Das IT-Governance-Institut definiert fünf zentrale Domains für IT-Governance:
• das Strategic Alignment zwischen Business und IT
• Value Delivery – der nutzenorientierte Einsatz der IT
• das Risk Management
• das Performance Measurement
• und als Grundlage das Resource Management
Zur Operationalisierung von IT-Governance wurde COBIT (Control Objectives for IT) entwickelt. COBIT ist ein umfangreiches Regelwerk, das vor allem bei grossen Unternehmen und Behörden die Grundlage für IT-Governance und insbesondere auch für den IT-Audit bildet. In 34 detailliert beschriebenen Prozessen definiert COBIT die Ziele, Aufgaben, Verantwortlichkeiten, Prüfkriterien, Messgrössen, Ressourcen und deren gegenseitige Abhängigkeiten.
Das UML-Modell illustriert diese Zusammenhänge. Es zeigt die wichtigsten Elemente von COBIT und insbesondere auch die Einbettung der IT-Ressourcen. COBIT definiert Menschen, Informationen, Anwendungen und Infrastruktur als Kernressourcen der IT. Jede dieser Ressource wird von mehreren Prozessen beeinflusst und jeder Prozess hat einen Einfluss auf mehrere Ressourcen. Es besteht also eine komplexe m:n-Beziehung.
Auch zwischen verschiedenen Ressourcen bestehen komplexe Abhängigkeiten. Menschen sind für die Betreuung und Entwicklung von Applikationen zuständig. Applikationen verwalten Informationen. Informationen werden auf der Infrastruktur der IT gespeichert und verarbeitet. Für das Management dieser komplexen Zusammenhänge ist man auf exakte Informationen über die Zusammenhänge angewiesen.
Wenn ein Problem auftritt, muss man rasch und zuverlässig die Quelle eruieren und die zuständigen Personen mit der Lösung beauftragen können. Auch die Planung und Weiterentwicklung von Applikationen benötigt einen raschen, aktuellen und zuverlässigen Überblick.
Wir wollen nun eine Ressource - die Applikationen - herausgreifen und etwas genauer unter die Lupe nehmen. In jedem Unternehmen gibt es eine Vielzahl von Applikationen. Man fasst sie zu Applikationsgruppen zusammen und verwaltet ihre Eigenschaften in einem Applikationsportfolio.
Genügt die Verwaltung der Eigenschaften? Wohl kaum! So müssen zum Beispiel auch die Beziehungen der Applikationen zu den für Support oder Entwicklung zuständigen Personen erfasst werden. Auch muss festgehalten werden, für welche Systemkomponenten eine Applikation zuständig ist und welche Systemkomponenten eine Applikation selbst nutzt.
Weil aber Systemkomponenten selbst wiederum andere Systemkomponenten nutzen, ergibt sich ein komplexes Netz von Abhängigkeiten. Weiterentwicklungen und Änderungen an den Komponenten ohne das Wissen um diese Abhängigkeiten ist sind nicht nur sehr aufwendig, sondern kann auch sehr gefährlich sein.
Das Management der Systemzusammenhänge in einer sogenannten Konfigurationsdatenbank ist eine notwendige Ergänzung des Applikationsportfolios. Die fachliche Strukturierung der Applikationen ist erst dann vollständig, wenn sie sich auf eine exakte Kenntnis der technischen Zusammenhänge abstützen kann.
Aus Sicht des Business geht es jedoch nicht um Applikationen, sondern um die Services, die von den Business Prozessen in Anspruch genommen werden. Es ist daher üblich, in sogenannten Service Level Agreements festzuschreiben, welche Dienste die IT mit welcher Qualität zu welchen Kosten bereitzustellen hat. Für das Erbringen eines Service müssen daher viele Komponenten ineinander greifen, die in der Regel aus unterschiedlichen Applikationen oder Applikationsgruppen stammen.
Services sind daher komplexe Gebilde, die quer über die technischen Strukturen und Plattformen hinweg zusammengebaut werden. Erst durch das nahtlose Ineinandergreifen dieser Komponenten kann das Einsatzziel der IT - die nahtlose Unterstützung der Businessprozesse - erreicht werden.
Nun zurück zu unserer Ausgangsfrage: Wo stehen wir heute in der Praxis mit der Steuerung der IT? Hier ist es leider oft nicht gerade zum Besten bestellt. Gibt es in den Unternehmen ein integriertes Applikationsportfolio? Werden Informationen in einem Information Dictionary gemanagt? Stehen alle notwendigen Informationen für das Risk-Management zur Verfügung? Tatsache ist, dass durch das Fehlen eines globalen Resource-Managements die einzelnen Bereiche zu lokalen Notlösungen greifen. Wir finden umfangreiche Sammlungen nicht abgestimmter Excel-Sheets, lokale Datenbanken und ein Gewirr von Punkt-zu-Punkt-Verbindungen zum Datenaustausch: Eine ebenso kostspielige wie unzuverlässige Lösung!
An technischen Lösungen für diese Probleme besteht durchaus kein Mangel. Komplexe Zusammenhänge können heute in so genannten Federated Repositories abgebildet und konsistent verwaltet werden. An die Stelle der alten monolithischen Repositories des letzten Jahrtausends sind schlanke und effiziente Systeme getreten, die sich der neuen Technologien - Internet, Java, Frameworks, etc. - bedienen und in der Lage sind, die neue Komplexität zu meistern und auch die alten Legacy-Lösungen zu ersetzen.
Damit ist es allerdings nicht getan. Die vorhandenen technischen Lösungen müssen auch eingeführt und eingesetzt werden. Dies kann jedoch nicht von einer einzelnen Abteilung in der IT erwartet werden. Es ist die Aufgabe von IT Governance, ein professionelles IT-Resource-Management zu etablieren. Es liegt an den IT-Auditoren auf Schwachstellen hinzuweisen. Es liegt am Linien- und IT-Management, diese Schwachstellen auszumerzen und dafür zu sorgen, dass die Prozesse für ein professionelles Resource-Management geplant, die organisatorischen Randbedingungen geschaffen und die entsprechenden Mittel zielgerichtet eingesetzt werden. Auf diesem Weg sind substantielle Kosteneinsparungen und Qualitätsverbesse rungen zu erreichen.
Dr. Reinhold Thurner, Gründer und Geschäftsführer der Metasafe GmbH, München
reinhold@thurner.ch
