Installation vs. Implementierung von Veränderungen in IT-Organisationen am Beispiel von COBIT 5 und CMMI

Frankfurt, 12. Dezember 2016 – IT-Organisationen von Unternehmen sind durch stetige technische Neuentwicklungen häufigen Wandlungsprozessen unterworfen und müssen ihre Prozesse daher ständig weiterentwickeln und optimieren. Einen Orientierungsrahmen zur zukünftigen Aufstellung einer IT-Organisation und ihrer entsprechenden Prozesse bieten die IT-Referenzmodelle CMMI und COBIT 5. Die nachhaltige Implementierung neuer Prozesse gelingt allerdings nur, wenn diese auf die jeweilige Organisation zugeschnitten, und die zukünftigen Nutzer bei der Ausgestaltung der Prozesse mit einbezogen werden.

Der Unterschied zwischen der Installation und Implementierung von Prozessen. Quelle: Changefrist Ltd. (PCI).

Worum geht es bei CMMI und COBIT 5?

IT-Referenzmodelle beschreiben ein idealisiertes und abstraktes Bild der Realität; das Ziel ist es, Unternehmen basierend auf Best-Practice-Erfahrungen eine Orientierung beim Aufbau ihrer IT-Organisationen und entsprechender IT-Prozesse zu geben.

COBIT 5

Das Referenzmodell COBIT[1] wurde von ISACA, einem weltweit vertretenen Berufsverband für IT-Revisoren erstmals 1996 herausgegeben und diente IT-Prüfern durch Checklisten und Kontrollzielen als Referenzrahmen für die Durchführung von IT-Audits. Nach und nach wurde das Modell um diverse Aspekte des Managements von IT erweitert, sodass die aktuelle Version von 2012 (COBIT 5) als umfassendes Rahmenwerk für Governance und Management der unternehmensweiten IT gilt. COBIT 5 hat den Anspruch, Unternehmen zu unterstützen, ihre IT in Einklang mit den Unternehmenszielen und -strategie aufzustellen und alle Aspekte der Unternehmens-IT im ganzheitlichen Kontext zu betrachten. Hierfür identifiziert COBIT 5 sieben sogenannte Enabler, die auf das Ziel einer erfolgreichen IT-Organisation einzahlen: Unternehmensrichtlinien, Prozesse, Organisationsstrukturen, Arbeitskultur und-ethik, Information, IT-Infrastruktur und -Services sowie Mitarbeiter.

Insbesondere der zweite Enabler, Prozesse, wird im COBIT 5 Rahmenwerk durch ein eigenes Prozessmodell umfangreich betrachtet. Das Prozessmodell beschreibt 37 Prozesse, die alle IT-Funktionen eines Unternehmens abbilden. Jeder Prozess wird beschrieben durch u. a. eine Definition des Prozessziels und wie dieses die Erreichung der Unternehmensziele unterstützt und einer Erläuterung der Prozesspraktiken.[2] Somit bietet das Prozessmodell IT-Organisationen einen umfassenden Überblick über alle relevanten IT-Prozesse und die Anforderungen, die diese erfüllen müssen.

Vergessen werden darf allerdings nicht, dass es sich um ein idealisiertes Modell handelt – Ziel des Prozessmodells ist es explizit nicht, dieses der eigenen Organisation überzustülpen und die Prozesse eins-zu-eins zu kopieren. Aber das Prozessmodell gibt eine Orientierung und hilft, Optimierungspotenziale in Bezug auf die eigenen Prozesse zu identifizieren. Hierfür stellt COBIT 5 auch ein Prozessreifegradmodell[3] zur Verfügung, anhand dessen IT-Organisationen ihre Prozesse entweder selbst bewerten, oder ein Benchmark durch einen externen COBIT 5-Experten durchführen lassen können. Wenn der Prozessreifegrad von einem externen Experten zertifiziert wurde, können IT-Organisationen die Qualität ihrer Prozesse beispielsweise auch gegenüber externen Stakeholdern belegen.

CMMI

CMMI basiert auf dem Capability Maturity Model (CMM), welches 1993 erstmals vom Software Engineering Institute (SEI) in Pittsburgh herausgegeben wurde. Das SEI handelte im Auftrag des US Verteidigungsministeriums, das ein objektives Tool zur Bewertung der Prozessqualität seiner Software-Lieferanten benötigte. Darauffolgend entstanden zahlreiche CMMs, die auf verschiedene IT-Prozesse fokussierten, wie bspw. auf Systemtechnik oder IT-Services. Ab 2006 wurde damit begonnen, die verschiedenen Modelle zu integrieren. So entstanden bis 2010 insgesamt drei Prozessmodelle, die die gleiche Basis an Prozessen besitzen, aber auch Prozesse enthalten, die auf einen Schwerpunkt fokussieren:

1. Das Capability Maturity Model Integration for Acquisition (kurz: CMMI-ACQ, V1.3) beschreibtProzesse von IT-Organisationen, welche IT-Leistungen von Dritten einkaufen.

2. Das Capability Maturity Model Integration for Development (kurz: CMMI-DEV, V1.3) beschreibt die Prozesse, die bei der Entwicklung von Software und IT-Services benötigt werden

3. Das Capability Maturity Model Integration for Services (kurz: CMMI-SVC, V1.3) soll Unternehmen, die IT-Services leisten, dabei unterstützen, ihre Prozesse zu optimieren

Beispielsweise enthält das CMMI-DEV V1.3 insgesamt 22 Prozessgebiete[4], davon sind fünf Prozessgebiete auf IT-Entwicklung ausgerichtet. Die Beschreibung eines Prozessgebiets enthält spezifische Ziele, die ein Prozessgebiet erfüllen sollte, sowie spezifische Praktiken, um die Ziele zu erreichen. Zudem sollte jedes Prozessgebiet generische Ziele und Praktiken[5] erfüllen, diese sind der Indikator dafür, inwieweit ein Prozessgebiet in einer Organisation verankert ist und die Prozesse in der täglichen Arbeit eingehalten werden.

Ebenso wie COBIT 5, bietet CMMI IT-Organisationen durch ein Prozessbewertungsmodell die Möglichkeit, ihre Prozesse mit dem Model zu vergleichen, um Optimierungspotenziale zu identifizieren oder auch, um sich durch einen externen Experten zertifizieren zu lassen. Das Prozessbewertungsmodell nach CMMI bietet zwei Möglichkeiten der Bewertung von Prozessen: Die Darstellung in Prozess-Reifegraden (maturity levels) oder die Darstellung in Fähigkeitsgraden (capability levels). Bei ersterer Darstellung werden mehrere Prozessgruppen gemeinsam bewertet, bei letzterer Darstellung können sich IT-Organisationen auf die Bewertung einzelner Prozessgruppen beschränken. 

Zusammenfassung

Sowohl COBIT 5 als auch CMMI ermöglichen IT-Organisationen, ihre Prozesse auf Optimierungspotenziale zu prüfen und ein Benchmark für interne und externe Zwecke durchzuführen. Diese Bewertung kann auch als Basis für umfassendere Change-Projekte dienen.

Wichtig bei der Anwendung von Prozessmodellen wie COBIT 5 und CMMI ist, den Gesamtkontext des Unternehmens, in den die IT-Prozesse eingebettet sind, nicht aus den Augen zu verlieren. So sollten sich Organisationen nicht nur die Frage stellen „welchen Reifegrad hat mein Prozess?“, sondern auch „hilft dieser Prozess unsere Unternehmensziele zu erreichen und steigert er den Nutzen unserer Kunden?“. Diese ganzheitliche Sichtweise verfolgen wir mit unserem Beratungsansatz „People, Projects und Organizations“ und unterstützen so einen unserer Kunden, einen internationalen Logistikdienstleister, bei der Optimierung seiner IT-Entwicklungsprozesse. Die Entscheidung ist hier zu Gunsten von COBIT 5 ausgefallen.

Zusammen mit unserem Kunden haben wir zunächst die wesentlichen Prozesse der Organisation identifiziert, um den Veränderungsprozess auf die wertschöpfendsten Prozesse zu konzentrieren und den Druck, den der Wandel zu einer prozessorientierten Organisation mit sich bringt, zu minimieren. Um neue Prozesse nicht nur zu installieren, sondern zu implementieren, ist es unserer Erfahrung nach zudem entscheidend, die neuen Prozesse zusammen mit den zukünftigen Nutzern zu gestalten: Daher haben wir in Workshops die bestehenden Prozesse und Rollen der Organisation mit allen Beteiligten analysiert und mit denen von COBIT 5 verglichen, das Modell entsprechend den Gegebenheiten der Organisation adaptiert und gemeinsam die neuen Prozesse und Rollen entsprechend definiert. Ein wesentlicher Erfolgsfaktor bei der Implementierung neuer Prozesse sind zudem Prozess-Simulationen: In diesen können die zukünftigen Nutzer der Prozesse typische Use-Cases durchspielen und sich so mit den neuen Prozessen und ihrer zukünftigen Rolle vertraut machen.

Bei unserem Kunden wurden die Vorteile der Anwendung von COBIT 5 direkt deutlich: „Blinde Flecken“ in der Organisation konnten unmittelbar identifiziert und durch COBIT 5 adressiert werden. Ebenso zeigt COBIT 5 Schnittstellen zu anderen Abteilungen auf und ermöglicht, abteilungsübergreifend eine einheitliche Sprache zu nutzen – ein wesentlicher Erfolgsfaktor bei der Optimierung von Prozessen.

Weiterführende Literatur

Changefirst Ldt. (2013): People-Centred Implementation (PCI). Practitioner Programme. Haywards Heath, UK.

Isaca (2012a): COBIT 5. A Business Framework for the Governance and Management of Enterprise IT. Rolling Meadows, USA.

Isaca (2012b): COBIT 5. Enabling Processes. Rolling Meadows, USA.

Software Engineering Institute (2010): CMMI for Development, Version 1.3. Carnegie Mellon University Pittsburgh, USA.


[1] COBIT stand ursprünglich als Acronym für (Control Objectives for Information and Related Technology). Obwohl das heutige Modell weit mehr als Kontrollziele für die IT enthält, wurde das Acronym beibehalten.

[2] Prozesspraktiken beschreiben die Anforderungen an einen Prozess, d. h. welche Handlungen zur Erfüllung des Prozessziels erforderlich sind.

[3] Das Prozessreifegradmodell von COBIT 5 basiert auf dem anerkannten ISO/IEC Process Assessment Standard for Software Development.

[4] In CMMI werden unter der Bezeichnung „Prozessgebiete“ alle zu einem Thema gehörenden Prozesspraktiken zusammengefasst. Beispielweise sind dem Prozessgebiet „Projektplanung“ die Prozesspraktiken zum Schätzen von Aufwänden, Erstellung des Projektplans und Einholen der Genehmigung für den Projektplan zugeordnet.

[5] Die generischen Ziele und dazugehörigen Praktiken werden als „generisch“ bezeichnet, da sie für alle Prozessgebiete gleich sind.

Autor: Katja Sobbe, Consultant bei CPC

Do you want to view the english version of our website? Click here to switch to english.