – insb. im Zusammenhang mit der Methode <strong>zu</strong>r Zielmodellierung<br />
– sehr differenziert verwendet. Ziele werde dabei nach ihrer Priorität unterschieden.<br />
Maßnahmen (im Sinne von strategischen IT-Projekten) werden Zielen <strong>zu</strong>geordnet<br />
<strong>und</strong> dienen deren Erreichung. Dies soll durch Kennzahlen gemessen werden. Zwischen den<br />
Zielen werden sowohl unterstützende wie auch behindernde Zielbeziehungen unterschieden.<br />
Ebenfalls werden schwache <strong>und</strong> starke Zielbeziehungen in der RA differenziert. In <strong>COBIT</strong><br />
wird das Konzept Ziel weniger differenziert verwendet. Ziele werden in <strong>COBIT</strong> in einer Hierarchie<br />
angeordnet, in der die Ziele einer untergeordneten Kategorie durch die übergeordneten<br />
Ziele bestimmt werden (Unternehmensziele bestimmen IT-Ziele, diese bestimmen<br />
Prozessziele, welche wiederum Aktivitätsziele bestimmen). 19 Die so abgeleiteten Ziele werden<br />
in Be<strong>zu</strong>g <strong>zu</strong> den <strong>COBIT</strong>-Prozessen gesetzt. Neben dieser Hierarchie werden in <strong>COBIT</strong><br />
keine weiteren Beziehungen zwischen Zielen berücksichtigt.<br />
Zwischenfazit: Gr<strong>und</strong>sätzliche Widersprüche sind zwischen der RA <strong>und</strong> <strong>COBIT</strong> im<br />
Hinblick auf das Konzept Ziel nicht <strong>zu</strong> erkennen. Die unterschiedlichen Strukturierungen<br />
stehen orthogonal <strong>zu</strong>einander. So wäre bspw. <strong>zu</strong> evaluieren, ob die Zuordnung von Prozessen<br />
(im Sinne einer stärkeren Operationalisierung) <strong>zu</strong> Zielen, die sie beeinflussen, in<br />
die RA aufgenommen werden sollte. Dies mag <strong>zu</strong> mehr Transparenz über Ziele <strong>und</strong> Ziel<strong>zu</strong>sammenhänge<br />
<strong>und</strong> die Bedeutung der Prozesse beitragen (siehe auch Abschnitt 3.4).<br />
Die Anschlussfähigkeit im Hinblick auf das Konzept Ziel ist <strong>zu</strong> erwarten (Anschlussfähigkeit:<br />
+).<br />
Kennzahl: Kennzahlen werden in der RA weniger differenziert als in <strong>COBIT</strong> konzeptualisiert.<br />
So dienen Kennzahlen in der RA zwar ebenfalls der Messung der Zielerreichung, werden<br />
aber nicht näher spezifiziert. Es finden sich in der RA nur wenige Vorschläge für Kennzahlen.<br />
20 In <strong>COBIT</strong> wird hingegen zwischen „lead indicators“ (bezogen auf aktuelle Performanz)<br />
<strong>und</strong> „lag indicators“ (bezogen auf Ergebnis, nachgelagert) unterschieden <strong>und</strong> es werden für<br />
jeden IT-Prozess <strong>und</strong> den <strong>zu</strong>geordneten Ziele eine Reihe von Kennzahlen vorgeschlagen.<br />
Darüber hinaus sieht <strong>COBIT</strong> die Angabe der Einheit, der Frequenz der Erhebung, des Zielwertes,<br />
der Erhebungsmethode <strong>und</strong> der Art der Interpretation vor. Diese Details werden<br />
jedoch für die Kennzahlen in <strong>COBIT</strong> nicht vollständig angegeben. Zusammenhänge zwischen<br />
Kennzahlen werden in <strong>COBIT</strong> indirekt über die Zuordnung <strong>zu</strong>r Zielhierarchie abgebildet.<br />
Zwischenfazit: Die Konzeptualisierung von Kennzahlen geht in <strong>COBIT</strong> weit über die<br />
der RA hinaus. Widersprüche deuten sich nicht an. Die von <strong>COBIT</strong> vorgeschlagenen Attribute<br />
können als Input für eine Weiterentwicklung des Konzepts Kennzahl dienen. Die<br />
Anschlussfähigkeit ist <strong>zu</strong> erwarten (Anschlussfähigkeit: ++).<br />
Reifegrad: Das Konzept Reifegrad findet <strong>zu</strong>rzeit in der RA keine Berücksichtigung. In<br />
<strong>COBIT</strong> dienen Reifegradmodelle der Bewertung der 34 IT-Prozesse. Dies dient der Einschät<strong>zu</strong>ng<br />
des Implementierungsstands <strong>und</strong> der Identifizierung von Verbesserungspotenzialen.<br />
Zwischenfazit: Reifegrade werden in der RA derzeit nicht betrachtet. Für die Ergän<strong>zu</strong>ng<br />
der RA um Reifegradmodelle können die in <strong>COBIT</strong> vorgeschlagenen Reifegradmo-<br />
19 BMI: Die Frage, inwieweit das Erreichen der untergeordneten Ziele <strong>zu</strong>m Erreichen der übergeordneten Ziele<br />
beiträgt wird in <strong>COBIT</strong> nicht explizit thematisiert. Es ist aber <strong>zu</strong> vermuten, dass implizit davon ausgegangen wird,<br />
dass die Erreichung der Unterziele ein Mittel <strong>zu</strong>r Erreichung der Oberziele darstellt.<br />
20 Die Kennzahlen der RA befinden sich <strong>zu</strong>m Zeitpunkt der Erstellung des Dokuments in der Entwicklung <strong>und</strong><br />
wurden an dieser Stelle hier nicht mit berücksichtigt.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 46 -<br />
delle als Gr<strong>und</strong>lage dienen. Die Anschlussfähigkeit an <strong>COBIT</strong> ist gegeben (Anschlussfähigkeit:<br />
++).<br />
Domäne: Die RA unterscheidet <strong>zu</strong>rzeit keine Phasen bzw. Domänen. In <strong>COBIT</strong> sind diese<br />
Domänen an generische Lebenszyklusphasen angelehnt <strong>und</strong> strukturieren die IT-Prozesse<br />
<strong>und</strong> damit auch die Control Objectives in <strong>COBIT</strong>. Dabei wird der Lebenszyklus von IT-<br />
Investitionen betrachtet.<br />
Zwischenfazit: Die Aufnahme von Domänen bzw. Phasen in die RA sollte prinzipiell<br />
möglich sein <strong>und</strong> die Anschlussfähigkeit ist <strong>zu</strong> erwarten (Anschlussfähigkeit: ++). Es ist<br />
dabei jedoch <strong>zu</strong> bestimmen, wovon der Lebenszyklus betrachtet wird <strong>und</strong> wie dieser <strong>zu</strong><br />
anderen Lebenszyklen in Be<strong>zu</strong>g steht (bspw. von IT-Ressourcen, IT-Services, Projekten<br />
etc.). Die Strukturierung der Inhalte der RA (Prozesse <strong>und</strong> Methoden, Artefakte, etc.) entlang<br />
eines generischen Lebenszyklus mag <strong>zu</strong> einem besseren Verständnis <strong>und</strong> <strong>zu</strong> einer<br />
klareren Struktur beitragen. Dabei ist jedoch <strong>zu</strong> beachten, dass sich die Prozesse der RA<br />
sich nicht immer nur auf eine einzelne Phase beziehen.<br />
4.5 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen<br />
Hinsichtlich der Konzepte der RA <strong>und</strong> der Konzepte in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> sind keine eklatanten<br />
Widersprüche aufgefallen, was für die gr<strong>und</strong>sätzliche Anschlussfähigkeit der RA auf konzeptueller<br />
Ebene an <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> spricht. Die Rekonstruktion der Semantik zentraler Konzepte<br />
ist allerdings in allen drei untersuchten Ansätzen mit erheblichen Herausforderungen<br />
verb<strong>und</strong>en: Semantik <strong>und</strong> Begriffsverständnis weisen für die untersuchten Konzepte erhebliche<br />
Interpretationsspielräume auf, die auf Vagheiten, Unterspezifiziertheit <strong>und</strong> Unbestimmtheit<br />
<strong>zu</strong>rück<strong>zu</strong>führen ist. Für die Weiterentwicklung der RA mit Blick auf einen Anschluss an<br />
<strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> ist jeweils <strong>zu</strong> entscheiden, wie mit der Unterspezifiziertheit von Konzepten in<br />
<strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> um<strong>zu</strong>gehen ist. Ergänzend <strong>zu</strong> den bereits <strong>zu</strong>vor unter „Zwischenfazit“ eingeführten<br />
Überlegungen sind aus Sicht der Gutachter bei der konzeptuellen Integration der RA<br />
mit ITL <strong>und</strong> <strong>COBIT</strong> die folgenden drei Aspekte besonders <strong>zu</strong> berücksichtigen:<br />
1) Potenziale eines gemeinsamen begrifflichen Referenzsystems ausbauen <strong>und</strong> ausschöpfen;<br />
2) Zentrales Konzept „Dienst“ weiterentwickeln;<br />
3) Weitere Konzepte gezielt in die RA aufnehmen<br />
Diese Aspekte werden im Folgenden detaillierter beschrieben.<br />
H-5 Handlungsempfehlung: Potenziale eines gemeinsamen begrifflichen (semantischen)<br />
Referenzsystems ausbauen <strong>und</strong> ausschöpfen<br />
Mit der Entwicklung <strong>und</strong> Pflege eines Glossars für zentrale Begriffe im Kontext der RA ist<br />
bereits ein erster wichtiger Schritt <strong>zu</strong>r Schaffung einer gemeinsamen Sprachbasis unternommen<br />
worden. Das Glossar sollte insbesondere ausgebaut werden, um Begriffe, die<br />
bewusst von denen in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> abweichen (z. B. differenzierter sind), <strong>zu</strong> erläutern;<br />
dabei empfiehlt sich, die Begriffe mit den Begründungen für die Abweichungen an<strong>zu</strong>reichern.<br />
Dadurch wird eine differenzierte begriffliche Anschlussfähigkeit hergestellt.<br />
Die vorliegenden Analyseergebnisse bieten für die Ergän<strong>zu</strong>ng des RA Glossars eine gehaltvolle<br />
Gr<strong>und</strong>lage, die allerdings verfeinert <strong>und</strong> ausgebaut werden müsste. Die Semantik der<br />
Konzepte der RA ist derzeit natürlich-sprachlich beschrieben. Im Metamodell findet sich nur<br />
vereinzelt formale Semantik einzelner Konzepte (Attribute, Datentypen). Das Metamodell<br />
beschreibt vorrangig Beziehungstypen zwischen Sprachkonzepten. Die daher auftretenden<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 47 -<br />
Interpretationsspielräume könnten <strong>zu</strong>sätzlich <strong>zu</strong> Glossaren durch eine Anreicherung des<br />
Metamodells der RA um eine formale Semantik der Konzepte deutlich präzisiert werden.<br />
Gleichzeitig sollte eine Unterstüt<strong>zu</strong>ng durch ein Modellierungswerkzeug vorbereitet werden:<br />
Ein Werkzeug ist einerseits die Vorausset<strong>zu</strong>ng für die komfortable <strong>und</strong> konsistente Erstellung<br />
<strong>und</strong> Pflege von Modellen, andererseits ermöglicht es rechnergestützte Analysen <strong>und</strong> Transformationen.<br />
Insgesamt bietet sich aus Sicht der Gutachter ein metamodellbasierter Modellierungsansatz<br />
besonders an, um künftig auch weiterführende Konzepte etwa <strong>zu</strong> Strategien<br />
<strong>und</strong> IT-Landschaften <strong>zu</strong> berücksichtigten (siehe Handlungsoptionen in Kapitel 7).<br />
H-6 Handlungsempfehlung: Zentrales Konzept „Dienst“ weiterentwickeln<br />
Das zentrale Konzept Dienst ist in der Konzeptualisierung der RA deutlicher differenzierter<br />
<strong>und</strong> präziser formuliert als das Konzept Service in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong>. Insbesondere die Differenzierung<br />
in Dienst <strong>und</strong> Dienstrealisierung findet sich in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> nicht; sie erscheint<br />
jedoch für die Zwecke der RA von erheblicher Bedeutung <strong>zu</strong> sein <strong>und</strong> bietet Potenziale,<br />
gegenüber <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> einen deutlichen differenzierteren Zugang <strong>zu</strong> erreichen.<br />
Allerdings weist die gegenwärtige Konzeptualisierung der RA auch Schwächen auf, die an<br />
einigen Fragen aufgezeigt werden sollen: Wieso sind Dienste <strong>und</strong> nicht Diensteklassen im<br />
Dienstekatalog verzeichnet? Aus welchem Gr<strong>und</strong> wird nicht explizit zwischen Diensttyp <strong>und</strong><br />
Dienstinstanz differenziert? Werden Dienstinstanzen oder Diensttypen betrachtet? Sind<br />
Dienste, die von IT-Experten erbracht werden, nicht Gegenstand der Betrachtung, da sie per<br />
definitionem keine „fachlichen“ Dienste darstellen? <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> liefert für die Beantwortung<br />
dieser Fragen jedoch keine Hilfestellung.<br />
H-7 Handlungsempfehlung: Weitere Konzepte gezielt in die RA aufnehmen<br />
Die Weiterentwicklung der RA kann sich einer Reihe von Konzepten aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
<strong>zu</strong>mindest im Sinne von Anregungen bedienen, um offensichtliche Lücken mit Blick auf das<br />
gegenwärtige Zielsystem (z. B. die fehlende (vertragliche) Vereinbarung als Gr<strong>und</strong>lage <strong>zu</strong>r<br />
Förderung einer hohen Dienstleistungsqualität) <strong>zu</strong> füllen. Die Konzeptualisierungen in <strong>ITIL</strong><br />
<strong>und</strong> <strong>COBIT</strong> sollten dabei nicht unreflektiert übernommen werden; sie bieten sich jedoch als<br />
Gr<strong>und</strong>lage für eine weiter gehende Verfeinerung an. In <strong>ITIL</strong> scheinen insbesondere die Konzepte<br />
um den Servicekatalog <strong>und</strong> die vertragliche Vereinbarung für eine nähere Prüfung<br />
vielversprechend. In <strong>COBIT</strong> bezieht sich diese Empfehlung auf die Konzepte Control<br />
Objectives, Audit, Risiko, Personal, Verantwortlichkeit, Reifegrad <strong>und</strong> Domäne (vgl. Abschnitte<br />
4.4.1 <strong>und</strong> 4.4.2).<br />
Fazit<br />
Wenig Erfolg versprechend erscheint es aus Sicht der Gutachter, bereits vorliegende, i.d.R.<br />
differenziertere Konzepte <strong>zu</strong>gunsten eines vordergründigen Anschlusses an <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
auf<strong>zu</strong>geben. Allerdings bietet es sich an, bei der Ergän<strong>zu</strong>ng neuer Konzepte <strong>zu</strong>r RA auf die<br />
Anregungen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> <strong>zu</strong>rück<strong>zu</strong>greifen <strong>und</strong> diese für die jeweilige Zweckset<strong>zu</strong>ng<br />
gezielt <strong>zu</strong> verfeinern <strong>und</strong> <strong>zu</strong> präzisieren.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 48 -<br />
5 Unter<strong>suchung</strong>sbereich Prozesse<br />
Nach der Analyse statischer Abstraktionen, Ziele <strong>und</strong> Konzepte, richtet sich der Fokus dieses<br />
Abschnitts auf die Analyse der begleitenden Prozesse. Dieser Abschnitt untersucht die<br />
prozedurale Kompatibilität der RA mit Prozessen in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong>. Da<strong>zu</strong> werden die in<br />
<strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong> der RA definierten bzw. vorgeschlagenen Prozesse jeweils kurz vorgestellt<br />
<strong>und</strong> anschließend für die Identifikation von inhaltlichen Überschneidungen, Widersprüchen<br />
<strong>und</strong> Integrationsmöglichkeiten gegenübergestellt.<br />
5.1 Prozesse der RA<br />
Anhand den <strong>zu</strong>r Durchführung der Studie vorliegenden Dokumenten (siehe Anhang A) lassen<br />
sich folgende Prozesse <strong>und</strong> Vorgehensmodelle von Methoden (durch [M] gekennzeichnet)<br />
identifizieren:<br />
1. Ableitung von Diensten aus Geschäftsprozessen [M]<br />
2. Anpassung von Dienstemodell <strong>und</strong> Dienstekatalog (nur benannt)<br />
3. Erstellung der Spezifikationen (nur benannt)<br />
4. Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage („Nachfragebündelung“)<br />
5. Architekturmanagement (nur benannt)<br />
6. Fortentwicklung strategischer Vorgaben (nur benannt)<br />
7. Service Level Management<br />
8. Servicedesk (Störungsmanagement <strong>und</strong> Bearbeitung von Service-Wünschen)<br />
9. Prozesse der IT-Steuerung B<strong>und</strong><br />
10. Zielmodellierung [M]<br />
Prozesse, welche als Vorgehensmodelle Bestandteile von Methoden sind, werden in der<br />
Prozessliste mit einem [M] gekennzeichnet. Da<strong>zu</strong> zählen beispielsweise die beschriebenen<br />
Vorgehen in der Methode Ableitung von Diensten aus Geschäftsprozessen.<br />
Tiefe <strong>und</strong> Umfang der Prozessbeschreibungen weisen ein großes Spektrum auf: während<br />
die Prozesse 1, 4 <strong>und</strong> 10 jeweils durch eigenständige Dokumente ([Methode], [Nachfragebündelung]<br />
<strong>und</strong> [Zielmodellierung]) ausführlich beschrieben werden, liegen <strong>zu</strong> den übrigen<br />
Prozessen nur sehr wenige Informationen vor. Die Prozesse 2 <strong>und</strong> 3 werden in der Dokumentation<br />
<strong>zu</strong> Prozess 1 als anschließende Prozesse ([Methode] S. 29) nur erwähnt <strong>und</strong><br />
knapp charakterisiert. Die Prozesse 5 <strong>und</strong> 6 hingegen werden nur in den Ausführungen <strong>zu</strong><br />
Prozess 4 bei der Beschreibung von Schnittstellen genannt. Die Zusammenhänge der Prozesse<br />
1, 2, <strong>und</strong> 3 bzw. 4, 5, 6 werden durch die Einrückung der entsprechenden Prozesse in<br />
der obigen Auflistung angedeutet.<br />
Die Prozesse 7 <strong>und</strong> 8 fallen in den Verantwortungsbereich der DLZ-IT des B<strong>und</strong>es <strong>und</strong> sind<br />
eng an <strong>ITIL</strong>-Prozesse angelehnt. Die Prozesse werden in [Anlage1a] näher ausgeführt.<br />
Aufgr<strong>und</strong> der Zuordnung <strong>zu</strong> den DLZ-IT des B<strong>und</strong>es <strong>und</strong> der offensichtlichen Nähe <strong>zu</strong> <strong>ITIL</strong><br />
werden sie an dieser Stelle nach Absprache mit dem Bedarfsträger nicht näher untersucht.<br />
Zu den Prozessen unter Punkt 9 finden sich keine Angaben <strong>zu</strong> deren genauen Zweck, den<br />
beteiligten Akteuren oder den einzelnen Aktivitäten. Exemplarisch sind die Prozesse Fortschreibung<br />
Soll-Bebauungsplanung, Erstellung Transformationsplan, Fortschreibung Dienstekatalog<br />
<strong>und</strong> Fortschreibung Rahmenarchitektur <strong>zu</strong> nennen ([DLZ-IT_Anlage], S. 9). Über<br />
die Nennung hinaus liegen keine näheren Informationen vor, sodass die genannten Prozes-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 49 -<br />
se für die Gegenüberstellung mit Prozessen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> nicht weiter berücksichtigt<br />
werden können.<br />
Neben diesen Prozessen der RA existiert eine ergänzende Methode (Prozess 10, [Zielmodellierung]),<br />
in der ein Vorgehen in Form eines Prozesses <strong>zu</strong>r Modellierung von Zielen im<br />
Kontext der Rahmenarchitektur beschrieben wird. Dies geschieht ohne die Angabe eines<br />
konkreten Kontrollflusses. Im Unterschied <strong>zu</strong> den übrigen Prozessen hat die Methode <strong>zu</strong>r<br />
Zielmodellierung daher eher den Charakter eines Hilfsmittels bzw. eines Instruments <strong>und</strong><br />
wird ebenfalls in Absprache mit dem Bedarfsträger nicht näher untersucht.<br />
Für die weitere Unter<strong>suchung</strong> werden <strong>zu</strong>nächst die Prozesse 1 <strong>und</strong> 4 näher betrachtet. Da<strong>zu</strong><br />
werden die Prozesse in stark verkürzter Form <strong>zu</strong>sammengefasst, die beteiligten Akteure<br />
benannt sowie Input <strong>und</strong> Output identifiziert. Ergänzend da<strong>zu</strong> werden zentrale Be<strong>zu</strong>gsobjekte<br />
21 (bspw. Instrumente, Dokumente) <strong>und</strong> dem Prozess <strong>zu</strong>ordenbare Ziele identifiziert. Die<br />
Zuordnung von Zielen <strong>und</strong> Be<strong>zu</strong>gsobjekten <strong>zu</strong> den Prozessen beruht dabei auf Interpretation,<br />
da da<strong>zu</strong> keine konkreten Angaben in der RA vorliegen.<br />
5.1.1 Ableitung von Diensten aus Geschäftsprozessen<br />
Dieser Prozess ist Bestandteil einer Methode, die da<strong>zu</strong> dient, aus gegebenen Geschäftsprozessen<br />
systematisch benötigte Dienste ab<strong>zu</strong>leiten <strong>und</strong> mit dem sog. Dienstmodell <strong>und</strong> dem<br />
Dienstkatalog ab<strong>zu</strong>gleichen. Da<strong>zu</strong> wird in der Methodenbeschreibung eine Einordnung in<br />
das V-Modell XT vorgenommen, zwei beteiligte Rollen (Geschäfts- <strong>und</strong> Lösungsarchitekt)<br />
vorgestellt <strong>und</strong> der eigentliche Prozess sowie seine einzelnen Aktivitäten detailliert beschrieben.<br />
Die Ergebnisse der Ableitung von Diensten aus Geschäftsprozessen – sog. Dienstesteckbriefe<br />
– dienen als Input für die Folgeprozesse „Anpassungen von Dienstemodell <strong>und</strong><br />
Dienstekatalog“ <strong>und</strong> „Erstellung der Spezifikationen“. Diese Prozesse sind gegenwärtig noch<br />
nicht näher spezifiziert.<br />
Die Methode <strong>zu</strong>r Ableitung von Diensten aus Geschäftsprozessen zielt in der Anwendung<br />
darauf ab, möglichst alle fachlichen Anforderungen, die sich aus Geschäftsprozessen ergeben,<br />
in Diensten <strong>zu</strong> bündeln <strong>und</strong> eine entsprechende Sammlung von Dienstebeschreibungen<br />
– den Dienstekatalog – auf<strong>zu</strong>bauen. Dieser Dienstekatalog soll da<strong>zu</strong> dienen, systematisch<br />
Lücken in Form noch fehlender Dienste <strong>und</strong> Funktionalitäten <strong>zu</strong> entdecken <strong>und</strong> bereits existierende<br />
Dienste, bzw. Bestandteile davon, systematisch wieder<strong>zu</strong>verwenden <strong>und</strong> weiter<strong>zu</strong>entwickeln.<br />
Mit der Fokussierung auf Dienste adressiert der Prozess primär das<br />
Dienstemodell <strong>und</strong> ist somit zwischen Geschäfts- <strong>und</strong> IT-Seite bzw. geschäftlichen Modell<br />
<strong>und</strong> dem Dienstemodell ein<strong>zu</strong>ordnen. Es sind weder Details der konkreten Erbringung der<br />
Dienste noch bezüglich deren Verwendung in den <strong>zu</strong>gehörigen Geschäftsprozessen Gegenstand<br />
der Methode. Der Prozess ist in vereinfachter Form in Tabelle 2 <strong>zu</strong>sammengefasst. 22<br />
Prozess (1) Ableitung von Diensten aus Geschäftsprozessen<br />
(„Diensteableitung“)<br />
Subprozesse/Aktivitäten 1. Identifizieren <strong>und</strong> Bündeln von Funktionalitäten<br />
2. Ergänzen von impliziten Funktionalitäten<br />
3. Gruppieren der Funktionalitäten nach Diensten<br />
4. Abgleich mit dem Dienstekatalog<br />
5. Abgleich mit dem Geschäftlichen Modell<br />
6. Einordnung neuer Funktionalitäten <strong>und</strong> Dienste<br />
Akteure • Lösungsarchitekt,<br />
• Geschäftsarchitekt<br />
21 Zum Begriff des Be<strong>zu</strong>gsobjekts vgl. Abschnitt 4.3.<br />
22 Die nähere Betrachtung der Akteure (Rollen <strong>und</strong> Gremien) erfolgt in Abschnitt 6.1.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 50 -<br />
Prozess (1) Ableitung von Diensten aus Geschäftsprozessen<br />
(„Diensteableitung“)<br />
Input • Geschäftsprozessmodelle,<br />
• Geschäftliches Modell,<br />
• Dienstekatalog<br />
• Dienstemodell<br />
Output • Überarbeiteter Dienstekatalog (ggf. mit <strong>zu</strong>sätzlichen Diensten),<br />
Gr<strong>und</strong>lage für technische Umset<strong>zu</strong>ng<br />
• Erste Lösungsskizzen für Umset<strong>zu</strong>ng<br />
• Vollständige Funktionalitätenliste<br />
• Dienstesteckbriefe<br />
Be<strong>zu</strong>gsobjekte • Dienstesteckbrief<br />
• Dienstekatalog<br />
• Dienstemodell<br />
• Funktionalitätenliste<br />
Zugeordnete Ziele • Wiederverwendung von Diensten<br />
• Systematisches Ableiten von Anforderungen an IT aus Verwaltungsbedarfen<br />
• Kopplung IT-Geschäft<br />
Tabelle 2: Prozess – Ableitung von Diensten aus Geschäftsprozessen<br />
Dem Vorgehen <strong>zu</strong>r Ableitung von Diensten sind die Prozesse Anpassen von Dienstemodell<br />
<strong>und</strong> Dienstekatalog <strong>und</strong> Erstellen der Spezifikation nachgelagert. Ersterer zielt darauf ab,<br />
aufgr<strong>und</strong> von Erweiterung <strong>und</strong> Änderungen der Funktionalitäten das Dienstemodell an<strong>zu</strong>passen<br />
oder um neue Dienste <strong>zu</strong> ergänzen. Dies bedarf der Analyse von Auswirkungen auf<br />
existierende Inhalte des Dienstemodells <strong>und</strong> des Dienstekatalogs. Letzterer bezieht sich auf<br />
die Spezifikation der fachlichen <strong>und</strong> technischen Konzepte basierend auf den Dienstesteckbriefen<br />
durch die Architekten. Weitere Angaben über In- <strong>und</strong> Output, beteiligte Akteure<br />
oder einzelnen Aktivitäten liegen nicht vor.<br />
5.1.2 Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage<br />
Dieser Prozess zielt auf die Bündelung der Nachfrage nach ressortübergreifenden IT-<br />
Produkten 23 <strong>und</strong> die Herbeiführung entsprechender Angebote durch die DLZ-IT des B<strong>und</strong>es.<br />
Da<strong>zu</strong> dient die strukturierte jährliche Erarbeitung eines IT-Bedarfskatalogs <strong>und</strong> eines IT-<br />
Programmplans aus Sicht der Nachfrager (d.h. den einzelnen Ressorts). Diese Dokumente<br />
dienen auch als Teilmenge des IT-Rahmenkonzepts des B<strong>und</strong>es, das die Gr<strong>und</strong>lage für die<br />
Aktualisierung des Produktkatalogs der DLZ-IT des B<strong>und</strong>es bildet.<br />
Der Prozess der Bündelung der IT-Nachfrage ist außerdem die Arbeitsgr<strong>und</strong>lage für den<br />
Nachfragerbeirat. Der Nachfragerbeirat koordiniert mit diesem Prozess federführend die<br />
Abstimmung von IT-Angebot <strong>und</strong> IT-Nachfrage. Eine komprimierte Übersicht über den Prozess<br />
bietet Tabelle 3.<br />
Prozess (4) Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage<br />
(„Nachfragebündelung“)<br />
Subprozesse/Aktivitäten 1. Bedarfserhebung<br />
2. Umset<strong>zu</strong>ngsvorhaben<br />
3. Finalisierung Umset<strong>zu</strong>ngsplanung<br />
4. Ableitung Ergebnisdokumente<br />
23 Die abweichende Terminologie dieses Prozesses lässt sich (vermutlich) auf die abweichenden Hintergründe<br />
der für diesen Prozess <strong>zu</strong>ständigen Projektgruppe <strong>zu</strong>rückführen. Ein IT-Produkt kann hier als ein Element einer<br />
IT-Lösung verstanden werden, bspw. eine Office-Anwendung. Die Betrachtung erfolgt dabei bei einem IT-Produkt<br />
aus K<strong>und</strong>ensicht. Die abschließende Begriffsklärung obliegt dem Bedarfsträger.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 51 -<br />
Prozess (4) Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage<br />
(„Nachfragebündelung“)<br />
Akteure • Rat der IT-Beauftragten<br />
• Nachfragebeirat (federführend)<br />
• K<strong>und</strong>enmanager DLZ-IT des B<strong>und</strong>es<br />
• IT-Beauftragter eines Ressorts<br />
• Nachfragekoordinator der Ressorts<br />
• Team Architekturmanagement<br />
• Team IT-Rahmenkonzept<br />
Input • Strategische Vorgaben<br />
• IT-Programmplan /Maßnahmenliste<br />
• IT-Rahmenkonzept des B<strong>und</strong>es<br />
• Produktkatalog der DLZ-IT des B<strong>und</strong>es<br />
Output • IT-Bedarfskatalog (Zwischenergebnis)<br />
• Aktualisierter IT-Programmplan / Maßnahmenliste (Beitrag <strong>zu</strong>m IT-<br />
Rahmenkonzept des B<strong>und</strong>es)<br />
• Aktualisierter Produktkatalog der DLZ-IT des B<strong>und</strong>es<br />
Be<strong>zu</strong>gsobjekte • IT-Maßnahmenliste<br />
• Ressortübergreifender IT-Bedarfskatalog<br />
• Vorhabenliste<br />
• IT-Rahmenkonzept des B<strong>und</strong>es<br />
• Produktkatalog der DLZ-IT des B<strong>und</strong>es,<br />
• Soll-Bebauungsplan<br />
Zugeordnete Ziele • Fachliche Integration<br />
Tabelle 3: Prozess – Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage<br />
Der Prozess <strong>zu</strong>m Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage steht mit weiteren<br />
Prozessen in Beziehung. In der Dokumentation wird auf das Architekturmanagement (insb.<br />
Vorgaben <strong>und</strong> Input für Weiterentwicklung <strong>und</strong> Anpassung der Soll-Bebauungsplanung) <strong>und</strong><br />
die Fortentwicklung der IT-Strategie (Input für Fortentwicklung der IT-Strategie) verwiesen<br />
([Nachfragebündelung], S. 20). Abgesehen von kurzen Einordnungen dieser Prozesse liegen<br />
da<strong>zu</strong> keine weiteren Angaben vor.<br />
5.2 Prozesse <strong>und</strong> Vorgehensweisen der <strong>ITIL</strong><br />
Die <strong>ITIL</strong> betrachtet das Management von IT-Dienstleistungen entlang eines Lebenszyklus –<br />
von Entwurf über Umset<strong>zu</strong>ng <strong>und</strong> Betrieb bis <strong>zu</strong>r Einstellung. Da<strong>zu</strong> wird ein Lebenszyklusmodell<br />
verwendet, das sich in folgende Phasen unterteilt (Die Dokumentation <strong>zu</strong> <strong>ITIL</strong> gliedert<br />
sich entsprechend nach diesen 5 Phasen):<br />
• Service Strategy (dt. Servicestrategie)<br />
• Service Design (dt. Serviceentwurf)<br />
• Service Transition (dt. Serviceüberführung)<br />
• Service Operation (dt. Servicebetrieb)<br />
• Continual Service Improvement (dt. Kontinuierliche Serviceverbesserung)<br />
Für jede Phase wird in der Regel eine Reihe von Prozessen vorgeschlagen, die durch Angabe<br />
von Aktivitäten, Rollen <strong>und</strong> möglichen Instrumenten verfeinert werden. Betrachtet werden<br />
alle der 26 <strong>ITIL</strong>-Prozesse. Die Zuordnung der in den jeweiligen Dokumenten beschriebenen<br />
Prozesse <strong>zu</strong> den einzelnen Phasen ist in Abbildung 16 dargestellt. Dabei ist <strong>zu</strong> beachten,<br />
dass der Kern des Lebenszyklus aus den Phasen Service Design, Service Transition <strong>und</strong><br />
Service Operation besteht. Service Strategy liefert Richtlinien <strong>und</strong> Ziele <strong>und</strong> wirkt dadurch<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 52 -<br />
auf alle nachfolgenden Phasen; dedizierte Prozesse lassen sich hier nur vergleichsweise<br />
wenige finden. Das Continual Service Improvement umfasst die kontinuierliche Verbesserung<br />
<strong>und</strong> begleitend damit ebenfalls alle anderen Phasen; Prozesse werden in diesem Dokument<br />
nicht vorgeschlagen.<br />
Abbildung 16 stellt eine Vereinfachung dar: die Prozesse in <strong>ITIL</strong> beziehen sich nicht durchgängig<br />
auf jeweils nur eine Lebenszyklusphase. Vielmehr werden teilweise Prozesse vorgeschlagen,<br />
die sich über mehrere Phasen bzw. über den gesamten Lebenszyklus erstrecken,<br />
wie bspw. das Financial <strong>und</strong> das Demand Management. Das Financial <strong>und</strong> Demand Management<br />
werden zwar in [Service Strategy] beschrieben, beziehen sich jedoch auf den gesamten<br />
Lebenszyklus. Eine Darstellung, die diesem Sachverhalt Rechnung trägt, findet sich<br />
in Anhang D. Eine ausführlichere Übersicht über die zentralen Prozesse von <strong>ITIL</strong> liefert<br />
Anhang C.<br />
Service Strategy Service Design Service Transition Service Operation<br />
Demand Management<br />
Service Portfolio Management<br />
Financial Management<br />
Service Catalogue Management<br />
Service Level Management<br />
Capacity Management<br />
Availability Management<br />
IT Service Continuity Management<br />
Information Security Management<br />
Supplier Management<br />
Information Security Management<br />
Supplier Management<br />
Abbildung 16: Übersicht über die <strong>ITIL</strong>-Prozesse<br />
Der Detailgrad der Beschreibungen der <strong>ITIL</strong> Prozesse unterscheidet sich teilweise stark.<br />
Während die Prozesse etwa im Bereich der Service Operations (z. B. das Problem Management)<br />
sehr konkret <strong>und</strong> unter Angabe von Kontrollflüssen beschrieben werden (z. B.<br />
[Service Operation], S. 69), sind Angaben im Bereich der Service Strategy deutlich weniger<br />
konkret. Anstelle von Kontrollflussbeschreibungen der Prozesse treten Beschreibungen von<br />
allgemeinen Handlungsempfehlungen, bspw. für die Ausgestaltung des Service Portfolio<br />
Managements ([Service Strategy], S. 141).<br />
5.3 Prozesse <strong>und</strong> Vorgehensweisen der <strong>COBIT</strong><br />
In <strong>COBIT</strong> werden 34 Prozesse unterschieden, die ebenfalls anhand eines einfachen Lebenszyklusmodells<br />
strukturiert werden. Dabei verwendet <strong>COBIT</strong> vier Lebenszyklusphasen<br />
bzw. in der <strong>COBIT</strong>-Terminologie: vier sog. „Domains“. Folgende Domains werden dabei<br />
unterschieden:<br />
1. Plan and Organise (PO): 10 Prozesse<br />
2. Acquire and Implement (AI): 7 Prozesse<br />
3. Deliver and Support (DS): 13 Prozesse<br />
4. Monitor and Evaluate(ME): 4 Prozesse<br />
Transistion Planning and Support<br />
Change Management<br />
Service Asset and Configuration Management<br />
Release and Deployment Management<br />
Service Validation and Testing<br />
Evaluation<br />
Knowledge Management<br />
Event Management<br />
Incident Management<br />
Problem Management<br />
Request Fullfillment<br />
Access Management<br />
Service Strategy Continual Service Improvement<br />
Service Strategy<br />
Eine Übersicht über die vier Domains <strong>und</strong> die jeweiligen Prozesse bietet Abbildung 17.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 53 -<br />
Abbildung 17: Übersicht der <strong>COBIT</strong>-Prozesse (in Anlehnung an [<strong>COBIT</strong>-DE], S. 24)<br />
Jeder Prozess wird durch die Angabe folgender Details beschrieben:<br />
1. Prozessbeschreibung mit Zielen, <strong>zu</strong> deren Erreichung der Prozess beitragen soll, <strong>und</strong><br />
einem übergeordneten Control Objective, das die Steuerung des Prozesses sicherstellen<br />
soll<br />
2. Beschreibung detaillierterer Control Objectives<br />
3. Prozessinputs <strong>und</strong> -outputs (d.h. Abhängigkeiten <strong>zu</strong> anderen Prozessen)<br />
4. Verantwortlichkeiten für die einzelnen Aktivitäten<br />
5. Detailliertere Ziele <strong>und</strong> <strong>zu</strong>gehörige Kennzahlen<br />
6. Reifegradmodell<br />
Dabei ist <strong>zu</strong> beachten, dass <strong>COBIT</strong> für Prozesse keine Beschreibung des Kontrollflusses<br />
angibt. Prozessbeschreibungen benennen lediglich Aktivitäten (bspw. „Link business goals to<br />
IT-goals“ aus dem Prozess „Define a strategic IT Plan“ PO1), die nicht näher beschrieben<br />
sondern nur aufgelistet werden. Durch RACI-Matrizen werden tabellarisch Rollen <strong>und</strong> Gremien<br />
Verantwortlichkeiten den einzelnen Aktivitäten <strong>zu</strong>geordnet. RACI steht dabei als Akronym<br />
für die vier in <strong>COBIT</strong> unterschiedenen Verantwortlichkeiten: responsible (<strong>zu</strong>ständig),<br />
accountable (verantwortlich), consulted (konsultiert) <strong>und</strong> informed (informiert).<br />
Statt auf der Beschreibung der Aktivitäten <strong>und</strong> liegt der Fokus stärker auf den Control<br />
Objectives (insgesamt 210, siehe auch Abschnitt 3.3 <strong>und</strong> 4.3). Zusätzlich <strong>zu</strong> den Control<br />
Objectives der jeweiligen Prozesse schlägt <strong>COBIT</strong> eine Reihe von ergänzenden, allgemeinen<br />
Control Objectives für Prozesse <strong>und</strong> Applikationen vor, z. B. „Process Ownership“ für IT-<br />
Prozesse <strong>und</strong> „Transaction Authentication and Integrity“ für Anwendungen. Eine vollständige<br />
Übersicht über die Prozesse <strong>und</strong> den <strong>zu</strong>gehörigen Control Objectives von <strong>COBIT</strong> findet sich<br />
in Anhang D.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 54 -<br />
Sowohl in den Aktivitäten als auch den Control Objectives wird auf unterschiedliche Instrumente<br />
wie z. B. Dokumente <strong>und</strong> Modelle verwiesen. Diese Instrumente werden im Folgenden<br />
als Be<strong>zu</strong>gsobjekte bezeichnet. Die Be<strong>zu</strong>gsobjekte werden in <strong>COBIT</strong> jedoch nur benannt<br />
<strong>und</strong> nicht näher spezifiziert, d.h. <strong>COBIT</strong> liefert keine detaillierten Beschreibungen oder Vorschläge<br />
für deren Ausgestaltung. Der Nutzen von <strong>COBIT</strong> für die Realisierung der Be<strong>zu</strong>gsobjekte<br />
ist daher eingeschränkt. Als Beispiele lassen sich „Strategic IT Plan“ (PO 1.4),<br />
„Information Architecture“ (PO 2) oder „Change Request“ (AI6) nennen. Dies spiegelt den<br />
gr<strong>und</strong>sätzlichen Charakter von <strong>COBIT</strong> wieder: <strong>COBIT</strong> fokussiert auf das Was, weniger auf<br />
das Wie (siehe auch Abschnitt 3.3).<br />
5.4 Gegenüberstellung<br />
Ausgehend von den identifizierten <strong>und</strong> beschriebenen Prozessen der RA werden <strong>zu</strong>sammengehörige,<br />
d.h. sich überschneidende oder ähnliche, Prozesse aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> identifiziert<br />
<strong>und</strong> auf mögliche inhaltliche Überschneidungen, Widersprüche <strong>und</strong><br />
Integrationsmöglichkeiten untersucht. Da<strong>zu</strong> wird wie folgt vorgegangen: Zunächst werden<br />
Überschneidungen gesucht, die sich direkt aus der Betrachtung der Prozesse <strong>und</strong> den jeweiligen<br />
Aktivitäten ergeben (ähnliche Bezeichner, Akteure, Ereignisse etc.).<br />
Für die Ableitung von weiteren möglichen Anknüpfungspunkten zwischen den Prozessen der<br />
RA <strong>und</strong> den Inhalten aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> werden die mit den Prozessen verfolgten Ziele <strong>und</strong><br />
im Prozess genutzten Be<strong>zu</strong>gsobjekte (bspw. „IT-Architektur“, „Service-Portfolio“, „Technologie-Standard“,<br />
etc.) mit berücksichtigt. Dies ist notwendig, um Prozesse <strong>zu</strong> identifizieren, die<br />
sich nicht direkt über die beschriebenen Ähnlichkeiten ermitteln lassen. Dieser Betrachtung<br />
liegt die Annahme <strong>zu</strong>gr<strong>und</strong>e, dass Prozesse, die auf ähnliche Be<strong>zu</strong>gsobjekte verweisen<br />
<strong>und</strong>/oder den gleichen Ziele <strong>zu</strong>geordnet werden können, Anknüpfungspunkte für die RA<br />
darstellen.<br />
5.4.1 Ableitung von Diensten aus Geschäftsprozessen<br />
Die Analyse der in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> vorgeschlagenen Prozesse ergibt, dass sich der Prozess<br />
der RA <strong>zu</strong>r Ableitung von Diensten aus Geschäftsprozessen weder in <strong>ITIL</strong> noch in <strong>COBIT</strong> in<br />
einer unmittelbar vergleichbaren Form wiederfinden lässt. Es lassen sich jedoch Prozesse<br />
identifizieren, die ähnliche Ziele verfolgen, gemeinsame Be<strong>zu</strong>gsobjekte aufweisen oder<br />
Teilaspekte des Prozesses adressieren.<br />
Die Analyse der in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> beschriebenen Prozesse ergibt somit eine Liste von<br />
Prozessen, die Anknüpfungspunkte mit dem Prozess der RA <strong>zu</strong>r Ableitung von Diensten aus<br />
Geschäftsprozessen aufweisen. Die identifizierten Prozesse sind in Tabelle 4 aufgelistet. Um<br />
Überschneidungen mit der Nummerierung der Prozesse aus der RA <strong>zu</strong> vermeiden, wird die<br />
Prozessnummer des betrachten Prozesses der RA (hier Nummer 1) vorangestellt.<br />
Als Zwischenfazit lässt sich festhalten, dass der betrachtete Prozess in keinem direkten<br />
Widerspruch <strong>zu</strong> Prozessen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> steht <strong>und</strong> weder <strong>ITIL</strong> noch <strong>COBIT</strong> ähnlich<br />
detaillierte Prozessspezifikationen für den betrachteten Bereich aufweisen. Die Anknüpfungspunkte<br />
des Prozesses der RA an die identifizierten Prozesse in <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> werden<br />
in Abschnitt 5.5 aufgezeigt.<br />
Nr. Prozess Quelle Kurzbeschreibung<br />
1.1 Availability Management<br />
<strong>ITIL</strong><br />
Service Design<br />
Soll sicherstellen, dass der Level an Serviceverfügbarkeit bei allen<br />
Services unter Berücksichtigung der Wirtschaftlichkeit die aktuell<br />
<strong>und</strong> <strong>zu</strong>künftig vereinbarten Business-Bedürfnisse erfüllt oder<br />
übertrifft.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 55 -<br />
Nr. Prozess Quelle Kurzbeschreibung<br />
1.2 Capacity Management <strong>ITIL</strong><br />
Service Design<br />
1.3 Change Management <strong>ITIL</strong><br />
Service Transition<br />
1.4 Financial Management <strong>ITIL</strong><br />
Service Strategy<br />
1.5 Information Security<br />
Management<br />
1.6 Service Level<br />
Management<br />
1.7 Define and Manage<br />
Service Levels<br />
1.8 Identify Automated<br />
Solutions<br />
<strong>ITIL</strong><br />
Service Design<br />
<strong>ITIL</strong><br />
Service Design<br />
<strong>COBIT</strong><br />
DS1<br />
<strong>COBIT</strong><br />
AI1<br />
1.9 Manage Changes <strong>COBIT</strong><br />
AI6<br />
1.10 Manage Performance<br />
and Capacity<br />
1.11 Manage the IT-<br />
Investment<br />
<strong>COBIT</strong><br />
DS3<br />
<strong>COBIT</strong><br />
PO5<br />
Soll sicherstellen, dass in allen Bereichen der IT stets zeitnah eine<br />
wirtschaftliche <strong>und</strong> auf die vereinbarten aktuellen <strong>und</strong> <strong>zu</strong>künftigen<br />
Business-Bedürfnisse abgestimmte IT-Kapazität verfügbar ist.<br />
Dieser Prozess soll sicherstellen, dass Änderungs-Anforderungen<br />
an IT-Services (Infrastruktur, etc.) von Seiten des Business kontrolliert<br />
<strong>und</strong> effizient unter Minimierung von Risiken umgesetzt werden.<br />
Da<strong>zu</strong> sind standardisierte Verfahren <strong>zu</strong>r Durchführung von Änderungen<br />
erforderlich.<br />
Das Financial Management stellt Informationen für das wirtschaftliche<br />
<strong>und</strong> kosteneffektive Service Delivery <strong>zu</strong> Verfügung. Es soll<br />
sicherstellen, dass Kosten für IT-Services transparent sind<br />
Stimmt die IT-Sicherheit auf die Business-Sicherheit ab, damit die<br />
Informationssicherheit für alle Service- <strong>und</strong> Service Management<br />
Aktivitäten effektiv verwaltet <strong>und</strong> gesteuert werden kann.<br />
Verhandelt, vereinbart <strong>und</strong> dokumentiert die geeigneten IT Service<br />
Ziele mit Vertretern des Business. Anschließend wird die Fähigkeit<br />
des Service Providers <strong>zu</strong>r Bereitstellung des vereinbarten Service<br />
Levels überwacht <strong>und</strong> entsprechende Berichte erstellt.<br />
Eine effektive Kommunikation zwischen dem IT-Management <strong>und</strong><br />
den K<strong>und</strong>en der Services wird durch die dokumentierte Ausgestaltung<br />
<strong>und</strong> Vereinbarung von IT-Services <strong>und</strong> Service Levels unterstützt.<br />
Dieser Prozess enthält ebenso die Überwachung <strong>und</strong> die<br />
zeitnahe Berichterstattung an die Interessensvertreter über die<br />
Erreichung von Service Levels. Der Prozess soll die Angleichung<br />
zwischen IT-Services <strong>und</strong> den entsprechenden Unternehmenserfordernissen<br />
ermöglichen.<br />
Der Bedarf an neuen Anwendungen oder Funktionen erfordert eine<br />
Analyse, um sicher<strong>zu</strong>stellen, dass die Unternehmensanforderungen<br />
wirksam <strong>und</strong> wirtschaftlich abgedeckt sind. Dieser Prozess deckt<br />
die Festlegung des Bedarfs ab, die Berücksichtigung alternativer<br />
Möglichkeiten, die Überprüfung der technischen <strong>und</strong> wirtschaftlichen<br />
Machbarkeit, die Durchführung einer Risikoanalyse sowie<br />
einer Kosten-/Nutzen-Analyse <strong>und</strong> das Fällen einer endgültigen<br />
Entscheidung für eine Eigenentwicklung oder Beschaffung.<br />
Änderungen an der Infrastruktur <strong>und</strong> den Anwendungen müssen<br />
formell auf eine gesteuerte Art <strong>und</strong> Weise vorgenommen werden.<br />
Jeder Change (auch an Verfahren, Prozesse, Systemen <strong>und</strong><br />
Service-Parametern) müssen vor der Implementierung aufgezeichnet,<br />
bewertet <strong>und</strong> autorisiert sowie nach der Implementierung an<br />
Hand der geplanten Ergebnisse überprüft werden.<br />
Das Management der Performanz <strong>und</strong> Kapazität der IT-<br />
Ressourcen, bedingt einen Prozess, mit dem periodisch die<br />
aktuelle Performance <strong>und</strong> Kapazität der IT-Ressourcen beurteilt<br />
wird. Dieser Prozess berücksichtigt die Prognose künftiger Bedürfnisse,<br />
basierend auf den Anforderungen an die Arbeitslast, den<br />
Speicher <strong>und</strong> an die Sicherstellung des störungsfreien Betriebs<br />
(engl.: contingency).<br />
Es ist ein Framework <strong>zu</strong>m Management der IT-Investitionen<br />
erforderlich, das Kosten, Nutzen, Priorisierung innerhalb des<br />
Budgetrahmens, einen formalen Budgetierungsprozess <strong>und</strong> eine<br />
Budgetverwaltung umfasst. Die Abstimmung mit den strategischen<br />
<strong>und</strong> taktischen IT-Plänen ist erforderlich. Der Prozess zielt darauf<br />
ab, die Gesamtkosten <strong>und</strong> den Gesamtnutzen <strong>zu</strong> identifizieren <strong>und</strong><br />
<strong>zu</strong> steuern, <strong>und</strong> notwendige Maßnahmen bei Bedarf initiieren <strong>zu</strong><br />
können. Er soll die wirksame <strong>und</strong> wirtschaftliche Verwendung von<br />
IT-Ressourcen ermöglichen.<br />
Tabelle 4: Prozesse aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Anknüpfungspunkten <strong>zu</strong>m Prozess der<br />
Diensteableitung der RA<br />
5.4.2 Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage<br />
Die Analyse der <strong>ITIL</strong>- <strong>und</strong> <strong>COBIT</strong>-Prozesse zeigt, dass der Prozess der RA <strong>zu</strong>m Zusammenwirken<br />
von IT-Angebot <strong>und</strong> IT-Nachfrage sich ebenfalls nicht in einer vergleichbaren<br />
Form wiederfinden lässt. Es lassen sich jedoch Prozesse identifizieren, die ähnliche Ziele<br />
verfolgen, gemeinsame Be<strong>zu</strong>gsobjekte aufweisen oder Teilaspekte des Prozesses adressieren.<br />
Die Analyse der in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> beschriebenen Prozesse <strong>und</strong> ihrer Beschreibungen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 56 -<br />
ergibt somit eine Liste möglicher Prozesse, die sich in den Kontext des betrachteten Prozesses<br />
der RA einordnen lassen <strong>und</strong> somit Anknüpfungspunkte aufweisen.<br />
Die identifizierten Prozesse decken sich teilweise mit den in Abschnitt 5.4.1 identifizierten<br />
Prozessen. Tabelle 5 enthält das Ergebnis des Prozessvergleichs. Bei Prozessen, die schon<br />
in Abschnitt 5.4.1 beschrieben sind, wird auf die entsprechende Tabelle verwiesen <strong>und</strong> der<br />
Bezeichner wird beibehalten.<br />
Als Zwischenfazit lässt sich festhalten, dass der betrachtete Prozess in keinem direkten<br />
Widerspruch <strong>zu</strong> Prozessen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> steht <strong>und</strong> weder <strong>ITIL</strong> noch <strong>COBIT</strong> ähnlich<br />
detaillierte Prozessspezifikationen aufweisen. Die Anknüpfungspunkte des Prozesses der<br />
RA an die identifizierten Prozesse in <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> werden in Abschnitt 5.5 aufgezeigt.<br />
Nr. Prozess Quelle Kurzbeschreibung<br />
1.2 Capacity Management <strong>ITIL</strong><br />
Service Design<br />
1.3 Change Management <strong>ITIL</strong><br />
Service Transition<br />
1.4 Financial Management <strong>ITIL</strong><br />
Service Strategy<br />
1.8 Identify Automated<br />
Solutions<br />
<strong>COBIT</strong><br />
AI1<br />
1.9 Manage Changes <strong>COBIT</strong><br />
AI6<br />
1.10 Manage Performance<br />
and Capacity<br />
1.11 Manage the IT-<br />
Investment<br />
<strong>COBIT</strong><br />
DS3<br />
<strong>COBIT</strong><br />
PO5<br />
4.1 Demand Management <strong>ITIL</strong><br />
Service Strategy<br />
4.2 Service Catalogue<br />
Management<br />
4.3 Service Portfolio<br />
Management<br />
4.4 Define a Strategic IT<br />
Plan<br />
<strong>ITIL</strong><br />
Service Design<br />
<strong>ITIL</strong><br />
Service Strategy<br />
<strong>COBIT</strong><br />
PO1<br />
Siehe Tabelle 4<br />
Siehe Tabelle 4<br />
Siehe Tabelle 4<br />
Siehe Tabelle 4<br />
Siehe Tabelle 4<br />
Siehe Tabelle 4<br />
Siehe Tabelle 4<br />
Das Demand Management zielt auf Gestaltung des Service-<br />
Angebots in Abstimmung mit den Anforderungen <strong>und</strong> Erwartung<br />
des K<strong>und</strong>en. Dabei steht die kosteneffiziente <strong>und</strong> bedarfsgerechte<br />
Steuerung der Kapazität im Vordergr<strong>und</strong>.<br />
Soll sicherstellen, dass ein Servicekatalog erstellt <strong>und</strong> gepflegt wird,<br />
der exakte Informationen <strong>zu</strong> allen operativen Services <strong>und</strong> <strong>zu</strong> den<br />
Services, deren operativer Betrieb vorbereitet wird, enthält.<br />
Dieser Prozess dient der Bereitstellung eines Serviceangebots in<br />
Form eines Serviceportfolios, das sowohl den aktuellen als auch<br />
den <strong>zu</strong>künftigen Anforderungen der K<strong>und</strong>en genügt. Da<strong>zu</strong> werden<br />
sowohl strategische als auch fachliche Anforderungen berücksichtigt.<br />
Die strategische IT-Planung zielt darauf ab die IT-Ressourcen in<br />
Übereinstimmung mit der Unternehmensstrategie <strong>und</strong> deren<br />
Prioritäten <strong>zu</strong> managen <strong>und</strong> <strong>zu</strong> steuern. Der strategische Plan sollte<br />
das Verständnis der Stakeholder über die Möglichkeiten <strong>und</strong><br />
Grenzen der IT verbessern, die gegenwärtige Performance bewerten<br />
sowie den Umfang von notwendigen Investitionen ermitteln.<br />
Tabelle 5: Prozesse aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit Anknüpfungspunkten <strong>zu</strong>m Prozess der<br />
Nachfragebündelung der RA<br />
5.5 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen<br />
Die Analyse <strong>und</strong> Gegenüberstellung der Prozesse der RA mit Prozessen aus <strong>ITIL</strong> <strong>und</strong><br />
<strong>COBIT</strong> zeigt, dass keine direkten Überschneidungen <strong>und</strong> Widersprüche vorliegen. Daher<br />
deutet sich die Anschlussfähigkeit der Prozesse der RA an die Prozesse aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
an. Auch wenn keine direkten Überschneidungen vorliegen, lassen sich durch die Prozessanalyse<br />
eine Reihe von Prozessen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> identifizieren, die Anknüpfungspunkte<br />
an die Prozesse der RA aufweisen. Auf diese wird im Folgenden näher eingegangen.<br />
Zunächst stehen jedoch generelle Beobachtungen, Auffälligkeiten <strong>und</strong> Schlussfolgerungen<br />
im Fokus.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 57 -<br />
5.5.1 Übergreifende Handlungsempfehlungen<br />
H-8 Handlungsempfehlung: Zusammenhänge zwischen Prozessen verdeutlichen<br />
Generell werden die Zusammenhänge zwischen den beiden betrachteten Prozessen der RA<br />
derzeit nicht deutlich. Darüber hinaus werden voneinander abweichende Konzepte verwendet:<br />
Produkt <strong>und</strong> Produktkatalog statt Dienst <strong>und</strong> Dienstekatalog. Diese Unterschiede werden<br />
nicht explizit gemacht <strong>und</strong> auch nicht begründet. Die Vermutung liegt hier nahe, dass die<br />
Prozesse von verschiedenen Gruppen erstellt wurden <strong>und</strong> es daher <strong>zu</strong> einem unterschiedlichen<br />
Begriffsverständnis kommt.<br />
Die Dokumentation der RA sollte eine klare <strong>und</strong> nachvollziehbare Einordnung der Prozesse<br />
vornehmen, insb. sollten Abhängigkeiten (bspw. in Form von Schnittstellen) zwischen spezifizierten<br />
Prozessen identifiziert <strong>und</strong> dokumentiert werden. Außerdem ist auf eine einheitliche<br />
Terminologie bei der Prozessdokumentation <strong>zu</strong> achten (vgl. auch Handlungsempfehlung<br />
<strong>zu</strong>m Ausbau des Glossars der RA im Abschnitt 4.5).<br />
H-9 Handlungsempfehlung: Prozesse in einheitlicher Struktur beschreiben<br />
Die Beschreibungen der <strong>COBIT</strong>-Prozesse folgen einer klaren <strong>und</strong> einheitlichen Struktur, die<br />
den Umgang mit den Prozessen erleichtert <strong>und</strong> vermutlich einer der zentralen Erfolgsfaktoren<br />
des Ansatzes in der Praxis ist. Eine vergleichbar einheitliche Struktur <strong>zu</strong>r Beschreibung<br />
von Prozessen der RA liegt derzeit noch nicht vor. Sie könnte jedoch nach unserer Einschät<strong>zu</strong>ng<br />
das Verständnis der Prozesse der RA deutlich erhöhen <strong>und</strong> ihre Anwendung vereinfachen.<br />
Dafür sollte als Gr<strong>und</strong>lage ein nachvollziehbares <strong>und</strong> differenziertes Methoden- <strong>und</strong><br />
Prozessverständnis <strong>zu</strong>gr<strong>und</strong>e gelegt werden. Derzeit wird nicht hinreichend zwischen Methode,<br />
sprachlicher Struktur <strong>und</strong> Vorgehensmodell sowie Prozessen differenziert. Die Beschreibungsstruktur<br />
aus <strong>COBIT</strong> kann als Vorbild für die RA dienen.<br />
H-10 Handlungsempfehlung: Prozessbeschreibungen um weitere Aspekte ergänzen<br />
Die Prozesse der RA können in mehrerer Hinsicht um Aspekte aus <strong>COBIT</strong> ergänzt werden.<br />
So könnte die in <strong>COBIT</strong> vorgeschlagenen Reifegradmodelle („Maturity Models“) als Gr<strong>und</strong>lage<br />
für den Entwurf entsprechender Reifegrade für die Prozesse der RA dienen. Dies vermag<br />
bspw. die Identifikation von Verbesserungspotenzialen <strong>zu</strong> unterstützen (z. B. [<strong>COBIT</strong>],<br />
S. 21).<br />
Darüber hinaus betont <strong>COBIT</strong> die Definition von Kennzahlen <strong>und</strong> die Berücksichtigung von<br />
Risiken. Die Prozesse der RA könnten entsprechend weiterentwickelt werden, bspw. durch<br />
die Definition von Kennzahlen <strong>zu</strong>r Messung der Zielerreichung des Prozesses im Hinblick auf<br />
die für den Prozess formulierten Ziele; oder durch die durchgängige Identifikation <strong>und</strong> Berücksichtigung<br />
von Risiken, die sich etwa aus den Diensten bzw. ihren Realisierungen für die<br />
<strong>zu</strong> unterstützenden Geschäftsprozesse ergeben können. 24<br />
<strong>ITIL</strong> bietet weitergehende Empfehlungen bei der Gestaltung der Prozesse. Insbesondere<br />
führt <strong>ITIL</strong> Auslöser („Trigger“), Key Performance Indikatoren (Kennzahlen) <strong>und</strong> kritische<br />
Erfolgsfaktoren für den überwiegenden Teil der <strong>ITIL</strong>-Prozesse an. Die jeweiligen Auflistungen<br />
stellen jedoch nur rudimentäre Vorschläge dar – sie sind weder begründet noch reflektiert.<br />
Eine unkritische Übernahme empfiehlt sich deshalb nicht; stattdessen scheint es<br />
ratsam, mit den Beteiligten der RA eigene Kennzahlen u. a. im Diskurs <strong>zu</strong> entwickeln <strong>und</strong><br />
dabei ihre Zielset<strong>zu</strong>ng („Was soll durch Nut<strong>zu</strong>ng der Kennzahl erreicht werden?“) offen<strong>zu</strong>legen.<br />
24 Vgl. da<strong>zu</strong> auch Handlungsempfehlung H-3 im Abschnitt 3.4 (S. 24).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 58 -<br />
H-11 Handlungsempfehlung: Grafische Visualisierungen auf Typebene ausbauen<br />
Gr<strong>und</strong>sätzlich weist die RA im Kern große Ähnlichkeit mit den <strong>ITIL</strong>-Prozessen Service Asset<br />
<strong>und</strong> Configuration Management aus der Phase Service Transition auf. Bei diesem Prozess<br />
geht es in <strong>ITIL</strong> um die Verwaltung sämtlicher IT-bezogener Elemente (Services, Verträge,<br />
Hardware, Software etc.). Hierfür wird eine sog. „Configuration Management Database“<br />
(CMDB) vorgeschlagen, deren Fokus auf der Verwaltung von Instanzen der Elemente (z. B.<br />
konkrete Verträge mit einer konkreten Laufzeit) liegt.<br />
Die RA bietet demgegenüber wesentliche Abstraktionsvorteile durch die Abstraktion auf<br />
Typen (z. B. Typen von Verträgen, Typen von Prozessen). Sie ist <strong>zu</strong>dem bereits jetzt mit<br />
einer anschaulichen grafischen Visualisierung von Sachverhalten auf Typebene versehen<br />
(Prozessmodelle, Zielmodelle), die einen Beitrag <strong>zu</strong> den gesetzten Zielen leisten (Komplexitätsreduktion,<br />
Förderung von Kommunikation <strong>und</strong> Transparenz etc.). Die Verwendung derartiger<br />
Abstraktionen bietet insb. für die Integration von <strong>ITIL</strong> weitergehende Potenziale: So<br />
könnte bspw. in den <strong>ITIL</strong>-Prozessen auf die Modelle der RA <strong>zu</strong>gegriffen werden. An vielen<br />
Stellen bleibt in <strong>ITIL</strong> offen, in welcher (visuellen) Repräsentation die Informationen über<br />
Dienste, IT-Lösungen, Prozesse etc. für die unterschiedlichen Akteure aufbereitet werden<br />
sollen (textuell oder grafisch). Grafische Visualisierungen, wie sie in der RA vorgesehen sind,<br />
können einen erheblichen Beitrag für eine verbesserte Kommunikation zwischen <strong>und</strong> innerhalb<br />
der beteiligten Bereiche (DLZ-IT des B<strong>und</strong>es, Architekturmanagement <strong>und</strong> Ressorts)<br />
liefern.<br />
H-12 Handlungsempfehlung: Einbe<strong>zu</strong>g von Beteiligten <strong>und</strong> Betroffenen betonen<br />
Eine gr<strong>und</strong>legende Idee in <strong>ITIL</strong> ist, dass alle (potenziell) an einem Dienst involvierten Akteure<br />
– auf Geschäftsseite wie auf IT-Seite – stets beteiligt werden, um eigene Ideen oder begründete<br />
Einwände vor<strong>zu</strong>bringen. Für die RA legt dies eine intensivere Zusammenarbeit zwischen<br />
Architekturmanagement, DLZ-IT des B<strong>und</strong>es <strong>und</strong> den „K<strong>und</strong>en“ in den<br />
entsprechenden Ressorts nahe, die in Be<strong>zu</strong>g auf Prozesse <strong>und</strong> Rollenmodelle differenzierter<br />
<strong>zu</strong> beschreiben ist – <strong>und</strong> zwar nicht nur auf Ebene der IT-Strategie (bspw. durch den IT-Rat),<br />
sondern auch auf der operativen Ebene des IT-Betriebs (z. B. Administratoren).<br />
H-13 Handlungsempfehlung: Untersuchte Prozesse präzisieren<br />
Die Betrachtung der Prozesse der RA <strong>und</strong> deren Gegenüberstellung mit Prozessen aus <strong>ITIL</strong><br />
<strong>und</strong> <strong>COBIT</strong> ergibt jeweils eine Reihe von Anknüpfungspunkten. Dabei sind sowohl Änderungen<br />
an vorhandenen Aktivitäten als auch Aufnahme weiterer Aktivitäten <strong>zu</strong> evaluieren. So ist<br />
es <strong>zu</strong>m einen möglich, ausgewählte Anknüpfungspunkte in einer Überarbeitung des Prozesses<br />
<strong>zu</strong> konkretisieren, so dass gr<strong>und</strong>legende Ideen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> übernommen werden<br />
<strong>und</strong> auf diesem Weg das Architekturmanagement weiterentwickelt wird. Zum anderen<br />
werden in einigen <strong>ITIL</strong>- <strong>und</strong> <strong>COBIT</strong>-Prozessen Aktivitäten angeführt, die sich in vergleichbarer<br />
Form noch nicht in Prozessen der RA finden, deren <strong>zu</strong> Gr<strong>und</strong>e liegende Ideen jedoch<br />
einen Beitrag für den Erfolg der RA <strong>und</strong> des Prozesses liefern können. Es empfiehlt sich<br />
daher, diese Aktivitäten in den Prozess an geeigneter Stelle <strong>zu</strong> integrieren. Sofern es in den<br />
DLZ-IT des B<strong>und</strong>es bereits entsprechende Prozesse geben sollte, so sind diese <strong>zu</strong> berücksichtigen,<br />
bspw. durch die Definition von entsprechenden Schnittstellen. Im Folgenden werden<br />
für die beiden untersuchten Prozesse der RA konkrete Weiterentwicklungspotenziale<br />
aufgezeigt.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 59 -<br />
5.5.2 Prozess: Ableitung von Diensten aus Geschäftsprozessen („Diensteableitung“)<br />
H-14 Handlungsempfehlung: Gremium für Entscheidung des ressortinternen bzw.<br />
ressortübergreifenden Diensteangebots<br />
Die Entscheidung, ob die Erbringung von Diensten ressortintern oder ressortübergreifend<br />
erfolgen soll, wird nicht deutlich einer Rolle oder einem Gremium <strong>zu</strong>gewiesen ([Methode],<br />
S. 11). Dies sollte vermutlich ein übergeordnetes Gremium entscheiden; es fehlen da<strong>zu</strong><br />
jedoch Bewertungskriterien als Gr<strong>und</strong>lage für diese Entscheidung. Dies verdeutlicht wiederum,<br />
dass die Abstimmung mit dem Prozess der Nachfragebündelung noch fehlt. Darüber<br />
hinaus wird durch die ressortinterne Erbringung von Diensten die gr<strong>und</strong>legende Trennung<br />
zwischen Angebot <strong>und</strong> Nachfrage von Diensten <strong>zu</strong>mindest potenziell aufgeweicht. Dies<br />
deutet an, dass es über Prozesse hinaus eines gr<strong>und</strong>legenden Regelwerks („Governance-<br />
Strukturen“) bedarf, in dem bspw. festgelegt wird, wie im Fall von Interessenskonflikten <strong>zu</strong><br />
verfahren ist.<br />
H-15 Handlungsempfehlung: Identifikation „vergleichbarer Funktionalitäten“ systematisieren<br />
Darüber hinaus fehlen für die Identifikation „vergleichbarer Funktionalitäten“ 25 derzeit noch<br />
praktisch anwendbare Kriterien <strong>und</strong> Hilfestellungen. In der vorliegenden Form ist dies maßgeblich<br />
von der Kompetenz des Geschäfts- <strong>und</strong> Lösungsarchitekten abhängig. Eine Konkretisierung,<br />
etwa durch weitere Leitfäden, scheint empfehlenswert.<br />
Darüber hinaus stellt sich die Frage, wie notwendige, d.h. nicht ausräumbare, Unterschiede<br />
von Diensten abgebildet werden <strong>und</strong> wie die ggf. entstehende Vielfalt an Diensten gehandhabt<br />
werden soll. Ein Ansatzpunkt wäre die Verwendung von Varianten ([Methode], S. 15).<br />
H-16 Handlungsempfehlung: Weiterentwicklung des Prozesses „Ableitung von Diensten<br />
aus Geschäftsprozessen“<br />
Der Prozess <strong>zu</strong>r Ableitung von Diensten aus Geschäftsprozessen weist einige Anknüpfungspunkte<br />
<strong>zu</strong> <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> auf. Für die Betrachtung der Anknüpfungspunkte ist in Abbildung<br />
18 der Prozess <strong>zu</strong>r Ableitung von Diensten aus Geschäftsprozessen mit seinen Aktivitäten<br />
den in Abschnitt 5.4.1 identifizierten <strong>ITIL</strong>- <strong>und</strong> <strong>COBIT</strong>-Prozessen grafisch gegenübergestellt.<br />
Die identifizierten Prozesse weisen Anknüpfungspunkte mit dem Prozess der RA auf, die im<br />
Folgenden erläutert werden. Dabei werden <strong>zu</strong>nächst Prozesse betrachtet, die Anknüpfungspunkte<br />
mit dem gesamten Prozess der Diensteableitung aufweisen. Anschließend werden<br />
einzelne Aktivitäten der Diensteableitung betrachtet. Zur einfacheren Orientierung wird die<br />
betrachtete Gruppe an Prozessen mit ähnlichen Anknüpfungspunkten jeweils mit einer roten<br />
Ziffer kenntlich gemacht (siehe Abbildung 18). In den Erläuterungen <strong>zu</strong> den identifizierten<br />
Prozessen wird in Klammern jeweils die Prozessnummer aufgeführt, die auf die Prozessbeschreibung<br />
in Tabelle 4 verweist.<br />
25 BMI: vgl. hier<strong>zu</strong> Abschnitt 3.5.3 (S. 16) in [Methode].<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 60 -<br />
RA<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
Abbildung 18: Prozesse aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit Anknüpfungspunkten an den Prozess der RA <strong>zu</strong>r Diensteableitung<br />
• Gruppe 1 – Gesamter Prozess: In <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> werden verschiedene Prozesse<br />
vorgeschlagen, die für die Weiterentwicklung des Prozess der Diensteableitung insgesamt<br />
berücksichtigt werden könnten.<br />
o Financial Management (1.4): In <strong>ITIL</strong> wird ein Finanzmanagement vorgeschlagen.<br />
Services sind dem<strong>zu</strong>folge bei der Planung <strong>und</strong> Entwicklung wie<br />
auch <strong>zu</strong> ihrer Laufzeit stets auf ihre Wirtschaftlichkeit <strong>zu</strong> prüfen. Dies empfiehlt<br />
sich auch für die RA bzw. den Prozess der Diensteableitung – insb. vor dem<br />
Hintergr<strong>und</strong> der genannten Ziele der Wirtschaftlichkeit <strong>und</strong> Effizienz mag dies<br />
eine gewinnbringende Erweiterung darstellen.<br />
Die konkreteren Hinweise in <strong>ITIL</strong>, etwa die Nut<strong>zu</strong>ng des Return on Investments<br />
<strong>zu</strong>r Beurteilung der Wirtschaftlichkeit, sollten dagegen kritisch hinterfragt<br />
werden. Insgesamt erscheinen die Empfehlungen von <strong>ITIL</strong> <strong>zu</strong>m Financial<br />
Management allerdings mit Blick auf den gegenwärtigen Stand der Forschung<br />
bestenfalls rudimentär <strong>und</strong> nicht reflektiert. Hier sollte auf deutlich weiterentwickelte<br />
Ansätze etwa aus dem Forschungsgebiet IT-Controlling <strong>zu</strong>rückgegriffen<br />
werden.<br />
o Manage the IT-Investment (1.11): Ähnlich dem Financial Management aus<br />
<strong>ITIL</strong> schlägt <strong>COBIT</strong> das durchgängige Management von IT-Investitionen vor.<br />
Dem<strong>zu</strong>folge sollten u. a. sowohl Kosten- <strong>und</strong> Nutzenaspekte berücksichtigt als<br />
auch Abweichungen von erwarteten Kosten <strong>und</strong> vom erwarteten Nutzen identifiziert<br />
<strong>und</strong> evaluiert werden. Über diese allgemeinen <strong>und</strong> sicherlich gr<strong>und</strong>legend<br />
hilfreichen Hinweise hinaus, besteht allerdings auch Ergän<strong>zu</strong>ngsbedarf<br />
durch aktuelle Forschungsergebnisse. Das durch die ITGI entwickelte Rahmenwerk<br />
ValIT scheint nach gegenwärtigem Stand diese Ergebnisse bedauerlicherweise<br />
erneut nicht auf<strong>zu</strong>greifen, sondern das Rad neu <strong>zu</strong> erfinden.<br />
o Identify Automated Solutions (1.8): Dieser <strong>COBIT</strong>-Prozess sieht u. a. die<br />
durchgängige Identifikation <strong>und</strong> Berücksichtigung von Risiken für die Geschäftsprozesse<br />
<strong>und</strong> von Anforderungen an Sicherheit <strong>und</strong> Controls vor. Dies<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 61 -<br />
wird in dem betrachten Prozess der RA derzeit nicht explizit adressiert. Eine<br />
entsprechende Anpassung des Prozesses der RA ist daher <strong>zu</strong> untersuchen.<br />
• Gruppe 2 – Aktivitäten 1 <strong>und</strong> 2: Die Ableitung von Bedarfen nach IT-Unterstüt<strong>zu</strong>ng<br />
in Form von Funktionalitäten bietet Anknüpfungsmöglichkeiten an verschiedene <strong>ITIL</strong>-<br />
<strong>und</strong> <strong>COBIT</strong>-Prozesse, die bspw. in den Aktivitäten 1 <strong>und</strong> 2 mit berücksichtigt werden<br />
könnten.<br />
o Service Level Management (1.6): Sofern vertragliche Vereinbarungen von<br />
Relevanz sind, so sollten diese frühzeitig bei der Dienste-Ableitung berücksichtigt<br />
werden. Dies kann bspw. durch die frühzeitige Erfassung von sog.<br />
„Service Level Requirements“ (SLR) erfolgen (Service Design, S. 76f.). Diese<br />
SLR dienen in <strong>ITIL</strong> <strong>zu</strong>m Festhalten von Anforderungen (bspw. hinsichtlich der<br />
Qualität, Verfügbarkeit <strong>und</strong> Support des Dienstes) an neue Dienste <strong>und</strong> werden<br />
in späteren Phasen in „Service Level Agreements“ (SLA) überführt. Da<strong>zu</strong><br />
sind ggf. die Schnittstellen <strong>zu</strong> den DLZ-IT des B<strong>und</strong>es als Erbringer der Dienste<br />
<strong>zu</strong> definieren.<br />
o Define and Manage Service Levels (1.7): Der <strong>COBIT</strong>-Prozess sieht ähnlich<br />
dem obigen <strong>ITIL</strong>-Prozess des Service Level Managements die frühzeitige Erfassung<br />
von Anforderungen der Nachfrager an die Erbringung der Dienste in<br />
Form von Service Level Agreements vor.<br />
o Capacity Management (1.2): Bei der Ableitung von Diensten aus Geschäftsprozessen<br />
sollten auch die konkreten Bedarfe i.S. der erwarteten Kapazität<br />
mit erhoben werden, z. B. Durchführungshäufigkeit des Geschäftsprozesses<br />
bzw. Nut<strong>zu</strong>ngshäufigkeit des Dienstes, evtl. Nut<strong>zu</strong>ngsverläufe im Zeitverlauf<br />
(„Peak times“?), Nut<strong>zu</strong>ngsintensität des Dienstes usw. Dies erfordert ggf. die<br />
Abstimmung mit den DLZ-IT des B<strong>und</strong>es <strong>und</strong> dem dortigen Capacity Management,<br />
etwa im Hinblick auf die technische Realisierbarkeit oder technischen<br />
Restriktionen.<br />
o Manage Performance and Capacity (1.10): Dieser <strong>COBIT</strong>-Prozess betont<br />
insb. die Prognose von <strong>zu</strong>künftigen Bedürfnissen im Hinblick auf die Kapazität<br />
(auch hinsichtlich <strong>zu</strong> erwartender <strong>und</strong> möglicherweise stochastisch auftretender<br />
Schwankungen in der Nachfrage nach IT-Dienstleistungen). Für die Planung<br />
der Performanz <strong>und</strong> der Kapazität in den DLZ-IT des B<strong>und</strong>es ist die<br />
frühzeitige Berücksichtigung von sich abzeichnenden Änderungen <strong>und</strong> Erweiterungen<br />
von Diensten notwendig. Die dafür notwendigen Informationen sollten<br />
bei der Ableitung von Diensten aus Geschäftsprozessen möglichst<br />
frühzeitig erhoben <strong>und</strong> kommuniziert werden.<br />
o Availability Management (1.1): Ähnlich dem Kapazitätsmanagement kann<br />
die frühzeitige Erfassung von Angaben <strong>zu</strong>r Kritikalität des <strong>zu</strong> unterstützenden<br />
Geschäftsprozesses <strong>und</strong> des Bedarfs an (technischer) Verfügbarkeit bei der<br />
Diensteableitung erfolgen <strong>und</strong> als Input für den <strong>ITIL</strong>-Prozess des Availability<br />
Managements dienen. Entsprechend der obigen Aussagen, sollten Angaben<br />
<strong>zu</strong>r Kritikalität eines Dienstes, der Dienstebeschreibung hin<strong>zu</strong>gefügt werden.<br />
o Information Security Management (1.5): Analog <strong>zu</strong>r Erhebung von Kapazitätsanforderungen<br />
<strong>und</strong> der Kritikalität der Dienste können spezifische Sicherheitsbedürfnisse<br />
(„Security Policies“) bei der Diensteableitung erfasst werden.<br />
Zum Beispiel wenn die Daten des Prozesses besonderen rechtlichen Auflagen<br />
unterliegen. Entsprechend der obigen Aussagen, sollten auch Angaben<br />
<strong>zu</strong>r Sicherheit eines Dienstes, der Dienstebeschreibung hin<strong>zu</strong>gefügt werden.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 62 -<br />
• Gruppe 3 – Aktivitäten 5 <strong>und</strong> 6, Prozess 3: Aus den identifizierten Änderungsbedarfen<br />
an existierenden Diensten <strong>und</strong> den Entwürfen für neue Dienste ergeben sich<br />
u.U. weitreichende Auswirkungen auf <strong>und</strong> Änderungen am Dienstemodell <strong>und</strong><br />
Dienstekatalog. Für den Umgang mit diesen Änderungen kann ggf. auf Prozesse aus<br />
<strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> <strong>zu</strong>rückgegriffen werden. Dabei ist noch <strong>zu</strong> bestimmen, welches<br />
Gremium für die Entscheidung über die Annahme von Änderungen <strong>und</strong> Ergän<strong>zu</strong>ngen<br />
am Dienstemodell <strong>und</strong> Dienstekatalog verantwortlich ist [Methode, S. 18].<br />
• Change Management (1.3): Dieser <strong>ITIL</strong>-Prozess zielt auf den angemessenen<br />
Umgang mit Änderungen („Changes“) an Diensten ab. Da<strong>zu</strong> sollen Changes in<br />
einer strukturierten Weise erfasst, bewertet, priorisiert, geplant, getestet, implementiert<br />
<strong>und</strong> dokumentiert werden. Darüber hinaus sollen Änderungswünsche der<br />
K<strong>und</strong>en soweit möglich antizipiert werden. Der strukturierte Umgang ist in der RA<br />
an verschiedenen Stellen notwendig, bspw. bei Änderungen an Diensten, an Modellen<br />
oder an Prozessen <strong>und</strong> Methoden. Die Etablierung entsprechender Vorgehensweisen<br />
in der RA ist daher dringend angeraten. Hier<strong>zu</strong> sollte der Leitfaden<br />
<strong>zu</strong>r Ableitung von Diensten aus Geschäftsprozessen nicht nur erklären, wie<br />
Dienste abgeleitet werden, sondern auch wie diese an<strong>zu</strong>passen sind.<br />
• Manage Changes (1.9): Dieser <strong>COBIT</strong>-Prozess schlägt in ähnlicher Weise wie<br />
der <strong>ITIL</strong>-Prozess des Change Managements den strukturierten <strong>und</strong> geregelten<br />
Umgang mit Änderungen vor.<br />
Die Kennzeichnung der Anknüpfungspunkte (rote Kanten in Abbildung 18) macht auch<br />
kenntlich, an welcher Stelle im Prozess der RA die Anknüpfungspunkte <strong>zu</strong> den Prozessen<br />
aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> vorgenommen werden kann. Die Prozesse der ersten Gruppe sind<br />
keinem spezifischen Prozessschritt bei der Diensteableitung <strong>zu</strong><strong>zu</strong>ordnen; sie können an<br />
verschiedenen Stellen eingeordnet werden. Für die Prozesse der zweiten Gruppe bietet es<br />
sich an, sie in einen der ersten beiden Schritte des RA-Prozesses ein<strong>zu</strong>gliedern: Im Zuge<br />
der Erhebung der Funktionalitäten des Dienstes ließen sich auch die in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
angeführten Aspekte (z. B. Anforderungen an Verfügbarkeiten, Kapazitäten, etc.) ermitteln.<br />
Die Prozesse der dritten Gruppe weisen Anknüpfungspunkte mit den letzten beiden Prozessschritten<br />
des RA-Prozesses auf.<br />
Die konkrete Ausgestaltung der Anknüpfungspunkte hängt letztlich davon ab, in welchem<br />
Umfang <strong>und</strong> in welcher Weise die Prozesse aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> in den DLZ-IT des B<strong>und</strong>es<br />
gestaltet sind. Werden die entsprechenden Prozesse dort bereits umgesetzt, kann im Zuge<br />
der Dienstableitung an den o.g. Stellen auf diese Prozesse <strong>zu</strong>rückgegriffen werden (z. B.<br />
Auslösen des Service Level Management-Prozesses eines DLZ-IT des B<strong>und</strong>es, wenn die<br />
Funktionalitäten erhoben werden). Anderenfalls kann das Architekturmanagement <strong>zu</strong>mindest<br />
rudimentär die Informationen erheben, um eventuell <strong>zu</strong> einem späteren Zeitpunkt die Informationen<br />
wie Kapazitätsanforderungen an das DLZ-IT des B<strong>und</strong>es <strong>zu</strong> übergeben.<br />
5.5.3 Prozess: Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage („Nachfragebündelung“)<br />
Der Prozess <strong>zu</strong>m Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage weist ebenfalls einige<br />
Anknüpfungspunkte <strong>zu</strong> <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> auf. Für die Betrachtung der Anknüpfungspunkte ist<br />
in Abbildung 19 der Prozess <strong>zu</strong>r Nachfragebündelung mit seinen Aktivitäten den in Abschnitt<br />
5.4.2 identifizierten <strong>ITIL</strong>- <strong>und</strong> <strong>COBIT</strong>-Prozessen grafisch gegenübergestellt.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 63 -<br />
RA<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
Abbildung 19: Prozesse aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mit Anknüpfungspunkten an den Prozess der RA <strong>zu</strong>r Nachfragebündelung<br />
Die identifizierten Prozesse weisen Anknüpfungspunkte mit dem Prozess der RA auf, die im<br />
Folgenden erläutert werden. Dabei werden <strong>zu</strong>nächst Prozesse betrachtet, die Anknüpfungspunkte<br />
mit dem gesamten Prozess der Nachfragebündelung aufweisen. Anschließend werden<br />
einzelne Aktivitäten der Nachfragebündelung betrachtet. Zur einfacheren Orientierung<br />
wird die betrachtete Gruppe an Prozessen mit ähnlichen Anknüpfungspunkten jeweils mit<br />
einer roten Ziffer kenntlich gemacht. In den Erläuterungen <strong>zu</strong> den identifizierten Prozessen<br />
wird in Klammern jeweils die Prozessnummer aufgeführt, die auf die Prozessbeschreibung in<br />
Tabelle 5 verweist.<br />
• Gruppe 1 – Gesamter Prozess: In <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> werden Prozesse vorgeschlagen,<br />
die <strong>zu</strong> dem Prozess der Nachfragebündelung insgesamt Anknüpfungspunkte<br />
aufweisen.<br />
o Service Portfolio Management (4.3), Service Catalogue Management<br />
(4.2), Demand Management (4.1): Diese <strong>ITIL</strong>-Prozesse weisen große<br />
Ähnlichkeit <strong>zu</strong>m Prozess der Nachfragebündelung auf. Die Ausführungen in<br />
<strong>ITIL</strong> <strong>zu</strong> den Prozessen verbleiben allerdings vage <strong>und</strong> sind sehr kurz gehalten.<br />
Es werden allerdings einige wenige Instrumente vorgeschlagen, die die<br />
Prozesse unterstützen sollen. Mehr als Anregungen, bspw. <strong>zu</strong>r Pflege eines<br />
zentralen Katalogs aller Dienste bzw. Produkte sowie die Planung <strong>und</strong> Steuerung<br />
des langfristigen Bedarfs, können diese Vorschläge jedoch nicht liefern.<br />
Hier besteht insofern erneut Bedarf eine eigene Lösung <strong>zu</strong> entwickeln.<br />
o Identify Automated Solutions (1.8): Dieser <strong>COBIT</strong>-Prozess sieht u. a. die<br />
durchgängige Identifikation <strong>und</strong> Berücksichtigung von Risiken für die Geschäftsprozesse<br />
<strong>und</strong> von Anforderungen an Sicherheit <strong>und</strong> Controls vor. Dies<br />
wird in dem betrachten Prozess der RA derzeit nicht explizit adressiert. Eine<br />
entsprechende Anpassung des Prozesses der RA ist daher aus Sicht der<br />
Gutachter <strong>zu</strong> untersuchen.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 64 -<br />
• Gruppe 2 – Aktivitäten 2: Die Planung der Umset<strong>zu</strong>ngsvorhaben bietet Anknüpfungspunkte<br />
mit folgenden Prozessen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong>.<br />
o Capacity Management (1.2): Bei der Machbarkeitsprüfung der Elemente des<br />
IT-Bedarfskatalogs wird ein Abgleich mit den Kapazitäten der DLZ-IT des<br />
B<strong>und</strong>es vorgenommen. Hier bestehen Anknüpfungspunkte <strong>zu</strong>m <strong>ITIL</strong>-Prozess<br />
Capacity Managements. Es sollte daher klare Schnittstellen geben, die beschreiben,<br />
wie die entsprechenden Prozesse der DLZ-IT des B<strong>und</strong>es in den<br />
Prozess der Nachfragebündelung integriert werden. Diese fehlen derzeit.<br />
o Manage Performance and Capacity (1.10): Dieser <strong>COBIT</strong>-Prozess betont<br />
insb. die Prognose von <strong>zu</strong>künftigen Bedürfnissen im Hinblick auf die Kapazität.<br />
Für die Planung der Performanz <strong>und</strong> der Kapazität in den DLZ-IT des<br />
B<strong>und</strong>es ist die frühzeitige Berücksichtigung von sich abzeichnenden Änderungen<br />
<strong>und</strong> Erweiterungen notwendig. Die dafür notwendigen Informationen sollten<br />
möglichst frühzeitig erhoben <strong>und</strong> kommuniziert werden, bspw. in Form von<br />
Vorhersagen.<br />
• Gruppe 3 – Aktivitäten 2 <strong>und</strong> 3: Für die Identifizierung des Finanzierungsbedarfs,<br />
der Beurteilung der Wirtschaftlichkeit <strong>und</strong> der Finanzierung bedarf es methodischer<br />
Unterstüt<strong>zu</strong>ng. Prozesse aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> können da<strong>zu</strong> als Gr<strong>und</strong>lage dienen.<br />
o Financial Management (1.4): s. o.<br />
o Manage the IT-Investment (1.11): s. o.<br />
• Gruppe 4 – Aktivitäten 3 <strong>und</strong> 4: Aus den identifizierten Änderungsbedarfen an existierenden<br />
Diensten <strong>und</strong> den Entwürfen für neue Dienste ergeben sich u.U. weitreichende<br />
Auswirkungen auf <strong>und</strong> Änderungen an existierenden Lösungen <strong>und</strong> bspw.<br />
dem Produktkatalog. Für den Umgang mit diesen Änderungen kann ggf. auf Prozesse<br />
aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> <strong>zu</strong>rückgegriffen werden.<br />
o Change Management (1.3): s. o.<br />
o Manage Changes (1.9): s. o.<br />
• Gruppe 5 – Prozess 6: Die aus dem Prozess der Nachfragebündelung resultierende<br />
„gebündelte“ IT-Nachfrage hat u.U. Auswirkungen auf die Fortentwicklung der IT-<br />
Strategie.<br />
o Define a Strategic IT-Plan (4.4): Die Berücksichtigung der gebündelten IT-<br />
Nachfrage bedingt einen entsprechenden Prozess <strong>zu</strong> (Weiter-) Entwicklung<br />
der IT-Strategie. Der <strong>COBIT</strong>-Prozess Define a Strategic IT-Plan kann für einen<br />
derartigen Prozess Anhaltspunkte liefern. So sollen bspw. strategische<br />
<strong>und</strong> taktische IT-Pläne unterschieden <strong>und</strong> Abhängigkeiten zwischen Unternehmens-<br />
<strong>und</strong> IT-Strategie identifiziert werden. Derzeit findet sich in der RA<br />
kein Be<strong>zu</strong>g <strong>zu</strong>r strategischen Planung. Diese Handlungsoption wird im letzten<br />
Abschnitt dieses Berichts aufgezeigt <strong>und</strong> erläutert.<br />
Die Kennzeichnung der Anknüpfungspunkte (rote Kanten in Abbildung 18) macht auch hier<br />
kenntlich, an welcher Stelle im Prozess der RA die Anknüpfungspunkte <strong>zu</strong> den Prozessen<br />
aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> vorgenommen werden kann. Die Prozesse der Gruppen zwei, drei <strong>und</strong><br />
vier sind konkreten Prozessschritten des Nachfragebündelungs-Prozesses der RA <strong>zu</strong>geordnet.<br />
Es bietet sich auch hier an, in Zusammenarbeit mit z. B. den DLZ-IT des B<strong>und</strong>es <strong>zu</strong><br />
prüfen, inwiefern die Anknüpfungspunkte realisiert werden können (s.o.).<br />
Die Prozesse der ersten Gruppe sind keinem spezifischen Prozessschritt bei der Nachfragebündelung<br />
<strong>zu</strong><strong>zu</strong>ordnen; stattdessen weisen diese Prozesse allgemein Ähnlichkeit <strong>zu</strong>r Nachfragebündelung<br />
auf. Hier empfiehlt es sich, den Prozess der Nachfragebündelung mit den<br />
Prozessen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> <strong>zu</strong> koordinieren, um red<strong>und</strong>ante Arbeiten <strong>zu</strong> vermeiden bzw.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 65 -<br />
Synergiepotenziale <strong>zu</strong> nutzen. Da die entsprechenden Prozessbeschreibungen in <strong>ITIL</strong> <strong>und</strong><br />
<strong>COBIT</strong> jedoch sehr vage gehalten sind (s.o.), lassen sich ohne nähere Kenntnis der Ausgestaltungen<br />
in den DLZ-IT des B<strong>und</strong>es keine nähere Aussagen hier<strong>zu</strong> treffen.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 66 -<br />
6 Unter<strong>suchung</strong>sbereich organisatorischer Aufbauelemente<br />
Anhand der im vorherigen Abschnitt durchgeführten Betrachtung der Prozesse werden in<br />
diesem Abschnitt Rückschlüsse auf Gemeinsamkeiten <strong>und</strong> Unterschiede im Hinblick auf die<br />
organisatorischen Aufbaustrukturen (insb. Rollen, Funktionen <strong>und</strong> Gremien) der Ansätze<br />
gezogen. Dieser Vergleich soll mögliche Weiterentwicklungen der RA bezüglich ihrer organisatorischen<br />
Einbettung aufdecken. Analog <strong>zu</strong> Abschnitt 5 werden <strong>zu</strong>nächst die aufbauorganisatorischen<br />
Strukturen von <strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong> der RA isoliert betrachtet <strong>und</strong> kurz<br />
vorgestellt. 26 Anschließend werden die Strukturen der RA mit denen von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
gegenübergestellt <strong>und</strong> analysiert.<br />
6.1 Organisatorische Aufbauelemente der RA<br />
Aus den <strong>zu</strong>r Verfügung stehenden Dokumenten insbesondere <strong>zu</strong> den betrachteten Prozessen<br />
lassen sich insgesamt 12 organisatorische Aufbauelemente identifizieren. Diese sind in<br />
Tabelle 6 <strong>zu</strong>sammen mit einer kurzen Beschreibung <strong>und</strong> der Angabe des Typs (Rolle, Gremium)<br />
aufgeführt. Bei der Beschreibung der organisatorischen Aufbauelemente ist <strong>zu</strong> beachten,<br />
dass diese auf einer Dokumentenanalyse beruht. Ob die Rollen bzw. Gremien nach<br />
diesen Beschreibungen arbeiten, wird in dieser Studie nicht betrachtet.<br />
Aufbauelement Kurzbeschreibung Typ<br />
Geschäftsarchitekt<br />
(Ressort)<br />
IT-Beauftragte der B<strong>und</strong>esregierung<br />
(BfIT, B<strong>und</strong>es-<br />
CIO)<br />
Der Geschäftsarchitekt gestaltet die Strukturierung <strong>und</strong> Darstellung<br />
der Aufgaben. Er verwendet da<strong>zu</strong> ein geeignetes, ressortspezifisches<br />
Architekturmodell, das „kompatibel“ <strong>zu</strong>r Rahmenarchitektur sein sollte.<br />
Er gibt Impulse für Verbesserungen der Struktur <strong>und</strong> Organisation<br />
einerseits <strong>und</strong> des Bedarfs an IT-Unterstüt<strong>zu</strong>ng andererseits. Er kennt<br />
die Geschäftsprozesse <strong>und</strong> Nachfragen nach IT-Unterstüt<strong>zu</strong>ng für<br />
seinen Aufgabenbereich insbesondere aus Sicht der Fachabteilungen.<br />
([Methode], S. 9)<br />
Die für Verwaltungsmodernisierung <strong>und</strong> IT <strong>zu</strong>ständige Staatssekretärin<br />
des B<strong>und</strong>esministeriums des Innern übernimmt die Rolle der BfIT.<br />
Sie sitzt dem Rat der IT-Beauftragten sowie der IT-Steuerungsgruppe<br />
vor. Die BfIT hat u. a. folgende Aufgaben im Kontext des B<strong>und</strong>es<br />
([Konzept], S. 7f.):<br />
• Ausarbeitung der E-Government-/ IT- <strong>und</strong> IT-Sicherheitsstrategie<br />
• Entwicklung von Architektur, Standards <strong>und</strong> Methoden für die IT<br />
• Unterstüt<strong>zu</strong>ng des IT-Rats bei der Abstimmung der Angebote der<br />
IT-Dienstleister<br />
• Steuerung des IT-Sicherheitsmanagements auf der Gr<strong>und</strong>lage<br />
der Festlegungen der B<strong>und</strong>esregierung<br />
• Steuerung der Bereitstellung zentraler IT-Infrastrukturen<br />
• Ausarbeitung von vertraglichen Rahmenwerken <strong>und</strong> Leitfäden für<br />
die Beschaffung von IT<br />
Ferner vertritt die BfIT die Interessen des B<strong>und</strong>es im IT-Planungsrat<br />
IT-Planungsrat Der IT-Planungsrat dient der B<strong>und</strong>-Länder-übergreifenden IT-<br />
Steuerung, d.h. der Koordinierung der Zusammenarbeit von B<strong>und</strong> <strong>und</strong><br />
Ländern in Fragen der Informationstechnik. Der B<strong>und</strong> wird im IT-<br />
Planungsrat durch die BfIT vertreten. Die Rahmenarchitektur IT-<br />
Steuerung B<strong>und</strong> fokussiert auf die B<strong>und</strong>esverwaltung, weswegen der<br />
IT-Planungsrat außerhalb der Betrachtung dieser Studie steht, hier<br />
jedoch der Vollständigkeit halber aufgeführt wird.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Rolle<br />
Rolle<br />
Gremium<br />
26 Für eine bessere Lesbarkeit wird bei Bezeichnungen organisatorischer Aufbauelemente durchgängig – mit<br />
Ausnahme der BfIT – die männliche Form verwandt. Die weibliche Form ist selbstverständlich immer mit eingeschlossen.
Abschlussbericht BA-Nr. 0369/10 - 67 -<br />
Aufbauelement Kurzbeschreibung Typ<br />
IT-Steuerungsgruppe<br />
K<strong>und</strong>enmanager<br />
Lösungsarchitekt<br />
Nachfragerbeirat (NFB)<br />
Aufgabe der IT-Steuerungsgruppe des B<strong>und</strong>es ist die Verzahnung von<br />
politischer <strong>und</strong> haushaltsmäßiger IT-Steuerung. Mitglieder der Steuerungsgruppe<br />
sind ([Konzept], S. 6f.):<br />
• die IT-Beauftragte der B<strong>und</strong>esregierung (BfIT),<br />
• der Haushaltsstaatssekretär im B<strong>und</strong>esministeriums der Finanzen,<br />
• der für Informations- <strong>und</strong> Kommunikationstechnik verantwortliche<br />
Staatssekretär im B<strong>und</strong>esministerium für Wirtschaft <strong>und</strong> Technologie<br />
<strong>und</strong><br />
• ein Vertreter des B<strong>und</strong>eskanzleramtes.<br />
Zu den Aufgaben <strong>und</strong> Rechten der IT-Steuerungsgruppe gehören u. a.<br />
• Initiativrecht für Aufträge an den Rat der IT-Beauftragten (z. B.<br />
hinsichtlich Standardfragen, Innovationsvorhaben)<br />
• Einspruchsrecht bei IT-Rahmenkonzepten <strong>und</strong> anderen Maßnahmen<br />
der Ressorts, die den Beschlüssen der IT Steuerungsgruppe<br />
des B<strong>und</strong>es oder des Rates der IT-Beauftragten<br />
widersprechen<br />
• Sofern keine Einigung im Rat der IT Beauftragten möglich ist, gibt<br />
die IT-Steuerungsgruppe nach Konsultation der betroffenen Ressorts<br />
eine Empfehlung für einen Beschluss des Rates der IT-<br />
Beauftragten der Ressorts ab<br />
• Bestätigung des IT-Rahmenkonzepts des B<strong>und</strong>es<br />
• Koordinierung von IT-Großprojekten der öffentlichen Verwaltung<br />
Die K<strong>und</strong>enmanager stellen Ansprechpartner seitens der DLZ-IT des<br />
B<strong>und</strong>es für die K<strong>und</strong>en <strong>und</strong> den Nachfragebeirat da. Sie koordinieren<br />
in diesem Rahmen ([Nachfragebündelung], S. 16):<br />
• die Durchführung von Machbarkeitsprüfungen in den DLZ-IT des<br />
B<strong>und</strong>es,<br />
• die Erstellung von (vorläufigen) Angeboten für Produktentwicklungen<br />
<strong>und</strong> Produktänderungen sowie<br />
• die Erstellung von Produktsteckbriefen im Zuge der Anpassung<br />
des Produktkatalogs<br />
Der Lösungsarchitekt entwirft IT-Lösungen. Der Lösungsarchitekt<br />
sollte Mitarbeiter eines DLZ-IT des B<strong>und</strong>es sein, aber auch über einen<br />
Überblick über die IT-Lösungen der anderen DLZ-IT des B<strong>und</strong>es<br />
verfügen. Er definiert für die IT-Unterstüt<strong>zu</strong>ng von Geschäftsprozessen<br />
IT-Lösungen sowohl aus geschäftlicher / fachlicher als auch aus<br />
technischer Sicht. ([Methode], S. 9). Hier<strong>zu</strong> gehören<br />
• der Entwurf der gesamten Lösungs- <strong>und</strong> Komponentenarchitektur,<br />
• die Abstimmung mit den Bedarfsträgern auf der Gr<strong>und</strong>lage des<br />
Dienstemodells <strong>und</strong><br />
• die Entwicklung von Strategien <strong>zu</strong>r Implementierung <strong>und</strong> Integration<br />
der jeweiligen IT-Lösung.<br />
Der Nachfragerbeirat setzt sich aus den Nachfragekoordinatoren der<br />
Ressorts <strong>zu</strong>sammen. Er ist für die<br />
• Konsolidierung/Bündelung, Priorisierung <strong>und</strong> Darstellung des<br />
ressortübergreifenden<br />
Bedarfskatalog),<br />
IT-Bedarfs / der IT-Nachfrage (IT-<br />
• die Erstellung der Umset<strong>zu</strong>ngsvorgaben (im Wesentlichen Fachanforderungen)<br />
sowie<br />
• deren Umset<strong>zu</strong>ngsplanung<br />
verantwortlich.<br />
Zudem koordiniert der NFB sowohl mit den Ressortvertretern als auch<br />
den Vertretern der DLZ-IT des B<strong>und</strong>es<br />
• die Klärung der Machbarkeit, des Ressourcenbedarfs <strong>und</strong> der<br />
Umset<strong>zu</strong>ngsplanung von ressortübergreifenden IT-Maßnahmen<br />
<strong>und</strong><br />
• die Abstimmung von ressortübergreifenden Produktentwicklungen,<br />
Produktänderungen <strong>und</strong> Produktabkündigungen. ([Nachfragebündelung],<br />
S.15)<br />
Gremium<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Rolle<br />
Rolle<br />
Gremium
Abschlussbericht BA-Nr. 0369/10 - 68 -<br />
Aufbauelement Kurzbeschreibung Typ<br />
Nachfragekoordinator<br />
Ressort<br />
Rat der IT-Beauftragten<br />
(IT-Rat)<br />
IT-Beauftragter für Ressort<br />
(Ressort-CIO)<br />
Team Architekturmanagement<br />
Die Nachfragekoordinatoren sind für die Koordinierung <strong>und</strong> Bündelung<br />
der ressortinternen IT-Nachfrage <strong>zu</strong>ständig. Zudem vertreten sie die<br />
Interessen des jeweiligen Ressorts im Nachfragebeirat. ([Nachfragebündelung],<br />
S. 16)<br />
Der Rat der IT-Beauftragten beschließt die wesentlichen Vorgaben <strong>zu</strong>r<br />
ressortübergreifenden Steuerung der IT des B<strong>und</strong>es. Er setzt sich aus<br />
den IT-Beauftragten der Ressorts <strong>zu</strong>sammen. Vorsitzende des IT-<br />
Rates ist die Beauftragte der B<strong>und</strong>esregierung für Informationstechnik.<br />
Zu den Aufgaben des IT-Rats gehört u. a. ([Konzept], S. 5f.):<br />
• Beschluss einer abgestimmten E-Government- / IT –Strategie <strong>und</strong><br />
einer IT-Sicherheitsstrategie<br />
• Ausrichtung der IT-Strategie auf die Strategie der B<strong>und</strong>esregierung<br />
<strong>zu</strong>r Verwaltungsmodernisierung <strong>und</strong> die vom Ausschuss für<br />
Organisationsfragen (AfO) beschlossenen Modernisierungsprojekte<br />
• (Bündelung der ressortübergreifenden IT-Nachfrage unter Berücksichtigung<br />
der Anforderungen der Organisation) 27<br />
• Entwicklung von Lösungsmodellen für die Gewinnung <strong>und</strong> den<br />
Einsatz von IT-Fachpersonal<br />
• Festlegung der Architektur, Standards <strong>und</strong> Methoden für die IT<br />
der B<strong>und</strong>esverwaltung<br />
• Beschluss des IT-Rahmenkonzepts des B<strong>und</strong>es <strong>und</strong> eines Vorschlages<br />
für die Etatisierung ressortübergreifender Projekte als<br />
Gr<strong>und</strong>lage für die Haushaltsverhandlungen.<br />
• Übergreifendes Portfoliomanagement der DLZ IT des B<strong>und</strong>es<br />
• Neufassung <strong>und</strong> Weiterentwicklung der IT-Richtlinien<br />
• (Weiter-) Entwicklung einheitlicher Projektmanagement-<br />
Standards, -Methoden <strong>und</strong> -Werkzeuge, Bereitstellung eines zentralen<br />
Dienstleistungsangebotes hinsichtlich Projektmanagement-<br />
Unterstüt<strong>zu</strong>ng, Sicherstellung von Qualifizierungsmaßnahmen<br />
(Fortbildung), Externen Projektcontrolling<br />
Jedes Ressort bestellt einen zentralen IT-Beauftragten für das gesamte<br />
Ressort. Er gewährleistet die Übereinstimmung des IT-Einsatzes<br />
mit den politischen, strategischen <strong>und</strong> operativen Zielen des Ressorts<br />
<strong>und</strong> den IT-Festlegungen der B<strong>und</strong>esregierung <strong>und</strong> vertritt die IT<br />
seines Ressorts nach außen. Dabei ist er der jeweiligen Leitung des<br />
Ressorts in dieser Funktion gr<strong>und</strong>sätzlich unmittelbar unterstellt. Zu<br />
den Aufgaben des IT-Beauftragen gehört u. a. ([Konzept], S. 4f.):<br />
• Kontrolle der Umset<strong>zu</strong>ng der Standards, strategischen Zielvorgaben<br />
<strong>und</strong> der Festlegungen des IT-Rats <strong>und</strong> der IT-<br />
•<br />
Steuerungsgruppe des B<strong>und</strong>es.<br />
Gewährleistung der IT-Sicherheit des Ressorts<br />
• Erfolgskontrolle bei wesentlichen IT-relevanten Vorhaben des<br />
Ressorts<br />
• (Bündelung der IT-Nachfrage des Ressorts). 27<br />
• Fachaufsicht über die ressortinternen Anbieter von IT-<br />
•<br />
Dienstleistungen<br />
Konsolidierung der Erbringung der IT-Dienstleistungen innerhalb<br />
des Ressorts<br />
• Mitwirkung bei allen IT-Budgets des gesamten Ressorts<br />
Die konkrete organisatorische Gestaltung <strong>und</strong> Einbettung ist noch<br />
nicht abschließend geklärt. Daher kann das Team als „Platzhalter“ für<br />
ein organisatorisches Aufbauelement verstanden werden, das mit<br />
Aufgaben des Architekturmanagements beauftragt ist ([KoopA], S. 12).<br />
Zurzeit erfolgt dies auf Ebene von Projektgruppen.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Rolle<br />
Gremium<br />
Rolle<br />
Gremium<br />
27<br />
Per IT-Rats-Beschluss wurde diese Aufgabe zwischenzeitlich an die neu eingeführte Rolle „Nachfragekoordinator“<br />
delegiert.
Abschlussbericht BA-Nr. 0369/10 - 69 -<br />
Aufbauelement Kurzbeschreibung Typ<br />
Team IT-Rahmenkonzept Die konkrete organisatorische Gestaltung <strong>und</strong> Einbettung ist noch<br />
nicht abschließend geklärt. Daher kann sie als „Platzhalter“ für ein<br />
organisatorisches Aufbauelement verstanden werden, das mit dem IT-<br />
Rahmenkonzept des B<strong>und</strong>es (bspw. der Fortschreibung) beauftragt ist<br />
([KoopA], S. 12). Zurzeit erfolgt dies auf Ebene von Projektgruppen.<br />
Tabelle 6: Organisatorische Aufbauelemente der RA<br />
Gremium<br />
Die Zusammenhänge zwischen den Rollen, Gremien <strong>und</strong> den in Abschnitt 5.1 beschriebenen<br />
Prozessen der RA werden in vereinfachter Form in Abbildung 20 dargestellt. Dabei<br />
werden folgende Vereinfachungen vorgenommen:<br />
• Es werden nur die beiden für diese Unter<strong>suchung</strong> zentralen Prozesse der Diensteableitung<br />
<strong>und</strong> der Nachfragebündelung in aggregierter Form dargestellt. Zu den übrigen<br />
Prozessen liegen keine ausreichenden Informationen vor.<br />
• Für eine bessere Übersichtlichkeit wird nicht zwischen unterschiedlichen Verantwortlichkeiten<br />
von Rollen <strong>und</strong> Gremien für Prozesse bzw. Aktivitäten innerhalb der Prozesse<br />
unterschieden. Stattdessen wird die Beziehung „beteiligt an“ verwendet.<br />
Genauere Angaben finden sich in den jeweiligen Prozessbeschreibungen.<br />
• Das Ressort X <strong>und</strong> die <strong>zu</strong>gehörigen Rollen stehen stellvertretend für alle Ressorts<br />
des B<strong>und</strong>es.<br />
• Wenn eine Rolle oder ein Gremium auf der Kante einer Organisationseinheit modelliert<br />
wird, so bedeutet dies eine entsprechende Zugehörigkeit <strong>zu</strong> dieser Organisationseinheit,<br />
ohne dass die Beziehung näher spezifiziert wird.<br />
Ressort X<br />
IT-Planungsrat<br />
IT-Beauftragter<br />
Ressort X<br />
Organisationseinheit<br />
<strong>zu</strong>gehörig<br />
Nachfragekoordinator<br />
Geschäftsarchitekt<br />
Vertritt Interessen des B<strong>und</strong>es in<br />
Beteiligt an<br />
Beteiligt an<br />
Rat der IT-<br />
Beauftragten<br />
Nachfragerbeirat<br />
(NFB)<br />
Zugehörig <strong>zu</strong><br />
Mitglied <strong>und</strong> Sprecher von<br />
Beteiligt an<br />
Rolle<br />
IT-Beauftragte der<br />
B<strong>und</strong>esregierung<br />
(BfIT)<br />
Beteiligt an<br />
Beteiligt an<br />
Zusammenwirken<br />
von IT-Angebot<br />
<strong>und</strong> Nachfrage<br />
Ableitung von<br />
Diensten aus<br />
Geschäftsprozessmodellen<br />
Legende<br />
Gremium<br />
Hat Vorsitz von<br />
IT-Steuerungsgruppe<br />
Beteiligt Beteiligt an an<br />
Beteiligt an<br />
Beteiligt an<br />
Team<br />
Architekturmanagement<br />
Team IT-<br />
Rahmenkonzept<br />
IT-Dienstleistungszentren<br />
des B<strong>und</strong>es (DLZ-IT)<br />
Abbildung 20: Identifizierte Rollen <strong>und</strong> Gremien der RA <strong>und</strong> ihre Beteiligung an den zentralen Prozessen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Prozess<br />
K<strong>und</strong>enmanager<br />
Lösungsarchitekt<br />
Beteiligt an Prozess<br />
Steht in<br />
Beziehung <strong>zu</strong><br />
Konkrete<br />
organisatorische<br />
Einbettung noch offen<br />
Konkrete<br />
organisatorische<br />
Einbettung noch offen
Abschlussbericht BA-Nr. 0369/10 - 70 -<br />
6.2 Organisatorische Aufbauelemente der <strong>ITIL</strong><br />
Die Beschreibung der Prozesse in <strong>ITIL</strong> (vgl. Abschnitt 5.2) wird ergänzt um eine Vielzahl<br />
begleitender organisatorischer Aufbauelemente (Rollen <strong>und</strong> Gremien). Aus der Dokumentation<br />
<strong>zu</strong> <strong>ITIL</strong> sind 76 rekonstruierte organisatorische Aufbauelemente in Tabelle 21 in Anhang<br />
M <strong>zu</strong>sammengefasst. Diese Vielzahl an Rollen <strong>und</strong> Gremien ergeben sich aus dem breiten<br />
Spektrum an betrachteten Prozessen <strong>und</strong> organisatorischen Aspekten innerhalb der IT-<br />
Organisation – sowohl in der Breite als auch in der Tiefe.<br />
In <strong>ITIL</strong> finden sich meist keine konkreten Angaben <strong>zu</strong>r Ausgestaltung der funktionalen Aufbauorganisation;<br />
vielmehr beschränkt sich <strong>ITIL</strong> auf eine prozessorientierte Sichtweise <strong>und</strong><br />
die Nennung <strong>und</strong> Beschreibung von Rollen <strong>und</strong> Gremien, die eine IT-Organisation aufweisen<br />
kann bzw. aufweisen sollte. Neben einer kurzen Beschreibung der jeweiligen Ziele, Tätigkeiten<br />
<strong>und</strong> Verantwortungsbereiche werden teilweise auch Beziehungen <strong>zu</strong> anderen Organisationseinheiten<br />
aufgezeigt. Es finden sich jedoch nur vereinzelt Angaben <strong>zu</strong> konkreten Über-<br />
<strong>und</strong> Unterordnungsbeziehungen. In [Service Operation] werden bspw. Vorschläge für eine<br />
mögliche Organisationsgestaltung des Betriebs dargestellt (z. B. lokales, zentrales oder<br />
virtuelles Service Desk). Ein durchgängiges, d.h. prozess- <strong>und</strong> lebenszyklusübergreifendes,<br />
Organisationsmodell ist demnach kein Bestandteil von <strong>ITIL</strong> (siehe da<strong>zu</strong> auch ISACA <strong>und</strong><br />
itSMF 2008, S. 62ff.).<br />
Eine grafische Zuordnung von organisatorischen Aufbauelementen <strong>zu</strong> Prozessen – analog<br />
<strong>zu</strong> Abbildung 20 – erscheint aufgr<strong>und</strong> der hohen Anzahl an Aufbauelementen <strong>und</strong> Prozessen<br />
nicht hilfreich. Vielmehr lässt sich die Vielzahl an beschriebenen Aufbauelementen (teilweise)<br />
durch die Identifikation von zentralen Elementen <strong>und</strong> sich wiederholenden Strukturen<br />
untergliedern: Für nahe<strong>zu</strong> jedes Konzept <strong>und</strong> für jeden Prozess gibt es einen dedizierten<br />
Verantwortlichen. So gibt es etwa für jeden Service-Prozess die Rolle eines Prozess-Owners<br />
<strong>und</strong> die Rolle eines Prozess-Managers. Während erstere eine eher strategische Rolle bezeichnet,<br />
bezieht sich letztere auf eine eher taktisch-operative Rolle.<br />
Die zentralen Elemente der Aufbaustruktur aus <strong>ITIL</strong> sind in Anhang M tabellarisch aufgelistet.<br />
6.3 Organisatorische Aufbauelemente der <strong>COBIT</strong><br />
<strong>COBIT</strong> benennt eine Reihe von Rollen bzw. Funktionen sowohl aus dem Geschäfts- als auch<br />
dem IT-Bereich. Hervor<strong>zu</strong>heben ist in diesem Zusammenhang, dass <strong>COBIT</strong> durch die Verwendung<br />
von RACI-Matrizen nähere Angaben von Verantwortungsbereichen der Rollen/Funktionen<br />
für die einzelnen Aktivitäten der Prozesse macht. Dabei steht RACI für:<br />
responsible (<strong>zu</strong>ständig), accountable (verantwortlich), consulted (konsultiert) <strong>und</strong> informed<br />
(informiert). Darüber hinausgehende Definitionen oder Beschreibungen finden sich jedoch<br />
nur vereinzelt. Einen Überblick über die aus den Prozessen, RACI-Matrizen <strong>und</strong> den Control<br />
Objectives identifizierten Rollen <strong>und</strong> Gremien bietet da<strong>zu</strong> Anhang N.<br />
In <strong>COBIT</strong> finden sich keine definierten Beziehungen i. S. v. Über- <strong>und</strong> Unterordnungsbeziehungen<br />
zwischen den einzelnen Rollen <strong>und</strong> Gremien. Vereinzelt lassen sich diese aus den<br />
Bezeichnungen – verb<strong>und</strong>en mit Interpretationen – rekonstruieren, z. B. die Einordnung von<br />
CEO <strong>und</strong> CIO. Durch die vage gehaltene Spezifikation der Aufbauelemente <strong>und</strong> den fehlenden<br />
dedizierten Beziehungen müssen die beschriebenen Rollen <strong>und</strong> Gremien daher nebeneinander<br />
stehen bleiben. Es kann lediglich eine grobe Unterteilung nach Business- <strong>und</strong> ITorientierten<br />
Elementen <strong>und</strong> einer Unterscheidung unterschiedlicher Hierarchieebenen vorge-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 71 -<br />
nommen werden. Eine entsprechende Darstellung in Verbindung mit interpretierten Beziehungen<br />
findet sich in Abbildung 21.<br />
Hierarchiebene<br />
6.4 Gegenüberstellung<br />
Abbildung 21: Identifizierte Rollen <strong>und</strong> Gremien in <strong>COBIT</strong><br />
Ausgehend von den rekonstruierten organisatorischen Aufbauelementen der RA werden<br />
Ähnlichkeiten, Widersprüche <strong>und</strong> Integrationsmöglichkeiten mit Aufbauelementen aus <strong>ITIL</strong><br />
<strong>und</strong> <strong>COBIT</strong> analysiert. Da<strong>zu</strong> werden die Aufgaben, Beschreibungen <strong>und</strong> Verantwortungsbereiche<br />
der Rollen <strong>und</strong> Gremien aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> vor dem Hintergr<strong>und</strong> der Ziele da RA<br />
interpretiert. Auf dieser Basis werden die Rollen <strong>und</strong> Gremien der RA <strong>und</strong> <strong>ITIL</strong> bzw. <strong>COBIT</strong><br />
in Be<strong>zu</strong>g <strong>zu</strong>einander gesetzt.<br />
Die Gegenüberstellung der in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> vorgeschlagenen organisatorischen Aufbauelemente<br />
mit denen der RA zeigt, dass sich in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> nur bedingt korrespondierende<br />
bzw. ähnliche Rollen <strong>und</strong> Gremien identifizieren lassen. So finden sich i.d.R. auch keine<br />
direkten, d.h. im Sinne eine 1:1-Beziehung, <strong>zu</strong> den Rollen <strong>und</strong> Gremien der RA korrespondierenden<br />
aufbauorganisatorischen Elemente in <strong>ITIL</strong> oder <strong>COBIT</strong>. Es lassen sich vielmehr<br />
Strukturen identifizieren, deren Aufgaben <strong>und</strong> Verantwortungen denen der RA nahe kommen.<br />
Die Gegenüberstellung der Aufbauelemente aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit der RA ist in<br />
Tabelle 7 <strong>zu</strong>sammen mit erklärenden Kommentaren dargestellt. Die Spalte „Quelle“ gibt<br />
dabei an, ob das Element aus <strong>ITIL</strong> oder <strong>COBIT</strong> stammt. Dabei ist die Zuordnung von Aufbauelementen<br />
der RA <strong>zu</strong> Aufbauelementen aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> nicht eindeutig <strong>und</strong> überschneidungsfrei.<br />
So können einerseits <strong>zu</strong> einem Aufbauelement der RA mehrere<br />
Aufbauelemente aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> <strong>zu</strong>geordnet werden, <strong>und</strong> andererseits können Aufbauelemente<br />
aus <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> mehreren Aufbauelementen der RA <strong>zu</strong>geordnet werden. Der<br />
jeweilige Anknüpfungspunkt zwischen den Aufbauelementen wird in der Spalte „Kommentar“<br />
erläutert.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 72 -<br />
Für die Ermittlung der Anschlussfähigkeit ergeben sich folgende vier Heuristiken:<br />
• Anschlussfähigkeit 1: Die Aufgaben <strong>und</strong> Verantwortungsbereiche der betrachteten<br />
Aufbauelemente überlappen sich teilweise. Für die Weiterentwicklung der Rahmenarchitektur<br />
bietet sich an <strong>zu</strong> prüfen, ob es sinnvoll ist, die Abweichungen aus<strong>zu</strong>räumen<br />
(z. B. durch Ausweitung der Aufgaben der jeweiligen Rolle in der RA). Für eine<br />
Anschlussfähigkeit in der praktischen Umset<strong>zu</strong>ng im Sinne der Koordination <strong>und</strong> Abstimmung<br />
zwischen Architekturmanagement <strong>und</strong> etwa den DLZ-IT des B<strong>und</strong>es empfiehlt<br />
sich, die Aufgaben <strong>und</strong> Verantwortungsbereiche zwischen den<br />
Aufbauelementen – sofern die jeweilige Rolle bzw. das jeweilige Gremium aus <strong>ITIL</strong> /<br />
<strong>COBIT</strong> überhaupt praktisch eingesetzt werden – ab<strong>zu</strong>stimmen bzw. klar voneinander<br />
ab<strong>zu</strong>grenzen.<br />
• Anschlussfähigkeit 2: Das betrachtete Aufbauelement der RA existiert in <strong>ITIL</strong> bzw.<br />
<strong>COBIT</strong> nicht. Eine Anschlussfähigkeit ist daher insofern gegeben, als keine Überschneidungen<br />
<strong>und</strong> somit keine Widersprüchen vorliegen.<br />
• Anschlussfähigkeit 3: Das betrachtete Aufbauelement der RA findet sich in <strong>ITIL</strong> bzw.<br />
<strong>COBIT</strong> in wesentlich differenzierterer Form, d.h. die Aufgaben <strong>und</strong> Verantwortungsbereiche<br />
sind ggf. auf mehrere Rollen <strong>und</strong> Gremien aufgeteilt. Für die Weiterentwicklung<br />
der Rahmenarchitektur bietet sich an <strong>zu</strong> prüfen, ob es sinnvoll ist, die<br />
Differenzierungen aus <strong>ITIL</strong>/<strong>COBIT</strong> <strong>zu</strong> übernehmen.<br />
• Anschlussfähigkeit 4: Für einen näheren Vergleich ist das entsprechende Aufbauelement<br />
in <strong>ITIL</strong> bzw. <strong>COBIT</strong> nicht differenziert genug beschrieben. Aussagen <strong>zu</strong>r Anschlussfähigkeit<br />
können somit nicht getätigt werden.<br />
Nr. Aufbauelement RA<br />
1 Geschäftsarchitekt<br />
(Ressort)<br />
gegenübergestelltes<br />
Aufbauelement<br />
Quelle<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
Kommentar<br />
Business-Architect X Der Fokus liegt bei der Rolle „Business-Architekt“<br />
stärker auf Geschäftsprozessen <strong>und</strong> der Organisation<br />
als auf der Betrachtung von Funktionalitäten.<br />
Er entspricht daher der Rolle des<br />
Geschäftsarchitekten nur bedingt. Ein offensichtlicher<br />
Widerspruch ist allerdings nicht aus<strong>zu</strong>machen.<br />
2 IT-Beauftragte der CIO X<br />
Anschlussfähigkeit: 1<br />
Die Rolle des CIO wird in <strong>COBIT</strong> nicht näher<br />
B<strong>und</strong>esregierung<br />
differenziert <strong>und</strong> ist für eine Vielzahl an Prozes-<br />
(BfIT, B<strong>und</strong>es-CIO)<br />
sen verantwortlich <strong>und</strong>/oder rechenschaftspflichtig.<br />
Sie weist daher zwar Parallelen mit den<br />
Rollen BfIT <strong>und</strong> Ressort-CIO der RA auf, ist<br />
jedoch insgesamt nicht differenziert genug.<br />
Anschlussfähigkeit: 4<br />
3 IT-Planungsrat - Zu diesem Gremium findet sich weder in <strong>ITIL</strong><br />
noch in <strong>COBIT</strong> ein näherungsweise ähnliches<br />
Gremium.<br />
Anschlussfähigkeit: 2<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 73 -<br />
Nr. Aufbauelement RA<br />
gegenübergestelltes<br />
Aufbauelement<br />
Quelle<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
Kommentar<br />
4 IT-Steuerungsgruppe IT-Steering Committee X Dieses Gremium – auch als IT-Lenkungsgruppe<br />
bezeichnet – ist u. a. für die Vergabe von Prioritäten<br />
für <strong>und</strong> das Management von Projekten in<br />
Abstimmung mit der Unternehmensstrategie<br />
<strong>zu</strong>ständig. Dies ähnelt der Aufgabe der IT-<br />
Steuerungsgruppe der „Koordinierung von IT-<br />
Großprojekten der öffentlichen Verwaltung“. In<br />
<strong>COBIT</strong> setzt sich das IT Steering Committee aus<br />
Vertretern der Unternehmensleitung, der Kerngeschäftsprozesse<br />
<strong>und</strong> des IT-Managements<br />
<strong>zu</strong>sammen. Dies findet sich in der IT-<br />
Steuerungsgruppe teilweise wieder. Im Hinblick<br />
auf das Management von Projekten bzw. von<br />
Portfolios ist eine Überschneidung mit den<br />
Aufgaben des IT-Rats aus<strong>zu</strong>machen sein.<br />
Anschlussfähigkeit: 1<br />
5 K<strong>und</strong>enmanager - Zu dieser Rolle findet sich weder in <strong>ITIL</strong> noch in<br />
<strong>COBIT</strong> eine näherungsweise ähnliche Rolle.<br />
Anschlussfähigkeit: 2<br />
6 Lösungsarchitekt<br />
IT-<br />
Infrastrukturarchitekt,<br />
Service Design<br />
Manager, Servicearchitekt<br />
X<br />
Die Aufgaben <strong>und</strong> Verantwortlichkeiten des<br />
Lösungsarchitekten finden sich in verschiedenen<br />
Rollen in <strong>ITIL</strong> wieder. Dabei fällt insbesondere<br />
auf, dass die Aufteilung der Zuständigkeiten<br />
zwischen DLZ-IT des B<strong>und</strong>es <strong>und</strong> den Fachbereichen<br />
ggf. durch unterschiedliche Rollen aufgegriffen<br />
werden sollte. So könnte bspw. die Rolle<br />
eines eher technischen Architekten (bspw.<br />
ähnlich <strong>zu</strong>m IT-Infrastrukturarchitekt in <strong>ITIL</strong>) in<br />
den Verantwortungsbereich der DLZ-IT des<br />
B<strong>und</strong>es fallen, während die Rolle des Service<br />
Design Managers, eher in den Bereich des<br />
Architekturmanagements fällt. Der Service<br />
Design Manager ist verantwortlich für die Gesamtkoordination,<br />
die Erstellung <strong>und</strong> die Verwendung<br />
hochwertige Lösungen für Services <strong>und</strong><br />
Prozesse. Dies ähnelt dem Aufgabenspektrum<br />
des Lösungsarchitekten der RA, bewegt sich<br />
aber auf einer eher übergeordneten Ebene. Dies<br />
ließe sich mit der Verantwortlichkeit für den<br />
Prozess der Dienstableitung in Verbindung<br />
bringen.<br />
Ähnliches gilt für den Servicearchitekten.<br />
Anschlussfähigkeit: 3<br />
7 Nachfragebeirat (NFB) - Zu diesem Gremium findet sich weder in <strong>ITIL</strong><br />
noch in <strong>COBIT</strong> ein näherungsweise ähnliches<br />
Gremium.<br />
Anschlussfähigkeit: 2<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 74 -<br />
Nr. Aufbauelement RA<br />
8 Nachfragekoordinator<br />
Ressorts<br />
9 Rat der IT-<br />
Beauftragten (IT-Rat)<br />
Quelle<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
gegenübergestelltes<br />
Aufbauelement<br />
Kommentar<br />
Business Process X Der Business Process Owner ist für die Identifika-<br />
Owner<br />
tion <strong>und</strong> Definition von Anforderungen <strong>zu</strong>ständig.<br />
Der Fokus liegt damit nicht direkt auf der Abstimmung<br />
der Nachfrage, sondern eher auf den<br />
Anforderungen. Darüber hinaus ist der Process<br />
Owner in <strong>COBIT</strong> auch für die Identifikation von<br />
möglichen Risiken <strong>und</strong> der Bewertung von<br />
Entwürfen <strong>zu</strong>ständig. Die Betrachtung von<br />
Risiken mag mit in den Verantwortungsbereich<br />
des Nachfragekoordinators aufgenommen<br />
IT Steering Group X<br />
werden.<br />
Anschlussfähigkeit: 1<br />
Die IT Steering Group soll eine enge Abstimmung<br />
zwischen Strategien <strong>und</strong> Plänen von Business<br />
<strong>und</strong> IT Service Provider sicherstellen. Zu einer IT<br />
Steering Group gehören nach <strong>ITIL</strong> Vertreter des<br />
oberen Managements aus dem Business <strong>und</strong><br />
dem IT Service Provider. Es sind Parallelen <strong>zu</strong>m<br />
IT-Rat <strong>zu</strong> erkennen. Jedoch entspricht die Zusammenset<strong>zu</strong>ng<br />
des IT-Rats nicht der der IT-<br />
Steering Group. Die Abstimmung zwischen<br />
IT Steering Committee X<br />
Diensteabnehmer <strong>und</strong> Diensteerbringer erfordert<br />
jedoch die Berücksichtigung aller beteiligten<br />
Gruppen. Dies sollte bei der Weiterentwicklung<br />
der RA berücksichtigt werden.<br />
Anschlussfähigkeit: 1<br />
Dieses Gremium – auch als IT-Lenkungsgruppe<br />
bezeichnet – ist u. a. für die Vergabe von Prioritäten<br />
für <strong>und</strong> das Management von Projekten in<br />
Abstimmung mit der Unternehmensstrategie<br />
<strong>zu</strong>ständig. Dies ähnelt der Aufgabe des IT-Rats<br />
des „übergreifenden Portfoliomanagements“.<br />
IT Strategy Committee X<br />
Jedoch setzt sich das IT Steering Committee<br />
nach <strong>COBIT</strong> aus Vertretern der Unternehmensleitung,<br />
der Kerngeschäftsprozesse <strong>und</strong> des IT-<br />
Managements <strong>zu</strong>sammen. Dies findet sich im IT-<br />
Rat nicht wieder. Siehe da<strong>zu</strong> auch den Kommentar<br />
<strong>zu</strong>r IT Steering Group. Im Hinblick auf das<br />
Management von Projekten gibt es eine Überschneidung<br />
mit der IT-Steuerungsgruppe.<br />
Anschlussfähigkeit: 3<br />
Die Einhaltung der IT-Strategie in Übereinstimmung<br />
mit der Unternehmensstrategie ist – ähnlich<br />
<strong>zu</strong>m IT-Rat – auch die Aufgabe des IT<br />
Strategy Committes. Darüber hinaus soll das IT<br />
Strategy Committee sicherstellen, dass „IT-<br />
Governance, als Teil der Corporate Governance<br />
angemessen adressiert wird“ ([<strong>COBIT</strong>-DE], S.<br />
46). Dies gehört nicht <strong>zu</strong> den Aufgaben des IT-<br />
Rats, die Relevanz bzw. Auswirkungen der IT-<br />
Governance für die RA ist jedoch ungeklärt.<br />
Anschlussfähigkeit: 3<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 75 -<br />
Nr. Aufbauelement RA<br />
10 IT-Beauftragter für<br />
Ressort (Ressort-CIO)<br />
11 Team Architekturmanagement<br />
12 Team IT-<br />
Rahmenkonzept<br />
gegenübergestelltes<br />
Aufbauelement<br />
Quelle<br />
<strong>ITIL</strong><br />
<strong>COBIT</strong><br />
Kommentar<br />
IT Architecture Board X Das IT Architecture Board ist für Vorgaben für die<br />
Architektur <strong>zu</strong>ständig <strong>und</strong> steuert damit das<br />
Design der IT-Architektur unter Berücksichtigung<br />
der Unternehmensstrategie. Die Aufgaben des IT<br />
Architecture Boards fallen damit in den Verantwortungsbereich<br />
des IT-Rats. Die Zuständigkeiten<br />
des Teams Architekturmanagement der RA<br />
sind diesbezüglich jedoch unklar.<br />
Anschlussfähigkeit: 3<br />
CIO X Siehe BfIT<br />
Chief Architect<br />
X Als Verantwortlicher für die IT-Architektur ist der<br />
Chief Architect in <strong>COBIT</strong> (vermutlich) mit ähnlichen<br />
Aufgaben wie das Team Architekturmanagement<br />
der RA betraut, bspw. dem Erstellen <strong>und</strong><br />
Pflegen von Architekturen <strong>und</strong> der Definition von<br />
Technologie-Standards. Da der genaue Aufgabenbereich<br />
des Teams Architekturmanagement<br />
noch nicht definiert ist, kann keine abschließende<br />
Aussage getroffen werden.<br />
Es liegen keine konkreten Aufgabenbeschreibungen vor.<br />
Tabelle 7: Gegenüberstellung organisatorischer Aufbauelemente<br />
6.5 Schlussfolgerungen <strong>und</strong> Handlungsempfehlungen<br />
Der Frage nach Anschlussfähigkeit <strong>und</strong> Potenzialen einer weiter gehenden Integration der<br />
RA mit <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> mit Blick auf organisatorische Aufbauelemente sind einige Vorüberlegungen<br />
voran <strong>zu</strong> stellen: Aus Sicht der Gutachter sind Rollenmodelle, wie sie die RA, <strong>ITIL</strong><br />
<strong>und</strong> <strong>COBIT</strong> vorsehen, nur in ihrer Gesamtschau sinnvoll <strong>zu</strong> interpretieren, da Rollenabgren<strong>zu</strong>ngen<br />
über Aufgaben <strong>und</strong> Verantwortlichkeiten i. d. R. aufeinander abgestimmt sind <strong>und</strong><br />
nicht einfach aus ihrem Kontext herausgenommen <strong>und</strong> anderweitig eingesetzt werden können.<br />
Eine Rolle ist über ihre Aufgaben <strong>und</strong> Verantwortlichkeiten definiert <strong>und</strong> damit von<br />
anderen Rollen abgegrenzt. Begründungen für die Aufteilung der Aufgaben auf die Rollen<br />
<strong>und</strong> Gremien fehlen sowohl in <strong>ITIL</strong> als auch in <strong>COBIT</strong>. Die Analyse war folglich auf die Aufdeckung<br />
von Ähnlichkeiten bei Aufgaben gerichtet (die RA nimmt derzeit keine durchgängig<br />
verwendete differenzierte Spezifikation von Verantwortlichkeiten vor im Sinne der RACI-<br />
Matrizen aus <strong>COBIT</strong>).<br />
Die Unter<strong>suchung</strong> zeigt, dass eine direkte Zuordnung der aufbauorganisatorischen Elemente<br />
auf entsprechende Pendants in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> im Sinne einer Äquivalenz, d.h. identischen<br />
Aufgaben <strong>und</strong> Verantwortlichkeiten, nicht möglich ist. Zudem spiegeln die Rollen der RA<br />
spezifische organisatorische <strong>und</strong> politische Randbedingungen wider, die in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
nicht berücksichtigt sind. Die Aufgabendefinitionen der Rollen der RA bewegen sich i. d. R.<br />
auf einem differenzierteren Niveau als die Rollenbeschreibungen bei <strong>ITIL</strong>, dagegen ergänzt<br />
<strong>COBIT</strong> differenzierte Verantwortlichkeiten einzelner Rollen für einzelne „Control Objectives“.<br />
H-17 Handlungsempfehlung: Rollenmodell auf Konsistenz <strong>und</strong> Kohärenz prüfen<br />
Es gilt als weitgehender Konsens, dass eine möglichst überschneidungsfreie Aufgabenabgren<strong>zu</strong>ng<br />
<strong>und</strong> eine möglichst präzise Zuordnung von Verantwortlichkeiten zentrale Erfolgs-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 76 -<br />
faktoren für Architekturmanagement-Initiativen darstellen. Zumindest für Rollen <strong>und</strong> Gremien<br />
im Einflussbereich des Architekturmanagements (z. B. Geschäftsarchitekt) sollte daher sorgfältig<br />
überprüft werden, ob die Aufgaben hinreichend präzise <strong>und</strong> möglichst vollständig beschrieben<br />
sind <strong>und</strong> ggfs. ergänzend angeführt ist, was dezidiert nicht Aufgabe einer Rolle<br />
oder eines Gremiums ist, um Missverständnissen entgegen <strong>zu</strong> wirken. Dafür erscheint die<br />
Zusammenarbeit mit der <strong>zu</strong>ständigen Organisationsabteilung unabdingbar. Die Entscheidung<br />
über Aufgaben <strong>und</strong> Verantwortlichkeiten einer Rolle bzw. eines Gremiums ist letztlich<br />
Aufgabe der Organisationsspitze <strong>und</strong> nach unserem Dafürhalten nicht delegierbar. Die Entscheidung<br />
ist eng verknüpft mit der Frage nach Governance-Regeln <strong>und</strong> der Frage, welches<br />
Gremium diese Regeln vorgibt <strong>und</strong> welches Gremiums ihre Einhaltung überwacht bzw.<br />
welche Rolle ihre Einhaltung sicherstellt.<br />
H-18 Handlungsempfehlung: Rollenmodell der RA um weitere Rollen ergänzen<br />
Unabhängig von der Konzeptualisierung in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> empfiehlt es sich aus Sicht der<br />
Gutachter, das Rollenmodell der RA um weitere Rollen <strong>zu</strong> erweitern. Dabei können Rollen<br />
aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> als Anregungen dienen. Eine solche Ergän<strong>zu</strong>ng wäre die Rolle des<br />
Dienste-Verantwortlichen, die in <strong>ITIL</strong> mit der Rolle des Service-Managers eine eindeutige<br />
Verantwortlichkeit für einen Dienst bestimmt, um einen definierten Ansprechpartner für K<strong>und</strong>en<br />
<strong>und</strong> Mitarbeiter der IT-Organisation <strong>zu</strong> haben. Da in <strong>ITIL</strong> vielfach auf diese Rolle verwiesen<br />
wird <strong>und</strong> sie eine zentrale Bedeutung innerhalb der <strong>ITIL</strong> hat, empfiehlt es sich, bei der<br />
Ergän<strong>zu</strong>ng des Rollenmodells der RA die Konzeptualisierung in <strong>ITIL</strong> sorgfältig <strong>zu</strong> prüfen.<br />
In ähnlicher Weise bestimmt <strong>ITIL</strong> für jedes IT-Artefakt (einen Dienst, eine konkrete IT-<br />
Lösung, eine Hardware) einen Verantwortlichen, also z. B. ein Verantwortlicher für den<br />
Dienst „Kontoaus<strong>zu</strong>g drucken“. Ebenso definiert <strong>ITIL</strong> für jeden Prozess einen Prozess-<br />
Verantwortlichen. Demnach könnte bspw. die Methode der Diensteableitung oder der Prozess<br />
Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage eindeutig einem Verantwortlichen<br />
<strong>zu</strong>gewiesen werden, der die Durchführung <strong>und</strong> die Weiterentwicklung der Methode bzw. des<br />
Prozesses anleitet, koordiniert <strong>und</strong> verantwortet.<br />
Die zentrale Rolle, die Architekturen <strong>und</strong> Architekturmodelle in der RA einnehmen, bzw.<br />
einnehmen werden, sollte auch im Rollenmodell berücksichtigt werden. Mit der Unterscheidung<br />
zwischen Business-Architekt, Service-Architekt <strong>und</strong> IT-Infrastrukturachitekt bietet <strong>ITIL</strong><br />
eine recht differenzierte Struktur, auf die ggf. <strong>zu</strong>rückgegriffen werden kann ([Design] 2008, S.<br />
42). Darüber hinaus sollte es klare Strukturen für die Freigabe <strong>und</strong> Überwachung von Änderungen<br />
an zentralen Elementen <strong>und</strong> Abstraktionen der RA, bzw. des Dienstekatalogs geben.<br />
Ebenso kann geprüft werden, inwiefern die Rolle des Chief Architects aus <strong>COBIT</strong> in der<br />
B<strong>und</strong>esverwaltung konkretisiert ist. Ggf. kann die Rolle des Chief Architects für die weitere<br />
Ausgestaltung des Teams Architekturmanagement herangezogen werden.<br />
Darüber hinaus finden sich in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> keine dedizierten Rollen <strong>und</strong> Gremien, die das<br />
Architekturmanagement betreffen.<br />
H-19 Handlungsempfehlung: Verantwortlichkeiten ergänzen<br />
Das Rollenmodell der RA kennt kein differenziertes Verantwortlichkeitskonzept, wodurch<br />
Zuständigkeiten unklar bleiben, die für das Architekturmanagement von hoher Bedeutung<br />
sein sollten. So ist z. B. unklar, wer für die Pflege <strong>und</strong> Entwicklung der Architekturen bzw.<br />
Modelle verantwortlich ist, wer Änderungen an ihnen gegenzeichnen muss oder welches<br />
Gremium ein Projektmanagement verantwortet.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 77 -<br />
Gleichzeitig ist aus Sicht der Gutachter mit dem gegenwärtigen Aufgabenspektrum des IT-<br />
Rats, der für Angebot <strong>und</strong> Nachfrage <strong>zu</strong>ständig <strong>zu</strong> sein scheint, die Gefahr verb<strong>und</strong>en, dass<br />
die angestrebte klare Trennung in Anbieter <strong>und</strong> Nachfrager von IT-Leistungen aufgeweicht<br />
wird. Mit Blick auf die in <strong>COBIT</strong> betonte Ordnungsmäßigkeit der Rechnungslegung stehen<br />
Fragen der Ausübung von Kontrolle im Gegensatz <strong>zu</strong>r Ausübung von Entscheidung <strong>und</strong><br />
Verantwortung. Unter diesem Gesichtspunkt erscheint die Rolle des Ressort-CIO derzeit<br />
sowohl das Regelwerk <strong>zu</strong> formulieren (als mögliches Mitglied im IT-Rat) als auch seine<br />
Einhaltung <strong>zu</strong> prüfen, was in Revisionskreisen aus bekannten Gründen (Interessenkonflikte<br />
usw.) nicht akzeptabel ist.<br />
Die mit der Änderung an Verantwortlichkeiten verb<strong>und</strong>enen organisatorischen Fragen stehen<br />
allerdings außerhalb der RA. Die RA könnte durch ein differenziertes Verantwortlichkeitskonzept<br />
allerdings eine wertvolle Hilfestellung bei der Analyse von derartigen Fragestellungen<br />
geben. Aus Sicht der Gutachter sind daher Rollen <strong>und</strong> Gremien um Verantwortlichkeiten <strong>zu</strong><br />
ergänzen. Dabei sollte sich allerdings nicht auf die aus dem Auditing stammende Konzeptualisierung<br />
der RACI-Matrizen aus <strong>COBIT</strong> beschränkt werden (4 Verantwortlichkeiten). Vielmehr<br />
sollte ein eigenes, durchaus differenzierteres Konzept entworfen werden, das an den<br />
Zielen der IT-Steuerung B<strong>und</strong> <strong>und</strong> an den besonderen Rahmenbedingungen der RA (Ressorthoheit,<br />
übergeordnete Planungs- <strong>und</strong> Haushaltsprozesse, etc.) ausgerichtet ist <strong>und</strong> ggfs.<br />
deutlich mehr Verantwortlichkeiten unterscheidet (z. B. „betrifft nachgelagerte Behörde“, „ist<br />
abhängig von“).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 78 -<br />
7 Schlussbetrachtung <strong>und</strong> Handlungsoptionen<br />
Die Ergebnisse der vorliegenden Unter<strong>suchung</strong> deuten gr<strong>und</strong>sätzlich eine Anschlussfähigkeit<br />
der RA an <strong>ITIL</strong> bzw. <strong>COBIT</strong> an, da sich keine gr<strong>und</strong>legende Diskrepanzen, bspw. in<br />
Form von Widersprüchen, identifizieren ließen <strong>und</strong> die Analyse zeigt, dass die drei Ansätze<br />
unterschiedliche Bereiche des IT-Managements auf unterschiedlichem Abstraktionsniveau<br />
<strong>und</strong> mit verschiedenen Mitteln (Instrumente, Artefakte, Strukturen) adressieren. Es liegt also<br />
nahe <strong>zu</strong> vermuten, dass nicht nur eine prinzipielle Anschlussfähigkeit besteht, sondern sich<br />
die RA <strong>und</strong> <strong>ITIL</strong> bzw. <strong>COBIT</strong> mithin gegenseitig ergänzen: Während <strong>ITIL</strong> beschreibt, welche<br />
organisatorischen Strukturen (Prozesse, Organisationseinheiten) auf IT-Seite auf<strong>zu</strong>bauen<br />
sind <strong>und</strong> <strong>COBIT</strong> dediziert auf Verantwortlichkeiten der Organisationseinheiten in den Prozessen<br />
der IT-Organisation eingeht, stellt die RA ein Instrument <strong>zu</strong>r Abstimmung von Angebot<br />
<strong>und</strong> Nachfrage an IT-Diensten dar; von der konkreten Implementierung <strong>und</strong> Erbringung<br />
von IT-Diensten – dem IT-Betrieb – wird bewusst abstrahiert. Sie beschränkt sich dabei auf<br />
die Identifikation von Diensten, sowohl aus Geschäfts- als auch aus IT-Sicht. Eine Integration<br />
der RA <strong>und</strong> der <strong>ITIL</strong> stellt darüber hinaus sogar noch in Aussicht, die auf die IT-Perspektive<br />
ausgerichtete <strong>ITIL</strong> an die Perspektive der Geschäftsseite weiter an<strong>zu</strong>schließen <strong>und</strong> damit<br />
einen <strong>zu</strong>sätzlichen Beitrag für eine Perspektiven- (<strong>und</strong> Ressort-) übergreifende Kommunikation<br />
<strong>zu</strong> leisten. <strong>COBIT</strong> verspricht in diesem Zusammenhang durch die Betonung der Ausrichtung<br />
der IT an den Zielen der Geschäftsseite („Control Objectives“) <strong>und</strong> durch die<br />
Beurteilung der Zielerreichung (Kennzahlen, Risiken, Reifegradmodelle) eine bessere Abstimmung<br />
zwischen IT-Seite <strong>und</strong> Geschäftsseite.<br />
Die RA kann ihre intendierte Wirkung allerdings nur dann entfalten, wenn sie breit eingeführt<br />
wird <strong>und</strong> als gemeinsame Referenz aller B<strong>und</strong>esbehörden Anwendung findet. Da<strong>zu</strong> gehört<br />
auch, dass sie im Zeitverlauf weiterentwickelt wird. Der mit der Einführung <strong>und</strong> Pflege der RA<br />
verb<strong>und</strong>ene Aufwand ist erheblich. Es ist deshalb angeraten, frühzeitig kritische Erfolgsfaktoren<br />
<strong>zu</strong> identifizieren, um ggfs. geeignete Anpassungen vornehmen <strong>zu</strong> können. Vorausset<strong>zu</strong>ng<br />
für die Integration der RA mit <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> sind übereinstimmende oder<br />
anschlussfähige inhaltliche Referenzsysteme – also übereinstimmende oder anschlussfähige<br />
sprachliche Strukturen <strong>und</strong> Konzepte. Bevor allerdings über die, mit hohem Aufwand verb<strong>und</strong>ene,<br />
Weiterentwicklung der RA <strong>und</strong> eines gemeinsamen Referenzsystems entschieden<br />
wird, sind folgende gr<strong>und</strong>sätzliche Fragen <strong>zu</strong> klären:<br />
1. Ist eine spätere Zertifizierung der IT-Organisationen z. B. nach internationalen Normen<br />
wie ISO/IEC 20000-1:2005 angestrebt? Falls eine solche Zertifizierung angestrebt<br />
wird, engt sich der Spielraum bei der Integration der RA mit <strong>ITIL</strong> bzw. <strong>COBIT</strong><br />
deutlich ein: Es sind dann die Anforderungen an die Zertifizierung sorgfältig <strong>zu</strong> prüfen,<br />
wobei davon aus<strong>zu</strong>gehen ist, dass eine eigenbestimmte, vergleichsweise freie<br />
Adaption der Rahmenwerke nicht mehr möglich sein wird.<br />
2. Wie sinnvoll ist es, einzelne Ziele, Konzepte, Prozesse, Aufbauelemente aus <strong>ITIL</strong> <strong>und</strong><br />
<strong>COBIT</strong> isoliert <strong>und</strong> ggf. ohne Adaption <strong>zu</strong> übernehmen? Nach Ansicht der Gutachter<br />
erscheint es wenig sinnvoll, wahlfrei Konzepte, Prozesse, Aufbauelemente aus <strong>ITIL</strong><br />
<strong>und</strong> <strong>COBIT</strong> ohne entsprechende Anpassungen <strong>zu</strong> übernehmen. Vielmehr sollten, wie<br />
in der vorliegenden Studie mehrfach vorgeschlagen, die Elemente in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
als Ideengeber <strong>und</strong> Anregungen interpretiert werden, um eigene Verfeinerungen dort<br />
vorgeschlagener Ziele, Konzepte, Prozesse <strong>und</strong> Aufbauelemente <strong>zu</strong> entwickeln. Dies<br />
gilt insbesondere dann, wenn eine spätere Zertifizierung nicht angestrebt wird.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 79 -<br />
3. Damit verb<strong>und</strong>en ist unmittelbar die Frage, wie fein granular man die Ansätze zerlegen<br />
kann, ohne ihnen „Unrecht“ <strong>zu</strong> tun. Anders gewendet: Welche „Teile“ lassen sich<br />
sinnvoll herausgreifen? Die Studie diskutiert da<strong>zu</strong> sowohl positive Beispiele (etwa<br />
hinsichtlich der Ziele Kontinuität <strong>und</strong> Ordnungsmäßigkeit der Rechnungslegung) als<br />
auch negative Beispiele (etwa die Zerlegung von Rollen in einzelne Aufgaben, die als<br />
nicht sinnvoll eingeschätzt wird). Hier ist eine Prüfung im Einzelfall erforderlich. Eine<br />
pauschale Empfehlung ist nicht möglich.<br />
4. Letztlich steht damit auch die Frage in Zusammenhang, inwieweit <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> an<br />
organisationsspezifische Eigenheiten angepasst werden können, ohne gegen ihren<br />
„Geist“ <strong>zu</strong> verstoßen. Diesbezüglich lässt sich feststellen, dass <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> an die<br />
individuellen Organisationserfordernisse angepasst werden müssen <strong>und</strong> sollen, jedoch<br />
da<strong>zu</strong> keine Anleitungen enthalten. Der dadurch entstehende Spielraum wird vor<br />
allem von einschlägig tätigen Beratungsfirmen <strong>und</strong> Softwareanbietern genutzt, um eigene<br />
Produkte <strong>zu</strong> platzieren (siehe da<strong>zu</strong> z. B. van Bon 2009). Nach Einschät<strong>zu</strong>ng der<br />
Gutachter ist diese Situation äußerst bedenklich, da <strong>zu</strong> vermuten ist, dass nicht eine<br />
sorgfältig entwickelte konzeptuelle Gr<strong>und</strong>lage im Vordergr<strong>und</strong> der Investition stehen<br />
wird, sondern eine werkzeuggetriebene, möglichst kostengünstige <strong>und</strong> vor allem<br />
schnell ein<strong>zu</strong>setzende Lösung – mit problematischen Konsequenzen für ihre langfristige<br />
Tragfähigkeit.<br />
5. Gr<strong>und</strong>sätzlich ist <strong>zu</strong>dem aus Sicht der Gutachter <strong>zu</strong> hinterfragen <strong>und</strong> intensiv <strong>zu</strong> diskutieren,<br />
aus welchen Gründen eine Orientierung der B<strong>und</strong>esbehörden dieses Landes<br />
an Ansätzen aus der ausländischen Praxis überhaupt erfolgen sollte. Dies gilt vor<br />
allem für <strong>COBIT</strong>, in Teilen auch für <strong>ITIL</strong>. Die Verbreitung der Ansätze ist dabei <strong>zu</strong> relativieren.<br />
Nach Angaben in Marrone <strong>und</strong> Kolbe (2011), S. 5 schätzt das IT Governance<br />
Institute – vermutlich überaus optimistisch – das <strong>ITIL</strong> einen Verbreitungsgrad<br />
von r<strong>und</strong> 25 Prozent <strong>und</strong> <strong>COBIT</strong> von r<strong>und</strong> 14 Prozent aufweist. Es ist also bei Weitem<br />
nicht so, dass jenseits dieser Ansätze keine anderen Lösungen existieren würden.<br />
Vor diesem Hintergr<strong>und</strong> empfiehlt sich nach unserer Einschät<strong>zu</strong>ng der verstärkte<br />
Austausch mit Behörden anderer (EU-) Staaten mit dem Ziel gegenseitige Anregungen<br />
aus<strong>zu</strong>tauschen <strong>und</strong> länderspezifische Eigenheiten <strong>zu</strong> identifizieren, um darauf<br />
aufbauend eine eigene Lösung <strong>zu</strong> entwickeln.<br />
6. Damit ist die spezifische Frage verb<strong>und</strong>en, ob <strong>COBIT</strong> überhaupt für eine deutsche<br />
B<strong>und</strong>esbehörde geeignet ist. Es ist <strong>zu</strong> berücksichtigen, dass <strong>COBIT</strong> auf dem U.S.amerikanischen<br />
Rechtsformenverständnis von Körperschaften aufbaut <strong>und</strong> als Folge<br />
des aus dem U.S.-amerikanischen Rechtsraum stammenden Sarbanes-Oxley-Act<br />
von 2002 entstanden ist. Inwiefern für deutsche B<strong>und</strong>esbehörden eine solche rechtliche<br />
Gr<strong>und</strong>lage vertretbar/sinnvoll/geeignet sein mag, ist durch den Bedarfsträger <strong>zu</strong><br />
klären. Eine Integration von RA <strong>und</strong> <strong>COBIT</strong> in ausgewählten, vom <strong>zu</strong>gr<strong>und</strong>eliegenden<br />
Rechtsverständnis weitgehend unabhängigen Aspekten verspricht eine sinnvolle Ergän<strong>zu</strong>ng<br />
der RA <strong>zu</strong> liefern. Hier ist <strong>zu</strong>m Beispiel an das Konzept der internen Kontrolle<br />
gedacht, das sich in nahe<strong>zu</strong> übereinstimmender Form auch in den Regelungen des<br />
Instituts der Wirtschaftsprüfer (IDW) wiederfindet (z. B. im Prüfungsstandard IDW PS<br />
261 §3.1.2.1). Da allerdings nicht davon aus<strong>zu</strong>gehen ist, dass diese Regelungen für<br />
B<strong>und</strong>esbehörden Geltung beanspruchen, ist gr<strong>und</strong>sätzlich <strong>zu</strong> fragen, auf welcher Basis<br />
<strong>und</strong> in welcher Form die als sehr relevante <strong>und</strong> bedeutend eingeschätzte Frage<br />
nach Revision, Kontrolle <strong>und</strong> der Sicherstellung der Einhaltung von rechtlichen Vorschriften<br />
in die RA einfließen sollte (muss).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 80 -<br />
Handlungsoptionen<br />
Im Hinblick auf <strong>zu</strong>künftige Handlungsoptionen sind die folgenden Kernergebnisse von zentraler<br />
Bedeutung:<br />
1. Ziele von <strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong> der Rahmenarchitektur überschneiden sich teilweise, bieten<br />
aber eine Reihe von Ansatzpunkten für eine sinnvolle gegenseitige Ergän<strong>zu</strong>ng.<br />
2. Die Konzepte, Prozesse <strong>und</strong> Organisationsstrukturen von <strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong> der Rahmenarchitektur<br />
sind gr<strong>und</strong>sätzlich anschlussfähig. Dabei ist allerdings <strong>zu</strong> berücksichtigen,<br />
dass sich die jeweils verwendeten Begriffe hinsichtlich des Abstraktionsniveaus<br />
<strong>und</strong> der Bedeutung <strong>zu</strong>m Teil deutlich, <strong>zu</strong>m Teil subtil unterscheiden.<br />
3. Die organisationsweite Nut<strong>zu</strong>ng der drei Rahmenwerke empfiehlt eine Integration im<br />
Sinne einer einheitlichen Begrifflichkeit, da sonst Friktionen <strong>zu</strong> erwarten sind. Diese<br />
Integration betrifft auch Prozesse <strong>und</strong> Organisationsstrukturen.<br />
4. Die drei betrachteten Rahmenwerke fokussieren vor allem auf eine zielgerichtete<br />
Strukturierung des komplexen Gegenstands IT-Management sowie verschiedener mit<br />
ihm verknüpften Facetten (u. a. IT-Auditing, IT-Risikomanagement, IT-Controlling).<br />
Die erfolgreiche Einführung <strong>und</strong> Nut<strong>zu</strong>ng eines Rahmenwerks erfordert allerdings ergänzend<br />
flankierende Maßnahmen. Sie betreffen die Organisationskultur, insbesondere<br />
den Stellenwert der IT, die Qualifikation von Mitarbeitern in IT <strong>und</strong><br />
Fachabteilungen sowie die Gestaltung effektiver Anreizsysteme.<br />
Für die weitere Entwicklung ergeben sich verschiedene Handlungsoptionen, die sich hinsichtlich<br />
ihrer Zielset<strong>zu</strong>ng, des Aufwands <strong>und</strong> des <strong>zu</strong> realisierenden Nutzens deutlich unterscheiden.<br />
Sie werden im Folgenden anhand dreier prototypischer Optionen skizziert.<br />
Konsolidierende Angleichung: Die drei Rahmenwerke werden soweit <strong>zu</strong>sammengeführt,<br />
dass die Begrifflichkeiten <strong>zu</strong>mindest in den Schnittstellenbereichen vereinheitlicht werden.<br />
Auf diese Weise können die betroffenen Akteure das für ihre Domäne am besten geeignete<br />
Rahmenwerk verwenden. Gleichzeitig wird die wichtige domänenübergreifende Kommunikation<br />
<strong>und</strong> Kooperation unterstützt.<br />
Vorteile: Die Umset<strong>zu</strong>ng kann mit relativ geringem Aufwand erfolgen. Bisherige Investitionen<br />
in <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> (vor allem: Qualifikationsmaßnahmen, Zertifizierungen, Werkzeuge) bleiben<br />
weitgehend geschützt. Zudem ist am Arbeitsmarkt eine wachsende Zahl einschlägig<br />
qualifizierter Arbeitskräfte verfügbar. Unter der Vorausset<strong>zu</strong>ng, dass <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> bereits<br />
eine nennenswerte Akzeptanz erfahren, ist mit relativ geringen Widerständen <strong>zu</strong> rechnen.<br />
Risiken: Da <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> weitgehend beibehalten bleiben, werden ihre spezifischen<br />
Schwächen zementiert. Die Angleichung nur über gemeinsame Schnittstellenbegriffe ist<br />
<strong>zu</strong>dem mit der Gefahr verb<strong>und</strong>en, dass die drei Rahmenwerke sich jeweils weitgehend unabhängig<br />
voneinander entwickeln – sowohl in Be<strong>zu</strong>g auf die Ziele, Konzepte <strong>und</strong> Maßnahmen<br />
wie auch im Hinblick der jeweils mitschwingenden spezifischen Fachkulturen. Es<br />
besteht deshalb das Risiko, dass die intendierte Förderung einer engen <strong>und</strong> weitgehend<br />
reibungslosen Zusammenarbeit misslingt – nicht <strong>zu</strong>letzt besteht das Risiko, das die vorausgesetzte<br />
Vereinheitlichung der Terminologien nicht in angemessenem Maße vor<strong>zu</strong>nehmen<br />
ist <strong>und</strong> die begriffliche Integration scheitert.<br />
Integration: Die drei Rahmenwerke werden umfassend integriert. Da<strong>zu</strong> wird ein gemeinsames<br />
Zielsystem erstellt, das die Zusammenhänge zwischen den Zielen der einzelnen Rahmenwerke<br />
verdeutlicht. Zudem werden die Terminologien weitgehend in eine gemeinsame<br />
Referenzterminologie überführt. Prozesse, Vorgehensmodelle <strong>und</strong> Referenzhandlungsmuster<br />
werden in einheitlicher Struktur beschrieben <strong>und</strong> tragen durch Referenzen auf Elemente<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 81 -<br />
aller jeweils brauchbaren Rahmenwerke <strong>zu</strong> deren Integration bei. Die drei Rahmenwerke<br />
bleiben in ihren gr<strong>und</strong>legenden Konturen erhalten. Es kann aber bei einzelnen Konzepten <strong>zu</strong><br />
deutlichen Änderungen kommen.<br />
Vorteile: Die Integration der drei Rahmenwerke in ein gemeinsames Rahmenwerk fördert<br />
eine konsistente, kohärente, besser verständliche <strong>und</strong> damit effizientere Nut<strong>zu</strong>ng. Gleichzeitig<br />
können auf diese Weise Unebenheiten <strong>und</strong> Schwächen von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> ausgeglichen<br />
werden. Das gemeinsame Rahmenwerk kann allen aus verschiedenen Blickwinkeln<br />
von am IT-Management beteiligten oder von ihm betroffenen Akteuren als gemeinsame<br />
Orientierung dienen, wodurch effizienzmindernden Partikularrationalitäten 28 entgegengewirkt<br />
<strong>und</strong> auch ein Beitrag <strong>zu</strong> einer domänenübergreifenden, gemeinsame Ziele betonenden<br />
Organisationskultur geleistet wird. Damit ist auch eine günstigere Vorausset<strong>zu</strong>ng für den<br />
Entwurf zielführender <strong>und</strong> konsistenter Anreizsysteme geschaffen.<br />
Risiken: Die Integration der drei Rahmenwerke erfordert eine Abstraktion auf längerfristig<br />
tragfähige gemeinsame Konzepte. Dies ist <strong>zu</strong>m einen mit einem erheblichen Aufwand verb<strong>und</strong>en,<br />
der den Einsatz entsprechend qualifizierter Fachkräfte erfordert. Zum anderen birgt<br />
die Integration das Risiko, dass die auch für die Zukunft <strong>zu</strong> erwartende isolierte Weiterentwicklung<br />
von <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> einen mehr oder weniger großen Anpassungsaufwand mit sich<br />
bringt – jedenfalls dann, wenn die Anschlussfähigkeit an beide Rahmenwerke erhalten bleiben<br />
soll.<br />
Assimilierte IT: <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> basieren auf der Annahme, dass die Rolle des IT-<br />
Managements vor allem darin besteht, organisatorische Handlungssysteme effektiv <strong>und</strong><br />
effizient <strong>zu</strong> unterstützen. Eine solche Interpretation der Rolle von IT in Organisationen erscheint<br />
<strong>zu</strong>nächst ausgesprochen sinnvoll. Zum einen erscheint es angemessen, die Ziele<br />
einer Organisation in den Vordergr<strong>und</strong> <strong>zu</strong> stellen. Zum anderen wird damit auch ein kultureller<br />
Wandel befördert: Weg von technikaffinen Akteuren, die gegenüber den Zielen einer<br />
Organisation weitgehend indifferent sind <strong>und</strong> nach Maßgabe eigener „hidden agendas“<br />
handeln, hin <strong>zu</strong> verantwortungsbewussten Dienstleistern, die ihre Ziele <strong>und</strong> Maßnahmen an<br />
den übergeordneten Organisationzielen ausrichten. Eine solche Trennung der Belange ist<br />
ein wirksames Mittel <strong>zu</strong>r Bewältigung von Komplexität <strong>und</strong> hat sich in der gesamtwirtschaftlichen<br />
Arbeitsteilung bewährt.<br />
Dessen ungeachtet gibt es gute Gründe dafür, der IT im Allgemeinen, dem IT-Management<br />
im Besonderen einen höheren Stellenwert in einer Organisation bei<strong>zu</strong>messen. Zum einen<br />
sind Handlungskomplexe in Organisationen mehr <strong>und</strong> mehr von IT durchdrungen. Die Bedeutung<br />
eines zielgerichteten Einsatzes von IT für die Leistungsfähigkeit von Organisationen<br />
wird also weiter <strong>zu</strong>nehmen. Die Nut<strong>zu</strong>ng der Potentiale von IT erfordert i.d.R. eine Reorganisation<br />
von Handlungssystemen oder – anders gewendet – eine gegenseitige Anpassung.<br />
Die strategische Planung sollte frühzeitig die Chancen – <strong>und</strong> Bedrohungen – sehen, die die<br />
Verfügbarkeit neuer Technologien mit sich bringt (hier sei etwa an biometrische Verfahren<br />
oder soziale Netzwerke gedacht). Um dies <strong>zu</strong> erreichen, ist eine enge Verzahnung von IT<br />
28 BMI: Gemeint ist hier die Tatsache, dass sich bei einer Intransparenz von <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> sowie dessen<br />
Vagheiten unterschiedliche Wissensstände bei den beteiligten Akteuren ergeben. Mit diesen unterschiedlichen<br />
Wissensständen können die Akteure ihre eigenen Interessen auf Kosten anderer Akteure durchsetzen.<br />
Beispiel: Ein Beratungshaus, das <strong>ITIL</strong> in der B<strong>und</strong>esverwaltung einführt, könnte sich sein Wissen <strong>zu</strong> Nutze<br />
machen, um beispielsweise ein bestimmtes <strong>ITIL</strong> Werkzeug ein<strong>zu</strong>führen <strong>und</strong> daraus möglicherweise Anschlussbeauftragungen<br />
<strong>zu</strong> realisieren. Durch die Intransparenz der <strong>ITIL</strong> Entstehung <strong>und</strong> der dort enthaltenden Vagheiten<br />
kann die B<strong>und</strong>esverwaltung nur eingeschränkt dieser Situation vorbeugen.<br />
Die skizzierte Situation führt möglicherweise <strong>zu</strong>r Effizienzminderung auf Seiten der B<strong>und</strong>esverwaltung.<br />
Bei der hier vorgeschlagenen Integration von <strong>ITIL</strong>, <strong>COBIT</strong> <strong>und</strong> der RA erlangt die B<strong>und</strong>esverwaltung tiefgründiges<br />
Wissen über <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> <strong>und</strong> kann somit deren Integration in die RA besser steuern.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 82 -<br />
<strong>und</strong> Handlungssystem bzw. eine enge Kooperation von IT-Verantwortlichen, fachlich Verantwortlichen<br />
<strong>und</strong> der Organisationsspitze erforderlich. Eine solche Kooperation empfiehlt<br />
eine elaborierte methodische Unterstüt<strong>zu</strong>ng. Als Gr<strong>und</strong>lage dafür sind insbesondere Unternehmensmodelle<br />
<strong>und</strong> damit verb<strong>und</strong>en, Unternehmensarchitekturen geeignet. Sie integrieren<br />
Modelle des IT-Systems (z. B. Komponentenmodelle, IT-Infrastrukturmodelle,<br />
Objektmodelle) mit Modellen des Handlungssystems (z. B. Geschäftsprozessmodellen,<br />
Ressourcenmodelle). Damit fördern Unternehmensmodelle eine zielgerichtete Kooperation<br />
durch die gemeinsame Berücksichtigung von IT <strong>und</strong> Handlungssystem. Gleichzeitig unterstützen<br />
sie spezielle professionelle Perspektiven 29 , da einzelne Modelle (bzw. die korrespondierenden<br />
Fachsprachen) jenseits einer gemeinsamen Sprachebene weiter verfeinert<br />
werden können.<br />
Abbildung 22 illustriert den Aufbau eines Unternehmensmodells mit Abstraktionen für das IT-<br />
Management. Durch die Ergän<strong>zu</strong>ng von Vorgehensmodellen für bestimmte Problemklassen<br />
wird <strong>zu</strong>dem die Konzeption <strong>und</strong> Nut<strong>zu</strong>ng von Methoden gefördert. Die Qualität der Zusammenarbeit<br />
wird darüber hinaus durch eine Organisationskultur befördert, die von gemeinsamer<br />
Verantwortung für das Wohl der Organisation <strong>und</strong> einer hohen gegenseitigen<br />
Wertschät<strong>zu</strong>ng geprägt ist.<br />
29 BMI: Mit Perspektive ist hier die Sichtweise der Akteure unterschiedlicher Gruppen gemeint. Ein Organisator<br />
hat in der Regel eine andere Sichtweise als ein IT-Experte. Beide Akteure haben unterschiedliche Perspektiven,<br />
die jeweils auch verschiedene Fachsprachen haben können.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 83 -<br />
Abbildung 22: Beispielhafter Aufbau eines Unternehmensmodells (eigene Darstellung)<br />
Vorteile: Die Assimilation der IT-Verantwortlichen unterstützt einen organisatorischen Wandel,<br />
der zielgerichtet <strong>und</strong> frühzeitig die Potentiale der IT nutzt. Die Aufwertung der Rolle der<br />
IT wirkt den heute noch weit verbreiteten Friktionen entgegen, die durch isolierte Zielsysteme<br />
<strong>und</strong> Fachkulturen verursacht sind. Langfristig trägt sie da<strong>zu</strong> bei, dass IT ein im Wortsinn<br />
selbstverständlicher Bestandteil einer Organisation wird, dessen Grenzen <strong>und</strong> Möglichkeiten<br />
auch denjenigen bewusst sind, die nicht unmittelbar mit der Gestaltung <strong>und</strong> dem Management<br />
von IT befasst sind. Ein multiperspektivisches Unternehmensmodell bietet damit die<br />
Chance, Wissen über eine Organisation (<strong>und</strong> ihre IT) zentral auf<strong>zu</strong>bewahren <strong>und</strong> vielen<br />
Akteuren in geeigneter Form <strong>zu</strong>gänglich <strong>zu</strong> machen.<br />
Risiken: Der mit der Entwicklung, Einführung <strong>und</strong> Pflege eines elaborierten Unternehmensmodells<br />
verb<strong>und</strong>ene Aufwand ist beträchtlich. Die sinnvolle Nut<strong>zu</strong>ng eines Unternehmensmodells<br />
setzt geeignete Werkzeuge voraus, wodurch ergänzender Aufwand für die Auswahl<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 84 -<br />
<strong>und</strong> ggfs. Entwicklung erforderlich ist. Zurzeit gibt es noch keine etablierten Standards für<br />
Sprachen der Unternehmensmodellierung – mit entsprechenden Konsequenzen für den<br />
Investitionsschutz.<br />
Mögliche Konsequenzen aus den Handlungsoptionen<br />
Während die Handlungsoption „assimilierte IT“ die größten Potentiale verspricht, ist ihre<br />
Realisation mit Hilfe elaborierter Unternehmensmodelle auch mit den größten Risiken verb<strong>und</strong>en.<br />
Dabei ist allerdings <strong>zu</strong> berücksichtigen, dass ein Unternehmensmodell in verschiedenen,<br />
aufeinander aufbauenden Evolutionsschritten erfolgen kann. So kann sich ein erstes<br />
Modell auf ein rudimentäres Zielsystem der Organisation, daran anknüpfende Geschäftsprozessmodelle<br />
sowie korrespondierende Modelle des IT-Systems (Anwendungslandschaft,<br />
Service-Modell) beschränken. Anschließend kann das Modell bei Bedarf erweitert <strong>und</strong> verfeinert<br />
werden.<br />
Vor dem Hintergr<strong>und</strong> der Annahme, dass <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> weiterhin eine wichtige Referenz<br />
darstellen sollen, können die dargestellten Handlungsoptionen auch als Gr<strong>und</strong>lage für eine<br />
noch <strong>zu</strong> entwickelnde, evolutionäre Strategie verwendet werden. Dabei ist es wichtig, dass<br />
beim Anstreben einer frühen Stufe – wie „konsolidierte Angleichung“ – wesentliche Aspekte<br />
der nachfolgenden Stufe bereits berücksichtigt werden, um eine spätere Weiterentwicklung<br />
nicht übermäßig <strong>zu</strong> behindern.<br />
Die Evolutionsstufen können an ein internes Qualifikationsprogramm <strong>und</strong> damit verb<strong>und</strong>ene<br />
Anreize gekoppelt werden, um die sukzessive Weiterbildung der Mitarbeiter <strong>zu</strong> fördern.<br />
Damit gehen positive Auswirkungen auf eine von kompetenten Wissensträgern geprägte<br />
Organisationskultur einher, die allerdings auch <strong>zu</strong>nehmenden Abwerbungsversuchen durch<br />
die Industrie unterliegen könnten.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 85 -<br />
Referenzierte Literatur<br />
Böttcher 2010 Böttcher, R. (2010): IT-Servicemanagement mit <strong>ITIL</strong> V3. 2.<br />
aktualisierte Auflage, Heise, Hannover.<br />
Frank 2000 Frank, U. (2000): Evaluation von Artefakten in der Wirtschaftsinformatik.<br />
In: Irene Häntschel <strong>und</strong> Lutz Heinrich (Hrsg.): Evaluation<br />
<strong>und</strong> Evaluationsforschung in der Wirtschaftsinformatik,<br />
Oldenbourg, München, S. 35-48.<br />
Frank 2006 Frank, U. (2006): Towards a pluralistic conception of research<br />
methods in information systems research. ICB-Research Report<br />
No. 7, Institute for Computer Science and Business Information<br />
Systems (ICB), Duisburg-Essen University, Essen.<br />
Gaulke 2010 Gaulke, M. (2010): Praxiswissen <strong>COBIT</strong> - Val IT - Risk IT:<br />
Gr<strong>und</strong>lagen <strong>und</strong> praktische Anwendung für die IT-Governance.<br />
1. Aufl., dpunkt-Verl., Heidelberg.<br />
ISACA <strong>und</strong> itSMF 2008 ISACA; itSMF (2008): <strong>ITIL</strong>-Cobit-Mapping: Gemeinsamkeiten<br />
<strong>und</strong> Unterschiede der IT-Standards. Symposion Publishing<br />
GmbH<br />
ISACA 2008 Information Systems Audit and Control Association (ISACA)<br />
(Hrsg.) (2008): Enterprise Value: Governance of IT Investments<br />
- The Val IT Framework 2.0, Rolling Meadows.<br />
ISACA 2009 Information Systems Audit and Control Association (ISACA)<br />
(Hrsg.) (2009): The Risk IT Framework, Rolling Meadows.<br />
ITGI 2007a IT Governance Institute (ITGI) (Hrsg.) (2007a): <strong>COBIT</strong> Control<br />
Practices: Guidance to achieve control objectives for successful<br />
IT-Governance. 2nd. Edition, Rolling Meadows.<br />
ITGI 2007b IT Governance Institute (ITGI) (Hrsg.) (2007b): <strong>COBIT</strong> Mapping:<br />
Mapping of <strong>ITIL</strong> With <strong>COBIT</strong> 4.0, Rolling Meadows.<br />
ITGI 2008 IT Governance Institute (ITGI) (Hrsg.) (2008): <strong>COBIT</strong> Mapping:<br />
Mapping of <strong>ITIL</strong> v3 With <strong>COBIT</strong> 4.1, Rolling Meadows.<br />
Krcmar 2005 Krcmar, H. (2005) Informationsmanagement, 4. Auflage, Springer,<br />
Berlin,<br />
Lorenz 1995 Lorenz, K. (1995) Methode. In: Mittelstraß J (Hrsg) Enzyklopädie<br />
Philosophie <strong>und</strong> Wissenschaftstheorie. J. B. Metzeler, Stuttgart,<br />
S 876–879<br />
Marrone <strong>und</strong> Kolbe 2011 Marrone, M. <strong>und</strong> Kolbe, L. (2011): Einfluss von IT-Service-<br />
Management-Frameworks auf die IT-Organisation: Eine empirische<br />
Studie <strong>zu</strong> Vorteilen, Herausforderungen <strong>und</strong> Prozessen.<br />
In: WIRTSCHAFTSINFORMATIK, 53. Jg., Nr. 1, S. 5-19.<br />
Roelcke 2010 Roelcke, T. (2010): Fachsprachen. 3. Auflage, ESV Verlag,<br />
Berlin.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 86 -<br />
Strecker 2009 Strecker, S. (2009): Ein Kommentar <strong>zu</strong>r Diskussion um Begriff<br />
<strong>und</strong> Verständnis der IT-Governance: Anregungen <strong>zu</strong> einer kritischen<br />
Reflexion. ICB-Research Report No. 36, Institute for<br />
Computer Science and Business Information Systems (ICB),<br />
Universität Duisburg-Essen, Essen<br />
Strecker ea. 2010 Strecker, S.; Frank, U.; Heise, D. (2010): Toward modeling<br />
constructs for audit risk assessment: Reflections on internal<br />
controls modeling. In: Modellierung betrieblicher Informationssysteme<br />
(MobIS 2010) : Modellgestütztes Management. Dresden,<br />
S. 131-148.<br />
van Bon 2009 van Bon, J. (Hrsg.) (2009): Fo<strong>und</strong>ations in IT Service Management<br />
basierend auf <strong>ITIL</strong> V3, Van Haren, Zaltbommel.<br />
von Hahn 1998 von Hahn, W. (1998): Vagheit bei der Verwendung von Fachsprachen.<br />
In: Hoffmann, L.; Kalverkämper, H.; Wiegand, H. E.<br />
(Hrsg.): Fachsprachen. De Gruyter, Berlin, S. 378–382.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 87 -<br />
Anhang A Liste der Handlungsempfehlungen<br />
Im Folgenden werden alle Handlungsempfehlungen noch einmal <strong>zu</strong>sammengefasst, die in<br />
Unter<strong>suchung</strong>sbereichen Ziele, Konzepte, Prozesse <strong>und</strong> organisatorische Aufbauelemente<br />
(Kapitel 3–6) beschrieben wurden. Die Liste dient allein der praktischen Arbeit <strong>und</strong> darf nicht<br />
getrennt von den inhaltlichen Kapiteln betrachtet werden.<br />
Nummer<br />
(Seite)<br />
Empfehlung Kurzbeschreibung<br />
Handlungsempfehlungen aus dem Unter<strong>suchung</strong>sbereich Ziele<br />
H-1 (S. 23) Zieldissonanzen deutlicher thematisieren<br />
Die Beziehungen zwischen den Zielen sollte vor allem im<br />
Hinblick sich widersprechender Ziele weiter präzisiert<br />
werden. Weiterhin sollten politische Ziel in das Zielmodell<br />
aufgenommen werden.<br />
H-2 (S. 24) Ziele operationalisieren Ziele sollten durch die Zuordnung von Maßnahmen <strong>und</strong><br />
Kennzahlen konkretisiert <strong>und</strong> messbar gemacht werden.<br />
H-3 (S. 24) Zielsystem präzisieren Die Zieldefinitionen sollten konkretisiert werden. Das<br />
betrifft insbesondere die Ziele Handlungsfähigkeit, Effizienz,<br />
Effektivität <strong>und</strong> Wirtschaftlichkeit (Anpassung an den<br />
Sprachgebrauch), das strategische Handlungsfeld „Handlungsfähigkeit“<br />
(im Allgemeinen kein übergeordnetes Ziel)<br />
<strong>und</strong> „schneller IT-Service“ (vage Definition).<br />
H-4 (S. 25) Zielsystem um weitere Ziele<br />
ergänzen<br />
Handlungsempfehlungen aus dem Unter<strong>suchung</strong>sbereich Konzepte<br />
H-5 (S. 46) Potenziale eines gemeinsamen<br />
begrifflichen (semantischen)<br />
Referenzsystems ausbauen <strong>und</strong><br />
ausschöpfen<br />
H-6 (S. 47) Zentrales Konzept „Dienst“ weiterentwickeln<br />
H-7 (S. 47) Weitere Konzepte gezielt in die RA<br />
aufnehmen<br />
Handlungsempfehlungen aus dem Unter<strong>suchung</strong>sbereich Prozesse<br />
H-8 (S. 57) Zusammenhänge<br />
Prozessen verdeutlichen<br />
zwischen<br />
H-9 (S. 57) Prozesse in einheitlicher Struktur<br />
beschreiben<br />
H-10 (S. 57) Prozessbeschreibungen<br />
weitere Aspekte ergänzen<br />
um<br />
H-11(S. 58) Grafische Visualisierungen auf<br />
Typebene ausbauen<br />
Das Zielsystem sollte um Ziele aus <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong><br />
ergänzt werden. Da<strong>zu</strong> zählen K<strong>und</strong>enorientierung, Kontinuität,<br />
Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung,<br />
Kommunikation, Mitarbeiterkompetenz,<br />
Risikotransparenz, Zufriedenstellende Lieferantenbeziehungen,<br />
sowie Termin- <strong>und</strong> budgetgerechte Projekte.<br />
Das Glossar sollte verfeinert, ausgebaut <strong>und</strong> durch ein<br />
Metamodell präzisiert werden. Weiterhin sollte das Architekturmanagement<br />
durch ein entsprechendes Werkzeug<br />
unterstützt werden. Dieses Werkzeug sollte auf dem<br />
vorgenannten Metamodell beruhen.<br />
Die Unterscheidung zwischen Diensteinstanzen <strong>und</strong><br />
Dienstetypen sollte geprüft werden. Weiterhin sollte die<br />
Abgren<strong>zu</strong>ng der durch IT bereitgestellten Dienste <strong>und</strong><br />
denjenigen Diensten, die nicht von IT bereitgestellt werden,<br />
überdacht werden.<br />
Konzepte aus <strong>ITIL</strong> (z.B. Servicekatalog, vertragliche<br />
Vereinbarung) <strong>und</strong> aus <strong>COBIT</strong> (Control Objective, Audit,<br />
Risiko, Personal, Verantwortlichkeit, Reifegrad, Domäne)<br />
sollten in das Glossar/Metamodell aufgenommen werden.<br />
Zusammenhänge zwischen den bestehenden Prozessen<br />
der Rahmenarchitektur sollten verdeutlicht werden.<br />
Prozesse der Rahmenarchitektur sollten in einer einheitlichen<br />
Modellierungssprache beschrieben werden.<br />
Die Prozesse der Rahmenarchitektur sollten um die<br />
Konzepte Reifegrad, Kennzahl, Risiko, Auslöser, Key<br />
Performance Indicator ergänzt werden.<br />
Die grafischen Notationen der Rahmenarchitektur sollten<br />
bei einer Integration mit <strong>ITIL</strong> <strong>und</strong> <strong>COBIT</strong> auf die in diesen<br />
Rahmenwerken enthaltenen Sachverhalte ausgedehnt<br />
werden.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 88 -<br />
Nummer<br />
(Seite)<br />
H-12 (S. 58) Einbe<strong>zu</strong>g von Beteiligten <strong>und</strong><br />
Betroffenen betonen<br />
Empfehlung Kurzbeschreibung<br />
H-13 (S. 58) Untersuchte Prozesse präzisieren Siehe H-14–H-16<br />
H-14 (S. 59) Gremium für Entscheidung des<br />
ressortinternen bzw. ressortübergreifenden<br />
Diensteangebots<br />
H-15 (S. 59) Identifikation „vergleichbarer<br />
Funktionalitäten“ systematisieren<br />
H-16 (S. 59) Weiterentwicklung des Prozesses<br />
„Ableitung von Diensten aus<br />
Geschäftsprozessen“<br />
Die betroffenen Akteure der IT-Steuerung B<strong>und</strong> sowie der<br />
DLZ-IT des B<strong>und</strong>es sollten als Rollen an den Prozessen<br />
der RA notiert werden, sodass ihre Mitwirkung in den<br />
jeweiligen Prozessen geklärt ist.<br />
Es sollte ein Gremium eingerichtet werden, das klar<br />
darüber entscheiden kann, ob Dienste ressortintern oder<br />
ressortübergreifend erbracht werden (Prozess Ableitung<br />
von Diensten aus Geschäftsprozessen).<br />
Es sollten klare Kriterien oder Leitfäden definiert werden,<br />
die den Vergleich von Funktionalitäten systematisieren <strong>und</strong><br />
anleiten (Prozess Ableitung von Diensten aus Geschäftsprozessen).<br />
Der Prozess „Ableitung von Diensten aus Geschäftsprozessen“<br />
sollten durch Elemente von <strong>COBIT</strong> & <strong>ITIL</strong> angereichert<br />
werden.<br />
Handlungsempfehlungen aus dem Unter<strong>suchung</strong>sbereich Organisatorische Aufbauelemente<br />
H-17 (S. 75) Rollenmodell auf Konsistenz <strong>und</strong><br />
Kohärenz prüfen<br />
H-18 (S. 76) Rollenmodell der RA um weitere<br />
Rollen ergänzen<br />
Die Rollen <strong>und</strong> Gremien im Einflussbereich des Architekturmanagements<br />
sollten auf Überschneidungsfreiheit <strong>und</strong><br />
Vollständigkeit ihrer Beschreibung geprüft werden.<br />
Das Rollenmodell sollte um die Rollen „Dienste-<br />
Verantwortlicher“, „Methodenverantwortlicher“, „Geschäftsarchitekt“,<br />
„Servicearchitekt“, „IT-<br />
Infrastrukturarchitekt“ <strong>und</strong> „Chief Architect“.<br />
H-19 (S. 76) Verantwortlichkeiten ergänzen Die Zuständigkeiten der einzelnen Rollen sollten durch ein<br />
klares Verantwortlichkeitskonzept ergänzt <strong>und</strong> präzisiert<br />
werden.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 89 -<br />
Anhang B Gr<strong>und</strong>lagen der Studie: Quellenangaben 30<br />
Die folgenden Dokumente bilden die Gr<strong>und</strong>lage für die vorliegende Unter<strong>suchung</strong>.<br />
[Anlage1a]<br />
Abkür<strong>zu</strong>ng Quelle<br />
Auf- <strong>und</strong> Ausbau DLZ-IT des B<strong>und</strong>es – Eckpunkte Prozesse Stufe 1,<br />
der Projektgruppe Umset<strong>zu</strong>ng Auf- <strong>und</strong> Ausbau DLZ-IT des B<strong>und</strong>es<br />
[Arbeitsteam] IT-Steuerung B<strong>und</strong>, Projektgruppe „Rahmenarchitektur“, Arbeitsteam<br />
Gr<strong>und</strong>lagen, Arbeitsteamsit<strong>zu</strong>ng, 15. September 2010, DRV B<strong>und</strong>,<br />
Berlin, Fassung mit Änderungen aus der Sit<strong>zu</strong>ng, Präsentation.<br />
[Brussels] The Architecture Framework for Federal IT Governance SOA and EAM<br />
for German Federal Administration, Dr. Christian Mrugalla, German<br />
Federal Ministry of the Interior, Division Federal IT-Governance, Brussels,<br />
Feb 17, 2010, Service Oriented Architecture pushed to the limit in<br />
eGovernment, Präsentation.<br />
[<strong>COBIT</strong>] IT Governance Institute (Hrsg.) (2007): <strong>COBIT</strong> 4.1 - Control Objectives,<br />
Management Guidelines, Maturity Models, Rolling Meadows<br />
[<strong>COBIT</strong>-DE] IT Governance Institute (Hrsg.) (2005): <strong>COBIT</strong> 4.0 – Deutsche Ausgabe,<br />
Control Objectives, Management Guidelines, Maturity Models,<br />
Rolling Meadows (aus dem Original “<strong>COBIT</strong> 4.0 wurde im Original vom<br />
IT Governance Institute in englischer Sprache publiziert. Für die Überset<strong>zu</strong>ng<br />
in die deutsche Sprache zeichnet KPMG Österreich in Wien<br />
verantwortlich. Die exklusive Genehmigung <strong>zu</strong>r Überset<strong>zu</strong>ng wurde<br />
vom IT Governance Institute erteilt”.)<br />
[Diskussionsgr<strong>und</strong>lage] Frank, U.; Strecker, S.; Heise, D.; Kattenstroth, H.: Vorläufiger Zwischenbericht<br />
(Diskussionsgr<strong>und</strong>lage) <strong>zu</strong>r Wissenschaftlichen Unter<strong>suchung</strong><br />
<strong>zu</strong>r „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der<br />
Rahmenarchitektur IT-Steuerung B<strong>und</strong>“, Universität Duisburg-Essen.<br />
[DLZ-IT_Anlage] Anlage <strong>zu</strong>m Beschluss Nr. 48/2010 des Rates der IT-Beauftragten,<br />
Abschlussbericht Stufe 1 der Projektgruppe Umset<strong>zu</strong>ng Auf- <strong>und</strong><br />
Ausbau DLZ-IT des B<strong>und</strong>es<br />
[Gr<strong>und</strong>lagen] Rahmenarchitektur IT-Steuerung B<strong>und</strong> – Gr<strong>und</strong>lagen, Soll-<br />
[Konzept]<br />
Beschreibung <strong>und</strong> Maßnahmen, Laufzeit: 30. Juni 2008 bis 31. Dezember<br />
2011.<br />
IT-Steuerung B<strong>und</strong> - Konzept des B<strong>und</strong>esministeriums des Innern <strong>und</strong><br />
des B<strong>und</strong>esministeriums der Finanzen<br />
[KoopA] Rahmenarchitektur IT-Steuerung B<strong>und</strong>, Einen Schritt weiter…, Dr.<br />
Christian Mrugalla, BMI, Referat IT 2; KoopA ADV, Erfahrungsaustausch,<br />
Münster, Präsentation.<br />
[Metamodell] Metamodell <strong>zu</strong>r RA, Version vom 11.11.2010, <strong>zu</strong>r Verfügung gestellt<br />
von Dr. Andreas Gehlert im Kick-Off-Workshop <strong>zu</strong>r vorliegenden<br />
Unter<strong>suchung</strong><br />
[Methode] Rahmenarchitektur IT-Steuerung B<strong>und</strong> - Methode <strong>zu</strong>r Ableitung von<br />
Diensten aus Geschäftsprozessen, BMI, Referat IT 2.<br />
[Nachfragebündelung] Prozess – Zusammenwirken von IT-Angebot <strong>und</strong> IT-Nachfrage, Arbeitspapier<br />
der Projektgruppe Umset<strong>zu</strong>ng Auf- <strong>und</strong> Ausbau DLZ-IT des<br />
B<strong>und</strong>es.<br />
[Service Design] Office of Government Commerce (OGC) (2008): Service Design. TSO<br />
(The Stationery Office), London.<br />
[Continual Service<br />
Improvement]<br />
Office of Government Commerce (OGC) (2007): Continual Service<br />
Improvement. TSO (The Stationery Office), London.<br />
[Service Operation] Office of Government Commerce (OGC) (2007): Service Operation.<br />
TSO (The Stationery Office), London.<br />
[Service Strategy] Office of Government Commerce (OGC) (2007): Service Strategy. TSO<br />
(The Stationery Office), Norwich.<br />
Stand<br />
(Version)<br />
04.05.2010<br />
(V 1.0)<br />
17.09.2010<br />
17.02.2011<br />
11.11.2010<br />
V 1.0<br />
31.05.2010<br />
(V 1.0)<br />
20.06.2008<br />
(V 1.0)<br />
ohne Datum<br />
12.03.2010<br />
11.11.2010<br />
09.03.2010<br />
(V 1.0)<br />
08.12.2010<br />
(V 0.17)<br />
30 Die Beiden Quellen [Konzept] <strong>und</strong> [Umset<strong>zu</strong>ngsplan] wurden im Kick-Off-Meeting ausgegrenzt. Daher werden<br />
sie bei der Rekonstruktion der RA nicht näher berücksichtigt. Da sie jedoch Hintergr<strong>und</strong>informationen liefern<br />
werden sie hier der Vollständigkeit halber aufgeführt.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 90 -<br />
Abkür<strong>zu</strong>ng Quelle<br />
[Service Transition] Office of Government Commerce (OGC) (2007): Service Transition.<br />
TSO (The Stationery Office), London.<br />
[Soll-Bebauungsplan] PLANUNGSINSTRUMENTE DER IT-STEUERUNG BUND, STRUK-<br />
TUR SOLL-BEBAUUNGSPLANUNG FÜR DIE RAHMENARCHITEK-<br />
TUR IT-STEUERUNG BUND.<br />
[Umset<strong>zu</strong>ngsplan] Umset<strong>zu</strong>ngsplan IT-Steuerung B<strong>und</strong>, Soll-Beschreibung <strong>und</strong> Maßnahmen<br />
Laufzeit: 30. Juni 2008 bis 31. Dezember 2011.<br />
[Ziele] Ziele einer möglichen IT Strategie der B<strong>und</strong>esverwaltung – Arbeitsstand.<br />
[Zielmodellierung] Dokumentation der Methoden der Rahmenarchitektur IT-Steuerung<br />
B<strong>und</strong> – Zielmodellierung, Andreas Gehlert, BMI, Referat IT 2<br />
[Zwischenbericht] Frank, U.; Strecker, S.; Heise, D.; Kattenstroth, H.: Zwischenbericht <strong>zu</strong>r<br />
Wissenschaftlichen Unter<strong>suchung</strong> <strong>zu</strong>r „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong><br />
Standards mit der Rahmenarchitektur IT-Steuerung B<strong>und</strong>“, Universität<br />
Duisburg-Essen.<br />
Tabelle 8: Dokumente, die der Rekonstruktion der RA <strong>zu</strong>gr<strong>und</strong>e liegen<br />
Stand<br />
(Version)<br />
15.07.2010<br />
(V 1.0)<br />
20.06.2008<br />
(V 1.0)<br />
13.10.2010<br />
V 0.2.8<br />
21.12.2010<br />
(1. Entwurf)<br />
07.12.2010<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 91 -<br />
Anhang C <strong>ITIL</strong>-Prozesse <strong>und</strong> ihre Zielset<strong>zu</strong>ngen<br />
Die nachfolgende Auflistung repräsentiert das Ergebnis der Analyse der <strong>ITIL</strong>-Publikationen<br />
im Hinblick auf die Ziele, die <strong>zu</strong> den jeweiligen Prozessen entweder explizit genannt werden<br />
oder aus den Prozessbeschreibungen, den verwendeten Konzepten <strong>und</strong> den Richtlinien der<br />
Prozesse abgeleitet werden können. Gr<strong>und</strong>lage der Analyse ist die Original-Dokumentation<br />
<strong>zu</strong> <strong>ITIL</strong> der OGC; <strong>zu</strong>r Überprüfung der Zielanalyse wird unterstützend auf <strong>zu</strong>sätzliche Fachliteratur,<br />
die <strong>zu</strong>m Teil von der OGC <strong>und</strong> von internationalen <strong>und</strong> nationalen Interessensvertretungen<br />
wie dem itSMF geprüft <strong>und</strong> befürwortet ist, <strong>zu</strong>rückgegriffen (z. B. von Bon 2009).<br />
<strong>ITIL</strong>-Publikation<br />
Service Design<br />
Effektivität<br />
<strong>ITIL</strong>-Prozess<br />
Service<br />
Catalogue<br />
Management<br />
Kurzbeschreibung Verfolgte Ziele<br />
Service Level<br />
Management<br />
Capacity<br />
Management<br />
Availability<br />
Management<br />
„Stellt sicher, dass ein Servicekatalog<br />
erstellt <strong>und</strong> gepflegt<br />
wird, der exakte<br />
Informationen <strong>zu</strong> allen operativen<br />
Services <strong>und</strong> <strong>zu</strong> den<br />
Services, deren operativer<br />
Betrieb vorbereitet wird,<br />
enthält“<br />
Effizienz<br />
Fachliche Integration<br />
Angebotstransparenz<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Zuverlässigkeit<br />
Stabilität<br />
Zielt auf die Unterstüt<strong>zu</strong>ng X X X X<br />
der Abstimmung (1) des<br />
Einsatzes von Services auf<br />
die Geschäftsprozesse <strong>und</strong><br />
(2) der Service-Ziele auf die<br />
Anforderungen <strong>und</strong> Erwartung<br />
des K<strong>und</strong>en<br />
„Verhandelt, vereinbart <strong>und</strong> Zielt auf die Abstimmung<br />
dokumentiert die geeigneten <strong>und</strong> Einhaltung der Service-<br />
IT Service Ziele mit Vertretern Ziele auf die Anforderungen<br />
des Business. Anschließend <strong>und</strong> Erwartung des K<strong>und</strong>en<br />
wird die Fähigkeit des Service<br />
Providers <strong>zu</strong>r Bereitstellung<br />
des vereinbarten Service<br />
Levels überwacht <strong>und</strong> entsprechende<br />
Berichte erstellt.“<br />
„Stellt sicher, dass in allen Zielt auf die Sicherstellung<br />
Bereichen der IT stets zeitnah – mit Blick auf die Kapazität<br />
eine wirtschaftliche <strong>und</strong> auf –effizienter, stabiler <strong>und</strong><br />
die vereinbarten aktuellen <strong>und</strong> <strong>zu</strong>verlässiger Services<br />
<strong>zu</strong>künftigen Business-<br />
Bedürfnisse abgestimmte IT-<br />
Kapazität verfügbar ist.“<br />
„Stellt sicher, dass der Level Zielt auf die Sicherstellung<br />
an Serviceverfügbarkeit bei – mit Blick auf die Verfüg-<br />
allen Services unter Berückbarkeit – effizienter, stabiler<br />
sichtigung der Wirtschaftlich- <strong>und</strong> <strong>zu</strong>verlässiger Services<br />
keit die aktuell <strong>und</strong> <strong>zu</strong>künftig<br />
vereinbarten Business-<br />
Bedürfnisse erfüllt oder<br />
übertrifft.“<br />
X X<br />
X X X<br />
X X X<br />
Optimierung<br />
Schneller IT-Service<br />
Transparenz für IT-Spez.<br />
Sicherheit<br />
Kontinuität
Abschlussbericht BA-Nr. 0369/10 - 92 -<br />
<strong>ITIL</strong>-Publikation<br />
Service Strategy<br />
Effektivität<br />
<strong>ITIL</strong>-Prozess Kurzbeschreibung Verfolgte Ziele<br />
IT Service „Stellt sicher, dass die erfor- Zielt auf die Gewährleis-<br />
Continuity derlichen technischen <strong>und</strong> tung der Kontinuität der IT-<br />
Management servicebasierten IT- Leistungserstellung<br />
Einrichtungen (einschließlich<br />
Computersystemen, Netzwerken,<br />
Anwendungen, Daten-<br />
Repositories, Telekommunikation,<br />
Umgebung, Technical<br />
Support <strong>und</strong> Service Desk)<br />
innerhalb des vom Business<br />
geforderten <strong>und</strong> mit ihm<br />
vereinbarten Zeitrahmens<br />
wieder voll einsatzfähig sind.“<br />
Information<br />
Security<br />
Management<br />
Supplier<br />
Management<br />
Service<br />
Portfolio<br />
Management<br />
Demand<br />
Management<br />
Effizienz<br />
Fachliche Integration<br />
Angebotstransparenz<br />
„Stimmt die IT-Sicherheit auf Zielt auf die Sicherstellung<br />
die Business-Sicherheit ab, der Sicherheit von Daten<br />
damit die Informationssicherheit<br />
für alle Service- <strong>und</strong><br />
Service Management Aktivitäten<br />
effektiv verwaltet <strong>und</strong><br />
gesteuert werden kann.“<br />
„Verwaltet <strong>und</strong> steuert die Zielt auf die Sicherstellung X X<br />
Supplier <strong>und</strong> die von ihnen (1) effizienter sowie an (2)<br />
angebotenen Services, um K<strong>und</strong>enerwartungen<br />
dem Business nahtlos IT ausgerichteter Fremd-<br />
Services hoher Qualität bei Services<br />
einem optimalen Kosten-<br />
Nutzen-Verhältnis <strong>zu</strong>r Verfügung<br />
stellen <strong>zu</strong> können.“<br />
Dieser Prozess dient der Zielt auf die Gestaltung des X X<br />
Bereitstellung eines Service- Service-Angebots auf die<br />
angebots in Form eines Bedürfnisse des K<strong>und</strong>en<br />
Serviceportfolios, das sowohl<br />
den aktuellen als auch den<br />
<strong>zu</strong>künftigen Anforderungen<br />
der K<strong>und</strong>en genügt. Da<strong>zu</strong><br />
werden sowohl strategische<br />
als auch fachliche Anforderungen<br />
berücksichtigt.<br />
(keine offizielle Kurzbeschreibung<br />
vorhanden)<br />
Das Demand Management Zielt auf die Gestaltung des X X<br />
zielt auf Gestaltung des Service-Angebots auf die<br />
Service-Angebots in Abstim- Anforderungen <strong>und</strong> Erwarmung<br />
mit den Anforderungen tung des K<strong>und</strong>en<br />
<strong>und</strong> Erwartung des K<strong>und</strong>en.<br />
Dabei steht die kosteneffiziente<br />
<strong>und</strong> bedarfsgerechte<br />
Steuerung der Kapazität im<br />
Vordergr<strong>und</strong>.<br />
(keine offizielle Kurzbeschreibung<br />
vorhanden)<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Zuverlässigkeit<br />
Stabilität<br />
Optimierung<br />
Schneller IT-Service<br />
Transparenz für IT-Spez.<br />
Sicherheit<br />
Kontinuität<br />
X<br />
X
Abschlussbericht BA-Nr. 0369/10 - 93 -<br />
<strong>ITIL</strong>-Publikation<br />
Continual Service<br />
Improvement<br />
Service Transition<br />
Effektivität<br />
<strong>ITIL</strong>-Prozess Kurzbeschreibung Verfolgte Ziele<br />
Financial Das Financial Management Zielt auf die Sicherstellung<br />
Management stellt Informationen für das der Effizienz von Services<br />
wirtschaftliche <strong>und</strong> kosteneffektive<br />
Service Delivery <strong>zu</strong><br />
Verfügung. Es stellt sich, dass<br />
Kosten für IT-Services transparent<br />
sind (keine offizielle<br />
Kurzbeschreibung vorhanden)<br />
(keine dedizierten Prozesse)<br />
Zielt auf die kontinuierliche<br />
Verbesserung von Zuverlässigkeit<br />
<strong>und</strong> Stabilität von<br />
Services<br />
Transition<br />
Planning and<br />
Support<br />
Change<br />
Management<br />
Service Asset<br />
& ConfigurationManagement<br />
Release and<br />
Deployment<br />
Management<br />
Service<br />
Validation and<br />
Testing<br />
(keine offizielle Kurzbeschreibung<br />
vorhanden;)<br />
Zielt auf die Unterstüt<strong>zu</strong>ng<br />
der anderen Service<br />
Transition Prozesse (=kein<br />
Ziel)<br />
Dieser Prozess stellt sicher, Zielt auf die Sicherstellung,<br />
dass Änderungs- dass Änderungen (an<br />
Anforderungen an IT-Services Services, Komponenten<br />
(Infrastruktur, etc.) von Seiten etc.) kontrolliert gehand-<br />
des Business kontrolliert <strong>und</strong> habt werden<br />
effizient unter Minimierung von<br />
Risiken umgesetzt werden.<br />
Da<strong>zu</strong> sind standardisierte<br />
Verfahren <strong>zu</strong>r Durchführung<br />
von Änderungen erforderlich.<br />
(keine offizielle Kurzbeschreibung<br />
vorhanden)<br />
(keine offizielle Kurzbeschrei- Zielt auf die Bereitstellung<br />
bung vorhanden; Füllung folgt) von Informationen <strong>zu</strong> IT-<br />
Elementen <strong>und</strong> ihren<br />
Beziehungen untereinander<br />
(keine offizielle Kurzbeschreibung<br />
vorhanden)<br />
(keine offizielle Kurzbeschreibung<br />
vorhanden;)<br />
Evaluation (keine offizielle Kurzbeschreibung<br />
vorhanden;)<br />
Zielt auf die Sicherstellung,<br />
dass neue <strong>und</strong> geänderte<br />
Services (1) den Anforderungen<br />
entsprechen <strong>und</strong> (2)<br />
mit Implementierung die<br />
Zuverlässigkeit weiterhin<br />
gegeben ist<br />
Zielt auf die Sicherstellung,<br />
dass neue <strong>und</strong> geänderte<br />
Services die (1) vereinbarte<br />
Zuverlässigkeit aufweisen<br />
<strong>und</strong> (2) stabil sind<br />
Zielt auf die Prüfung der<br />
Performance nach einer<br />
Service-Änderung<br />
Effizienz<br />
Fachliche Integration<br />
Angebotstransparenz<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
Zuverlässigkeit<br />
Stabilität<br />
X X X<br />
X<br />
X X<br />
X<br />
Optimierung<br />
Schneller IT-Service<br />
Transparenz für IT-Spez.<br />
X<br />
X<br />
Sicherheit<br />
Kontinuität
Abschlussbericht BA-Nr. 0369/10 - 94 -<br />
<strong>ITIL</strong>-Publikation<br />
Service Operation<br />
Effektivität<br />
<strong>ITIL</strong>-Prozess Kurzbeschreibung Verfolgte Ziele<br />
Knowledge (keine offizielle Kurzbeschrei- Zielt auf die Informations-<br />
Management bung vorhanden;)<br />
versorgung der Stakeholder<br />
in der IT-Organisation<br />
(=kein Ziel)<br />
Event Management<br />
Incident<br />
Management<br />
Problem<br />
Management<br />
Request<br />
Fulfilment<br />
Access Management<br />
„Das Event Management Zielt auf die Erfassung von<br />
überwacht alle Events, die in potenziell für das ITder<br />
gesamten IT-Infrastruktur Management<br />
auftreten, um den normalen Ereignissen<br />
relevanten<br />
Betrieb überwachen <strong>und</strong><br />
Ausnahmebedingungen<br />
erkennen <strong>und</strong> eskalieren <strong>zu</strong><br />
können.“<br />
„Das Incident Management Zielt auf eine möglichst<br />
konzentriert sich auf die schnelle Wiederherstellung<br />
schnellstmögliche Wiederher- eines ungestörten ITstellung<br />
von unerwartet Betriebs<br />
beeinträchtigten oder unterbrochenen<br />
Services, um die<br />
Auswirkungen auf das Business<br />
<strong>zu</strong> minimieren.“<br />
„Das Problem Management Zielt auf die (langfristige)<br />
umfasst: die Root Cause Sicherstellung eines (1)<br />
Analysis, um die Ursache für <strong>zu</strong>verlässigen <strong>und</strong> (2)<br />
Incidents <strong>zu</strong> ermitteln <strong>und</strong> <strong>zu</strong> stabilen IT-Betriebs<br />
lösen, proaktive Aktivitäten,<br />
um <strong>zu</strong>künftige Probleme/Incidents<br />
<strong>zu</strong> ermitteln <strong>und</strong><br />
<strong>zu</strong> verhindern, <strong>und</strong> einen<br />
Known Error Teilprozess, um<br />
eine schnellere Diagnose <strong>und</strong><br />
Lösung <strong>zu</strong> ermöglichen, für<br />
den Fall, dass weitere<br />
Incidents auftreten.“<br />
„Das Request Fulfilment ist Zielt auf die Erfüllung<br />
der Prozess, bei dem Service kurzfristig erfüllbarer (nicht-<br />
Requests (Serviceanträge) – funktionaler)Anforderun- von denen viele kleinere gen<br />
Changes mit niedrigerem<br />
Risiko sind – behandelt<br />
werden.“<br />
„Das Access Management ist Zielt auf die Sicherstellung<br />
der Prozess, bei dem autori- von autorisierten Servicesierten<br />
Anwendern das Recht Nut<strong>zu</strong>ngen<br />
<strong>zu</strong>r Nut<strong>zu</strong>ng eines Service<br />
erteilt wird, während der<br />
Zugriff für nicht autorisierte<br />
Anwender verweigert wird.“<br />
Tabelle 9: <strong>ITIL</strong>-Prozesse <strong>und</strong> ihre Zielset<strong>zu</strong>ngen<br />
Effizienz<br />
Fachliche Integration<br />
Angebotstransparenz<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Zuverlässigkeit<br />
Stabilität<br />
Optimierung<br />
Schneller IT-Service<br />
Transparenz für IT-Spez.<br />
X X X<br />
X X X<br />
X X<br />
X X<br />
Sicherheit<br />
Kontinuität<br />
X
Abschlussbericht BA-Nr. 0369/10 - 95 -<br />
Anhang D Grafischer Übersicht über <strong>ITIL</strong>-Prozesse<br />
Abbildung 23: Übersicht über <strong>ITIL</strong>-Prozesse (in Anlehnung an ITGI 2008, S. 20)<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 96 -<br />
Anhang E Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse<br />
Die nachfolgende Auflistung repräsentiert das Ergebnis der Analyse der <strong>COBIT</strong>-Prozesse<br />
<strong>und</strong> der <strong>zu</strong>gehörigen Control Objectives im Hinblick auf die Ziele, die <strong>zu</strong> den jeweiligen Prozessen<br />
explizit genannt werden. Gr<strong>und</strong>lage der Analyse ist die Original-Dokumentation <strong>zu</strong><br />
<strong>COBIT</strong> ([<strong>COBIT</strong>], [<strong>COBIT</strong>-DE]).<br />
Prozess<br />
Control<br />
Objective<br />
Name Ziele<br />
PO1 Define a strategic IT plan • Reagiere auf Geschäftsanforderungen in Überein-<br />
PO1.1<br />
PO1.2<br />
IT value management<br />
Business-IT alignment<br />
•<br />
stimmung mit der Unternehmensstrategie<br />
Reagiere auf Anforderungen der Governance<br />
entsprechend der Geschäftsführungsvorgaben<br />
PO1.3 Assessment of current capability<br />
and performance<br />
PO1.4 IT strategic plan<br />
PO1.5 IT tactical plans<br />
PO1.6 IT portfolio management<br />
PO2 Define the information architec- • Optimiere die Verwendung von Information<br />
ture<br />
• Integriere die Anwendungen <strong>und</strong> Technologielö-<br />
PO2.1 Enterprise information architecture<br />
model<br />
•<br />
sungen nahtlos in Geschäftsprozesse<br />
Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
PO2.2 Enterprise data dictionary and data<br />
syntax rules<br />
• Stelle IT-Agilität her<br />
PO2.3 Data classification scheme<br />
PO2.4 Integrity management<br />
PO3 Define the technological archi- • Optimiere IT-Infrastruktur, Ressourcen <strong>und</strong> Fähigtecturekeiten<br />
PO3.1 Technological direction planning<br />
• Beschaffe <strong>und</strong> unterhalte integrierte <strong>und</strong> standardisierte<br />
Anwendungssysteme<br />
PO3.2 Technological infrastructure plan<br />
PO3.3 Monitor future trends and regulations<br />
PO3.4 Technology standards<br />
PO3.5 IT architecture board<br />
PO4 Define the IT processes, organi- • Reagiere auf Anforderungen der Governance<br />
sation and relationships<br />
entsprechend der Geschäftsführungsvorgaben<br />
PO4.1 IT process framework<br />
• Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
PO4.2 IT strategy committee<br />
• Stelle IT-Agilität her<br />
PO4.3 IT steering committee<br />
PO4.4 Organisational placement of the IT<br />
function<br />
PO4.5 IT organisational structure<br />
PO4.6 Establishment of roles and responsibilities<br />
PO4.7 Responsibility for IT quality assurance<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 97 -<br />
Prozess<br />
Control<br />
Objective<br />
Name Ziele<br />
PO4.8 Responsibility for risk, security and<br />
compliance<br />
PO4.9 Data and system ownership<br />
PO4.10 Supervision<br />
PO4.11 Segregation of duties<br />
PO4.12 IT staffing<br />
PO4.13 Key IT personnel<br />
PO4.14 Contracted staff policies and<br />
procedures<br />
PO4.15 Relationships<br />
PO5 Manage the IT investment • Verbessere die Kosteneffizienz der IT <strong>und</strong> ihren<br />
PO5.1 Financial management framework<br />
Beitrag <strong>zu</strong>m Unternehmenserfolg<br />
• Stelle Transparenz von <strong>und</strong> Verständnis für IT-<br />
PO5.2 Prioritisation within IT budget<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
PO5.3<br />
PO5.4<br />
IT budgeting<br />
Cost management<br />
Levels sicher<br />
• Stelle sicher, dass die IT eine kosteneffiziente<br />
Servicequalität, eine kontinuierliche Verbesserung<br />
PO5.5 Benefit management<br />
<strong>und</strong> Bereitschaft für <strong>zu</strong>künftige Veränderungen<br />
zeigt<br />
PO6 Communicate management aims<br />
and direction<br />
PO6.1 IT policy and control environment<br />
PO6.2 Enterprise IT risk and internal<br />
control framework<br />
PO6.3 IT policies management<br />
PO6.4 Policy, standard and procedures<br />
rollout<br />
PO6.5 Communication of IT objectives and<br />
direction<br />
• Stelle Transparenz von <strong>und</strong> Verständnis für IT-<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
Levels sicher<br />
• Stelle sicher, dass automatischen Transaktionen<br />
<strong>und</strong> Informationsaustausch vertraut werden kann<br />
• Stelle den Schutz von kritischen <strong>und</strong> vertraulichen<br />
Informationen vor unberechtigtem Zugriff sicher<br />
• Stelle sicher, dass der Einfluss einer IT-Service-<br />
Störung oder -Änderung auf das Geschäft minimiert<br />
ist<br />
• Stelle die angemessene Verwendung <strong>und</strong> Performance<br />
der Anwendungen <strong>und</strong> technischen Lösungen<br />
sicher<br />
• Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
PO7 Manage IT human resources • Beschaffe <strong>und</strong> erhalte IT-Skills, die der IT-<br />
PO7.1 Personnel recruitment and retention<br />
Strategie entsprechen<br />
• Stelle IT-Agilität her<br />
PO7.2 Personnel competencies<br />
PO7.3 Staffing of roles<br />
PO7.4 Personnel training<br />
PO7.5 Dependence upon individuals<br />
PO7.6 Personnel clearance procedures<br />
PO7.7 Employee job performance evaluation<br />
PO7.8 Job change and termination<br />
PO8 Manage Quality • Stelle die Enduser-Zufriedenheit mit den Service-<br />
PO8.1 Quality management system<br />
angeboten <strong>und</strong> Service Levels sicher<br />
• Reduziere Mängel <strong>und</strong> Nacharbeit bei Lösungen<br />
PO8.2 IT standards and quality practices <strong>und</strong> dem Servicebetrieb<br />
PO8.3 Development and acquisition<br />
standards<br />
• Setze Projekte pünktlich <strong>und</strong> im Budgetrahmen<br />
<strong>und</strong> unter Einhaltung der Qualitätsstandards um<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 98 -<br />
Prozess<br />
Control<br />
Objective<br />
Name Ziele<br />
PO8.4 Customer focus<br />
PO8.5 Continuous improvement<br />
PO8.6 Quality measurement, monitoring<br />
and review<br />
PO9 Assess and manage IT risks • Schütze die Erreichung der IT-Ziele<br />
PO9.1 IT risk management framework<br />
• Schaffe Klarheit über die Geschäftsauswirkungen<br />
der Risiken von IT-Zielen <strong>und</strong> -Ressourcen<br />
PO9.2 Establishment of risk context • Übernimm die Verantwortung für <strong>und</strong> schütze alle<br />
PO9.3 Event identification<br />
IT-Anlagen<br />
PO9.4 Risk assessment<br />
PO9.5 Risk response<br />
PO9.6 Maintenance and monitoring of a<br />
risk action plan<br />
PO10 Manage projects • Reagiere auf Geschäftsanforderungen in Überein-<br />
PO10.1 Programme management frameworkstimmung<br />
mit der Unternehmensstrategie<br />
• Setze Projekte pünktlich <strong>und</strong> im Budgetrahmen,<br />
entsprechend der Qualitätsstandards um<br />
PO10.2 Project management framework • Reagiere auf Anforderungen der Governance<br />
PO10.3 Project management approach<br />
entsprechend der Geschäftsführungsvorgaben<br />
PO10.4 Stakeholder commitment<br />
PO10.5 Project scope statement<br />
PO10.6 Project phase initiation<br />
PO10.7 Integrated project plan<br />
PO10.8 Project resources<br />
PO10.9 Project risk management<br />
PO10.1<br />
0<br />
Project quality plan<br />
PO10.1<br />
1<br />
Project change control<br />
PO10.1 Project planning of assurance<br />
2 methods<br />
PO10.1 Project performance measurement,<br />
3 reporting and monitoring<br />
PO10.1<br />
4<br />
Project closure<br />
Tabelle 10: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der Domäne „Plan and Organise“ (PO)<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 99 -<br />
Prozess<br />
Control<br />
Objective<br />
Name Ziele<br />
AI1 Identify automated solutions • Definiere, wie funktionale geschäftliche <strong>und</strong><br />
Al1.1 Definition and maintenance of<br />
business functional and technical<br />
requirements<br />
Al1.2 Risk analysis report<br />
Al1.3 Feasibility study and formulation of<br />
alternative courses of action<br />
Al1.4 Requirements and feasibility<br />
decision and approval<br />
AI2 Acquire and maintain application<br />
software<br />
Al2.1 High-level design<br />
Al2.2 Detailed design<br />
Al2.3 Application control and auditability<br />
Al2.4 Application security and availability<br />
Al2.5 Configuration and implementation<br />
of acquired application software<br />
Al2.6 Major upgrades to existing systems<br />
Al2.7 Development of application software<br />
Al2.8 Software quality assurance<br />
Al2.9 Applications requirements management<br />
Al2.10 Application software maintenance<br />
AI3 Acquire and maintain technology<br />
infrastructure<br />
Al3.1 Technological infrastructure<br />
acquisition plan<br />
Al3.2 Infrastructure resource protection<br />
and availability<br />
Al3.3 Infrastructure maintenance<br />
Al3.4 Feasibility test environment<br />
Steuerungsanforderungen in wirksame <strong>und</strong> wirtschaftliche<br />
automatisierte Lösungen überführt<br />
werden.<br />
• Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
• Definiere, wie funktionale geschäftliche <strong>und</strong><br />
Kontrollanforderungen in wirksame <strong>und</strong> wirtschaftliche<br />
automatisierte Lösungen überführt werden<br />
• Beschaffe <strong>und</strong> unterhalte integrierte <strong>und</strong> standardisierte<br />
Anwendungssysteme<br />
• Beschaffe <strong>und</strong> unterhalte integrierte <strong>und</strong> standardisierte<br />
IT-Infrastruktur<br />
• Optimiere IT-Infrastruktur, Ressourcen <strong>und</strong><br />
Fähigkeiten<br />
• Stelle IT-Agilität her<br />
AI4 Enable operation and use • Stelle die angemessene Verwendung <strong>und</strong> Per-<br />
Al4.1 Planning for operational solutions<br />
Al4.2 Knowledge transfer to business<br />
management<br />
Al4.3 Knowledge transfer to end users<br />
Al4.4 Knowledge transfer to operations<br />
and support staff<br />
formance der Anwendungen <strong>und</strong> technischen Lösungen<br />
sicher<br />
• Stelle die Enduser-Zufriedenheit mit den Serviceangeboten<br />
<strong>und</strong> Service Levels sicher<br />
• Integriere die Anwendungen <strong>und</strong> Technologielösungen<br />
nahtlos in Geschäftsprozesse<br />
• Reduziere Mängel <strong>und</strong> Nacharbeit bei Lösungen<br />
<strong>und</strong> dem Servicebetrieb<br />
AI5 Procure IT resources • Beschaffe <strong>und</strong> warte integrierte <strong>und</strong> standardisier-<br />
Al5.1<br />
Al5.2<br />
Procurement control<br />
Supplier contract management<br />
•<br />
te Anwendungssysteme<br />
Beschaffe <strong>und</strong> warte integrierte <strong>und</strong> standardisierte<br />
IT-Infrastruktur<br />
Al5.3 Supplier selection<br />
• Beschaffe <strong>und</strong> erhalte IT-Skills, die der IT-<br />
Al5.4 Resources acquisition<br />
Strategie entsprechen<br />
AI6 Manage Changes • Reagiere auf Geschäftsanforderungen in Über-<br />
Al6.1 Change standards and procedures<br />
Al6.2 Impact assessment, prioritisation<br />
and authorisation<br />
einstimmung mit der Unternehmensstrategie<br />
• Reduziere Mängel <strong>und</strong> Nacharbeit bei Lösungen<br />
<strong>und</strong> dem Servicebetrieb<br />
• Stelle sicher, dass der Einfluss einer IT-Service-<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 100 -<br />
Prozess<br />
Control<br />
Objective<br />
Name Ziele<br />
Al6.3 Emergency changes Störung oder -Änderung auf das Geschäft mini-<br />
Al6.4 Change status tracking and reporting<br />
Al6.5 Change closure and documentation<br />
AI7 Install and accredit solutions<br />
and changes<br />
Prozess<br />
Al7.1 Training<br />
Al7.2 Test plan<br />
Al7.3 Implementation plan<br />
Al7.4 Test environment<br />
Al7.5 System and data conversion<br />
Al7.6 Testing of changes<br />
Al7.7 Final acceptance test<br />
Al7.8 Promotion to production<br />
Al7.9 Post-implementation review<br />
Control<br />
Objective<br />
miert ist<br />
• Definiere, wie funktionale geschäftliche <strong>und</strong><br />
Steuerungsanforderungen in wirksame <strong>und</strong> wirtschaftliche<br />
automatisierte Lösungen überführt<br />
werden.<br />
• Erhalte die Integrität der Informationen <strong>und</strong> die<br />
diese Informationen verarbeitende Infrastruktur<br />
• Stelle sicher, dass automatischen Transaktionen<br />
<strong>und</strong> Informationsaustausch vertraut werden kann<br />
• Reduziere Mängel <strong>und</strong> Nacharbeit bei Lösungen<br />
<strong>und</strong> dem Servicebetrieb<br />
• Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
• Integriere die Anwendungen <strong>und</strong> Technologielösungen<br />
nahtlos in Geschäftsprozesse<br />
• Stelle die angemessene Verwendung <strong>und</strong> Performance<br />
der Anwendungen <strong>und</strong> technischen Lösungen<br />
sicher<br />
• Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
Tabelle 11: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der<br />
Domäne „Acquire and Implement“ (AI)<br />
DS1 Define and manage service<br />
levels<br />
DS1.1 Service level management framework<br />
DS1.2 Definition of services<br />
DS1.3 Service level agreements<br />
DS1.4 Operating level agreements<br />
DS1.5 Monitoring and reporting of service<br />
level achievements<br />
DS1.6 Review of service level agreements<br />
and contracts<br />
Name Ziele<br />
• Stelle die Enduser-Zufriedenheit mit den Serviceangeboten<br />
<strong>und</strong> Service Levels sicher<br />
• Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
• Stelle Transparenz <strong>und</strong> Verständnis von IT-<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
Levels sicher<br />
DS2 Manage third-party services • Stelle die gegenseitig <strong>zu</strong>friedenstellenden Liefe-<br />
DS2.1 Identification of all supplier relationships<br />
DS2.2 Supplier relationship management<br />
DS2.3 Supplier risk management<br />
DS2.4 Supplier performance monitoring<br />
DS3 Manage performance and capacity<br />
DS3.1 Performance and capacity planning<br />
DS3.2 Current performance and capacity<br />
DS3.3 Future performance and capacity<br />
DS3.4 IT resources availability<br />
rantenbeziehungen sicher<br />
• Stelle die Enduser-Zufriedenheit mit den Serviceangeboten<br />
<strong>und</strong> Service Levels sicher<br />
• Stelle Transparenz <strong>und</strong> Verständnis von IT-<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
Levels sicher<br />
• Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
• Stelle die Verfügbarkeit der IT-Services gemäß<br />
den Anforderungen sicher<br />
• Optimiere IT-Infrastruktur, Ressourcen <strong>und</strong><br />
Fähigkeiten<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 101 -<br />
Prozess<br />
Control<br />
Objective<br />
DS3.5 Monitoring and reporting<br />
Name Ziele<br />
DS4 Ensure continuous service • Stelle die Verfügbarkeit der IT-Services gemäß<br />
DS4.1 IT continuity framework<br />
DS4.2 IT continuity plans<br />
DS4.3 Critical IT resources<br />
DS4.4 Maintenance of the IT continuity<br />
plan<br />
DS4.5 Testing of the IT continuity plan<br />
DS4.6 IT continuity plan training<br />
DS4.7 Distribution of the IT continuity plan<br />
DS4.8 IT services recovery and resumption<br />
DS4.9 Offsite backup storage<br />
DS4.10 Post-resumption review<br />
den Anforderungen sicher<br />
• Stelle sicher, dass der Einfluss einer IT-Service-<br />
Störung oder -Änderung auf das Geschäft minimiert<br />
ist<br />
• Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfälle auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
DS5 Ensure systems security • Stelle den Schutz von kritischen <strong>und</strong> vertraulichen<br />
DS5.1 Management of IT security<br />
DS5.2 IT security plan<br />
DS5.3 Identity management<br />
DS5.4 User account management<br />
DS5.5 Security testing, surveillance and<br />
monitoring<br />
DS5.6 Security incident definition<br />
DS5.7 Protection of security technology<br />
DS5.8 Cryptographic key management<br />
DS5.9 Malicious software prevention,<br />
detection and correction<br />
DS5.10 Network security<br />
DS5.11 Exchange of sensitive data<br />
Informationen vor unberechtigtem Zugriff sicher<br />
• Stelle sicher, dass automatischen Transaktionen<br />
<strong>und</strong> Informationsaustausch vertraut werden kann<br />
• Erhalte die Integrität der Informationen <strong>und</strong> die<br />
diese verarbeitende Infrastruktur<br />
• Übernimm die Verantwortung für <strong>und</strong> schütze alle<br />
IT-Anlagen<br />
• Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
DS6 Identify and allocate costs • Stelle Transparenz der <strong>und</strong> Verständnis von IT-<br />
DS6.1<br />
DS6.2<br />
Definition of services<br />
IT accounting<br />
•<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
Levels sicher<br />
Verbessere die Kosteneffizienz der IT <strong>und</strong> ihren<br />
DS6.3 Cost modeling and charging<br />
Beitrag <strong>zu</strong>m Unternehmenserfolg<br />
DS6.4 Cost model maintenance<br />
• Stelle sicher, dass die IT kosteneffiziente Servicequalität,<br />
eine kontinuierliche Verbesserung <strong>und</strong><br />
Bereitschaft für <strong>zu</strong>künftige Veränderungen zeigt<br />
DS7 Educate and train users • Stelle die Enduser-Zufriedenheit mit den Service-<br />
DS7.1<br />
DS7.2<br />
Identification of education and<br />
training needs<br />
Delivery of training and education<br />
•<br />
angeboten <strong>und</strong> Service Levels sicher<br />
Stelle die angemessene Verwendung <strong>und</strong> Performance<br />
der Anwendungen <strong>und</strong> technischen Lösungen<br />
sicher<br />
DS7.3 Evaluation of training received • Optimiere IT-Infrastruktur, Ressourcen <strong>und</strong><br />
Fähigkeiten<br />
DS8 Manage service desk and inci- • Stelle die Enduser-Zufriedenheit mit Serviceangedentsboten<br />
<strong>und</strong> Service Levels sicher<br />
DS8.1<br />
DS8.2<br />
Service desk<br />
Registration of customer queries<br />
• Stelle die angemessene Verwendung <strong>und</strong> Performance<br />
der Anwendungen <strong>und</strong> technischen Lösungen<br />
sicher<br />
DS8.3 Incident escalation<br />
• Stelle die Verfügbarkeit der IT-Services gemäß<br />
DS8.4 Incident closure<br />
den Anforderungen sicher<br />
DS8.5 Reporting and trend analysis<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 102 -<br />
Prozess<br />
Control<br />
Objective<br />
Name Ziele<br />
DS9 Manage the configuration • Optimiere IT-Infrastruktur, Ressourcen <strong>und</strong><br />
DS9.1 Configuration repository and<br />
baseline<br />
DS9.2 Identification and maintenance of<br />
configuration items<br />
DS9.3 Configuration integrity review<br />
Fähigkeiten<br />
• Übernimm die Verantwortung für <strong>und</strong> schütze alle<br />
IT-Anlagen<br />
DS10 Manage problems • Stelle die Enduser-Zufriedenheit mit Serviceange-<br />
DS10.1 Identification and classification of<br />
problems<br />
DS10.2 Problem tracking and resolution<br />
DS10.3 Problem closure<br />
DS10.4 Integration of configuration, incident<br />
and problem management<br />
boten <strong>und</strong> Service Levels sicher<br />
• Reduziere Mängel <strong>und</strong> Nacharbeit bei Lösungen<br />
<strong>und</strong> dem Servicebetrieb<br />
• Schütze die Erreichung der IT-Ziele<br />
DS11 Manage data • Optimiere die Verwendung von Informationen<br />
DS11.1 Business requirements for data<br />
management<br />
DS11.2 Storage and retention arrangements<br />
DS11.3 Media library management system<br />
DS11.4 Disposal<br />
DS11.5 Backup and restoration<br />
DS11.6 Security requirements for data<br />
management<br />
DS12 Manage the physical environment<br />
DS12.1 Site selection and layout<br />
DS12.2 Physical security measures<br />
DS12.3 Physical access<br />
DS12.4 Protection against environmental<br />
factors<br />
DS12.5 Physical facilities management<br />
• Stelle den Schutz von kritischen <strong>und</strong> vertraulichen<br />
Informationen vor unberechtigtem Zugriff sicher<br />
• Stelle die IT-Compliance mit Gesetzen <strong>und</strong><br />
Vorschriften sicher<br />
• Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
• Stelle den Schutz von kritischen <strong>und</strong> vertraulichen<br />
Informationen vor unberechtigtem Zugriff sicher<br />
• Stelle sicher, dass der Einfluss einer IT-Service-<br />
Störung oder -Änderung auf das Geschäft minimiert<br />
ist<br />
• Übernimm die Verantwortung für <strong>und</strong> schütze alle<br />
IT-Anlagen<br />
DS13 Manage operations • Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
DS13.1 Operations procedures and instructions<br />
DS13.2 Job scheduling<br />
DS13.3 IT infrastructure monitoring<br />
DS13.4 Sensitive documents and output<br />
devices<br />
DS13.5 Preventive maintenance for hardware<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
• Stelle die Enduser-Zufriedenheit mit den Serviceangeboten<br />
<strong>und</strong> Service Levels sicher<br />
• Stelle die Verfügbarkeit der IT-Services gemäß<br />
den Anforderungen sicher<br />
Tabelle 12: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der Domäne „Deliver and Support“ (DS)<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 103 -<br />
Prozess<br />
Control<br />
Objective<br />
ME1 Monitor and evaluate IT performance<br />
ME1.1 Monitoring approach<br />
ME1.2 Definition and collection of monitoring<br />
data<br />
ME1.3 Monitoring method<br />
ME1.4 Performance assessment<br />
ME1.5 Board and executive reporting<br />
ME1.6 Remedial actions<br />
ME2 Monitor and evaluate IT internal<br />
control<br />
ME2.1 Monitoring of internal control<br />
framework<br />
ME2.2 Supervisory review<br />
ME2.3 Control exceptions<br />
ME2.4 Control self-assessment<br />
ME2.5 Assurance of internal control<br />
ME2.6 Internal control at third parties<br />
ME2.7 Remedial actions<br />
ME3 Ensure compliance with external<br />
requirements<br />
ME3.1 Identification of external legal,<br />
regulatory and contractual compliance<br />
requirements<br />
ME3.2 Optimization of response to external<br />
requirements<br />
ME3.3 Evaluation of compliance with<br />
external requirements<br />
ME3.4 Positive assurance of compliance<br />
ME3.5 Integrated reporting<br />
Name Ziele<br />
• Reagiere auf Anforderungen der Governance<br />
entsprechend den Geschäftsführungsvorgaben<br />
• Reagiere auf Geschäftsanforderungen in Übereinstimmung<br />
mit der Unternehmensstrategie<br />
• Stelle sicher, dass die IT eine kosteneffiziente<br />
Servicequalität, eine kontinuierliche Verbesserung<br />
<strong>und</strong> Bereitschaft für <strong>zu</strong>künftige Veränderungen<br />
zeigt<br />
• Stelle Transparenz <strong>und</strong> Verständnis von IT -<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
Levels sicher<br />
• Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern, bewussten Angriffen<br />
oder Katastrophen standhalten können <strong>und</strong><br />
ihre Wiederherstellung gewährleistet ist<br />
• Schütze die Erreichung der IT-Ziele<br />
• Stelle die IT-Compliance mit Gesetzen <strong>und</strong> Vorschriften<br />
sicher<br />
• Übernimm die Verantwortung für <strong>und</strong> schütze alle<br />
IT-Anlagen<br />
• Stelle die IT-Compliance mit Gesetzen <strong>und</strong> Vorschriften<br />
sicher<br />
ME4 Provide IT governance • Reagiere auf Anforderungen der Governance<br />
ME4.1 Establishment of an IT governance<br />
framework<br />
ME4.2 Strategic alignment<br />
ME4.3 Value delivery<br />
ME4.4 Resource management<br />
ME4.5 Risk management<br />
ME4.6 Performance measurement<br />
ME4.7 Independent assurance<br />
entsprechend den Geschäftsführungsvorgaben<br />
• Stelle Transparenz <strong>und</strong> Verständnis von IT-<br />
Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong> Service<br />
Levels sicher<br />
• Stelle die IT-Compliance mit Gesetzen <strong>und</strong> Vorschriften<br />
sicher<br />
• Stelle sicher, dass die IT eine kosteneffiziente<br />
Servicequalität, eine kontinuierliche Verbesserung<br />
<strong>und</strong> Bereitschaft für <strong>zu</strong>künftige Veränderung zeigt<br />
Tabelle 13: Ziele <strong>und</strong> Control Objectives der <strong>COBIT</strong>-Prozesse aus der<br />
Domäne „Monitor and Evaluate“ (ME)<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 104 -<br />
Anhang F <strong>COBIT</strong>-Prozesse <strong>und</strong> abgeleitete Be<strong>zu</strong>gsobjekte<br />
Die nachfolgende Tabelle gibt einen Überblick über die in den Aktivitäten der <strong>COBIT</strong>-<br />
Prozesse genannten <strong>und</strong> beschriebenen Be<strong>zu</strong>gsobjekte. Dabei kann es sich um bspw. Modelle,<br />
Standards, Vorgehensweisen oder Rollen <strong>und</strong> Gremien handeln. Nähere Erläuterungen<br />
finden sich im Glossar in Anhang K.<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
PO1 Verlinke Kerngeschäftsziele mit den IT Zielen<br />
Identifiziere kritische Abhängigkeiten <strong>und</strong> gegenwärtige<br />
Performance<br />
Erstelle einen strategischen IT-Plan. • Strategischer IT-Plan<br />
Erstelle einen taktischen IT-Plan. • Taktischer IT-Plan<br />
Analysiere Programm-Portfolios <strong>und</strong> manage Projekt- <strong>und</strong> • Programm-Portfolio<br />
Service Portfolios.<br />
• Projekt-Portfolio<br />
• Service-Portfolio<br />
PO2 Erstelle <strong>und</strong> unterhalte ein Modell für Unternehmensinformationen<br />
• Informationsmodell<br />
Erstelle <strong>und</strong> unterhalte ein unternehmensweites Data<br />
Dictionary<br />
• Data Dictionary<br />
Entwickle <strong>und</strong> unterhalte ein Datenklassifikationsschema<br />
Stelle Dateneignern Verfahren <strong>und</strong> Tools für die Klassifizierung<br />
von Informationssystemen <strong>zu</strong>r Verfügung<br />
• Datenklassifikationsschema<br />
Verwende das Informationsmodell, das Data Dictionary • Informationsmodell<br />
<strong>und</strong> das Klassifizierungsschema, um optimierte Business • Data Dictionary<br />
Systeme <strong>zu</strong> planen<br />
• Datenklassifikationsschema<br />
PO3 Erstelle <strong>und</strong> unterhalte den technologischen Infrastrukturplan<br />
• Infrastrukturplan<br />
Erstelle <strong>und</strong> unterhalte Technologie-Standards • Technologie-Standard<br />
Veröffentliche Technologie-Standards<br />
Überwache die technologische Entwicklung<br />
Definiere die (<strong>zu</strong>künftige) (strategische) Verwendung<br />
neuer Technologien<br />
• Technologie-Standard<br />
PO4 Erstelle IT Organisationsstrukturen, inklusive Ausschüs- • IT-Organisationsstruktur<br />
sen <strong>und</strong> Verbindungen <strong>zu</strong> Stakeholdern <strong>und</strong> Anbietern (IT Organisational Structure)<br />
Designe das Framework für IT-Prozesse<br />
Identifiziere Systemeigner<br />
Identifiziere Dateneigner<br />
Erstelle <strong>und</strong> implementiere IT-Rollen <strong>und</strong> Verantwortlichkeiten,<br />
inklusive Beaufsichtigung <strong>und</strong> Funktionstrennung<br />
• Technologie-Standard<br />
PO5 Unterhalte das Programm-Portfolio • Programm-Portfolio<br />
Unterhalte das Projekt-Portfolio • Projekt-Portfolio<br />
Unterhalte das Service-Portfolio<br />
Entwickle <strong>und</strong> unterhalte einen IT-Budgetierungsprozess<br />
Identifiziere, kommuniziere <strong>und</strong> monitore IT-Investitionen,<br />
Kosten <strong>und</strong> Wertbeiträge für das Unternehmen<br />
• Service-Portfolio<br />
PO6 Etablieren <strong>und</strong> Führen einer IT-Kontrollumgebung <strong>und</strong> • Unternehmensweites IT-<br />
Frameworks<br />
Control-Framework<br />
Entwickeln <strong>und</strong> Unterhalten von IT-Richtlinien • IT-Richtlinie<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 105 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Kommunizieren des IT Control Framework sowie Ziele<br />
<strong>und</strong> Ausrichtung der IT<br />
PO7 Identifiziere IT-Fähigkeiten, Stellenbeschreibungen,<br />
Gehaltsstufen <strong>und</strong> Personalperformance-Benchmarks<br />
Befolge für IT relevante HR-Richtlinien <strong>und</strong> Verfahren<br />
(Rekrutierung, Anstellung, Hintergr<strong>und</strong>-Checks, Gehalt,<br />
Schulung, Beurteilung, Beförderung)<br />
• Unternehmensweites IT-<br />
Control-Framework<br />
• Personal-Richtlinie<br />
PO8 Definiere ein Qualitätsmanagementsystem • Qualitätsmanagementsystem<br />
Erstelle <strong>und</strong> unterhalte ein Qualitätsmanagementsystem • Qualitätsmanagementsystem<br />
Erstelle <strong>und</strong> kommuniziere Qualitätsstandards in der<br />
Organisation<br />
• Qualitätsstandard<br />
Erstelle <strong>und</strong> manage den Qualitätsplan für kontinuierliche<br />
Verbesserung<br />
Messe, überwache <strong>und</strong> überprüfe Compliance mit den<br />
Qualitätszielen<br />
• Qualitätsplan<br />
PO9 Bestimme die Ausrichtung des Risikomanagements (z. B.<br />
beurteile Risiken)<br />
Verstehe relevante strategische Geschäftsziele<br />
Verstehe relevante Ziele der Unternehmensprozesse<br />
Identifiziere interne IT-Ziele <strong>und</strong> stelle die Verbindung<br />
<strong>zu</strong>m Risiko her<br />
Identifiziere Ereignisse, die mit Zielen <strong>zu</strong>sammenhängen<br />
[manche sind business-orientiert (Geschäftsbereich ist A);<br />
manche sind IT-orientiert (IT ist A, Geschäftsbereich ist<br />
C)]<br />
Beurteile Risiken, die mit Ereignissen <strong>zu</strong>sammenhängen<br />
Evaluiere die Risikoreaktion<br />
Priorisiere <strong>und</strong> plane Control-Aktivitäten<br />
Bewillige <strong>und</strong> stelle das Budget für Risikomaßnahmenpläne<br />
sicher<br />
• Risikomaßnahmeplan<br />
Unterhalte <strong>und</strong> überwache einen Risikomaßnahmenplan • Risikomaßnahmeplan<br />
PO10 Definiere ein Programm-/Portfolio-Management-<br />
Framework für IT-Investition<br />
Erstelle <strong>und</strong> unterhalte ein IT-Projekt-Management-<br />
Framework<br />
Erstelle <strong>und</strong> unterhalte ein IT-Projektüberwachungs-, -<br />
messungs- <strong>und</strong> -management-System<br />
Erstelle Projektaufträge, Termin-, Qualitäts-, Budget-,<br />
Kommunikations- <strong>und</strong> Risikomanagementpläne<br />
Stelle die Beteiligung <strong>und</strong> das Engagement der Projekt-<br />
Stakeholder sicher<br />
Stelle die wirksame Steuerung der Projekte <strong>und</strong> Projektänderungen<br />
sicher<br />
• Programm-Management-<br />
Framework<br />
• Portfolio-Management-<br />
Framework<br />
• IT-Projekt-Management-<br />
Framework<br />
• IT-Projekt-<br />
Überwachungssystem<br />
• IT-Projekt-<br />
Messungssystem<br />
• IT-Projekt-<br />
Managementsystem<br />
• Projektauftrag<br />
• Terminplan<br />
• Qualitätsplan<br />
• Budgetplan<br />
• Kommunikationsplan<br />
• Risikomanagementplan<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 106 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Definiere <strong>und</strong> implementiere Methoden für die Projektkontrolle<br />
<strong>und</strong> Reviews<br />
AI1 Definiere funktionale <strong>und</strong> technische Geschäftsanforderungen<br />
Etabliere Prozesse für Integrität/Aktualität der Anforderungen<br />
Identifiziere, dokumentiere <strong>und</strong> analysiere das<br />
Geschäftsprozessrisiko<br />
Führe eine Machbarkeitsstudie <strong>und</strong> Auswirkungsanalyse<br />
der Umset<strong>zu</strong>ng der vorgeschlagenen Geschäftsanforderungen<br />
Bewerte den IT-betrieblichen Nutzen der vorgeschlagenen<br />
Lösungen<br />
Bewerte den Unternehmensnutzen der vorgeschlagenen<br />
Lösungen<br />
Entwickle einen Prozess <strong>zu</strong>r Freigabe der Anforderungen<br />
Genehmige <strong>und</strong> nimm vorgeschlagene Lösungen ab<br />
AI2 Überleitung von Unternehmensanforderungen in Grobdesign-Spezifikationen<br />
Vorbereitung detaillierter Design- <strong>und</strong> technischer Software-Spezifikation<br />
von Anwendungskontrollen innerhalb<br />
des Designs<br />
Anpassung <strong>und</strong> Implementierung beschaffter automatisierter<br />
Funktionalität<br />
Entwicklung formalisierter Methoden <strong>und</strong> Prozesse <strong>zu</strong>m<br />
Management des Anwendungsentwicklungsprozesses<br />
Entwicklung eines Software-Qualitätssicherungsplans für<br />
das Projekt<br />
Verfolgung <strong>und</strong> Management von Anwendungsanforderungen<br />
Entwicklung eines Wartungsplans für Software-<br />
Anwendungen<br />
AI3 Definiere Beschaffungsverfahren/-prozesse<br />
Verhandle die Beschaffung <strong>und</strong> beschaffe die benötigte<br />
Infrastruktur von (akkreditierten) Lieferanten<br />
Definiere eine Strategie <strong>und</strong> plane die Wartung für<br />
Infrastruktur<br />
Konfiguriere Infrastrukturkomponenten<br />
AI4 Entwickle eine Strategie, um Lösung in den Betrieb <strong>zu</strong><br />
übernehmen<br />
• Grobdesign-Spezifikation<br />
• Detaildesign-Spezifikation<br />
• Technische Software-<br />
Spezifikation<br />
• Software-Qualitätssicherungsplan<br />
• Wartungsplan<br />
• Wartungsplan<br />
Entwickle eine Wissenstransfer-Methodik • Wissenstransfer-Methodik<br />
Entwickle Verfahrenshandbücher für Endbenutzer • Verfahrenshandbuch<br />
Entwickle technische Supportdokumentation für Betriebs<strong>und</strong><br />
Supportpersonal<br />
• Supportdokumentation<br />
Entwickle <strong>und</strong> halte Schulungen • Schulung<br />
Evaluiere die Resultate von Schulungen <strong>und</strong> verbessere<br />
die Dokumentation, wie erforderlich<br />
• Supportdokumentation<br />
AI5 Entwickle IT-Beschaffungsrichtlinien <strong>und</strong> -verfahren, die<br />
mit Beschaffungsrichtlinien auf der Unternehmensebene<br />
übereinstimmen<br />
• IT-Beschaffungsrichtlinie<br />
Erstelle/unterhalte eine Liste akkreditierter Lieferanten<br />
Evaluiere <strong>und</strong> wähle Lieferanten durch einen Request for<br />
Proposal (RFP) Prozess<br />
• Lieferantenliste<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 107 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Entwickle Verträge, die die Interessen des Unternehmens<br />
schützen<br />
Beschaffe gemäß der entwickelten Verfahren<br />
AI6 Entwickle <strong>und</strong> implementiere einen Prozess für konsistente<br />
Aufzeichnung, Bewertung <strong>und</strong> Priorisierung der Change-Requests<br />
Bewerte die Auswirkungen <strong>und</strong> priorisiere Changes, die<br />
auf geschäftlichen Bedürfnissen basieren<br />
Stelle sicher, dass jeder Notfall <strong>und</strong> jede kritische Änderung<br />
den Genehmigungsprozess durchläuft<br />
• Change Request<br />
Autorisiere Changes<br />
Manage <strong>und</strong> leite die für Änderungen relevante Information<br />
weiter<br />
• Change Request<br />
AI7 Erstelle <strong>und</strong> begutachte Implementierungspläne<br />
Definiere <strong>und</strong> begutachte eine Teststrategie (Eingangs<strong>und</strong><br />
Ausgangskriterien) <strong>und</strong> eine Planungsmethode für<br />
die Testdurchführung<br />
• Implementierungsplan<br />
Erstelle <strong>und</strong> unterhalte ein Repository von Unternehmens-<br />
<strong>und</strong> technisch orientierten Anforderungen <strong>und</strong><br />
Testfällen für akkreditierte Systeme<br />
Führe Übernahme- <strong>und</strong> Integrationstests in der Testumgebung<br />
durch<br />
Wende eine Testumgebung an <strong>und</strong> führe Abnahmetests<br />
durch<br />
Empfehle die Produktivstellung basierend auf vereinbarten<br />
Abnahmekriterien<br />
DS1 Erzeuge ein Framework für die Festlegung von IT-<br />
Services<br />
• Anforderungs-Repository<br />
• Testfall-Repository<br />
• Übernahmetest<br />
• Integrationstest<br />
• Abnahmetest<br />
• IT-Service-Framework<br />
Erstelle einen IT Service-Katalog • IT-Service-Katalog<br />
Definiere Service Level Agreements (SLAs) für kritische<br />
IT Services<br />
• SLA<br />
Definiere Operational Level Agreements (OLAs) entsprechend<br />
den SLAs<br />
Überwache <strong>und</strong> berichte über die end-to-end Service<br />
Level Performance<br />
• OLA<br />
Begutachte SLAs <strong>und</strong> Underpinning Contracts (externe<br />
Verträge)<br />
• SLA<br />
• Underpinning Contract<br />
Begutachte <strong>und</strong> aktualisiere den IT-Service-Katalog • IT-Service-Katalog<br />
Erstelle einen Verbesserungsplan für Services • Verbesserungsplan<br />
DS2 Identifiziere <strong>und</strong> kategorisiere Beziehungen <strong>zu</strong> Leistungen<br />
der Dritten<br />
Definiere <strong>und</strong> dokumentiere die Prozesse des<br />
Lieferantenmanagements<br />
Führe Richtlinien <strong>und</strong> Verfahren für die Beurteilung <strong>und</strong><br />
Auswahl von Lieferanten ein<br />
• Katalog der Lieferanten<br />
Identifiziere, bewerte <strong>und</strong> reduziere lieferantenbezogene<br />
Risiken<br />
• Lieferanten-Risiken<br />
Überwache die Service Delivery der Lieferanten<br />
Evaluiere langfristige Ziele hinsichtlich der Lieferanten-<br />
Beziehungen für alle Stakeholder<br />
• Berichte über<br />
Prozessperformance<br />
DS3 Richte einen Planungsprozess für das Review der Per- • Performance- <strong>und</strong><br />
formance <strong>und</strong> Kapazität von IT-Ressourcen ein<br />
Kapazitätsplan<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 108 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Begutachte aktuelle Performance <strong>und</strong> Kapazitäten der IT-<br />
Ressourcen<br />
Führe Prognosen <strong>zu</strong>r Performance <strong>und</strong> Kapazität von IT-<br />
Ressourcen durch<br />
Führe Gap-Analysen <strong>zu</strong>r Identifikation inkompatibler IT-<br />
Ressourcen durch<br />
Führe eine Notfallplanung für die mögliche Nichtverfügbarkeit<br />
der IT-Ressourcen durch<br />
Überwache <strong>und</strong> berichte laufend über die Verfügbarkeit,<br />
Performance <strong>und</strong> Kapazität der IT-Ressourcen<br />
• Notfallplan<br />
DS4 Entwickle ein Framework für die IT-Kontinuität<br />
Führe eine Business-Impact-Analyse <strong>und</strong> eine Risikobeurteilung<br />
durch<br />
• IT Continuity Framework<br />
Entwickle <strong>und</strong> unterhalte IT-Kontinuitätspläne<br />
Identifiziere <strong>und</strong> kategorisiere IT-Ressourcen nach deren<br />
Wiederherstellungszielen<br />
• IT-Kontinuitätsplan<br />
Definiere <strong>und</strong> wende Änderungskontrollverfahren an, um<br />
sicher<strong>zu</strong>stellen, dass der IT-Kontinuitätsplan auf dem<br />
neuesten Stand ist<br />
• IT-Kontinuitätsplan<br />
Teste regelmäßig den IT-Kontinuitätsplan • IT-Kontinuitätsplan<br />
Entwickle einen Folgeplan basierend auf den Testergebnissen<br />
Plane <strong>und</strong> führe Trainings für den IT-Wiederanlauf durch<br />
Plane die Wiederherstellung <strong>und</strong> den Wiederanlauf von<br />
IT-Services<br />
Plane <strong>und</strong> implementiere Backup-Archivierung <strong>und</strong> -<br />
Sicherung<br />
Führe Verfahren für die Durchführung der Reviews nach<br />
dem Wiederanlauf ein<br />
• IT-Kontinuitätsplan<br />
DS5 Definiere <strong>und</strong> unterhalte einen IT-Sicherheitsplan<br />
Definiere, erstelle <strong>und</strong> führe einen Identity- (Benutzerkonten-)managementprozess<br />
aus<br />
• IT-Sicherheitsplan<br />
Überwache mögliche <strong>und</strong> wirkliche Security Incidents<br />
Begutachte <strong>und</strong> bestätige Benutzer<strong>zu</strong>griffsberechtigungen<br />
<strong>und</strong> –privilegien periodisch<br />
Erstelle <strong>und</strong> unterhalte Verfahren für die Wartung <strong>und</strong><br />
den Schutz von kryptographischen Schlüsseln<br />
Implementiere <strong>und</strong> unterhalte technische Maßnahmen<br />
<strong>und</strong> Verfahren <strong>zu</strong>m Schutz des Informationsflusses in<br />
Netzen<br />
Führe regelmäßig Verletzbarkeitsanalysen durch<br />
• Security Incident<br />
DS6 Mappe die IT-Infrastruktur auf die bereitgestellten<br />
Services/unterstützten Geschäftsprozesse<br />
Identifiziere alle IT-Kosten (Personen, Technologie, etc.)<br />
<strong>und</strong> bilde sie auf die IT-Services auf Basis der Stückkosten<br />
ab<br />
Etabliere <strong>und</strong> unterhalte einen IT-Rechnungswesen- <strong>und</strong><br />
-Kostenkontrollprozess<br />
Etabliere <strong>und</strong> unterhalte Kosten-Policies <strong>und</strong> -Verfahren • Kosten-Policy<br />
DS7 Identifiziere <strong>und</strong> charakterisiere den Schulungsbedarf der<br />
BenutzerInnen<br />
Erstelle ein Schulungsprogramm • Schulungsprogramm<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 109 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Führe Awareness-, Ausbildungs- <strong>und</strong> Schulungsaktivitäten<br />
durch<br />
Führe eine Schulungsevaluation durch<br />
Identifiziere <strong>und</strong> evaluiere die besten Schulungsmethoden<br />
<strong>und</strong> -werkzeuge<br />
• Schulungsevaluation<br />
DS8 Erstelle Klassifikations- (Schweregrad <strong>und</strong> Auswirkung)<br />
<strong>und</strong> Eskalationsverfahren (funktional <strong>und</strong> hierarchisch)<br />
Erkenne <strong>und</strong> erfasse Incidents / Serviceanfragen / Informationsanfragen<br />
Klassifiziere, ermittle <strong>und</strong> diagnostiziere Anfragen<br />
• Incident<br />
Behebe, löse <strong>und</strong> schließe Incidents<br />
Informiere Benutzer (z. B. Statusaktualisierungen)<br />
• Incident<br />
Erstelle Managementauswertungen • Managementauswertung<br />
DS9 Entwickle Verfahren <strong>zu</strong>r Planung des Konfigurationsmanagements<br />
Sammle erste Konfigurationsinformationen <strong>und</strong> erstelle<br />
Referenzkonfigurationen<br />
Verifiziere <strong>und</strong> prüfe Konfigurationsinformationen (einschließlich<br />
Nachweis von unerlaubter Software)<br />
• Referenzkonfiguration<br />
Aktualisiere das Konfigurations-Repository • Konfigurations-Repository<br />
DS10 Identifiziere <strong>und</strong> klassifiziere Probleme<br />
Führe Analysen <strong>zu</strong>r Ermittlung der <strong>zu</strong> Gr<strong>und</strong>e liegenden<br />
Ursachen durch<br />
Löse Probleme<br />
Verfolge den Status von Problemen<br />
Erarbeite Verbesserungsvorschläge <strong>und</strong> erstelle entsprechende<br />
Change Requests<br />
• Change Request<br />
Führe Aufzeichnungen über Probleme • Problemaufzeichnung<br />
DS11 Übertrage Anforderungen bezüglich Datenspeicherung<br />
<strong>und</strong> -aufbewahrung in Verfahren<br />
Definiere, unterhalte <strong>und</strong> implementiere Verfahren <strong>zu</strong>m<br />
Management von Medienbibliotheken<br />
Definiere, unterhalte <strong>und</strong> implementiere Verfahren <strong>zu</strong>r<br />
sicheren Entsorgung von Datenträgern <strong>und</strong> Geräten<br />
Sichere Daten gemäß dem Schema<br />
Definiere, unterhalte <strong>und</strong> implementiere Verfahren <strong>zu</strong>r<br />
Wiederherstellung von Daten<br />
• Medienbibliothek<br />
DS12 Definiere das erforderliche Niveau des physischen<br />
Schutzes<br />
Wähle <strong>und</strong> kommissioniere den Standort (Rechenzentrum,<br />
Büro, etc.)<br />
• Schutzniveau<br />
Implementiere physische Schutzmaßnahmen<br />
Manage die physische Umgebung (inklusive Wartung,<br />
Überwachung <strong>und</strong> Berichterstattung)<br />
Definiere <strong>und</strong> implementiere Verfahren für Autorisierung<br />
<strong>und</strong> Unterhalt des physischen Zutritts<br />
• Schutzmaßnahme<br />
DS13 Erstelle/modifiziere Verfahren des Betriebs (inkl. Handbücher,<br />
Checklisten, Schichtpläne, Übergabedokumentation,<br />
Eskalationsverfahren, etc.)<br />
Plane Workload <strong>und</strong> Batch Jobs<br />
Überwache die Infrastruktur <strong>und</strong> die Verarbeitung <strong>und</strong><br />
löse Probleme<br />
• Workload<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 110 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Manage <strong>und</strong> schütze physischen Output (Papier, Medien,<br />
etc.)<br />
Implementiere Fixes <strong>und</strong> Changes am Zeitplan <strong>und</strong> an<br />
der Infrastruktur<br />
Implementiere/erstelle einen Prozess <strong>zu</strong>r Absicherung<br />
der Authentifizierungsanlagen gegen Beeinflussung,<br />
Verlust <strong>und</strong> Diebstahl<br />
Plane <strong>und</strong> führe präventive Wartung durch<br />
• Zeitplan<br />
ME1 Entwickle den Monitoring Ansatz<br />
Identifiziere <strong>und</strong> sammle messbare Ziele, die Unternehmensziele<br />
unterstützen<br />
Erstelle Scorecards<br />
Beurteile Performance<br />
• Scorecard<br />
Reporte Performance<br />
Identifiziere <strong>und</strong> monitore Maßnahmen <strong>zu</strong>r Verbesserung<br />
der Performance<br />
• Performance-Report<br />
ME2 Monitore <strong>und</strong> steuere IT Internal Control-Aktivitäten<br />
Monitore den Selbstbeurteilungsprozess<br />
Monitore die Leistungen unabhängiger Reviews, Audits<br />
<strong>und</strong> Prüfungen<br />
Monitore den Prozess <strong>zu</strong>r Erlangung einer Bestätigung<br />
der von Dritten ausgeführten Controls<br />
Monitore den Prozess <strong>zu</strong>r Identifikation <strong>und</strong> Beurteilung<br />
der Control-Ausnahmen<br />
Monitore den Prozess <strong>zu</strong>r Identifikation <strong>und</strong> Beseitigung<br />
von Control-Ausnahmen<br />
Berichte den wesentlichen Stakeholdern • Report <strong>zu</strong>r Wirksamkeit<br />
von IT-Controls<br />
ME3 Definiere einen Prozess <strong>zu</strong>r Identifikation von Anforderungen<br />
aus Gesetzen, Verträgen, Richtlinien <strong>und</strong> sonstigen<br />
Regulativen <strong>und</strong> führe diesen aus<br />
Evaluiere Compliance der IT-Aktivitäten mit IT-Richtlinien,<br />
Standards <strong>und</strong> Verfahren<br />
Berichte die eindeutige Zusicherung, dass die IT-<br />
Aktivitäten mit IT-Richtlinien, Standards <strong>und</strong> Verfahren<br />
übereinstimmen<br />
Liefere Input <strong>zu</strong>m Angleichen der IT-Richtlinien, Standards<br />
<strong>und</strong> Verfahren in Reaktion auf Compliance-<br />
Erfordernisse<br />
Integriere die IT-Berichterstattung über regulative Anforderungen<br />
mit ähnlichem Output von anderen Bereichen<br />
ME4 Ermögliche der Geschäftsführung die Beaufsichtigung<br />
<strong>und</strong> Erleichterung von Aktivitäten der IT<br />
Begutachte, befürworte, koordiniere <strong>und</strong> kommuniziere<br />
IT-Performance, IT-Strategie, Ressourcen <strong>und</strong> Risikomanagement<br />
im Einklang mit der Unternehmensstrategie<br />
Hole periodisch unabhängige Beurteilung von Performance<br />
<strong>und</strong> Compliance mit Richtlinien, Standards <strong>und</strong><br />
Verfahren ein<br />
Löse Feststellungen von unabhängigen Beurteilungen<br />
<strong>und</strong> stelle die Umset<strong>zu</strong>ng des Managements vereinbarter<br />
Maßnahmen sicher<br />
• Bericht <strong>zu</strong>r Compliance<br />
der IT-Aktivitäten mit externen<br />
rechtlichen <strong>und</strong> regulatorischen<br />
Anforderungen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 111 -<br />
Prozess Aktivität Be<strong>zu</strong>gsobjekt<br />
Erstelle einen IT Governance Report • Bericht <strong>zu</strong>m Status der IT-<br />
Governance<br />
Tabelle 14: <strong>COBIT</strong>-Prozesse <strong>und</strong> abgeleitete Be<strong>zu</strong>gsobjekte<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 112 -<br />
Anhang G Abgeleitete Be<strong>zu</strong>gsobjekte aus Control Objectives <strong>und</strong><br />
Aktivitäten der <strong>COBIT</strong>-Prozesse<br />
Die nachfolgende Tabelle bietet eine aggregierte Übersicht über die in den Aktivitäten <strong>und</strong><br />
Control Objectives von <strong>COBIT</strong> genannten Be<strong>zu</strong>gsobjekte. Die Tabelle fasst demnach die<br />
Inhalte aus Anhang F <strong>zu</strong>sammen <strong>und</strong> ergänzt sie um die Be<strong>zu</strong>gsobjekte der Control<br />
Objectives.<br />
Prozess Name Be<strong>zu</strong>gsobjekte<br />
PO1 Define a strategic IT plan • Strategischer IT-Plan<br />
• Taktischer IT-Plan<br />
• Portfolio IT-gestützter Investitionsprogramme<br />
• Projekt-Portfolio<br />
• Service-Portfolio<br />
• Programm-Portfolio<br />
PO2 Define the information architecture • Informationsarchitekturmodell<br />
• Data Dictionary<br />
• Datensyntaxregeln<br />
• Datenklassifikationsschema<br />
PO3 Define the technological architecture • Technischer Infrastrukturplan<br />
• Technologisches Forum<br />
• Technologie-Standard<br />
PO4 Define the IT processes, organization<br />
and relationships<br />
• IT-Organisationsstruktur<br />
• Framework der IT-Prozesse<br />
• Rollenbeschreibungen<br />
• Kontaktplan des IT-Schlüsselpersonals<br />
• Technologie-Standard<br />
PO5 Manage the IT investment • Framework für das Management von Finanzen<br />
• Projekt-Portfolio<br />
• Service-Portfolio<br />
• Programm-Portfolio<br />
PO6 Communicate management aims<br />
and direction<br />
• Unternehmensweites Framework für IT-Risiken<br />
<strong>und</strong> Internal Controls<br />
• Richtlinien <strong>zu</strong>r Unterstüt<strong>zu</strong>ng der IT-Strategie<br />
PO7 Manage IT human resources • Anforderungen für IT-Kernkompetenzen<br />
• Einweisung<br />
• Schulung<br />
• Hintergr<strong>und</strong>-Checks<br />
• Personal-Richtlinie<br />
PO8 Manage Quality • Qualitätsmanagement-System<br />
• Qualitätsstandards<br />
• Qualitätsplan<br />
• Entwicklungs-<strong>und</strong> Beschaffungsstandards<br />
PO9 Assess and manage IT risks • Unternehmensweites Risikomanagement-Modell<br />
• Framework für IT-Governance, Risikomanagement<br />
<strong>und</strong> Controls<br />
• Risikobeurteilungs-Framework<br />
• Risikomaßnahmeplan<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 113 -<br />
Prozess Name Be<strong>zu</strong>gsobjekte<br />
PO10 Manage projects • Programmmanagement-Framework<br />
• Portfolio-Management-Framework<br />
• IT-Projekt-Management-Framework<br />
• IT-Projekt-Überwachungssystem<br />
• IT-Projekt-Messungssystem<br />
• IT-Projekt-Managementsystem<br />
• Portfolio IT-gestützter Investitionsprogramme<br />
• Projektmanagement-Framework<br />
• Business-Case<br />
• Projekt-Qualitätsplan<br />
• Projekt-Governance-Framework<br />
• Integrierter Projektplan<br />
• Projektauftrag<br />
• Terminplan<br />
• Qualitätsplan<br />
• Budgetplan<br />
• Kommunikationsplan<br />
• Risikomanagementplan<br />
AI1 Identify automated solutions •<br />
•<br />
Risikoanalyse-Bericht<br />
Machbarkeitsstudie<br />
• Qualitätsreview<br />
AI2 Acquire and maintain application<br />
software<br />
AI3 Acquire and maintain technology<br />
infrastructure<br />
• Grobe Designspezifikation<br />
• Detaillierte Designspezifikation<br />
• Technische Software-Anforderungen<br />
• Technische Software-Spezifikation<br />
• Sicherheits- <strong>und</strong> Verfügbarkeitsanforderungen<br />
• Datenklassifikation<br />
• Informationssicherheitsarchitektur<br />
• Entwicklungs- <strong>und</strong> Dokumentationsstandards<br />
• Change-Request<br />
• Softwarequalitätssicherungsplan<br />
• Wartungs- <strong>und</strong> Releaseplan<br />
• Beschaffungsplan für technologische Infrastruktur<br />
• Implementierungsplan<br />
• Wartungsplan<br />
AI4 Enable operation and use •<br />
•<br />
Operativer Lösungsplan<br />
Trainingsplan<br />
• Wissenstransfer-Methodik<br />
• Verfahrenshandbuch<br />
• Supportdokumentation<br />
• Schulung<br />
AI5 Procure IT resources •<br />
•<br />
Einkaufsstandards<br />
IT-Beschaffungsrichtlinie<br />
AI6 Manage Changes •<br />
•<br />
Change<br />
Change Request<br />
• Change-Standards<br />
• Notfall-Change<br />
• Nachverfolgungs- <strong>und</strong> Reportingsystem<br />
AI7 Install and accredit solutions and<br />
changes<br />
• Schulung<br />
• Testplan<br />
• Implementierungsplan<br />
• Change<br />
• Anforderungs-Repository<br />
• Testfall-Repository<br />
DS1 Define and manage service levels • Service Level-Management-Framework<br />
• SLA<br />
• OLA<br />
• Service-Katalog<br />
• Service-Portfolio<br />
• Underpinning Contract<br />
• Verbesserungsplan<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 114 -<br />
Prozess Name Be<strong>zu</strong>gsobjekte<br />
DS2 Manage third-party services • Formelle Dokumentation von Lieferantenbeziehungen<br />
<strong>und</strong> -leistungen<br />
• Lieferantenkatalog<br />
DS3 Manage performance and capacity • Kapazitätsplan<br />
• Performanceplan<br />
• IT-Kontinuitätsplan<br />
• Notfallplan<br />
DS4 Ensure continuous service • IT-Kontinuitäts-Framework<br />
• IT-Kontinuitätsplan<br />
• Change<br />
• Schulung<br />
• Datenklassifikationsschema<br />
DS5 Ensure systems security • IT-Security Plan<br />
• Sicherheitsrichtlinien<br />
• Security Incident<br />
DS6 Identify and allocate costs • Kostenmodell<br />
• Unternehmensweites System <strong>zu</strong>r Messung von Finanzzahlen<br />
• Kosten-Policy<br />
DS7 Educate and train users • Schulungs-/Trainings-Curriculum<br />
• Schulungsprogramm<br />
DS8 Manage service desk and incidents • Service Desk<br />
• Incident<br />
• SLA<br />
• Change<br />
DS9 Manage the configuration • Configuration Item<br />
• Configuration Item Repository (Konfigurations-<br />
Repository)<br />
• Referenzkonfiguration<br />
DS10 Manage problems • Incident<br />
• Problemmanagementsystem<br />
• Configuration Item<br />
• Change<br />
• Change Request<br />
• Known Error<br />
• RFC<br />
• SLA<br />
• Problemaufzeichnung<br />
DS11 Manage data • IT-Kontinuitätsplan<br />
• Medienbibliothek<br />
DS12 Manage the physical environment •<br />
•<br />
Technologiestrategie<br />
Incident<br />
• Schutzniveau<br />
DS13 Manage operations •<br />
•<br />
Betriebsprotokoll<br />
Zeitplan<br />
• Workload<br />
ME1 Monitor and evaluate IT performance<br />
ME2 Monitor and evaluate IT internal<br />
control<br />
ME3 Ensure compliance with external<br />
requirements<br />
• Monitoring-Framework<br />
• Unternehmensweites System <strong>zu</strong>m Performance-<br />
Monitoring<br />
• Portfolio IT-gestützter Investitionsprogramme<br />
• Scorecard<br />
• Control Framework<br />
• Internal Controls<br />
• Change<br />
• SLA<br />
• Programm <strong>zu</strong>r Selbstbeurteilung der Steuerung<br />
• Internal Controls<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 115 -<br />
Prozess Name Be<strong>zu</strong>gsobjekte<br />
ME4 Provide IT governance • IT-Governance-Framework<br />
• Portfolio IT-gestützter Investitionsprogramme<br />
• Internal Controls<br />
• Change<br />
• Business Case<br />
• IT-Risikomanagement-Plan<br />
Tabelle 15: Abgeleitete Be<strong>zu</strong>gsobjekte aus den Control Objectives <strong>und</strong> Aktivitäten der <strong>COBIT</strong>-Prozesse<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 116 -<br />
Anhang H Verdichtete Ziele der <strong>COBIT</strong>-Prozesse<br />
Dieser Abschnitt bildet die Gr<strong>und</strong>lage für die Unter<strong>suchung</strong> der Ziele, die mit den <strong>COBIT</strong>-<br />
Prozessen unterstützt werden sollen. Da<strong>zu</strong> werden die in den <strong>COBIT</strong>-Prozessen genannten<br />
Ziele erfasst <strong>und</strong> den Zielen der RA gegenübergestellt. Zusätzlich werden die Prozesse<br />
aufgelistet, für die das betrachtete Ziel <strong>zu</strong>trifft, d.h. in deren Beschreibungen das betrachtete<br />
Ziel genannt wird.<br />
Nr. Ziel Ziel der RA <strong>COBIT</strong>-Prozesse<br />
1<br />
2<br />
3<br />
Reagiere auf Geschäftsanforderungen in<br />
Übereinstimmung mit der Unternehmensstrategie)<br />
Reagiere auf Anforderungen der Governance<br />
entsprechend der Geschäftsführungsvorgaben<br />
Stelle die Enduser-Zufriedenheit mit den<br />
Serviceangeboten <strong>und</strong> Service Levels<br />
sicher<br />
Fachliche Integration, PO1, PO2, PO4, PO10, AI1,<br />
AI6, AI7, DS1, DS3, ME1<br />
- PO1, PO4, PO10, ME1, ME4<br />
Zuverlässigkeit PO8, AI4, DS1, DS2, DS7,<br />
DS8, DS10, DS13<br />
4 Optimiere die Verwendung von Information Interoperabilität, Sicherheit PO2, DS11<br />
5 Stelle IT-Agilität her Agilität PO2, PO4, PO7, AI3<br />
Definiere, wie funktionale geschäftliche Fachliche Integration AI1, AI2, AI6<br />
6<br />
<strong>und</strong> Steuerungsanforderungen in wirksame<br />
<strong>und</strong> wirtschaftliche automatisierte<br />
Lösungen überführt werden.<br />
7<br />
Beschaffe <strong>und</strong> warte integrierte <strong>und</strong><br />
standardisierte Anwendungssysteme<br />
Standard-Komponenten <strong>und</strong><br />
-Produkte nutzen<br />
PO3, AI2, AI5<br />
8<br />
Beschaffe <strong>und</strong> unterhalte integrierte <strong>und</strong><br />
standardisierte IT-Infrastruktur<br />
Standard-Komponenten <strong>und</strong><br />
-Produkte nutzen<br />
AI3, AI5<br />
9<br />
Beschaffe <strong>und</strong> erhalte IT-Skills, die der IT-<br />
Strategie entsprechen<br />
- PO7, AI5<br />
10<br />
Sicherstellung gegenseitig <strong>zu</strong>friedenstellender<br />
Lieferantenbeziehungen<br />
- DS2<br />
Integriere die Anwendungen <strong>und</strong> Techno- Effektivität, fachliche Integ- PO2, AI4, AI7<br />
11 logielösungen nahtlos in die Geschäftsprozesseration,<br />
Stelle Transparenz <strong>und</strong> Verständnis von IT Effizienz, Reduzierung der PO5, PO6, DS1, DS2, DS6,<br />
12 -Kosten, Nutzen, Strategie, Richtlinien <strong>und</strong><br />
Service Levels sicher<br />
Komplexität,<br />
ME1, ME4<br />
Stelle die angemessene Verwendung <strong>und</strong> Zuverlässigkeit, PO6, AI4, AI7, DS7, DS8<br />
13 Performanz von Anwendungen <strong>und</strong><br />
technischen Lösungen sicher<br />
14<br />
Übernimm die Verantwortung für <strong>und</strong><br />
schütze alle IT-Anlagen<br />
Sicherheit PO9, DS5, DS9, DS12, ME2<br />
15<br />
Optimiere IT-Infrastruktur, Ressourcen,<br />
Fähigkeiten<br />
Effizienz PO3, AI3, DS3, DS7, DS9<br />
16<br />
Reduziere Mängel <strong>und</strong> Nacharbeit bei<br />
Lösungen <strong>und</strong> dem Servicebetrieb<br />
Schneller IT-Service PO8, AI4, AI6, AI7, DS10<br />
17 Schütze die Erreichung der IT-Ziele Effektivität PO9, DS10, ME2<br />
Schaffe Klarheit über Geschäftsauswir- - PO9<br />
18 kungen der Risiken von IT-Zielen <strong>und</strong> -<br />
Ressourcen<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 117 -<br />
Nr. Ziel Ziel der RA <strong>COBIT</strong>-Prozesse<br />
19<br />
20<br />
21<br />
22<br />
23<br />
24<br />
25<br />
26<br />
27<br />
28<br />
Stelle den Schutz von kritischen <strong>und</strong><br />
vertraulichen Informationen vor unberechtigtem<br />
Zugriff sicher<br />
Stelle sicher, dass automatischen Transaktionen<br />
<strong>und</strong> Informationsaustausch<br />
vertraut werden kann<br />
Stelle sicher, dass IT-Services <strong>und</strong> Infrastruktur<br />
Ausfällen auf Gr<strong>und</strong> von Fehlern,<br />
bewussten Angriffen oder Katastrophen<br />
standhalten können <strong>und</strong> ihre Wiederherstellung<br />
gewährleistet ist (Robustheit &<br />
Wiederherstellung)<br />
Stelle sicher, dass der Einfluss einer IT-<br />
Service-Störung oder -Änderung auf das<br />
Geschäft minimiert ist<br />
Stelle die Verfügbarkeit der IT-Services<br />
gemäß den Anforderungen sicher<br />
Verbessere die Kosteneffizienz der IT <strong>und</strong><br />
ihren Beitrag <strong>zu</strong>m Unternehmenserfolg<br />
Setze Projekte pünktlich <strong>und</strong> im Budgetrahmen<br />
<strong>und</strong> unter Einhaltung der Qualitätsstandards<br />
um<br />
Erhalte die Integrität der Informationen <strong>und</strong><br />
die diese Informationen verarbeitende<br />
Infrastruktur<br />
Stelle die IT-Compliance mit Gesetzen <strong>und</strong><br />
Vorschriften sicher<br />
Stelle sicher, dass die IT eine kosteneffiziente<br />
Servicequalität, eine kontinuierliche<br />
Verbesserung <strong>und</strong> Bereitschaft für <strong>zu</strong>künftige<br />
Veränderung zeigt<br />
Sicherheit PO6, DS5, DS11, DS12<br />
Sicherheit PO6, AI7, DS5<br />
Gewährleistung des Schutzbedarfs,<br />
Stabilität der IT-<br />
Systeme, Schneller IT-<br />
Service<br />
Stabilität der IT-Systeme,<br />
Schneller IT-Service<br />
PO6, AI7, DS4, DS5, DS12,<br />
DS13, ME2<br />
PO6, AI6, DS4, DS12<br />
Zuverlässigkeit, Handlungsfähigkeit<br />
DS3, DS4, DS8, DS13<br />
Effizienz PO5, DS6<br />
- PO8, PO10<br />
Sicherheit, Gewährleistung<br />
des Schutzbedarfs<br />
AI6, DS5<br />
Rechtskonformität, DS11, ME2, ME3, ME4<br />
Effizienz PO5, DS6, ME1, ME4<br />
Tabelle 16: Verdichtete Ziele der <strong>COBIT</strong>-Prozesse<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 118 -<br />
Anhang I Glossar zentraler Begriffe der RA<br />
Die nachfolgende Auflistung enthält ein bereinigtes Glossar mit zentralen Begriffen der RA<br />
<strong>und</strong> <strong>zu</strong>gehörigen Definitionen, die entweder direkt aus der Dokumentation der RA entnommen<br />
wurden oder mit dem Bedarfsträger ermittelt wurden.<br />
Begriff Definitionen aus den Dokumenten Anmerkung<br />
Aktivität/Funktion Eine Aktivität bzw. Funktion innerhalb eines Prozesses ist<br />
eine Aktion oder Tätigkeit, die auf ein Ereignis folgt. In der<br />
Darstellung als Ereignisgesteuerte Prozesskette (EPK)<br />
werden Funktionen durch Rechtecke mit abger<strong>und</strong>eten<br />
Kanten symbolisiert.<br />
Aktivitäten sind die kleinsten Aktionen, Tätigkeiten oder<br />
Handlungsanweisungen innerhalb eines Prozesses. Eine<br />
Aktivität kann mehrfach innerhalb eines Prozesses, aber<br />
auch in mehreren verschiedenen Prozessen enthalten sein.<br />
Anforderung Eine Anforderung nach IEEE ist:<br />
1) Eine Bedingung oder Fähigkeit, die von einem –<br />
Benutzer (Person oder System) <strong>zu</strong>r Lösung eines<br />
Problems oder Erreichung eines Ziels benötigt wird.<br />
2) Eine Bedingung oder Fähigkeit, die ein System oder<br />
ein Teilsystem erfüllen oder besitzen muss, um einen<br />
Vertrag, eine Norm, eine Spezifikation oder andere<br />
formell vorgegebene Dokumente <strong>zu</strong> erfüllen.<br />
Basisdienst<br />
3) Eine dokumentierte Repräsentation einer Bedingung<br />
oder Eigenschaft gemäß 1) oder 2).<br />
Ein Basisdienst ist ein Dienst, der eine gemeinsame,<br />
übergreifende Gr<strong>und</strong>lage für andere, darauf aufbauende<br />
Dienste (Fachdienst- <strong>und</strong> Querschnitts-dienst (QD)e) bildet.<br />
Der Basisdienst ist keiner einzelnen fachlichen Aufgabe<br />
direkt <strong>zu</strong>geordnet.<br />
Dienst Ein Dienst ist eine logische Einheit, die einen definierten<br />
Umfang an funktionalen Anforderungen erfüllt. Innerhalb der<br />
Rahmenarchitektur IT-Steuerung B<strong>und</strong> stellt der Dienst eine<br />
Beschreibungseinheit <strong>zu</strong>r Strukturierung der IT-<br />
Dienstedomäne<br />
Unterstüt<strong>zu</strong>ng für geschäftliche Anforderungen dar.<br />
Mehrere Diensteklassen werden im Dienstemodell (DM) <strong>zu</strong>r<br />
besseren Auffindbarkeit <strong>und</strong> klareren Abgren<strong>zu</strong>ng<br />
Dienstekatalog<br />
thematisch in Dienstedomänen <strong>zu</strong>sammengefasst. Zwischen<br />
Dienstedomänen <strong>und</strong> Diensteklassen besteht folgende<br />
Beziehung: Dienstklassen ist Teil von Dienstedomäne.<br />
Ein Beispiel für eine Dienstedomäne wäre die Domäne „IT-<br />
Sicherheit“.<br />
Aus funktionaler Sicht wird die Darstellung der Dienste des<br />
Dienstemodells (DM)s im sog. Dienstekatalog weiter<br />
detailliert. Dort finden sich Dienste, die bereits in IT-<br />
Lösungen umgesetzt wurden, sich in Umset<strong>zu</strong>ng befinden<br />
oder für die konkrete (Termin-)Planungen <strong>zu</strong> IT-<br />
Realisierungen existieren. Ihre Beschreibungen entsprechen<br />
denen von fachlichen Spezifikationen (Pflichtenheft) <strong>und</strong><br />
können direkt <strong>zu</strong>r Erstellung der technischen Spezifikationen<br />
verwendet werden. Diese wiederum sind Teil der<br />
Dokumentation des Technischen Modells (TM). Die Menge<br />
der im Dienstekatalog enthaltenen Dienste ist eine<br />
Untermenge derer des Dienstemodell (DM)s.<br />
Diese Begriffe sind deutlich<br />
voneinander ab<strong>zu</strong>grenzen.<br />
Funktionsmodellierung vs.<br />
Geschäftsprozessmodellierun<br />
g.<br />
Statische vs. dynamische<br />
Abstraktion.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 119 -<br />
Begriff Definitionen aus den Dokumenten Anmerkung<br />
Diensteklasse Mehrere Dienste werden im Dienstemodell <strong>zu</strong>r besseren<br />
Auffindbarkeit <strong>und</strong> Verwaltung zahlreicher Dienste <strong>zu</strong><br />
Diensteklassen <strong>zu</strong>sammengefasst. Diese Diensteklassen<br />
werden in einem zweiten Schritt <strong>zu</strong> Dienstedomänen<br />
gruppiert.<br />
Innerhalb der Domäne „IT-Sicherheit“ bilden<br />
Verschlüsslungsdienste eine relevante Diensteklasse.<br />
Dienstemodell<br />
(DM)<br />
Diensterealisierung,<br />
IT-Realisierung<br />
von Diensten,<br />
Service<br />
Das Dienstemodell stellt in der Rahmenarchitektur IT-<br />
Steuerung B<strong>und</strong> eine strukturierte Darstellung von<br />
Fachdienst-, Querschnittsdienst (QD)- <strong>und</strong> Basisdiensten auf<br />
einer funktionalen, logischen Ebene dar.<br />
Insbesondere enthält das Dienstemodell auch solche<br />
Dienste, die aus architektonischer Sicht wichtig sind, aber<br />
derzeit noch nicht realisiert werden sollen oder können.<br />
Solche Dienste sind ggf. auch noch unvollständig<br />
dokumentiert <strong>und</strong> damit (noch) nicht für die Zielgruppe der<br />
fachlichen IT-Nachfrager geeignet.<br />
Das Dienstemodell ist „Vermittler“ zwischen den im<br />
Geschäftlichen Modell (GM) dargestellten Aufgaben <strong>und</strong> den<br />
technischen Lösungen. Hier wird das IT-Angebot auf einer<br />
logischen, konzeptionellen Ebene strukturiert. Dabei werden<br />
analog <strong>zu</strong>m Geschäftlichen Modell (GM) Fachdienst- <strong>und</strong><br />
Querschnittsdienste (QD) unterschieden. Als weitere<br />
Kategorie werden Basisdienste dargestellt. Diese bilden eine<br />
gemeinsame, übergreifende Gr<strong>und</strong>lage für andere, darauf<br />
aufbauende Dienste (Fachdienst- <strong>und</strong> Querschnitts-dienst<br />
(QD)e). Ein Basisdienst ist keiner fachlichen Aufgabe direkt<br />
<strong>zu</strong>geordnet.<br />
Eine Diensterealisierung setzt einen oder mehrere Dienste<br />
des Dienstemodells (DM) mittels IT um. Diensterealisierungen<br />
werden im Technischen Modell (TM) in Form von<br />
IT-Lösungen bzw. IT-Komponenten beschrieben. Dabei ist<br />
<strong>zu</strong> beachten, dass IT-Lösungen <strong>und</strong> IT-Komponenten auch<br />
mehrere Diensterealisierungen anbieten können.<br />
Fachdienst Ein Fachdienst ist ein Dienst, der direkt der Erfüllung einer<br />
speziellen Fachaufgabe dient.<br />
Funktionalität Eine Funktionalität beschreibt eine definierte Fähigkeit eines<br />
Dienstes, eine bestimmte (Teil-)Aufgabe <strong>zu</strong> lösen.<br />
So besteht beispielsweise der Content Management Dienst<br />
u. a. aus den Funktionalitäten „Content anlegen“, „Content<br />
ändern“ <strong>und</strong> „Content löschen“.<br />
Geschäftliches<br />
Modell (GM)<br />
Funktionalitäten sind die kleinsten durch IT <strong>zu</strong><br />
unterstützenden fachlichen Funktionen oder<br />
Handlungsanweisungen innerhalb eines Dienstes. Ein Dienst<br />
besteht aus thematisch sinnvoll <strong>zu</strong>sammengefassten<br />
Funktionalitäten.<br />
Das Geschäftliche Modell stellt in der Rahmenarchitektur IT-<br />
Steuerung B<strong>und</strong> eine strukturierte Darstellung der<br />
geschäftlichen Aufgaben nach Geschäftsfeldern sowie der<br />
geschäftlichen Prozesse <strong>und</strong> deren Teilprozesse, die <strong>zu</strong>r<br />
Erfüllung von Aufgaben benötigt werden <strong>und</strong> die mit IT <strong>zu</strong><br />
unterstützen sind, dar.<br />
Das Geschäftliche Modell liefert eine Strukturierung der<br />
Fach- <strong>und</strong> Querschnittsaufgaben der B<strong>und</strong>esverwaltung.<br />
Diese Darstellung kann mit der Beschreibung der Nachfrage<br />
in Zusammenhang gebracht werden. Hieraus können<br />
Konsequenzen für das IT-Angebot abgeleitet werden. Es ist<br />
eine enge Kooperation mit dem Ausschuss für<br />
Organisationsfragen erforderlich.<br />
Im Dienstekatalog sind alle<br />
Dienste – realisierte wie<br />
geplante – festgehalten. Das<br />
Dienstemodell müsste<br />
demnach weitere, darüber<br />
hinausgehende Dienste<br />
enthalten. Welche sollen das<br />
sein?<br />
Der Begriff der<br />
„Funktionalität“ ist nicht<br />
eindeutig definiert; bietet ein<br />
Dienst Funktionalitäten an<br />
oder besteht er aus<br />
Funktionalitäten (wer<br />
„generiert“ dann die F.?)?<br />
Wieso die „kleinsten“<br />
(Definition ist zirkulär –<br />
„Funktionalitäten sind<br />
Funktionen“).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 120 -<br />
Begriff Definitionen aus den Dokumenten Anmerkung<br />
Geschäftsprozess Ein Geschäftsprozess ist eine Beschreibung der logischen<br />
Abfolge von Funktionen bzw. Aktivitäten.<br />
Dabei können:<br />
• verschiedene Personen<br />
• an verschiedenen Orten<br />
• unter Verwendung verschiedener Materialen<br />
• <strong>und</strong> / oder Informationen<br />
<strong>und</strong> / oder Systemen beteiligt sein.<br />
Informationsmodell<br />
(IM)<br />
Das Informationsmodell stellt in der Rahmenarchitektur IT-<br />
Steuerung B<strong>und</strong> eine Beschreibung der semantischen<br />
Standardisierung für den übergreifenden Austausch von<br />
Daten dar.<br />
Das Informationsmodell dient der Festlegung von<br />
IT-Angebot<br />
vereinheitlichten Strukturen für den Informationsaustausch<br />
zwischen Kommunikationspartnern. Es bildet daher die<br />
wesentliche Gr<strong>und</strong>lage für Interoperabilität von IT-Lösungen.<br />
Das IT-Angebot umfasst sämtliche von internen wie externen<br />
IT-Dienstleistern erbrachte IT-Leistungen.<br />
IT-Architektur Die IT-Architektur beschreibt den Rahmen <strong>und</strong> die grobe<br />
Struktur des technischen Modells <strong>und</strong> des<br />
Informationsmodells. Sie präzisiert damit die<br />
Geschäftsarchitektur in Richtung IT <strong>und</strong> ist Bestandteil der<br />
Unternehmensarchitektur. Die IT-Architektur wird von den IT<br />
Dienstleistungszentren des B<strong>und</strong>es <strong>zu</strong>nächst separat<br />
aufgebaut, sodass es eine IT-Architektur des B<strong>und</strong>es<br />
mittelfristig nicht gibt.<br />
IT-Dienstleistungszentrum<br />
(DLZ IT)<br />
IT-Dienstleistungszentren stellen ein IT-Angebot für die IT-<br />
Nachfrage bereit. Ziel ist die Bereitstellung von IT-Leistungen<br />
mit hoher Wirtschaftlichkeit <strong>und</strong> Servicequalität für einzelne<br />
Ressorts wie auch ressortübergreifend.<br />
IT-Leistung IT-Leistung umfasst alle von internen wie externen IT-<br />
Dienstleistern erbrachte informationstechnische<br />
Unterstüt<strong>zu</strong>ng der Aufgaben der öffentlichen Verwaltung (IT-<br />
Angebot). Sie enthält einerseits alle ressortspezifischen IT-<br />
Leistungen wie Planung/Konzeption, Entwicklung/Wartung<br />
<strong>und</strong> Betrieb von IT-Systemen sowie den damit verb<strong>und</strong>enen<br />
Support als auch alle ressortübergreifend nachgefragten IT-<br />
Leistungen (Basis-IT <strong>und</strong> Querschnitts-IT).<br />
IT-Lösung<br />
Eine IT-Leistung besteht aus einer Kombination von<br />
Personen, Prozessen <strong>und</strong> IT-Lösungen. Eine IT-Leistung<br />
wird zwischen einem Anbieter <strong>und</strong> einem Nachfrager durch<br />
eine verbindliche Vereinbarung über die Leistungsqualität<br />
definiert.<br />
Eine IT-Lösung stellt die informationstechnische Realisierung<br />
eines definierten Leistungsumfangs an IT-Unterstüt<strong>zu</strong>ng<br />
durch ein (technisches) System dar. In der<br />
Rahmenarchitektur stellt eine IT-Lösung einen oder mehrere<br />
Dienste technisch bereit.<br />
Diese Definition basiert auf dem Begriff „System“ aus DIN<br />
EN ISO 1941100 00009, (6).<br />
Zentraler Begriff; nicht explizit<br />
in Glossar aufgeführt; nicht<br />
näher erläutert; gleichzeitig<br />
durchaus unterschiedliche<br />
Begriffsauslegungen<br />
denkbar; wird insgesamt <strong>zu</strong><br />
<strong>und</strong>ifferenziert benutzt.<br />
wichtige Abstraktion; keine<br />
nähere Erläuterung; evtl.<br />
anhand von Beispielen<br />
illustrieren<br />
Einordnung in<br />
Rahmenarchitektur fehlt<br />
ebenso wie Abgren<strong>zu</strong>ng vom<br />
Begriff<br />
Unternehmensarchitektur.<br />
Wie grenzen sich IT-Leistung<br />
<strong>und</strong> IT-Angebot voneinander<br />
ab?<br />
Wie grenzen sich Dienst <strong>und</strong><br />
IT-Leistung voneinander ab?<br />
Insgesamt scheint der Begriff<br />
der IT-Leistung sich bisher<br />
unklar in die<br />
Gesamtkonzeption der RA<br />
ein<strong>zu</strong>ordnen, da die<br />
Abgren<strong>zu</strong>ng des Begriffs <strong>zu</strong><br />
allen anderen begriffen<br />
unklar bleibt.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 121 -<br />
Begriff Definitionen aus den Dokumenten Anmerkung<br />
IT-Komponente Eine IT-Komponente stellt einen definierten, meist<br />
wiederverwendbaren Teil einer IT-Lösung dar, die mit<br />
anderen IT-Komponenten interagiert. IT-Komponenten<br />
IT-Maßnahme<br />
können sowohl Software als auch Hardware sein.<br />
Eine IT-Maßnahme ist entweder ein IT-Vorhaben oder ein IT-<br />
Verfahren. Ein IT-Verfahren ist die Weiterentwicklung einer<br />
existierenden IT-Lösung. Ein IT-Vorhaben ist die Entwicklung<br />
einer neuen IT-Lösung.<br />
Wie ordnet sich der mehrfach<br />
erwähnte Begriff „IT-System“<br />
hier<strong>zu</strong> ein?<br />
IT-Nachfrage<br />
IT-Maßnahmen werden im IT-Rahmenkonzept des B<strong>und</strong>es<br />
gesammelt, konsolidiert <strong>und</strong> verwaltet.<br />
IT-Nachfrage bezeichnet den von den Ressorts benannten<br />
<strong>und</strong>/oder beauftragten Bedarf nach IT-Lösungen bzw. dem<br />
IT-Angebot. Die IT-Nachfrage wird innerhalb der Ressorts<br />
von den IT-Beauftragten der Ressorts in eigener<br />
Verantwortung<br />
koordiniert.<br />
<strong>und</strong> ressortübergreifend vom IT-Rat<br />
IT-Produkt Synonym <strong>zu</strong> IT-Lösung<br />
IT-System Zentraler Begriff ohne<br />
explizite Abgren<strong>zu</strong>ng vom<br />
Begriff „Standard“<br />
IT-Vorhaben Ein IT-Vorhaben ist die Neuentwicklung einer IT-Lösung. Ein<br />
IT-Vorhaben ist eine spezielle IT-Maßnahme.<br />
Querschnittsdienst<br />
(QD)<br />
Rahmenarchitektur<br />
IT-<br />
Steuerung B<strong>und</strong><br />
Ein Querschnitts-Dienst ist ein Dienst, der eine<br />
querschnittliche, in unterschiedlichen Verwaltungseinheiten<br />
stets in ähnlicher oder gleicher Form anfallende Aufgabe<br />
unterstützt (z. B. Personalwesen).<br />
Die Rahmenarchitektur IT-Steuerung B<strong>und</strong> ist eine<br />
übergreifende Modell-basierte Darstellung des Ist-Zustandes<br />
<strong>und</strong> des Soll-Bebauungsplans für die IT der<br />
B<strong>und</strong>esverwaltung. Ihr liegt ein definiertes Metamodell<br />
<strong>zu</strong>gr<strong>und</strong>e.<br />
Die vom Rat der IT-Beauftragten des B<strong>und</strong>es beschlossene<br />
Rahmenarchitektur IT-Steuerung B<strong>und</strong> definiert<br />
ressortübergreifend ein gemeinsames Architekturverständnis<br />
für die B<strong>und</strong>esverwaltung. Dieses beinhaltet insbesondere<br />
Planungsinstrumente für die Fortentwicklung der zentral<br />
gesteuerten IT-Systeme des B<strong>und</strong>es. Eine der strategischen<br />
Maßnahmen des Konzepts IT-Steuerung B<strong>und</strong> ist die<br />
Trennung von Nachfrage <strong>und</strong> Angebot. Dies wird durch die<br />
Einführung logischer Dienste in einem Dienstemodell (DM)<br />
unterstützt, das als Zwischenschicht zwischen geschäftlicher<br />
<strong>und</strong> technischer Ebene fungiert. Eine Schlüsselaufgabe beim<br />
Design oder Redesign von IT stellt dabei das Erkennen <strong>und</strong><br />
Definieren von allgemein nutzbaren Diensten dar. Dadurch<br />
sollen sowohl Red<strong>und</strong>anzen als auch Lücken im IT-Angebot<br />
vermieden werden. Für die Entwicklung <strong>und</strong><br />
Implementierung von IT-Lösungen ist die Identifikation von<br />
nutzbaren Diensten aus dem übergreifenden IT-Angebot von<br />
besonderer Bedeutung. Da<strong>zu</strong> dienen das Dienstemodell<br />
(DM) <strong>und</strong> der Dienstekatalog als Basis.<br />
Die Rahmenarchitektur IT-Steuerung B<strong>und</strong> stellt ein<br />
ganzheitliches Modell dar, das nicht nur die Beschreibung<br />
der IT umfasst, sondern auch alle Bereiche berücksichtigt,<br />
die direkten Wechselwirkungen mit der IT besitzen. Sie<br />
verwendet da<strong>zu</strong> fünf Modellbereiche für eine übergreifende<br />
IT-Planung <strong>und</strong> -Steuerung.<br />
Unklare Definition (Folge von<br />
unklarem Begriff „IT-<br />
Leistung“).<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 122 -<br />
Begriff Definitionen aus den Dokumenten Anmerkung<br />
Soll-<br />
Bebauungsplan<br />
Technisches<br />
Modell (TM )<br />
Unternehmensarchitektur<br />
Ein Soll-Bebauungsplan in der IT zeigt i.A. die Nut<strong>zu</strong>ng<br />
verschiedener IT-Lösungen für verschiedene Zeiträume<br />
durch die einzelnen Einheiten einer Organisation. In der<br />
Rahmenarchitektur ist speziell die gemeinsame Nut<strong>zu</strong>ng von<br />
Diensten in Form von IT-Lösungen innerhalb der<br />
B<strong>und</strong>esverwaltung beschrieben. Der Soll-Bebauungsplan<br />
stellt dar:<br />
• durch welche Eigenschaften ein langfristig angestrebter<br />
Soll-Zustand der IT der B<strong>und</strong>esverwaltung<br />
•<br />
gekennzeichnet ist,<br />
welche Querschnitts-dienst (QD)- (<strong>und</strong> später auch<br />
Fachdienst-)dienste <strong>zu</strong>r Unterstüt<strong>zu</strong>ng welcher<br />
Aufgaben als (ressortübergreifende) IT-Lösungen<br />
•<br />
realisiert werden sollen,<br />
wie die <strong>zu</strong> realisierenden Dienste strukturiert <strong>und</strong> unter<br />
Nut<strong>zu</strong>ng von Basisdiensten aufgebaut sein sollten.<br />
Der Soll-Bebauungsplan stellt das zentrale Instrument für die<br />
Darstellung künftiger Zustände der IT der B<strong>und</strong>esverwaltung<br />
<strong>und</strong> für die Planung der Transformation vom Ist- in einen<br />
langfristig avisierten Soll-Zustand dar. Darüber hinaus<br />
enthält der Soll-Bebauungsplan kurz- bis mittelfristig<br />
vorgesehene Zwischen<strong>zu</strong>stände, die Meilensteine für die<br />
schrittweise Annäherung an den Soll-Zustand darstellen.<br />
Das Technische Modell definiert in der Rahmenarchitektur<br />
IT-Steuerung B<strong>und</strong> technische Mittel <strong>zu</strong>r Bereitstellung von<br />
Diensten, wie Software-Komponenten, IT-Lösungen <strong>und</strong><br />
Standards.<br />
Im Technischen Modell werden konkrete IT-Lösungen, IT-<br />
Komponenten sowie die an<strong>zu</strong>wendenden Standards<br />
dargestellt. Weiterhin wird die dabei genutzte Basis-<br />
Infrastruktur der B<strong>und</strong>esverwaltung beschrieben.<br />
Die Unternehmensarchitektur beschreibt den Rahmen <strong>und</strong><br />
die grobe Struktur aller Modellebenen der RA, also das<br />
geschäftliche Modell (detailliert in der Geschäftsarchitektur),<br />
das Dienstemodell, das technische Modell <strong>und</strong> das<br />
Informationsmodell (die letzen beiden Modelle sind in der IT-<br />
Architektur dokumentiert).<br />
Ziel<br />
Zielemodell (ZM) Das Zielemodell stellt in der Rahmenarchitektur IT-<br />
Steuerung B<strong>und</strong> Ziele, strukturiert nach Zielfeldern, sowie<br />
geeignete Kenngrößen für die Ziel-Erreichung dar.<br />
Das Zielemodell (ZM) dient der strukturierten Darstellung von<br />
Zielen, sowohl aus geschäftlicher wie auch aus IT-Sicht.<br />
Weiterhin enthält es Messgrößen <strong>und</strong> Kennzahlen <strong>zu</strong>r<br />
Definition <strong>und</strong> Kontrolle von Zielwerten.<br />
Tabelle 17: Glossar zentraler Begriffe der RA<br />
Es wird von „Referenzmodell<br />
(„Frameworks“) gesprochen,<br />
ohne dass klar ist, was<br />
hiermit gemeint ist.<br />
Vermutlich soll der<br />
Referenzcharakter<br />
hervorgehoben werden.<br />
Zentraler Begriff; vermutlich<br />
handelt es sich um<br />
organisatorische<br />
Maßnahmen wie<br />
Stelleneinrichtungen <strong>und</strong> die<br />
Vorgabe von Richtlinien etc.;<br />
ist <strong>zu</strong> klären.<br />
Zentraler Begriff; explizite<br />
Definition fehlt; keine<br />
Erwähnung in Glossar; Ziel<br />
im Kontext der RA<br />
mehrdeutig verwendet: Ziele<br />
der ITSB, Ziele der RA, Ziele<br />
prospektiver Anwender,<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 123 -<br />
Anhang J Glossar zentraler Begriffe der <strong>ITIL</strong><br />
Die nachfolgende Auflistung enthält ein bereinigtes Glossar mit zentralen Begriffen der <strong>ITIL</strong><br />
<strong>und</strong> <strong>zu</strong>gehörigen Definitionen, die entweder direkt aus der Dokumentation (bspw. vorhandenen<br />
Glossaren) der <strong>ITIL</strong> entnommen oder aus ihr rekonstruiert wurden. Dies wird durch<br />
einzelne Anmerkungen mit Hinweisen ergänzt.<br />
Begriff Definition Anmerkung<br />
Aktivität Eine Gruppe von Aktionen, anhand derer ein bestimmtes<br />
Ergebnis erzielt werden soll. Aktivitäten werden in der Regel<br />
als Teil von Prozessen oder Plänen definiert <strong>und</strong> als Verfahren<br />
dokumentiert.<br />
Anforderung Die formale Formulierung dessen, was benötigt wird. Zum<br />
Beispiel eine Service Level Anforderung, eine Projektanforderung<br />
oder die Anforderung der erforderlichen Lieferergebnisse<br />
für einen Prozess.<br />
Anwendung Software, die die von einem IT Service benötigten Funktionen<br />
bereitstellt. Jede Anwendung kann Teil eines oder mehrerer<br />
IT Services sein. Eine Anwendung wird auf einem oder<br />
mehreren Servern oder Clients ausgeführt.<br />
Asset Bezeichnung für jedwede Ressource oder Fähigkeit. Die<br />
Assets eines Service Providers umfassen alle Elemente, die<br />
<strong>zu</strong>r Erbringung eines Service beitragen können. Assets<br />
können folgende Typen einschließen: Management, Organisation,<br />
Prozess, Wissen, Mitarbeiter, Information, Anwendungen,<br />
Infrastruktur <strong>und</strong> finanzielles Kapital.<br />
Business-Prozess Ein Prozess, für den das Business verantwortlich ist <strong>und</strong> der<br />
vom Business ausgeführt wird. Ein Business-Prozess ist an<br />
der Bereitstellung eines Produkts oder eines Service für<br />
einen Business-K<strong>und</strong>en beteiligt. Für einen Händler kann<br />
beispielsweise ein Einkaufsprozess definiert sein, über den<br />
die Bereitstellung von Services für seine Business-K<strong>und</strong>en<br />
unterstützt wird. Viele Business-Prozesse basieren auf IT<br />
Services.<br />
Core Service Ein IT Service, der die gr<strong>und</strong>legenden, von einem oder<br />
mehreren K<strong>und</strong>en gewünschten Ergebnisse liefert.<br />
Daten <br />
Die Abgren<strong>zu</strong>ng zwischen<br />
Core Service <strong>und</strong> IT Service<br />
bleibt unklar. Es wird davon<br />
ausgegangen, dass es sich<br />
bei Core Service, unterstützendem<br />
Service <strong>und</strong> IT<br />
Service ähnlich verhält wie<br />
mit Dienst, Fach-Dienst <strong>und</strong><br />
Basis-Diensten bei der RA.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 124 -<br />
Begriff Definition Anmerkung<br />
Funktion Ein Team oder eine Gruppe von Personen <strong>und</strong> die Hilfsmittel,<br />
die eingesetzt werden, um einen oder mehrere Prozesse<br />
oder Aktivitäten durch<strong>zu</strong>führen. Ein Beispiel dafür ist das<br />
Service Desk. Der Begriff „Funktion“ hat darüber hinaus zwei<br />
weitere Bedeutungen:<br />
• Zweck, der mit einem Configuration Item, einer Person,<br />
einem Team, einem Prozess oder einem IT Service verfolgt<br />
wird. Eine Funktion kann beispielsweise das Speichern<br />
<strong>und</strong> Weiterleiten ausgehender E-Mails sein, <strong>und</strong><br />
eine Funktion eines Business-Prozesses kann die Verteilung<br />
von Waren an K<strong>und</strong>en beinhalten.<br />
• Korrekte Ausführung in Be<strong>zu</strong>g auf den beabsichtigen<br />
Zweck („Der Computer funktioniert“).<br />
IT-Infrastruktur Die Gesamtheit der Hardware, Software, Netzwerke, Anlagen<br />
etc., die für die Entwicklung, Tests, die Bereitstellung, das<br />
Monitoring, die Steuerung oder den Support von IT Services<br />
erforderlich sind. Der Begriff „IT-Infrastruktur“ umfasst die<br />
gesamte Informationstechnologie, nicht jedoch die <strong>zu</strong>gehörigen<br />
Mitarbeiter, Prozesse <strong>und</strong> Dokumentationen.<br />
Komponente Ein allgemeiner Begriff für einen Teil eines komplexeren<br />
Elements. Beispielsweise ein Computersystem kann eine<br />
Komponente eines IT Service sein, eine Anwendung eine<br />
Komponente eines Release Unit. Bei Komponenten, die<br />
verwaltet werden müssen, handelt es sich um Configuration<br />
Items.<br />
Operational Level<br />
Agreement (OLA)<br />
Eine Vereinbarung zwischen einem IT Service Provider <strong>und</strong><br />
einem anderen Teil derselben Organisation. Ein OLA unterstützt<br />
die Bereitstellung von IT Services durch den IT Service<br />
Provider für den K<strong>und</strong>en. Das OLA definiert die <strong>zu</strong> liefernden<br />
Waren oder Services <strong>und</strong> die Verantwortlichkeiten der beiden<br />
Parteien. Ein OLA könnte beispielsweise bestehen zwischen:<br />
• dem IT Service Provider <strong>und</strong> einer Einkaufsabteilung, um<br />
Hardware innerhalb vereinbarter Zeitspannen <strong>zu</strong> erhalten<br />
• dem Service Desk <strong>und</strong> einer Support-Gruppe, um eine<br />
Incident-Lösung innerhalb der vereinbarten Zeit <strong>zu</strong> erreichen.<br />
Produkt <br />
Ressource Ein allgemeiner Begriff, der die IT-Infrastruktur, Personen,<br />
Geld oder andere Elemente umfasst, die <strong>zu</strong>r Erbringung<br />
eines IT Service beitragen können. Ressourcen werden als<br />
Assets einer Organisation betrachtet.<br />
Service Eine Möglichkeit einen Mehrwert für K<strong>und</strong>en <strong>zu</strong> erbringen,<br />
indem das Erreichen der von den K<strong>und</strong>en angestrebten<br />
Ergebnisse erleichtert oder gefördert wird. Dabei müssen die<br />
K<strong>und</strong>en selbst keine Verantwortung für bestimmte Kosten<br />
<strong>und</strong> Risiken tragen.<br />
Service Level Messbare <strong>und</strong> nachweisbare Ergebnisse, die im Hinblick auf<br />
ein oder mehrere Service Level Ziele erreicht werden. Der<br />
Begriff „Service Level“ wird im Sprachgebrauch auch als<br />
Synonym für Service Level Ziel verwendet.<br />
Service Level<br />
Agreement (SLA)<br />
Eine Vereinbarung zwischen einem IT Service Provider <strong>und</strong><br />
einem K<strong>und</strong>en. Das SLA beschreibt den jeweiligen IT Service,<br />
dokumentiert Service Level Ziele <strong>und</strong> legt die Verantwortlichkeiten<br />
des IT Service Providers <strong>und</strong> des K<strong>und</strong>en fest.<br />
Ein einzelnes SLA kann mehrere IT Services oder mehrere<br />
K<strong>und</strong>en abdecken.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 125 -<br />
Begriff Definition Anmerkung<br />
Service Level<br />
Package (SLP)<br />
Der festgelegte Grad an Utility <strong>und</strong> Warranty für ein bestimmtes<br />
Service Package. Jedes SLP ist darauf ausgerichtet, den<br />
Anforderungen eines bestimmten Business-Aktivitätsmusters<br />
gerecht <strong>zu</strong> werden.<br />
Service Package Die detaillierte Beschreibung eines IT Service, der K<strong>und</strong>en<br />
<strong>zu</strong>r Verfügung gestellt werden kann. Ein Service Package<br />
umfasst ein Service Level Package sowie einen oder mehrere<br />
Core Services <strong>und</strong> unterstützende Services.<br />
Servicekatalog Eine Datenbank oder ein strukturiertes Dokument mit Informationen<br />
<strong>zu</strong> allen Live IT Services, einschließlich der Services,<br />
die für das Deployment verfügbar sind. Der<br />
Servicelinie (LOS)<br />
Servicekatalog ist der einzige Bestandteil des Serviceportfolios,<br />
der an die K<strong>und</strong>en ausgehändigt wird. Er unterstützt den<br />
Vertrieb <strong>und</strong> die Bereitstellung von IT Services. Der Servicekatalog<br />
enthält Angaben <strong>zu</strong> Lieferergebnissen, Preisen,<br />
Bestellungen <strong>und</strong> Anfragen sowie Kontaktinformationen.<br />
Ein Core Service oder unterstützender Service, der über<br />
mehrere Service Level Packages verfügt. Eine Servicelinie<br />
wird von einem Produktmanager verwaltet <strong>und</strong> jedes Service<br />
Level Package ist für die Unterstüt<strong>zu</strong>ng eines bestimmten<br />
Marktsegments vorgesehen.<br />
Servicelösung <br />
Servicepipeline Eine Datenbank oder ein strukturiertes Dokument, in dem alle<br />
IT Services aufgelistet sind, die <strong>zu</strong>r Diskussion stehen oder<br />
sich in der Entwicklung befinden <strong>und</strong> noch nicht für den<br />
K<strong>und</strong>en verfügbar sind. Die Servicepipeline bietet einen<br />
Überblick über mögliche <strong>zu</strong>künftige IT Services <strong>und</strong> ist Teil<br />
des Serviceportfolios, das in der Regel nicht an die K<strong>und</strong>en<br />
weitergegeben wird.<br />
Serviceportfolio Die Gesamtheit aller Services, die von einem Service Provider<br />
verwaltet werden. Das Serviceportfolio wird für das<br />
Management des gesamten Lebenszyklus aller Services<br />
genutzt. Es umfasst drei Kategorien: Servicepipeline (beantragt<br />
oder in Entwicklung), Servicekatalog (Live oder bereit<br />
<strong>zu</strong>m Deployment) <strong>und</strong> außer Kraft gesetzte Services.<br />
Underpinning<br />
Contract (UC)<br />
Ein Vertrag zwischen einem IT Service Provider <strong>und</strong> einer<br />
Drittpartei. Die Drittpartei stellt Waren oder Services <strong>zu</strong>r<br />
Verfügung, die die Bereitstellung eines IT Service für einen<br />
K<strong>und</strong>en unterstützen. Der Underpinning Contract definiert<br />
Ziele <strong>und</strong> Verantwortlichkeiten, um die in einem SLA vereinbarten<br />
Service Level Ziele <strong>zu</strong> erreichen.<br />
Ziel Der definierte Zweck oder die Zielset<strong>zu</strong>ng eines Prozesses,<br />
einer Aktivität oder einer ganzen Organisation. Ziele werden<br />
in der Regel als messbare Elemente ausgedrückt. Der Begriff<br />
„Ziel“ bezeichnet informell auch eine Anforderung.<br />
Tabelle 18: Glossar zentraler Begriffe der <strong>ITIL</strong><br />
Abgren<strong>zu</strong>ng <strong>zu</strong>r Servicelinie<br />
bleibt unklar; beide enthalten<br />
eine Beschreibung eines<br />
Services sowie von Service<br />
Level Packages.<br />
Die Einordnung <strong>zu</strong>m Service<br />
Package bleibt unklar. Es ist<br />
nicht ersichtlich, weshalb<br />
eine Servicelinie auf Service<br />
Level Packages – <strong>und</strong> nicht<br />
auf Service Packages –<br />
verweist.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 126 -<br />
Anhang K Glossar zentraler Begriffe der <strong>COBIT</strong><br />
Die nachfolgende Auflistung enthält ein bereinigtes Glossar mit zentralen Begriffen der<br />
<strong>COBIT</strong> <strong>und</strong> <strong>zu</strong>gehörigen Definitionen, die entweder direkt aus der Dokumentation (bspw. aus<br />
vorhandenen Glossaren) der <strong>COBIT</strong> entnommen oder aus ihr rekonstruiert wurden. Darüber<br />
hinaus wird festgehalten, ob der Begriff als Be<strong>zu</strong>gsobjekt dient <strong>und</strong>/oder ein zentrales Konzept<br />
darstellt.<br />
Begriff Definition Be<strong>zu</strong>gsobjekt<br />
The process that limits and controls access to resources of a computer X<br />
Access control<br />
system; a logical or physical control designed to protect against unauthorized<br />
entry or use.<br />
Accountable<br />
In a RACI chart, refers to the person or group who has the authority to<br />
approve or accept the execution of an activity.<br />
Activity The main actions taken to operate the <strong>COBIT</strong> process. X<br />
A program that processes business data through activities such as data X<br />
Application program<br />
entry, update or query. It contrasts with systems programs, such as an<br />
operating system or network control program, and with utility programs,<br />
such as copy or sort.<br />
Audit charter<br />
A document approved by the board, which defines the purpose, authority<br />
and responsibility of the internal audit activity.<br />
The act of verifying the identity of a system entity (e.g., user, system, X<br />
Authentication<br />
network node) and the entity’s eligibility to access computerized information.<br />
Designed to protect against fraudulent logon activity, authentication<br />
can also refer to the verification of the correctness of a piece of data.<br />
Automated application<br />
control<br />
A set of controls embedded within automated solutions (applications).<br />
A coherent set of performance measures organized into four categories. X<br />
Balanced scorecard<br />
It includes traditional financial measures, but adds customer, internal<br />
business process, and learning and growth perspectives. It was developed<br />
by Robert S. Kaplan and David P. Norton in 1992.<br />
A systematic approach to comparing an organization’s performance<br />
Benchmarking<br />
against peers and competitors in an effort to learn the best ways of<br />
conducting business (e.g., benchmarking of quality, logistical efficiency<br />
and various other metrics)<br />
Best practice<br />
A proven activity or process that has been successfully used by multiple<br />
organizations.<br />
Capability Having the needed attributes to perform or accomplish.<br />
Capability Maturity<br />
Model (CMM)<br />
Configuration item (CI)<br />
Configuration management<br />
The CMM for Software, from the Software Engineering Institute (SEI). A<br />
model used by many organizations to identify good practices useful in<br />
helping them assess and increase the maturity of their software development<br />
processes.<br />
Component of an infrastructure—or an item, such as a request for<br />
change, associated with an infrastructure—which is (or is to be) <strong>und</strong>er<br />
the control of configuration management. CIs may vary widely in complexity,<br />
size and type, from an entire system (including all hardware,<br />
software and documentation) to a single module or a minor hardware<br />
component.<br />
The control of changes to a set of configuration items over a system life<br />
cycle.<br />
Zentrales<br />
Konzept<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X
Abschlussbericht BA-Nr. 0369/10 - 127 -<br />
Begriff Definition Be<strong>zu</strong>gsobjekt<br />
Configuration repository<br />
Consulted<br />
Continuity<br />
Continuity plan<br />
Control framework<br />
Control objective<br />
Control practice<br />
Cost model<br />
Critical success factor<br />
(CSF)<br />
Dashboard<br />
Data classification<br />
scheme<br />
Data dictionary<br />
Data owners<br />
Detective control<br />
Domain<br />
Enterprise<br />
A central repository that contains all relevant information on configuration<br />
items. All changes to configuration items should be logged to the configuration<br />
repository.<br />
In a RACI chart, refers to those people whose opinions are sought on an<br />
activity (two-way communication).<br />
Preventing, mitigating and recovering from disruption. The terms ‘business<br />
resumption planning’, ‘disaster recovery planning’ and ‘contingency<br />
planning’ also may be used in this context; they all concentrate on the<br />
recovery aspects of continuity.<br />
Designed to reduce the impact of a major disruption on key business<br />
functions and processes. The plan should be based on risk <strong>und</strong>erstanding<br />
of potential business impacts and address requirements for resilience,<br />
alternative processing and recovery capability of all critical IT<br />
services. It should also cover usage guidelines, roles and responsibilities,<br />
procedures, communication processes, and the testing approach.<br />
A set of f<strong>und</strong>amental controls that facilitates the discharge of business<br />
process owner responsibilities to prevent financial or information loss in<br />
an organization.<br />
A statement of the desired result or purpose to be achieved by implementing<br />
control procedures in a particular process.<br />
Key control mechanism that supports the achievement of control objectives<br />
through responsible use of resources, appropriate management of<br />
risk and alignment of IT with business.<br />
Ensures that charging for services is identifiable, measurable and predictable<br />
by users to encourage proper use of resources. The cost model<br />
is based on the service definitions that support the calculation of chargeback<br />
rates per service,<br />
The most important issues or actions for management to achieve control<br />
over and within its IT processes.<br />
A tool for setting expectations for an organization at each level of responsibility<br />
and continuous monitoring of the performance against set<br />
targets.<br />
An enterprise wide scheme for classifying data by factors such as criticality,<br />
sensitivity and ownership.<br />
A database that contains the name, type, range of values, source and<br />
authorization for access for each data element in a database. It also<br />
indicates which application programs use that data so that when a data<br />
structure is contemplated, a list of the affected programs can be generated.<br />
The data dictionary may be a stand-alone information system used<br />
for management or documentation purposes, or it may control the operation<br />
of a database.<br />
Individuals, normally managers or directors, who have responsibility for<br />
the integrity, accurate reporting and use of computerized data.<br />
A control that is used to identify events (<strong>und</strong>esirable or desired), errors<br />
and other occurrences that an enterprise has determined to have a<br />
material effect on a process or end product.<br />
In <strong>COBIT</strong>, the grouping of control objectives into logical stages in the IT<br />
life cycle of investments involving IT (Plan and Organize, Acquire and<br />
Implement, Deliver and Support, and Monitor and Evaluate).<br />
A group of individuals working together for a common purpose, typically<br />
within the context of an organizational form such as a corporation, public<br />
agency, charity or trust.<br />
Zentrales<br />
Konzept<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X
Abschlussbericht BA-Nr. 0369/10 - 128 -<br />
Begriff Definition Be<strong>zu</strong>gsobjekt<br />
Enterprise architecture<br />
Enterprise architecture<br />
for IT<br />
Enterprise governance<br />
Description of the f<strong>und</strong>amental <strong>und</strong>erlying design of the components of<br />
the business system, or of one element of the business system (e.g.,<br />
technology), the relationships amongst them and the manner in which<br />
they support the organization’s objectives<br />
Description of the f<strong>und</strong>amental <strong>und</strong>erlying design of the IT components of<br />
the business, the relationships amongst them and the manner in which<br />
they support the organization’s objectives<br />
A set of responsibilities and practices exercised by the board and executive<br />
management with the goal of providing strategic direction, ensuring<br />
that objectives are achieved, ascertaining that risks are managed appropriately<br />
and verifying that the enterprise’s resources are used responsibly<br />
Feasibility study Examines the possibility of implementing requirements. X<br />
General computer<br />
controls<br />
Guideline<br />
Information architecture<br />
Informed<br />
Integrated project plan<br />
Internal control<br />
ISO/IEC 27002:2005<br />
ISO 27001<br />
ISO 9001:2000<br />
IT<br />
IT architecture<br />
Controls, other than application controls, which relate to the environment<br />
within which computer based application systems are developed, maintained<br />
and operated, and which are therefore applicable to all applications.<br />
The objectives of general controls are to ensure the proper<br />
development and implementation of applications, the integrity of program<br />
and data files and of computer operations. Like application controls,<br />
general controls may be either manual or programmed. Examples of<br />
general controls include the development and implementation of an IS<br />
strategy and an IS security policy, the organization of IS staff to separate<br />
conflicting duties, and planning for disaster prevention and recovery.<br />
A description of a particular way of accomplishing something that is less<br />
prescriptive than a procedure.<br />
One component of IT architecture (together with applications and technology).<br />
In a RACI chart, refers to those people who are kept up to date on the<br />
progress of an activity (one-way communication).<br />
A formal, approved integrated project plan (covering business and<br />
information systems resources) to guide project execution and control<br />
throughout the life of the project.<br />
The policies, plans and procedures, and organizational structures designed<br />
to provide reasonable assurance that business objectives will be<br />
achieved and <strong>und</strong>esired events will be prevented or detected and corrected.<br />
An international standard that defines information confidentiality, integrity<br />
and availability controls.<br />
Information Security Management—Specification with Guidance for Use;<br />
the replacement for BS7799-2. It is intended to provide the fo<strong>und</strong>ation for<br />
third-party audit and is harmonized with other management standards,<br />
such as ISO/IEC 9001 and 14001.<br />
Code of practice for quality management from the International Organization<br />
for Standardization (ISO). ISO 9001:2000, which specifies requirements<br />
for a quality management system for any organization that needs<br />
to demonstrate its ability to consistently provide product or service that<br />
meets particular quality targets.<br />
Information technology; the hardware, software, communications and<br />
other facilities used to input, store, process, transmit and output data in<br />
whatever form.<br />
Description of the f<strong>und</strong>amental <strong>und</strong>erlying design of the IT components of<br />
the business, the relationships amongst them and the manner in which<br />
they support the organization’s objectives.<br />
Zentrales<br />
Konzept<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
X<br />
X<br />
X
Abschlussbericht BA-Nr. 0369/10 - 129 -<br />
Begriff Definition Be<strong>zu</strong>gsobjekt<br />
IT continuity framework<br />
<strong>ITIL</strong><br />
IT governance framework<br />
IT incident<br />
IT investment dashboard<br />
IT process framework<br />
IT strategic plan<br />
IT tactical plan<br />
The objective of the IT continuity framework should be to assist in determining<br />
the required resilience of the infrastructure and to drive the<br />
development of disaster recovery and IT contingency plans. The framework<br />
should address the organizational structure for continuity management,<br />
covering the roles, tasks and responsibilities of internal and<br />
external service providers, their management and their customers, and<br />
the planning processes that create the rules and structures to document,<br />
test and execute the disaster recovery and IT contingency plans.<br />
The UK Office of Government Commerce (OGC) IT Infrastructure Library;<br />
a set of guides on the management and provision of operational IT<br />
services.<br />
Defines organizational structures, processes, leadership, roles and<br />
responsibilities to ensure that enterprise IT investments are aligned and<br />
delivered in accordance with enterprise strategies and objectives.<br />
Any event that is not part of the ordinary operation of a service and that<br />
causes, or may cause, an interruption to, or a reduction in, the quality of<br />
that service (aligned to <strong>ITIL</strong>).<br />
A tool for setting expectations for an organization at each level and<br />
continuous monitoring of the performance against set targets for expenditures<br />
on and returns from IT-enabled investment projects in terms of<br />
business values.<br />
This framework should include an IT process structure and relationships,<br />
ownership, maturity, performance measurement, improvement, compliance,<br />
quality targets and plans to achieve them. It should provide<br />
integration amongst the processes that are specific to IT, enterprise<br />
portfolio management, business processes and business change<br />
processes. The IT process framework should be integrated into a quality<br />
management system (QMS) and the internal control framework.<br />
A long-term plan, i.e., three- to five-year horizon, in which business and<br />
IT management co-operatively describe how IT resources will contribute<br />
to the enterprise’s strategic objectives (goals).<br />
A medium-term plan, i.e., six- to 18-month horizon, that translates the IT<br />
strategic plan direction into required initiatives, resource requirements,<br />
and ways in which resources and benefits will be monitored and managed.<br />
IT user A person who uses IT to support or achieve a business objective.<br />
Key management Those management practices required to successfully execute business<br />
practices<br />
processes.<br />
Key goal indicator; measures that tell management, after the fact, wheth-<br />
KGI<br />
er an IT process has achieved its business requirements, usually expressed<br />
in terms of information criteria.<br />
Key performance indicator; measures that determine how well the<br />
process is performing in enabling the goal to be reached. They are lead<br />
indicators of whether a goal will likely be reached, and are good indica-<br />
KPI<br />
tors of capabilities, practices and skills. They measure the activity goals,<br />
which are the actions the process owner must take to achieve effective<br />
process performance.<br />
In business, indicates the degree of reliability or dependency the busi-<br />
Maturity<br />
ness can place on a process achieving the desired goals or objectives.<br />
A standard used to evaluate and communicate performance against<br />
Measure<br />
expected results. Measures are normally quantitative in nature capturing<br />
numbers, dollars, percentages, etc., but can also address qualitative<br />
Zentrales<br />
Konzept<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X X
Abschlussbericht BA-Nr. 0369/10 - 130 -<br />
Be<strong>zu</strong>gsobjekt<br />
Begriff Definition<br />
information such as customer satisfaction. Reporting and monitoring<br />
measures help an organization gauge progress toward effective implementation<br />
of strategy.<br />
Specific descriptions of how a quantitative and periodic assessment of<br />
Metrics<br />
performance is to be measured. A complete metric defines the unit used,<br />
frequency, ideal target value, the procedure to carry out the measurement<br />
and the procedure for the interpretation of the assessment.<br />
OLA<br />
Operational level agreement; an internal agreement covering the delivery<br />
of services that support the IT organization in its delivery of services.<br />
X<br />
Organization<br />
The manner in which an enterprise is structured; can also mean the<br />
entity.<br />
Measures that represent the consequences of actions previously taken<br />
and are often referred to as lag indicators. They frequently focus on<br />
X<br />
Outcome measures<br />
results at the end of a time period and characterize historical performance.<br />
They are also referred to as key goal indicators (KGIs) and are<br />
used to indicate whether goals have been met. These can be measured<br />
only after the fact and, therefore, are called ‘lag indicators’.<br />
Performance In IT, the actual implementation or achievement of a process.<br />
Measures that are considered the ‘drivers’ of lag indicators. They can be<br />
measured before the outcome is clear and, therefore, are called ‘lead<br />
indicators’. There is an assumed relationship between the two that<br />
Performance drivers suggests that improved performance in a leading indicator will drive<br />
better performance in the lagging indicator. They are also referred to as<br />
key performance indicators (KPIs) and are used to indicate whether<br />
goals are likely to be met.<br />
Performance management<br />
Policy<br />
Portfolio<br />
Preventive control<br />
In IT, the ability to manage any type of measurement, including employee,<br />
team, process, operational or financial measurements. The term<br />
connotes closed-loop control and regular monitoring of the measurement.<br />
Generally, a document that records a high-level principle or course of<br />
action that has been decided upon. A policy’s intended purpose is to<br />
influence and guide both present and future decision making to be in line<br />
with the philosophy, objectives and strategic plans established by the<br />
enterprise’s management teams. In addition to policy content, policies<br />
need to describe the consequences of failing to comply with the policy,<br />
the means for handling exceptions, and the manner in which compliance<br />
with the policy will be checked and measured.<br />
A grouping of programmes, projects, services or assets selected, managed<br />
and monitored to optimize business return.<br />
An internal control that is used to prevent <strong>und</strong>esirable events, errors and<br />
other occurrences that an organization has determined could have a<br />
negative material effect on a process or end product.<br />
Zentrales<br />
Konzept<br />
Problem In IT, the unknown <strong>und</strong>erlying cause of one or more incidents. X<br />
Provides audit trail facilities that allow tracking, analyzing and determin- X<br />
Problem management ing the root cause of reported problems, considering all associated<br />
system<br />
configuration items, outstanding problems and incidents, known and<br />
suspected errors and tracking of problem trends.<br />
Procedure<br />
A document containing steps that specify how to achieve an activity.<br />
Procedures are defined as part of processes.<br />
Generally, a collection of procedures influenced by the organization’s<br />
policies and procedures that takes inputs from a number of sources,<br />
X X<br />
Process<br />
including other processes, manipulates the inputs, and produces outputs,<br />
including other processes. Processes have clear business reasons for<br />
existing, accountable owners, clear roles and responsibilities aro<strong>und</strong> the<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
X<br />
X
Abschlussbericht BA-Nr. 0369/10 - 131 -<br />
Programme<br />
Project<br />
Begriff Definition Be<strong>zu</strong>gsobjekt<br />
Project management<br />
framework<br />
Project quality plan<br />
QMS<br />
RACI chart<br />
Resilience<br />
Responsible<br />
Risk<br />
Risk management<br />
framework<br />
Root cause analysis<br />
SDLC<br />
Segregation/ separation<br />
of duties<br />
Service catalogue<br />
execution of the process, and the means to measure performance.<br />
A structured grouping of interdependent projects that includes the full<br />
scope of business, process, people, technology and organizational<br />
activities that are required (both necessary and sufficient) to achieve a<br />
clearly specified business outcome.<br />
A structured set of activities concerned with delivering to the enterprise a<br />
defined capability (that is necessary but not sufficient to achieve a<br />
required business outcome) based on an agreed-upon schedule and<br />
budget.<br />
Defines the scope and bo<strong>und</strong>aries of managing projects, as well as the<br />
method to be adopted and applied to each project <strong>und</strong>ertaken. The<br />
framework and supporting method should be integrated with the programme<br />
management processes.<br />
Describes a project quality system and how it will be implemented. The<br />
plan should be formally reviewed and agreed to by all parties concerned<br />
and then incorporated into the integrated project plan.<br />
Quality management system; a system that outlines the policies and<br />
procedures necessary to improve and control the various processes that<br />
will ultimately lead to improved organization performance.<br />
Illustrates who is responsible, accountable, consulted and informed<br />
within an organizational framework.<br />
In business, the ability of a system or network to recover automatically<br />
from any disruption, usually with minimal recognizable effect.<br />
In a RACI chart, refers to the person who must ensure that activities are<br />
completed successfully.<br />
In business, the potential that a given threat will exploit vulnerabilities of<br />
an asset or group of assets to cause loss and/or damage to the assets;<br />
usually measured by a combination of impact and probability of occurrence.<br />
Documents a common and agreed-upon level of IT risks, mitigation<br />
strategies and residual risks. Any potential impact on the goals of the<br />
organization caused by an unplanned event is identified, analyzed and<br />
assessed.<br />
Process of diagnosis to establish origins of events, which can be used for<br />
learning from consequences, typically of errors and problems.<br />
System development life cycle; the phases deployed in the development<br />
or acquisition of a software system. Typical phases include the feasibility<br />
study, requirements study, requirements definition, detailed design,<br />
programming, testing, installation and post-implementation review, but<br />
not the service delivery or benefits realization activities.<br />
A basic internal control that prevents or detects errors and irregularities<br />
by assigning to separate individuals responsibility for initiating and<br />
recording transactions and custody of assets to separate individuals.<br />
Commonly used in large IT organizations so that no single person is in a<br />
position to introduce fraudulent or malicious code without detection.<br />
Organizes and stores service requirements, service definitions, SLAs,<br />
OLAs and f<strong>und</strong>ing sources.<br />
Service desk A point of contact within the IT organization for users of IT services.<br />
Service provider External entity that provides services to the organization.<br />
Service level agreement; an agreement, preferably documented, be-<br />
SLA<br />
tween a service provider and the customer(s)/user(s) that defines minimum<br />
performance targets for a service and how they will be measured.<br />
Zentrales<br />
Konzept<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X<br />
X
Abschlussbericht BA-Nr. 0369/10 - 132 -<br />
Standard<br />
TCO<br />
Begriff Definition Be<strong>zu</strong>gsobjekt<br />
Technological forum<br />
Technology infrastructure<br />
plan<br />
Tracking and reporting<br />
system<br />
A mandatory requirement. Examples include ISO/IEC 20000 (an international<br />
standard), an internal security standard for UNIX configuration or a<br />
government standard for how financial records should be maintained.<br />
The term ‘standard’ is also used to refer to a code of practice or specifications<br />
published by a standards organization, such as ISO or BSI.<br />
Total cost of ownership; in IT includes:<br />
• Original cost of the computer and software<br />
• Hardware and software upgrades<br />
• Maintenance<br />
• Technical support<br />
• Training<br />
• Certain activities performed by users<br />
Provides technology guidelines, advice on infrastructure products and<br />
guidance on the selection of technology, and measures compliance with<br />
these standards and guidelines. This forum should direct technology<br />
standards and practices based on their business relevance, risks and<br />
compliance with external requirements.<br />
A plan for the technology, human resources and facilities that enables<br />
the current and future processing and use of applications.<br />
Documents rejected changes, communicates the status of approved and<br />
in-process changes, and completed changes.<br />
Tabelle 19: Glossar zentraler Begriffe von <strong>COBIT</strong><br />
Zentrales<br />
Konzept<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
X<br />
X<br />
X X<br />
X
Abschlussbericht BA-Nr. 0369/10 - 133 -<br />
Anhang L Organisatorische Aufbauelemente der RA<br />
Die nachfolgende Auflistung enthält die identifizierten organisatorischen Aufbauelemente der<br />
RA <strong>zu</strong>sammen mit einer Beschreibung ihren Aufgaben <strong>und</strong> Verantwortungen. Dies basiert<br />
auf der Dokumentation der RA, die der Unter<strong>suchung</strong> <strong>zu</strong>gr<strong>und</strong>e liegt. Es wird dabei zwischen<br />
Rollen <strong>und</strong> Gremien unterschieden.<br />
Aufbauelement Kurzbeschreibung Typ<br />
Geschäftsarchitekt (Ressort)<br />
IT-Beauftragter der B<strong>und</strong>esregierung<br />
(BfIT, B<strong>und</strong>es-CIO)<br />
Der Geschäftsarchitekt gestaltet die Strukturierung <strong>und</strong> Darstellung<br />
der Aufgaben. Er verwendet da<strong>zu</strong> ein geeignetes, ressortspezifisches<br />
Architekturmodell, das „kompatibel“ <strong>zu</strong>r Rahmenarchitektur sein sollte.<br />
Er gibt Impulse für Verbesserungen der Struktur <strong>und</strong> Organisation<br />
einerseits <strong>und</strong> des Bedarfs an IT-Unterstüt<strong>zu</strong>ng andererseits. Er kennt<br />
die Geschäftsprozesse <strong>und</strong> Nachfragen nach IT-Unterstüt<strong>zu</strong>ng für<br />
seinen Aufgabenbereich insbesondere aus Sicht der Fachabteilungen.<br />
([Methode] S. 9)<br />
Die für Verwaltungsmodernisierung <strong>und</strong> IT <strong>zu</strong>ständige Staatssekretärin<br />
des B<strong>und</strong>esministeriums des Innern übernimmt die Rolle der BfIT.<br />
Sie sitzt dem Rat der IT-Beauftragten sowie der IT-Steuerungsgruppe<br />
vor. Die BfIT hat u. a. folgende Aufgaben im Kontext des B<strong>und</strong>es<br />
([Konzept], S. 7f.):<br />
• Ausarbeitung der E-Government-/ IT- <strong>und</strong> IT-Sicherheitsstrategie<br />
• Entwicklung von Architektur, Standards <strong>und</strong> Methoden für die IT<br />
• Unterstüt<strong>zu</strong>ng des IT-Rats bei der Abstimmung der Angebote der<br />
IT-Dienstleister<br />
• Steuerung des IT-Sicherheitsmanagements auf der Gr<strong>und</strong>lage<br />
der Festlegungen der B<strong>und</strong>esregierung<br />
• Steuerung der Bereitstellung zentraler IT-Infrastrukturen<br />
• Ausarbeitung von vertraglichen Rahmenwerken <strong>und</strong> Leitfäden für<br />
die Beschaffung von IT<br />
• Ferner vertritt die BfIT die Interessen des B<strong>und</strong>es im IT-<br />
Planungsrat<br />
IT-Planungsrat Der IT-Planungsrat dient der B<strong>und</strong>-Länder übergreifenden IT-<br />
Steuerung, d.h. der Koordinierung der Zusammenarbeit von B<strong>und</strong> <strong>und</strong><br />
Ländern in Fragen der Informationstechnik. Der B<strong>und</strong> wird im IT-<br />
Planungsrat durch den BfIT vertreten. Der IT-Planungsrat steht außerhalb<br />
der Betrachtung.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Rolle<br />
Rolle<br />
Gremium
Abschlussbericht BA-Nr. 0369/10 - 134 -<br />
Aufbauelement Kurzbeschreibung Typ<br />
IT-Steuerungsgruppe Aufgabe der IT-Steuerungsgruppe des B<strong>und</strong>es ist die Verzahnung von<br />
politischer <strong>und</strong> haushaltsmäßiger IT-Steuerung. Mitglieder der Steuerungsgruppe<br />
sind ([Konzept], S. 6f.):<br />
• IT-Beauftragter der B<strong>und</strong>esregierung (BfIT),<br />
• der Haushaltsstaatssekretär des B<strong>und</strong>esministeriums der Finanzen,<br />
• der für Informations- <strong>und</strong> Kommunikationstechnik verantwortliche<br />
Staatssekretär des B<strong>und</strong>esministerium für Wirtschaft <strong>und</strong> Technologie<br />
<strong>und</strong><br />
• ein Vertreter des B<strong>und</strong>eskanzleramtes.<br />
Zu den Aufgaben <strong>und</strong> Rechten der IT-Steuerungsgruppe gehören u. a.<br />
• Initiativrecht für Aufträge an den Rat der IT-Beauftragten (z. B.<br />
hinsichtlich Standardfragen, Innovationsvorhaben)<br />
• Einspruchsrecht bei IT-Rahmenkonzepten <strong>und</strong> anderen Maßnahmen<br />
der Ressorts, die den Beschlüssen der IT Steuerungsgruppe<br />
des B<strong>und</strong>es oder des Rates der IT-Beauftragten<br />
widersprechen<br />
• Sofern keine Einigung im Rat der IT Beauftragten möglich ist, gibt<br />
die IT-Steuerungsgruppe nach Konsultation der betroffenen Ressorts<br />
eine Empfehlung für einen Beschluss des Rates der IT-<br />
Beauftragten der Ressorts ab<br />
• Bestätigung des IT-Rahmenkonzepts des B<strong>und</strong>es<br />
• Koordinierung von IT-Großprojekten der öffentlichen Verwaltung<br />
K<strong>und</strong>enmanager Die K<strong>und</strong>enmanager stellen Ansprechpartner seitens der DLZ-IT des<br />
B<strong>und</strong>es für die K<strong>und</strong>en <strong>und</strong> den Nachfragebeirat da. Sie koordinieren<br />
in diesem Rahmen ([Nachfragebündelung], S. 16):<br />
• die Durchführung von Machbarkeitsprüfungen im DLZ-IT des<br />
B<strong>und</strong>es,<br />
• die Erstellung von (vorläufigen) Angeboten für Produktentwicklungen<br />
<strong>und</strong> Produktänderungen<br />
• sowie die Erstellung von Produktsteckbriefen im Zuge der Anpassung<br />
des Produktkatalogs<br />
Lösungsarchitekt Der Lösungsarchitekt entwirft IT-Lösungen. Der Lösungsarchitekt<br />
sollte Mitarbeiter eines DLZ-IT des B<strong>und</strong>es sein, aber auch über einen<br />
Überblick über die IT-Lösungen der anderen DLZ-IT des B<strong>und</strong>es<br />
verfügen. Er definiert für die IT-Unterstüt<strong>zu</strong>ng von Geschäftsprozessen<br />
IT-Lösungen sowohl aus geschäftlicher / fachlicher als auch aus<br />
technischer Sicht. ([Methode] S. 9)<br />
• Hier<strong>zu</strong> gehören der Entwurf der gesamten Lösungs- <strong>und</strong> Komponentenarchitektur,<br />
• die Abstimmung mit den Bedarfsträgern auf der Gr<strong>und</strong>lage des<br />
Dienstemodells <strong>und</strong><br />
• die Entwicklung von Strategien <strong>zu</strong>r Implementierung <strong>und</strong> Integration<br />
der IT-Lösung.<br />
Nachfragerbeirat (NFB) Der Nachfragerbeirat besteht aus den Nachfragekoordinatoren der<br />
Ressorts. Er ist für die<br />
• Konsolidierung/Bündelung, Priorisierung <strong>und</strong> die Darstellung des<br />
ressortübergreifenden<br />
Bedarfskatalog),<br />
IT-Bedarfs / der IT-Nachfrage (IT-<br />
• die Erstellung der Umset<strong>zu</strong>ngsvorgaben (im Wesentlichen Fachanforderungen)<br />
sowie<br />
• deren Umset<strong>zu</strong>ngsplanung verantwortlich.<br />
• Zudem koordiniert der NFB sowohl mit den Ressortvertretern als<br />
auch den Vertretern der DLZ-IT des B<strong>und</strong>es die Klärung der<br />
Machbarkeit, des Ressourcenbedarfs, der Umset<strong>zu</strong>ngsplanung<br />
von ressortübergreifenden IT-Maßnahmen <strong>und</strong><br />
• die Abstimmung von ressortübergreifenden Produktentwicklungen,<br />
Produktänderungen <strong>und</strong> Produktabkündigungen. ([Nachfragebündelung],<br />
S.15)<br />
Gremium<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Rolle<br />
Rolle<br />
Gremium
Abschlussbericht BA-Nr. 0369/10 - 135 -<br />
Aufbauelement Kurzbeschreibung Typ<br />
Nachfragekoordinator<br />
Ressort<br />
Rat der IT-Beauftragten<br />
(IT-Rat)<br />
IT-Beauftragter für Ressort<br />
(Ressort-CIO)<br />
Team Architekturmanagement<br />
Die Nachfragekoordinatoren sind für die Koordinierung <strong>und</strong> Bündelung<br />
der ressortinternen IT-Nachfrage, die potentiell ressortübergreifend ist,<br />
<strong>zu</strong>ständig. Zudem vertreten sie die Interessen des jeweiligen Ressorts<br />
im Nachfragebeirat. ([Nachfragebündelung], S. 16)<br />
Der Rat der IT-Beauftragten beschließt die wesentlichen Vorgaben <strong>zu</strong>r<br />
ressortübergreifenden Steuerung der IT des B<strong>und</strong>es. Er setzt sich aus<br />
den IT-Beauftragten der Ressorts <strong>zu</strong>sammen. Vorsitzende des IT-<br />
Rates ist die Beauftragte der B<strong>und</strong>esregierung für Informationstechnik.<br />
Zu den Aufgaben des IT-Rats gehört u. a. ([Konzept], S. 5f.):<br />
• Beschluss einer abgestimmten E-Government- / IT –Strategie <strong>und</strong><br />
einer IT-Sicherheitsstrategie<br />
• Ausrichtung der IT-Strategie auf die Strategie der B<strong>und</strong>esregierung<br />
<strong>zu</strong>r Verwaltungsmodernisierung <strong>und</strong> die vom Ausschuss für<br />
Organisationsfragen (AfO) beschlossenen Modernisierungsprojekte<br />
• (Bündelung der ressortübergreifenden IT-Nachfrage unter Berücksichtigung<br />
der Anforderungen der Organisation) 31<br />
• Entwicklung von Lösungsmodellen für die Gewinnung <strong>und</strong> den<br />
Einsatz von IT-Fachpersonal<br />
• Festlegung der Architektur, Standards <strong>und</strong> Methoden für die IT<br />
der B<strong>und</strong>esverwaltung<br />
• Beschluss des IT-Rahmenkonzepts des B<strong>und</strong>es <strong>und</strong> eines Vorschlages<br />
für die Etatisierung ressortübergreifender Projekte als<br />
Gr<strong>und</strong>lage für die Haushaltsverhandlungen.<br />
• Übergreifendes Portfoliomanagement der DLZ IT des B<strong>und</strong>es<br />
• Neufassung <strong>und</strong> Weiterentwicklung der IT-Richtlinien<br />
• (Weiter-) Entwicklung einheitlicher Projektmanagement-<br />
Standards, -Methoden <strong>und</strong> -Werkzeuge, Bereitstellung eines zentralen<br />
Dienstleistungsangebotes hinsichtlich Projektmanagement-<br />
Unterstüt<strong>zu</strong>ng, Sicherstellung von Qualifizierungsmaßnahmen<br />
(Fortbildung), Externen Projektcontrolling<br />
Jedes Ressort bestellt einen zentralen IT-Beauftragten für das gesamte<br />
Ressort. Er gewährleistet die Übereinstimmung des IT-Einsatzes<br />
mit den politischen, strategischen <strong>und</strong> operativen Zielen des Ressorts<br />
<strong>und</strong> den IT-Festlegungen der B<strong>und</strong>esregierung <strong>und</strong> vertritt die IT<br />
seines Ressorts nach außen. Dabei ist er der jeweiligen Leitung des<br />
Ressorts in dieser Funktion gr<strong>und</strong>sätzlich unmittelbar unterstellt. Zu<br />
den Aufgaben des IT-Beauftragen gehört u. a. ([Konzept], S. 4f.):<br />
• Kontrolle der Umset<strong>zu</strong>ng der Standards, strategischen Zielvorgaben<br />
<strong>und</strong> der Festlegungen des IT-Rats <strong>und</strong> der IT-<br />
•<br />
Steuerungsgruppe des B<strong>und</strong>es.<br />
Gewährleistung der IT Sicherheit des Ressorts<br />
• Erfolgskontrolle bei wesentlichen IT-relevanten Vorhaben des<br />
Ressorts<br />
• (Bündelung der IT-Nachfrage des Ressorts. 31<br />
• Fachaufsicht über die ressortinternen Anbieter von IT-<br />
•<br />
Dienstleistungen<br />
Konsolidierung der Erbringung der IT-Dienstleistungen innerhalb<br />
des Ressorts<br />
• Mitwirkung bei allen IT-Budgets des gesamten Ressorts<br />
Die konkrete organisatorische Gestaltung <strong>und</strong> Einbettung ist noch<br />
nicht abschließend geklärt. Daher kann das Team als „Stellvertreter“<br />
bzw. „Platzhalter“ für ein näher <strong>zu</strong> bestimmendes organisatorisches<br />
Aufbauelement verstanden werden, das mit Aufgaben des Architekturmanagements<br />
beauftragt ist ([KoopA], S. 12). Zurzeit erfolgt dies<br />
auf Ebene von Projektgruppen.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen<br />
Rolle<br />
Gremium<br />
Rolle<br />
Gremium<br />
31<br />
Per IT-Rats-Beschluss wurde diese Aufgabe zwischenzeitlich an den neu aufgebauten Nachfragerbeirat<br />
delegiert.
Abschlussbericht BA-Nr. 0369/10 - 136 -<br />
Aufbauelement Kurzbeschreibung Typ<br />
Team IT-Rahmenkonzept Die konkrete organisatorische Gestaltung <strong>und</strong> Einbettung ist noch<br />
nicht abschließend geklärt. Daher kann sie als „Stellvertreter“ bzw.<br />
„Platzhalter“ für ein näher <strong>zu</strong> bestimmendes organisatorisches Aufbauelement<br />
verstanden werden, das mit dem IT-Rahmenkonzept des<br />
B<strong>und</strong>es (bspw. der Fortschreibung) beauftragt ist ([KoopA], S. 12).<br />
Zurzeit erfolgt dies auf Ebene von Projektgruppen.<br />
Tabelle 20: Organisatorische Aufbauelemente der RA<br />
Gremium<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 137 -<br />
Anhang M Organisatorische Aufbauelemente der <strong>ITIL</strong><br />
Die nachfolgende Auflistung enthält die identifizierten organisatorischen Aufbauelemente der<br />
<strong>ITIL</strong> <strong>zu</strong>sammen mit einer Kurzbeschreibung. Es wird dabei zwischen Rollen <strong>und</strong> Gremien<br />
unterschieden <strong>und</strong> jeweils das Quelldokument angegeben.<br />
Aufbauelement Kurzbeschreibung Typ Dokument<br />
Account Manager Eine Rolle mit vielen Parallelen <strong>zu</strong>m Business<br />
Application Management<br />
Relationship Manager, bei der jedoch verstärkt kommerzielle<br />
Aspekte einbezogen werden. Wird häufig bei<br />
Abläufen in Verbindung mit externen K<strong>und</strong>en eingesetzt.<br />
Verantwortlich für das Management von Anwendungen<br />
über ihren gesamten Lebenszyklus hinweg. Unterstützt<br />
<strong>und</strong> verwaltet betriebene Anwendungen <strong>und</strong> wirkt am<br />
Design, Test <strong>und</strong> an der Verbesserung von Anwendungen,<br />
die Teil von IT Services sind, mit.<br />
Applications Ana- Zuständig für die Zuordnung von Anforderungen <strong>zu</strong><br />
lyst/Architect<br />
Anwendungsspezifikation.<br />
Applications Manager/Teamleiter<br />
Zuständig für die Leitung, Steuerung <strong>und</strong> Entscheidungsfindung<br />
für ein Anwendungsteam oder eine<br />
Abteilung. Stellt technisches Wissen bereit, leitet bestimmte<br />
Aktivitäten <strong>zu</strong>m Anwendungssupport <strong>und</strong> fördert<br />
Kommunikation mit Anwendern <strong>und</strong> K<strong>und</strong>en.<br />
Rolle Service<br />
Design<br />
Funktion Service<br />
Operation<br />
Rolle Service<br />
Operation<br />
Rolle Service<br />
Operation<br />
Availability Manager Stellt sicher, dass alle vorhandenen Services die mit Rolle Service<br />
dem Business vereinbarten Verfügbarkeitslevel liefern.<br />
Design<br />
Business Relationship Eine Rolle, die für die Pflege von Beziehungen <strong>zu</strong> einem Rolle Service<br />
Manager<br />
oder mehreren K<strong>und</strong>en verantwortlich ist. Diese Rolle<br />
wird häufig mit der Rolle des Service Level Managers<br />
kombiniert.<br />
Design<br />
Business-/ Organisations- Kümmert sich um Business-Modelle, Business-Prozesse Rolle Service<br />
architekt<br />
<strong>und</strong> das organisatorische Design – die strukturellen <strong>und</strong><br />
funktionalen Komponenten der Organisation <strong>und</strong> ihre<br />
Beziehung <strong>und</strong> wie die Fachbereiche <strong>und</strong> Business-<br />
Aktivitäten der Organisation auf sie verteilt werden. Auch<br />
verantwortlich für die Governance der Organisation, der<br />
erforderlichen Rollen <strong>und</strong> Zuständigkeiten.<br />
Design<br />
Business-Vertreter Primäre Service-Empfänger der einzelnen Geschäftsbe- Rolle Service<br />
reiche, die Business-Anforderungen definieren, Services<br />
überwachen, Service Requests einreichen <strong>und</strong> über<br />
Budgets verfügen.<br />
Strategy<br />
Capacity Manager Stellt sicher, dass eine adäquate IT-Kapazität <strong>zu</strong>r Rolle Service<br />
Erreichung der erforderlichen Service Level vorhanden<br />
ist, ermittelt Kapazitätsanforderungen <strong>und</strong> informiert das<br />
obere IT-Management über die Kapazitätsabstimmung.<br />
Design<br />
Change Advisory Board Eine Gruppe von Personen, die den Change Manager Gremium Service<br />
(CAB)<br />
bei der Bewertung, Festlegung von Prioritäten <strong>und</strong><br />
zeitlichen Planung in Be<strong>zu</strong>g auf Changes beraten.<br />
Dieses Gremium setzt sich in der Regel aus Vertretern<br />
aller Bereiche des IT Service Providers, dem Business<br />
<strong>und</strong> den Drittparteien wie z. B. Suppliern <strong>zu</strong>sammen.<br />
Transition<br />
Change Manager Erfasst, protokolliert, autorisiert <strong>und</strong> priorisiert in Zu- Rolle Service<br />
sammenarbeit mit dem jeweiligen Initiator RFCs, organisiert<br />
<strong>und</strong> unterstützt Change Advisory Board Meetings<br />
<strong>und</strong> verwaltet, steuert <strong>und</strong> analysiert ausstehende<br />
Changes.<br />
Transition<br />
Change-<br />
Vergibt Autorisierungen für Changes. Kann eine Rolle, Funktion Service<br />
Genehmigungskompetenz Person oder Gruppe von Personen sein. Die hierarchische<br />
Struktur der Autorisierungsebenen kann weitgehend<br />
von der Kultur der Organisation bestimmt werden.<br />
Transition<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 138 -<br />
Aufbauelement Kurzbeschreibung Typ Dokument<br />
Chief Sourcing Officer Fördert <strong>und</strong> entwickelt mit dem CIO die Sourcing<br />
Strategy, leitet die Sourcing Abteilung <strong>und</strong> übernimmt<br />
eine integrierende Funktion zwischen internen <strong>und</strong><br />
externen Ressourcen <strong>und</strong> Mitarbeitern.<br />
CMS-/Tool-Administrator Evaluiert <strong>und</strong> empfiehlt Asset <strong>und</strong> Configuration Management<br />
Tools, überwacht Performance <strong>und</strong> Kapazität<br />
bestehender Systeme <strong>und</strong> sichert deren Integrität <strong>und</strong><br />
operative Performance.<br />
Configuration Manager Verantwortlich für die Implementierung, Steuerung <strong>und</strong><br />
Überwachung der Richtlinien, Standards, Pläne, Verfahren<br />
<strong>und</strong> Prozesse des Configuration Management <strong>und</strong><br />
die Verwaltung <strong>und</strong> Evaluierung von Configuration Tools<br />
<strong>und</strong> Systemen.<br />
Configuration-<br />
Administrator/-<br />
Verantwortlicher<br />
Verwaltet <strong>und</strong> sichert alle Masterkopien von Software,<br />
Assets <strong>und</strong> Dokumentations-CIs, die im Rahmen des<br />
Asset <strong>und</strong> Configuration Management registriert werden.<br />
Configuration-Analyst Macht Vorschläge bezüglich des Umfangs der Asset <strong>und</strong><br />
Configuration Management Prozesse sowie der Funktionen,<br />
<strong>zu</strong> steuernden Elemente <strong>und</strong> auf<strong>zu</strong>zeichnenden<br />
Informationen, entwickelt <strong>und</strong> unterstützt Asset <strong>und</strong><br />
Configuration Management Standards, Pläne, Verfahren<br />
<strong>und</strong> initiiert entsprechende Schulungen.<br />
Configuration-<br />
Kontrollgremium<br />
Gewährleistet, dass die übergreifenden Ziele <strong>und</strong><br />
Richtlinien des Configuration Management während des<br />
gesamten Service Management Lebenszyklus <strong>und</strong> unter<br />
besonderer Berücksichtigung jedes einzelnen Aspekts<br />
des gesamten Service verfolgt <strong>und</strong> eingesetzt werden.<br />
CSI-Manager Verantwortlich für den Erfolg des Verbesserungsprogramm<br />
<strong>und</strong> aller Verbesserungsaktivitäten.<br />
Deployment Sorgt für die physische Endlieferung der Serviceimplementierung,<br />
koordiniert Release-Dokumentation <strong>und</strong> –<br />
Kommunikation, plant das Deployment <strong>und</strong> unterstützt<br />
den Release-Prozess.<br />
Early Life Support Unterstützt den IT Service sowie Business-Funktionen in<br />
der Release <strong>und</strong> Deployment-, Überführungs- sowie<br />
Anfangsphase.<br />
Emergency Change<br />
Advisory Board (ECAB)<br />
Eine Teilgruppe des Change Advisory Board, die Entscheidungen<br />
<strong>zu</strong> Notfall-Changes trifft, die umfassende<br />
Auswirkungen nach sich ziehen. Über die Zusammenset<strong>zu</strong>ng<br />
des ECAB kann bei der Einberufung eines<br />
Meetings entschieden werden <strong>und</strong> diese richtet sich<br />
nach der Art des Notfall-Change.<br />
Facilities Management Die Funktion, die für die physische Umgebung verantwortlich<br />
ist, in der sich die IT-Infrastruktur befindet. Das<br />
Facilities Management umfasst alle Aspekte in Verbindung<br />
mit der Verwaltung der physischen Umgebung, wie<br />
beispielsweise das Stromversorgungs- <strong>und</strong> Kühlungssystem,<br />
das Access Management für Zutrittsrechte <strong>und</strong><br />
die Umgebungs-Überwachung.<br />
Financial Management Die Funktionen <strong>und</strong> die Prozesse mit der Verantwortung<br />
für den Umgang mit den Anforderungen eines IT Service<br />
Providers an die Budgetierung, die Kostenrechnung <strong>und</strong><br />
die Leistungsverrechnung.<br />
Help Desk Eine Anlaufstelle für Anwender, um Incidents <strong>zu</strong> erfassen.<br />
Ein Help Desk ist in der Regel eher technisch<br />
orientiert als ein Service Desk <strong>und</strong> stellt keinen Single<br />
Point of Contact für die gesamte Interaktion bereit. Der<br />
Begriff „Help Desk“ wird häufig auch als Synonym für<br />
Service Desk verwendet.<br />
Incident Manager Treibt die Effizienz <strong>und</strong> Effektivität des Incident Management<br />
Prozesses voran, managt die Arbeit der Mitarbeiter<br />
des Incident-Support <strong>und</strong> überwacht <strong>und</strong> verwaltet<br />
Incident Management Systeme <strong>und</strong> Verfahren.<br />
Rolle Service<br />
Strategy<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Transition<br />
Gremium Service<br />
Transition<br />
Rolle Continual<br />
Service<br />
Improvement<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Transition<br />
Gremium Service<br />
Transition<br />
Funktion Service<br />
Operations<br />
Funktion Übergreifend<br />
Funktion Service<br />
Operations<br />
Rolle Service<br />
Operations<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 139 -<br />
Aufbauelement Kurzbeschreibung Typ Dokument<br />
IT Directorate (IT-Leitung) Oberes Management bei einem Service Provider, das<br />
für die Entwicklung <strong>und</strong> Bereitstellung von IT Services<br />
verantwortlich ist Der Begriff wird meist in Behörden der<br />
britischen Regierung benutzt.<br />
IT Operations Analyst Leitender Mitarbeiter des IT-Betriebs, welcher in Umgebungen<br />
mit hohem Durchsatz <strong>und</strong> unterschiedlichen<br />
Anforderungen die effektivste <strong>und</strong> effizienteste Vorgehensweise<br />
für eine Reihe von Betriebsabläufen bestimmt.<br />
IT Operations Control Steuert den Betrieb der IT Services <strong>und</strong> IT Infrastruktur<br />
<strong>und</strong> stellt sicher, dass die routinemäßigen operativen<br />
Aufgaben <strong>und</strong> das Monitoring ausgeführt werden.<br />
IT Operations Management<br />
Verantwortlich für die täglichen operativen Aktivitäten,<br />
die für das Management der IT-Infrastruktur erforderlich<br />
sind.<br />
IT Operations Manager Übernimmt die Gesamtverantwortung für alle Aktivitäten<br />
des Operations Management wie Operations Control<br />
(Konsolenmanagement, Job Scheduling, Backup <strong>und</strong><br />
Restore <strong>und</strong> Druck- <strong>und</strong> Ausgabemanagement) <strong>und</strong><br />
Facilities Management.<br />
IT Operator Führt die täglichen operativen Aktivitäten durch, die vom<br />
Technical oder Application Management sowie in einigen<br />
Fällen von IT Operations Analysts festgelegt werden.<br />
IT Service Continuity<br />
Manager<br />
Stellt sicher, dass die Zielset<strong>zu</strong>ngen des IT Service<br />
Continuity Management erreicht werden. Implementiert<br />
<strong>und</strong> verwaltet den ITSCM-Prozess in Übereinstimmung<br />
mit den allgemeinen Anforderungen des Business<br />
Continuity Management-Prozesses der Organisation.<br />
IT Steering Group (ISG) Eine formale Gruppe, die sicherstellen soll, dass die<br />
Strategien <strong>und</strong> Pläne von Business <strong>und</strong> IT Service<br />
Provider eng aufeinander abgestimmt sind. Zu einer IT<br />
Steering Group gehören Vertreter des oberen Managements<br />
aus dem Business <strong>und</strong> dem IT Service Provider.<br />
IT-Designer/-Architekt Zuständig für die Gesamtkoordination <strong>und</strong> das Design<br />
von Technologiearchitekturen, die alle aktuellen <strong>und</strong><br />
erwarteten <strong>zu</strong>künftigen IT-Anforderungen der Organisation<br />
erfüllen.<br />
IT-Infrastrukturarchitekt Kümmert sich um das physische Technologiemodell, die<br />
Infrastrukturkomponenten <strong>und</strong> ihre Beziehungen, einschließlich<br />
Auswahl von Technologien, Schnittstellen<br />
<strong>und</strong> Protokollen sowie die Auswahl von Produkten <strong>zu</strong>r<br />
Implementierung der Infrastruktur.<br />
IT-Planer Zuständig für Erstellung, Koordination, Messung <strong>und</strong><br />
Review des Implementierungsstandes aller IT-Pläne, IT-<br />
Strategien, IT-Standards <strong>und</strong> Richtlinien, die für die<br />
Unterstüt<strong>zu</strong>ng einer Business-Strategie der Organisation<br />
erforderlich sind.<br />
Knowledge Management<br />
Process Owner<br />
Leiter des Service Management<br />
Management von Build-<br />
<strong>und</strong> Testumgebungen<br />
Performance and Risk<br />
Evaluation Manager<br />
Übernimmt die Knowledge Management Rolle, indem er<br />
Einhaltung der Richtlinien <strong>und</strong> Prozesse der Organisation<br />
sicherstellt <strong>und</strong> Informationen <strong>und</strong> Wissenselemente<br />
der Organisation identifiziert, strukturiert, pflegt <strong>und</strong><br />
verwaltet.<br />
Leitender Angestellter, der das Business kennt <strong>und</strong> alle<br />
Aspekte der Servicebereitstellung im Auftrag von Geschäftsbereichen<br />
definiert, plant, einkauft <strong>und</strong> verwaltet.<br />
Sichert, dass alle relevanten Personen <strong>zu</strong>r richtigen Zeit<br />
über geeignete Umgebungen, Testdaten, Software-<br />
Versionen <strong>und</strong> sonstige Ressourcen verfügen.<br />
Entwickelt auf Gr<strong>und</strong>lage von Service Design <strong>und</strong><br />
Release Package einen Evaluations-Plan für das Testen<br />
von Services, ermittelt Risiken <strong>und</strong> Schwierigkeiten der<br />
Service Transition <strong>und</strong> berichtet an das Change Management.<br />
Rolle Übergreifend<br />
Rolle Service<br />
Operations<br />
Funktion Service<br />
Operations<br />
Funktion Service<br />
Operations<br />
Rolle Service<br />
Operations<br />
Rolle Service<br />
Operations<br />
Rolle Service<br />
Design<br />
Gremium Service<br />
Design<br />
Rolle Service<br />
Design<br />
Rolle Service<br />
Design<br />
Rolle Service<br />
Design<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Strategy<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Transition<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 140 -<br />
Aufbauelement Kurzbeschreibung Typ Dokument<br />
Planning and Support Bietet Unterstüt<strong>zu</strong>ng für die Service Transition Teams<br />
<strong>und</strong> Mitarbeiter, verwaltet <strong>und</strong> integriert die Ausarbeitung<br />
der Transition-Pläne <strong>und</strong> überwacht den Fortschritt.<br />
Problem Manager Koordiniert alle Problem Management Aktivitäten. Stellt<br />
eine schnelle Lösung der Probleme im Rahmen der<br />
SLA-Ziele, den Schutz der KEDB, die Verpflichtungen<br />
von Drittparteien <strong>und</strong> die Einbeziehung aller Known<br />
Errors sicher.<br />
Process Owner (Prozessverantwortlicher)<br />
Verantwortlich für die allgemeine Qualität eines Prozess<br />
<strong>und</strong> die Überwachung des Management von <strong>und</strong> die<br />
organisatorische Konformität mit den Prozessflüssen,<br />
Verfahren, Datenmodellen, Richtlinien <strong>und</strong> Technologien<br />
in Verbindung mit dem IT-Business-Prozess.<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Operations<br />
Rolle Übergreifend<br />
Produktmanager Definiert, plant, kauft <strong>und</strong> verwaltet Sourcing-Elemente Rolle Service<br />
<strong>und</strong> -Performance im Auftrag der Sourcing-Organisation.<br />
Strategy<br />
Prozess Manager Eine Rolle, die für das operative Management eines Rolle<br />
Prozesses verantwortlich ist. Zu den Verantwortlichkeiten<br />
des Prozess-Managers gehören die Planung <strong>und</strong> die<br />
Koordination aller Aktivitäten, die <strong>zu</strong>r Ausführung, dem<br />
Monitoring <strong>und</strong> der Berichtserstellung in Be<strong>zu</strong>g auf einen<br />
Prozess erforderlich sind.<br />
Übergreifend<br />
Release and Deployment Verantwortlich für die Planung, das Design, das Build, Rolle Service<br />
Manager<br />
die Configuration <strong>und</strong> Tests sämtlicher Software <strong>und</strong><br />
Hardware, mit der das Release Package <strong>zu</strong>r Bereitstellung<br />
des vorhergesehenen Service erstellt wird.<br />
Transition<br />
Release Packaging and Verantwortlich für den Workflow, mit dem Anwendungen Rolle Service<br />
Build Manager<br />
<strong>und</strong> Infrastruktur mit den Anforderungen aus dem<br />
Service Design bereitgestellt werden. Legt die endgültige<br />
Release Configuration fest, testet das Lieferergebnis,<br />
ermittelt Known Errors <strong>und</strong> liefert Input für den endgültigen<br />
Prozess.<br />
Transition<br />
Reporting Analyst Prüft <strong>und</strong> analysiert Daten von Komponenten, Systemen Rolle Continual<br />
<strong>und</strong> Untersystemen, um ein präzises End-to-End-<br />
Service<br />
Ergebnis des Service <strong>zu</strong> erhalten, identifiziert <strong>und</strong><br />
bewertet Trends <strong>und</strong> setzt diese Informationen in der<br />
Präsentation der Daten ein.<br />
Improvement<br />
Request Fulfillment Übernimmt die erste Bearbeitung von Service Requests Rolle Service<br />
(der Serviceanträge).<br />
Operations<br />
Schicht Eine Gruppe oder ein Team von Personen, denen eine Gremium Service<br />
bestimmte Rolle über einen festgelegten Zeitraum<br />
<strong>zu</strong>gewiesen ist.<br />
Operations<br />
Schichtleiter Zuständig für die Leitung, Steuerung, Entscheidungsfin- Rolle Service<br />
dung während einer Schicht <strong>und</strong> Sicherstellung der<br />
Durchführung aller operativen Aktivitäten innerhalb der<br />
vereinbarten Zeitrahmen <strong>und</strong> Unternehmensrichtlinien<br />
<strong>und</strong> -verfahren.<br />
Operations<br />
Security Manager Entwickelt, verwaltet, kommuniziert <strong>und</strong> sichert die Rolle Service<br />
Einhaltung der Information Security Policy <strong>und</strong> unterstützender<br />
Richtlinien.<br />
Design<br />
Service Asset Manager Zuständig für die Implementierung, Steuerung <strong>und</strong> Rolle Service<br />
Überwachung der Richtlinien, Standards, Pläne, Verfahren<br />
<strong>und</strong> Prozesse des Service Asset Management <strong>und</strong><br />
die Verwaltung <strong>und</strong> Evaluierung von Asset Management<br />
Tools <strong>und</strong> Systemen.<br />
Transition<br />
Service Design Manager Zuständig für die Gesamtkoordination, die Erstellung Rolle Service<br />
<strong>und</strong> die Verwendung qualitativ hochwertiger Lösungs-<br />
Designs für Services <strong>und</strong> Prozesse.<br />
Design<br />
Service Desk Bietet eine Anlaufstelle für Anwender <strong>zu</strong>r Kommunikati- Rolle Service<br />
on <strong>und</strong> für IT-Gruppen <strong>und</strong> -Prozesse <strong>zu</strong>r Koordination<br />
bei Serviceunterbrechungen, Service Requests oder<br />
einigen Kategorien von Requests für Change.<br />
Operations<br />
Service Desk Analyst Stellt First-Level- Support bereit, indem Anrufe entge- Rolle Service<br />
gengenommen <strong>und</strong> die daraus resultierenden Incidents<br />
oder Service Requests bearbeitet werden.<br />
Operations<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 141 -<br />
Aufbauelement Kurzbeschreibung Typ Dokument<br />
Service Desk Manager Managt allgemeine Aktivitäten des Service Desks,<br />
fungiert als <strong>zu</strong>sätzlicher Eskalationspunkt für die Supervisor,<br />
ist <strong>zu</strong>ständig für die Bearbeitung von Incidents <strong>und</strong><br />
Service Requests <strong>und</strong> berichtet an das obere Management.<br />
Service Desk Supervisor Sichert während der Betriebszeiten die Verfügbarkeit<br />
geeigneter Mitarbeiter, erstellt <strong>und</strong> verwaltet Schichtzeitpläne<br />
der Mitarbeiter <strong>und</strong> berichtet an das obere Management.<br />
Service Knowledge<br />
Management Owner<br />
Zuständig für die Entwicklung, Bereitstellung <strong>und</strong> Einhaltung<br />
der Knowledge Management Strategien, Prozesse<br />
<strong>und</strong> Verfahren.<br />
Service Level Manager Stellt sicher, dass aktuelle <strong>und</strong> <strong>zu</strong>künftige Service-<br />
Anforderungen der K<strong>und</strong>en identifiziert, verstanden <strong>und</strong><br />
dokumentiert werden, verhandelt <strong>und</strong> vereinbart Service<br />
Levels <strong>und</strong> stellt Informationen <strong>zu</strong> sich ändernden<br />
Business-Anforderungen bereit.<br />
Service Manager Verwaltet <strong>und</strong> steuert die Entwicklung, die Implementierung<br />
<strong>und</strong> die Evaluierung sowie das fortlaufende Management<br />
neuer <strong>und</strong> vorhandener Produkte <strong>und</strong> Services.<br />
Service Owner Verantwortlich für einen bestimmten Service innerhalb<br />
einer Organisation, unabhängig davon, wo die <strong>zu</strong>gr<strong>und</strong>e<br />
liegenden Technologiekomponenten, Prozesse oder<br />
professionellen Fähigkeiten angesiedelt sind.<br />
Service Transition Manager<br />
Zuständig für Gesamtplanung <strong>und</strong> Management der<br />
Service Transition einschließlich Continual Service<br />
Improvement. Verantwortlich für das tägliche Management<br />
<strong>und</strong> die Steuerung der Service Transition Teams<br />
<strong>und</strong> deren Aktivitäten.<br />
Servicearchitekt Kümmert sich um die Service-, Daten- <strong>und</strong> Anwendungsarchitekturen<br />
– die logischen Architekturen, die<br />
das Business <strong>und</strong> die Beziehungen zwischen ihnen<br />
unterstützen.<br />
Servicekatalogmanager Zuständig für die Erstellung <strong>und</strong> Verwaltung des Servicekatalogs.<br />
Servicetest-Manager Unterstützt Tests <strong>und</strong> Funktionen des Testteams,<br />
welche an einer Service Transition beteiligt sind. Entwickelt,<br />
plant <strong>und</strong> steuert Teststrategien <strong>und</strong> Testressourcen.<br />
Super-User Ein Anwender, der anderen Anwendern hilft <strong>und</strong> sie bei<br />
der Kommunikation mit dem Service Desk oder anderen<br />
Bereichen des IT Service Providers unterstützt. Super-<br />
User bieten in der Regel Unterstüt<strong>zu</strong>ng bei kleineren<br />
Incidents oder bei Schulungen an.<br />
Supplier Manager Unterstützt die Entwicklung <strong>und</strong> das Review von SLAs,<br />
Verträgen <strong>und</strong> Vereinbarungen für externe Supplier <strong>und</strong><br />
sichert das Kosten-Nutzen-Verhältnis aller IT-Supplier<br />
<strong>und</strong> Verträge sowie die Konsistenz aller IT-Supplier-<br />
Prozesse.<br />
Support-Gruppe Eine Gruppe von Personen mit technischen Fachkenntnissen.<br />
Support-Gruppen stellen den Technical Support<br />
bereit, der von IT Service Management Prozessen<br />
benötigt wird.<br />
Technical Analyst/Technical<br />
Architect<br />
Führt allgemeine Aktivitäten des Technical Management<br />
aus, ausgenommen der täglichen operativen Aktionen,<br />
die von Operator-Mitarbeitern entweder im Technical<br />
oder im IT Operations Management durchgeführt werden.<br />
Technical Management Die Funktion, die für die Bereitstellung von technischem<br />
Fachwissen <strong>zu</strong>r Unterstüt<strong>zu</strong>ng von IT Services <strong>und</strong> für<br />
das Management der IT-Infrastruktur verantwortlich ist.<br />
Definiert die Rollen von Support-Gruppen sowie die<br />
erforderlichen Tools, Prozesse <strong>und</strong> Verfahren.<br />
Rolle Service<br />
Operations<br />
Rolle Service<br />
Operations<br />
Rolle Continual<br />
Service<br />
Improvement<br />
Rolle Service<br />
Design<br />
Rolle Continual<br />
Service<br />
Improvement<br />
Rolle Übergreifend<br />
Rolle Continual<br />
Service<br />
Improvement<br />
Rolle Service<br />
Design<br />
Rolle Service<br />
Design<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Operations<br />
Rolle Service<br />
Design<br />
Gremium Service<br />
Operations<br />
Rolle Service<br />
Operations<br />
Funktion Service<br />
Operations<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 142 -<br />
Aufbauelement Kurzbeschreibung Typ Dokument<br />
Technical Manager/Teamleiter<br />
Zuständig für allgemeine Leitung, Steuerung <strong>und</strong> Entscheidungsfindung<br />
für das technische Team oder die<br />
Abteilung.<br />
Technical Operator Führt alltägliche operative Aufgaben im Technical<br />
Management durch <strong>und</strong> stellt in der Regel ein dediziertes<br />
Team für den IT-Betrieb dar.<br />
Test-Support Ermöglicht <strong>und</strong> unterstützt die Durchführung unabhängiger<br />
Tests aller im Rahmen des Service Transition<br />
Programms oder Projekts bereitgestellten Komponenten.<br />
Vertragsmanager Entwirft, verhandelt, überwacht <strong>und</strong> verwaltet juristische<br />
<strong>und</strong> geschäftliche Verträge im Auftrag der Sourcing-<br />
Organisation.<br />
Tabelle 21: Organisatorische Aufbauelemente der <strong>ITIL</strong><br />
Rolle Service<br />
Operations<br />
Rolle Service<br />
Operations<br />
Rolle Service<br />
Transition<br />
Rolle Service<br />
Strategy<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 143 -<br />
Anhang N Organisatorische Aufbauelemente der <strong>COBIT</strong><br />
Die folgenden organisatorischen Aufbauelemente wurden aus der offiziellen Dokumentation<br />
<strong>zu</strong>r <strong>COBIT</strong> in der Version 4.1 rekonstruiert. Dabei wurden sowohl die <strong>zu</strong> jedem Prozess bzw.<br />
jeder Aktivität per RACI-Chart <strong>zu</strong>geordneten Strukturen berücksichtigt als auch die in den<br />
Control Objectives erwähnten Aufbauelemente mit aufgenommen. Der Ursprung eines Aufbauelements<br />
wird entsprechend in der Spalte „Quelle“ angegeben. Dabei werden „allgemeine“<br />
Aufbauelemente, die in (fast) jedem RACI-Chart von <strong>COBIT</strong> <strong>zu</strong> finden sind, mit dem<br />
Kürzel „RACI“ als Quelle gekennzeichnet (vgl. [<strong>COBIT</strong>], S. 28). Ansonsten werden die jeweilig<br />
IDs der Prozesse <strong>und</strong> Control-Objectives verwendet, in denen ein entsprechender Verweis<br />
<strong>zu</strong> finden ist. Bei Elementen, die in <strong>COBIT</strong> selbst nicht näher spezifiziert werden wird<br />
ggf. auf Sek<strong>und</strong>ärliteratur ausgewichen (z. B. Gaulke 2010, S. 30f.). Da sich <strong>COBIT</strong> bei<br />
einzelnen Aufbauelementen eng an die Begrifflichkeit von <strong>ITIL</strong> anlehnt, wird an entsprechender<br />
Stelle darauf verwiesen.<br />
Aufbauelement Kurzbeschreibung Typ Quelle<br />
IT Architecture Board A committee that provides architecture guidelines and Gremium<br />
advice on their application, and to verify compliance.<br />
This entity should direct IT architecture design, ensuring<br />
that it enables the business strategy and considers<br />
regulatory compliance and continuity requirements.<br />
PO 3.5<br />
Board In <strong>COBIT</strong> nicht näher spezifiziert. Gremium ME1, ME2,<br />
ME7<br />
Business Executive In <strong>COBIT</strong> nicht näher spezifiziert.<br />
Leitender Angestellter im Fachbereich.<br />
Rolle RACI<br />
Business Process Owner In <strong>COBIT</strong> nicht näher spezifiziert.<br />
Rolle RACI<br />
(BPO)<br />
Verantwortlicher für die Identifikation von Anforderungen,<br />
Abnahme des Designs <strong>und</strong> Management der<br />
Prozessleistung.<br />
Chief Architect In <strong>COBIT</strong> nicht näher spezifiziert.<br />
Verantwortlicher für die IT-Architektur.<br />
Rolle RACI<br />
Chief Executive Officer<br />
(CEO)<br />
The highest-ranking individual in an organization. Rolle RACI<br />
Chief Financial Officer The individual primarily responsible for managing the Rolle RACI<br />
(CFO)<br />
financial risks of an organization.<br />
Chief Information Officer The individual responsible for the IT group within an Rolle RACI<br />
(CIO)<br />
organization. In some cases, the CIO role has been<br />
expanded to become the chief knowledge officer (CKO),<br />
who deals in knowledge, not just information.<br />
Compliance, Audit, Risk Groups with control responsibilities but not operational IT Gremium RACI<br />
and Security<br />
responsibilities.<br />
Configuration Manager Nicht näher spezifiziert, vgl. <strong>ITIL</strong> Rolle DS9<br />
Chief Technology Officer Focuses on technical issues in an organization. The title Rolle -<br />
(CTO)<br />
CTO is often viewed as synonymous with CIO.<br />
Data Owners Individuals, normally managers or directors, who have Rolle<br />
responsibility for the integrity, accurate reporting and use<br />
of computerized data.<br />
PO2<br />
Deployment Team Nicht näher spezifiziert, vgl. <strong>ITIL</strong> Gremium AI4<br />
Head Development In <strong>COBIT</strong> nicht näher spezifiziert.<br />
Verantwortlicher für die IT-Entwicklung.<br />
Rolle RACI<br />
Head IT Administration In <strong>COBIT</strong> nicht näher spezifiziert.<br />
Verantwortlicher für die IT-Administration.<br />
Rolle RACI<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 144 -<br />
Aufbauelement Kurzbeschreibung Typ Quelle<br />
Head Operations In <strong>COBIT</strong> nicht näher spezifiziert.<br />
Verantwortlicher für den IT-Betrieb.<br />
IT Steering Committee Committee composed of executive, business and IT<br />
management to: Determine prioritization of IT-enabled<br />
investment programs in line with the enterprise’s business<br />
strategy and priorities, track status of projects and<br />
resolve resource conflict, and Monitor service levels and<br />
service improvements.<br />
Rolle RACI<br />
Gremium PO 4.3<br />
IT Strategy Committee Committee at the level of the board of directors to Gremium<br />
ensure that the board is involved in major IT matters/decisions.<br />
The committee is primarily accountable<br />
for managing the portfolios of IT-enabled investments, IT<br />
services and other IT resources. The committee is the<br />
owner of the portfolio.<br />
PO 4.2<br />
Problem Manager In <strong>COBIT</strong> nicht näher spezifiziert, vgl. <strong>ITIL</strong> Rolle DS10<br />
Project Management<br />
Officer (PMO)<br />
Service Desk/ Incident<br />
Manager<br />
Project management officer; the individual function<br />
responsible for the implementation of a specified initiative<br />
for supporting the project management role and<br />
advancing the discipline of project management.<br />
Rolle RACI<br />
In <strong>COBIT</strong> nicht näher spezifiziert, vgl. <strong>ITIL</strong> Rolle DS8<br />
Service Manager In <strong>COBIT</strong> nicht näher spezifiziert, vgl. <strong>ITIL</strong>.<br />
Jedoch in <strong>COBIT</strong> eher Definition, Verhandlung <strong>und</strong><br />
Abschluss von Vereinbarungen sowie deren Monitoring<br />
als die Erbringung des Services. Demnach eher auf<br />
Abnehmer- als auf Anbieterseite (vgl. ISACA & itSMF<br />
2008, S. 55)<br />
Rolle DS1<br />
Service Provider External entity that provides services to the organization. Rolle DS1, DS2,<br />
DS4<br />
Training Department In <strong>COBIT</strong> nicht näher spezifiziert. Gremium AI4, DS7<br />
Tabelle 22: Organisatorische Aufbauelemente der <strong>COBIT</strong><br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen
Abschlussbericht BA-Nr. 0369/10 - 145 -<br />
Anhang O Notation der Semantischen Netze<br />
Notationssymbol Bedeutung<br />
Ein Begriff wird als Knoten dargestellt.<br />
Eine Kante zwischen zwei Begriffen verweist auf eine<br />
Zusammenhang bzw. eine Beziehung zwischen den<br />
beiden Begriffen (den beiden Knoten). Die Kante trägt<br />
einen Bezeichner, der diesen Zusammenhang konkretisiert.<br />
Zur weiteren Konkretisierung eines Zusammenhangs<br />
zwischen zwei Begriffen kann durch eine gestrichelte<br />
Linie ein anderer Begriff referenziert werden. Dieser<br />
Begriff dient der Verfeinerung bzw. näheren Beschreibung<br />
der Beziehung.<br />
Wiss. Unter<strong>suchung</strong> „Integration der <strong>COBIT</strong> <strong>und</strong> <strong>ITIL</strong> Standards mit der RA“ Universität Duisburg-Essen