Ausgehend von der Internet-Revolution haben sich Geschäftsmodelle in der Privatwirtschaft verändert. Der Transformationsprozess ist noch immer im Gange. Apple, Google, Uber sowie viele neue Start-ups zeugen davon. E-Business hat einen unerreichten Boom angetreten.

Industrien und Branchen verändern sich, IT nimmt eine immer bedeutendere Rolle im digitalen Transformationsprozess ein. Vernetzung ist das bestimmende Thema. Bereits seit einiger Zeit tritt im Verwaltungsumfeld E-Government immer stärker in den Fokus. Auch in der öffentlichen Verwaltung ist ein zwar langsamer aber konstanter Wandel im Gange. Das elektronische Patientendossier im E-Health-Umfeld scheint zu kommen und zeigt uns, dass das Gesundheitswesen in einer grösseren digitalen Transformation steckBild E-Governmentt.

 

Einfluss von IT auf die Beurteilung von Geschäftsrisiken

Bald gibt es nirgendwo mehr einen Geschäftsprozess, der nicht auf IT angewiesen ist. Egal wo wir tätig sind, es ist unleugbar, dass das Geschäftsleben sowie das Arbeitsleben im öffentlichen Sektor immer mehr von Informationstechnologie oder IT durchdrungen ist, ja dass gar ein Arbeiten ohne IT gar nicht mehr möglich ist. Auch im geschäftsrelevanten Umgang mit Sicherheit und Risikon stellt sich die Frage, ob IT nicht immer tangiert ist. Gibt es überhaupt noch Geschäftsrisiken, welche ein Auditor abarbeiten kann, ohne von IT eine Ahnung zu haben? Ein entschiedenes „Nein“ ist die Antwort! Trotzdem sind die Lebens- und Arbeitswelten von Geschäfts- und IT-Auditoren heute vielfach stark getrennt voneinander. Der IT-Auditor tritt z.B. nur in Aktion, wenn vom Geschäftsaudit eine Forderung nach einer Untersuchung im IT-Bereich ansteht. Wenn z.B. im Bereich „segregation of duties“ (SOD) gefragt wird, ob die Berechtigungen gemäss den SOD eingerichtet sind. Was tun? Unterstützung bieten Rahmenwerke, um zwischen verschiedenen Sichten eine Verbindung zu finden.

Rahmenwerke als Basis für IT-Governance

COSO kann als Rahmenwerk zur Implementierung eines Internen Kontrollsystems (IKS) im Unternehmen verstanden werden – und zwar geschäftsseitig (1).  Darauf baut COBIT als Rahmenwerk für die IT auf (2).  COBIT kann als De-Facto-Rahmenwerk und -Standard zur Implementierung eines IT-IKS aus Sicht des Geschäfts verstanden werden. Verdienstvollerweise habe ich da die Möglichkeit – über die Balanced Scorecard gegliedert, über ein systematisches Modell von Geschäftszielen IT-Ziele abzuleiten, ausgehend von denen ich dann (IT-)Prozesse eruieren kann, um diese IT-Ziele zu erreichen.

Ein weiteres Rahmenwerk mit einer umgekehrten Perspektive zu COBIT ist ITIL. Damit wird die Möglichkeit geboten, IT laufend besser auf die Unterstützung der Geschäftsprozessabwicklung auszurichten (3). Dies ist die Gegenperspektive zu COBIT. Beide, COBIT und ITIL, sind Rahmenwerke über welche ich Personen zertifizieren lassen kann. Hinter beiden Rahmenwerken stehen wie erwähnt zwei weltweit gewichtige Institutionen, die ISACA und The Office of Government Commerce, welche u.a. für die Weiterentwicklung und die Werbung zuhanden der Rahmenwerke zuständig sind. Beide Rahmenwerke sind in einem intensiven Entwicklungsprozess und man darf gespannt sein, wann die nächsten Versionen rauskommen. Von COBIT stammt der letzte Release aus dem Jahre 2012, von ITIL aus dem Jahr 2011. Ergänzend ist zu erwähnen: ISO/IEC 27000 als Standard zur Zertifizierung von Organisationen im IT-Security Management (Einführung eines generischen und umfassenden Sicherheitssystems). ISO/IEC 20000 ist der Standard zur Zertifizierung von Organisationen im IT-Servicemanagement, d.h. es geht darin um die Einführung eines IT-Servicemanagement-Systems (4).

COBIT als Verbindung zwischen Geschäfts- und IT-Zielen

Die COBIT Prozesse sind in diversen Domänen organisiert. Zunächst die Governance-Domäne und die Management Domäne. Die Governance-Domäne besteht aus den Grundaktivitäten Evaluate, direct und monitor. Die Management Domäne setzt sich aus folgenden Teildomänen zusammen: Align, plan and organize, Build, acquire and implement, Deliver, service and support, Monitor, evaluate and assess.

Das Schöne ist: COBIT bietet eine Kaskade von Geschäftszielen zu IT-Zielen an, über welche direkte Verbindungen zwischen Geschäfts- und IT-Zielen möglich werden. Was nun bietet COBIT für Geschäftsziele an, ausgehend von denen man dann IT-Ziele und zu deren Erreichung relevante IT-Prozesse sowie IT-Metriken ableiten kann? Wie erwähnt sind die entsprechenden Geschäftsziele nach den vier Bereichen der Balanced Scorecard gegliedert. Finanzen, Kunden, Intern, Weiterentwicklung. Je ein Beispiel eines Geschäftsziels dieser vier Bereiche ist im Folgenden aufgelistet:

  • Portfolio wettbewerbsfähiger Produkte und Dienstleistungen
  • Agile Reaktionen auf sich wandelndes Geschäftsumfeld
  • Optimierung der Geschäftsprozesskosten
  • Kultur der Produkt- und Geschäftsinnovationen.

Für den zweitletzten Punkt (Optimierung Geschäftsprozesskosten) wird im Folgenden aufgelistet, was für IT-Ziele dazu in Verbindung zu setzen sind:

  • Nutzenrealisierung aus IT-gestützten Investitionen und dem IT-Serviceportfolio
  • Transparenz von IT-Kosten, -Vorteilen und -Risiko
  • Optimierung von IT-Betriebsmitteln, -Ressourcen und -Befähigungen.

IT und Business in Einklang bringen

Bereits ausgehend von diesen wenigen Zusammenhängen ist ersichtlich, dass über das entsprechende Modell der Ableitung von IT-Zielen aus Geschäftszielen recht intensiv auf die entsprechenden dahinter liegenden Kausalitäten geschlossen werden kann. Diese Ableitung kann in der umgekehrten Richtung für die Auswirkungen von schlecht definierten und geführten IT-Zielen auf das Geschäft gesehen werden und ist für die Geschäftsleitung generell ein wichtiges Instrument, um das Alignment von IT und Geschäft anzugehen. Was will man mehr als das, um Risiken und Sicherheit zu minimieren? Überdies ermöglicht das Instrument COBIT auch, für die relativ strikt getrennten Rollen von Geschäfts- und IT-Auditor ein Alignment im Rahmen von internen oder externen Audits zu definieren.

Wie erwähnt, bietet COBIT hier aus verschiedenen Richtungen Möglichkeiten, entsprechende Kaskadierungen zu realisieren und damit ein sehr vielseitiges Analyseraster in die Hände gelegt zu erhalten.

COBIT adressiert überdies die Themen Risikomanagement und Sicherheitsmanagement mit je einem COBIT-Prozess (RiskIT war früher ein selbständiges separates Rahmenwerk, das in COBIT 5 integriert wurde):

  • Der Prozess APO13, Managen der Sicherheit
  • Der Prozess APO12 Managen von Risiko

Für beide Prozesse wird in der gleichen Struktur angegeben wie konkret diese Prozesse analysiert werden können. Dies wird im Bereich des IT-Risikomanagement-Prozesses kurz geschildert. Weil ja wie eingangs erwähnt IT und Geschäft sich zunehmend und intensiver durchdringen, ist das Verständnis für IT-Risiken natürlich von zentraler Bedeutung und logischerweise auch umgekehrt.

Prozessbeschreibung, Prozesszweck, die Darstellung der Unterstützung von IT-Ziele durch den Prozess, es werden Metriken dazu genannt, dann werden entsprechende Prozessziele genannt, die wiederum mit zugehörigen Metriken versehen werden. Dann erfolgt über Geschäfts- und IT-Rollen ein RACI-Chart, der darstellt, was für Accountabilities, Responsibilities, Informationsweitergaben und Consultationangaben über die verschiedenen Rollen ins Auge gefasst werden müssen, ausgehend von den diversen Managementpraktiken. Dann wird für die Prozesspraktiken quer übers ganze Framework die In- und Outputs zum Management von Risiko APO12 dargestellt. Last but not least wird je Prozess weiteres über COBIT hinausgehendes Referenzmaterial erwähnt. Fazit: Die Schnittstelle zum Sicherheits- und Risikomanagement vom Geschäft in Richtung IT ist gebaut. Jetzt müssen wir sie nur noch nutzen.

Anmerkungen:

Dieser Artikel erscheint im Original in der Präsenz 2015/02, der Kundenzeitschrift der Berner Fachhochschule und deren Fachbereich Wirtschaft.

(1)  COSO bedeutet ausgeschrieben: The Committee of Sponsoring Organizations of the Treadway Commission. Vgl. hierzu auch www.coso.org. Bekannt ist ausgehend davon ist das COSO verwandte ERM oder Enterprise Risk Management Werkzeug, das parallel zu COSO zur Anwendung gelangt respektive angeboten wird.

(2) COBIT bedeutet ausgeschrieben: Control Objectives for Information and related Technology. Herausgeber dieses Rahmenwerks ist die ISACA (www.isaca.org).

(3)  ITIL steht für Information Technology Infrastructure Library. Promoter und Provider davon sind The Stationary Office (TSO) und das Office of Government Commerce (OGC). Vgl. dazu auch den folgenden Link

(4) Vgl. zur ISO/IEC 27000 Link . Vgl. zur ISO/IEC 20000 Link

 

Autor

Prof. Dr. Konrad Walser ist Dozent und Senior Researcher am E-Government-Institut der Berner Fachhochschule | www.e-government.bfh.ch. Er ist Co-Organisator und Programmleiter der Gov@CH  – der neuen Messe und Konferenz für Digitale Verwaltung.