ITIL® und COBIT®: wann eignet sich welches Rahmenwerk?

Die ISACA (Information Systems Audit and Control Association) kündigte jüngst an, das COBIT®-5-Trainingsprogramm durch die Akkreditierungsorganisation APMG betreuen zu lassen. Dies wirft ein neues Licht auf das Verhältnis zwischen COBIT® und ITIL®. Die beiden Rahmenwerke wurden bislang von unterschiedlichen Gremien betreut. Durch die Übernahme von COBIT® durch die APMG werden sich die beiden Standards in Zukunft sicherlich weiter annähern.
Autor Markus Schweizer
Datum 18.10.2012
Lesezeit 6 Minuten

Die ISACA (Information Systems Audit and Control Association) kündigte jüngst an, das COBIT®-5-Trainingsprogramm durch die Akkreditierungsorganisation APMG betreuen zu lassen. Dies wirft ein neues Licht auf das Verhältnis zwischen COBIT® und ITIL®. Die beiden Rahmenwerke wurden bislang von unterschiedlichen Gremien betreut. Durch die Übernahme von COBIT® durch die APMG werden sich die beiden Standards in Zukunft sicherlich weiter annähern.

Das COBIT®-Konzept wurde mit der im April 2012 veröffentlichten Version 5 substanziell erweitert. Nun stellt sich die Frage, ob und inwiefern sich die beiden Rahmenwerke COBIT® und ITIL® überschneiden oder gar ergänzen. Und in welchen Bereichen wird welches Framework angewendet?

COBIT® ist eine Entwicklung der ISACA. Die Version 1 wurde 1996 veröffentlicht. Seither hat sich das Business Framework vom Revisionswerkzeug zu einem umfassenden Framework für die IT Governance entwickelt. Mit der Integration der 2008 bzw. 2009 veröffentlichten Rahmenwerke für Wert- und Risikomanagement der IT (Val IT und Risk IT) ist COBIT® 5 nun ein mächtiges Werkzeug zur strategischen Steuerung von Governance der Unternehmens-IT (siehe Abbildung 1). COBIT® 5 eignet sich deshalb nicht mehr nur für Auditoren, sondern auch für IT Controller und CIO.

Abbildung 1: COBIT® 5 als Werkzeug zur strategischen Governance-Steuerung der Unternehmens-IT

Die Struktur der COBIT®-5-Dokumentation hat sich gegenüber COBIT® 4 stark verändert: Früher fokussierte man auf Prozesse. Heute steht eine multidimensionale Betrachtung im Vordergrund, die auf fünf Prinzipien basiert:

  • Erreichen der Stakeholder-Bedürfnisse
  • End-to-End-Abdeckung des Unternehmens
  • Einsatz eines einzelnen, integrierten Frameworks
  • Ermöglichen eines ganzheitlichen Ansatzes
  • Trennung von Governance und Management

COBIT® 5 erhebt damit den Anspruch, das allumfassende Framework zu sein, das alle anderen Rahmenwerke von COSO über ITIL® bis zu PRINCE2®, CMMI und TOGAF® integriert.

Es zeigen sich hier Parallelen zu ITIL®’s Entwicklung von der zweiten zur Version 3: Die reine Prozessperspektive wich einem globaleren Ansatz des Service-Lebenszyklus. Best Practices wechseln zu einem integrativen, offeneren Ansatz der Good Practices. Die Struktur der Dokumentation wird in zentrale Bücher und Dokumente zu Spezialthemen und Implementierung aufgelöst.

Positionierung von COBIT® und ITIL®

Man merkts: COBIT® stammt aus der Revisionswelt. Die Grundkonzepte werden methodisch fundiert und klar strukturiert vorgestellt. Vor allem die Beschreibung der 38 (!) Prozesse sind einheitlich und vollständig dargestellt, inklusive Maturitätslevel und KPI. Es wird klar unterschieden zwischen Governance- und Management-Prozessen. COBIT® will für die IT ein vollständiges System von Prozessen bereitstellen (siehe Abbildung 2).

Abbildung 2: COBIT® 5 Prozessmodell

COBIT® tut dies allerdings aus einer eindeutigen Auditoren-Perspektive: Es formuliert detailliert, was für einen vollständigen Prozess vorhanden sein muss, wie der Prozess gemessen und kontrolliert werden kann. Nach Information darüber, wie einzelne Prozesse aufgebaut werden, wie die Prozess-Interfaces aussehen und was z.B. bei der Tool-Unterstützung beachtet werden sollte, sucht man vergeblich.

COBIT® 5 ist ein wertvolles Tool zum Aufbau von Compliance und Governance in der IT. Durch seine Mächtigkeit dürfte sich der Ansatz aber eher für Grossfirmen eignen, da diese erhöhte Anforderungen an Compliance (SOX, IKS) und Controlling haben. Für kleinere IT-Abteilungen kann COBIT® 5 ein Ideenlieferant im Sinne eines Baukastens sein. Eine vollständige Implementierung ist jedoch normalerweise wenig sinnvoll.

COBIT® 5 enthält eine separate Publikation mit Hinweisen zur Implementierung, die sich am 7-Step-Improvement-Prozess aus dem ITIL® Continual Service Improvement orientiert.

Im Gegensatz zu COBIT® und entgegen der häufig geäusserten Meinung beansprucht ITIL® gar nicht für sich, eine allumfassende Lösung für sämtliche Belange des IT-Managements zu sein. Das Ziel von ITIL® ist klar: Aus IT-Abteilungen sollen «Service-Fabriken» werden. ITIL® ist weniger stark strukturiert als COBIT®, der Ansatz ist mehr «narrativ» als normativ. ITIL® Service Management ist eher eine zusätzliche Dimension des IT-Managements als ein kompletter Ersatz dafür. ITIL® liefert jedoch viel mehr Antworten auf die Frage, WIE es gemacht werden soll und behandelt nicht nur das WAS. Der Fokus ist hier auf den Output, sprich den Service der Organisation gelegt. COBIT® dagegen konzentriert sich auf die Konformität mit Regeln und Vorgaben. Im Grunde haben aber beide Rahmenwerke dasselbe Ziel: den so schwer fassbaren Wertbeitrag der IT zum Unternehmenserfolg zu belegen.

Fazit

Es lässt sich durchaus eine Übereinstimmung zwischen den beiden Frameworks erkennen: Einige Konzepte sind einander angeglichen. Schliesslich gibt es nur eine beschränkte Zahl von Wegen, das Rad neu zu erfinden. Aus der unterschiedlichen Herkunft der beiden Rahmenwerke ergeben sich aber unterschiedliche Zielsetzungen: COBIT® ist das Werk von Auditoren und zielt vor allem aufs Messen, Regeln und Kontrollieren ab. ITIL® ist eine Entwicklung von Praktikern, die die IT-Leistung verbessern wollen.

Gerade wegen den unterschiedlichen Ansätzen ergänzen sich die beiden Rahmenwerke aber sehr gut: ITIL® hilft beim Aufbau von Prozessen, Strategien und Services, COBIT® stellt sicher, dass das Aufgebaute regel- und strategiekonform ist.

COBIT® ist zwar sehr umfasssend, durch die starke Normierung und Strukturierung aber trotzdem relativ einfach anzuwenden. Die Komplexität lohnt sich jedoch eher für Organisationen, die externen und internen Regulierungen ausgesetzt sind, wie zum Beispiel IKS (Internes Kontrollsystem), SOX (Sarbanes-Oxley Act), SAS 70, IT-Grundschutz usw.

ITIL® ist durch seine Fülle von Informationen schwieriger einzusetzen, bringt aber einen raschen Nutzen durch seine praxisorientierten Hilfestellungen zum zentralen Thema der IT: Produktion von IT-Dienstleistungen. Vor allem kleinere IT-Organisationen mit wenigen, kaum normierten Prozessen können sich mit ITIL® klar verbessern.

Für beide Frameworks gilt jedoch die Faustregel: Einführung zum Selbstzweck lieber sein lassen. Im Sinne einer Toolbox sollten Komponenten daraus ausgewählt werden, die die Organisation voranbringen.

Über den Autor

Markus Schweizer

Markus Schweizer ist Digicomp Trainer, ITIL®- und Cobit®-Experte und Strategie-Berater bei Plat4mation für alle Belange des IT-Managements. Zuvor arbeitete er für IBM und PwC und verbrachte er neun Jahre in den USA, wo er Grossfirmen beim Einsatz von Service-Management-Konzepten beriet. Seine Beratungsschwerpunkte sind IT Business Management, interne Digitalisierung, Governance und SIAM.