Die immer komplexer werdenden Anforderungen an IT-Dienstleister, verbunden mit steigenden gesetzlichen und regulatorischen Anforderungen, lassen sich heute nur noch mittels professionellem Prozessmanagement steuern. De-facto-Standards wie ITIL® oder COBIT® sind die beiden wohl bekanntesten Frameworks. COBIT® ist eine systematische und stringente Darstellung von IT-Kernprozessen und wird häufig in IT-Audits angewandt. ITIL® ist heute der allgemein anerkannte Standard für IT Service Management, der aus dem Prinzip der „Best Practice“-Verbreitung entstanden ist. Immer öfter wollen oder müssen Unternehmen beide Standards einsetzen oder tun dies bereits. Die unterschiedlichen Zielsetzungen beider Frameworks führen zu neuen Herausforderungen.
ITIL® – COBIT® Mapping Gemeinsamkeiten und Unterschiede der Frameworks
1. ITIL®-COBIT® Mapping
Gemeinsamkeiten und Unterschiede der Frameworks
2. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
3. Michael Rüggeberg
E D Z
/ / /d ^ W
/d/
E ^ Z W
K W /d/
^ ' s D W
/ /d/
^ / K Z
/d ^
' /d Y
^ W /d '
KZ : ^ ' , W ^ ' /d/ K/d
^ ^ d
/D h ^ Z W K
W /d/
s/ ' / D
' s ^ D / /d ^
Z ' D /d/
^K
' s ^ D , Z
D D Z
^ / st ' / W ^ /
^ st W /d/ ^ ^
W
^ / ^ K D
/d ' K/d /d/ D
^ K W K/d /d/ /^K , W W /d/
/ W W ^ W D
D /d K
4. Der Arbeitskreis ITIL® – COBIT®
- Mitglieder des Arbeitskreises -
Gross Jürgen selbständiger Berater
Hollmann Matthias Commerzbank AG
Jahnes Benjamin IDS Scheer
Kröber Gunter Emendis GmbH
Leidel Carsten Leidel Consulting
Mertens Wolf-Rüdiger Deutsche Bundesbank
Rüggeberg Michael Capgemini
Schmied Katherina Neckermann
Tröger Tobias Deutsche Post AG
Wiedermann Ingo ORACLE
5. Hinweis
Die nachfolgend dargestellten Ergebnisse basieren auf den
Ausarbeitungen der Arbeitskreisteilnehmer.
Die Ergebnisse stellen keine Einzelmeinung dar, sondern sind die
Erkenntnisse einer detaillierten Analyse der beiden Frameworks ITIL®
und COBIT® durch ein Team von erfahrenen Anwendern
6. Ziel des Arbeitskreises
Erarbeitung und Veröffentlichung von praxisorientierten Unterlagen für
einen direkten Vergleich der beiden Frameworks ITIL V3 und COBIT 4.1
7. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
13. Aufbau der Rahmenwerke – COBIT 4.1
- Domänen und Prozesse -
WK /d
D D /d
WK
D D
WK
D W K
WK /d
D W /d
WK D /d
WK
D
^ WK D /d
K/d / WK D
^ D WK /d
^ D WK D
^
^ / /
^ / /
^ ^
^ D /
^ D /
^ D / W /d
^ D / D
^ D / /
^ D
Y /d/ K/d D ^D /^ ^ K/d W ^
14. Aufbau der Rahmenwerke – ITIL V3
- inhaltlicher Aufbau – (1/3)
/
^ D
• What is Service Management?
• What are Services?
• Functions and processes across the
Lifecycle
• Fundamentels
W
Y K' ^ ^ D
W
K
d
d
Z
Y K'
15. Aufbau der Rahmenwerke – ITIL V3
- Service Lebenszyklus -
LC - Data and Inf ormation LC – Service Strategie Development
Management LC - Return on Investment
P - Service Catalogue Management LC - Risk Management
P - Service Level Management P - Financial Management
P - Capacity Management P - Service Portfolio Management
P - Availability Management P - Demand Management
P - IT Service Continuity Management
P - Inf ormation Security Management
P - Supplier Management
LC – Kommunikalion
LC – Organisatorische Wandel
ITIL® V3 und Stakeholder Change
P - Event Management
P - Incident Management LC – Stakeholder Management
P - Request Fulf illment P - Transition Planning Support
P - Problem Management P - Change Management
P - Access Management P - Service Asset
P - Operation Activities Configuration Management
P - Release Deployment
FCT - Service Desk
Management
FCT - Technical Management
P - Service Validation Testing
FCT - IT Operations Management P - Evaluation
FCT - Application Management P - Knowledge Management
LC -
P - The 7 Step Improvement
Process
P - Service Reporting Abkürzungen:
P - Service Measurement LC = Lifecycle-Aktivitäten
P = Prozess
FCT = Funktion
Y /d/ K/d D ^D /^ ^ /d/ s ^ W K'
16. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
17. COBIT 4.1
- Stärken und Schwächen Profil -
^ ^
/
^ d
h Z / D
/ K W / K
/ Z W
DD/ /
h Z
^ D ' K
K ^
D
^ E
Z / D D
D D
D
^
/d
W
/d
18. ITIL V3
- Stärken und Schwächen Profil -
^ ^
'
K E
E s /
W
W
^ W
,
t ^ ^K 'd E Z s
tZE D K
s Z W s
K W ^ W
D
^ ^ D
D D W/
D
d W s
h ^
19. Aufbau der Rahmenwerke – ITIL V3
- inhaltlicher Aufbau – (1/3)
: /d/
W ^
^ ^ ^
D D
W
D ^
s
D W
D W
d
W /
D
/ D
^
D
^
Y K'
20. Aufbau der Rahmenwerke – ITIL V3
- inhaltlicher Aufbau – (2/3)
^ d ^ K
Z D D
W W
^ ^
s s
W W
W W
d d
/ D / D
D
^
D
/ D
W
^ W
s ^
W s
W W
W
d d
/ / D
D
^
Y K'
21. Aufbau der Rahmenwerke – ITIL V3
- inhaltlicher Aufbau – (3/3)
^ /
^ /
^ / W
^ / W
^ /
K ^ /
d
/ ^ /
Y K'
22. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
24. Das Prozess-Mapping
- Details zum Aufbau der Frameworks / COBIT 4.1 -
W
d
/d W
Z
/d
^
t
D
W
D
/d W
K K
K
K K
/ K
Z /
D
' D
'
/d W
E D
Y /d/ K/d D ^D /^
D
D
^ K/d W
K D
25. Das Prozess-Mapping
- Details zum Aufbau der Frameworks / ITIL V3 -
^ ^ ^ ^
^
^ d K /
^
^ /
D
W
W W W W / W ^
W W WZ WW W^ Z
W
d ^
d d
D
Y /d/ K/d D ^D /^ ^ /d/ s ^ ^ D /
26. Das Prozess-Mapping
- Die Vorgehensweise -
/d/ s K/d
W W
t
W K
W
K
K
d D '
^
D D
Y /d/ K/d D ^D /^ ^ W D
27. Das Prozess-Mapping
- Beurteilung des Grades der Übereinstimmung -
Voraussetzung
Einheitliche Bewertungsstruktur
Warum?
Es muss eine seriöse Aussage über die Übereinstimmungen getroffen werden
können
Festlegung: drei Mapping-Kategorien
Vollständiges Mapping
Teilweises Mapping
Kein Mapping
Zusätzlich:
Ergänzende Kommentare zu den einzelnen Vorgängen
Maßgeblich für die Einstufung
Inhaltliche Übereinstimmung
Unterschiede in den Formulierungen blieben unbeachtet
28. Das Prozess-Mapping
- Beispiele-
Tabelle 1: Beispiel für vollständiges Mapping
ITIL Buch/ Aktivität- COBIT Control COBIT Domäne/
ITIL Aktivität
Prozess Referenz Objective Prozess
Service Identify SS 5.1.3.4 PO9.4 Plan and
Strategy, elements of Risk Assessment Organise
risk and impact PO9
P- Financial together with Assess and
Management the business Manage IT Risks
Tabelle 2: Beispiel für teilweises Mapping
ITIL Buch/ Aktivität- COBIT Control COBIT Prozess
ITIL Aktivität
Prozess Referenz Objective
Service Service SS 5.1.3.2 PO5.5 Plan and
Strategy, provisioning cost Benefit Management Organise
analysis PO5
P- Financial Manage the IT
Management Investment
Beschreibung: Die Analyse der Kosten zur Erbringung der Services ist Bestandteil des
Nutzenmanagements. ITIL differenziert allerdings deutlich stärker.
Tabelle 3: Beispiel für kein Mapping
ITIL Buch/ Aktivität- COBIT Control COBIT Prozess
ITIL Aktivität
Prozess Referenz Objective
Service Shared Services SS 5.1.3.2
Strategy, model
Y /d/ K/d D ^D /^
P- Financial
^
Management '
Beschreibung: ITIL beschreibt hier ein spezielles Modell zur Serviceerbringung. m
29. Das Prozess-Mapping
- High-Level Statistik -
D /d/ s K/d
/d/ W
Y /d/ K/d D ^D /^ ^ , ^
K/d W
30. Das Prozess-Mapping
- High-Level Statistik -
K/d /d/ s
W K ^ ^
/ ^ d
^
^
^ K
^
D
/
Y /d/ K/d D ^D /^ ^ , D
32. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
33. Das Rollen Modell in COBIT 4.1
Zwei Dimensionen
Horinzontal - Business- und IT-orientierte Rollen
Vertikal - Management- und funktionale Rollen
Business orientierte Rollen = Schnittstellen zu Geschäftseinheiten
IT-orientierte Rollen = hauptsächlich innerhalb IT agierend
Management Rollen = Steuerung Organisationseinheit
Funktionale Rollen = Ausrichtung an bestimmten Funktion oder
Prozessen / können über mehrere Organisationseinheiten wirken
34. Das Rollen Modell in COBIT 4.1
- Übersicht der Rollen in COBIT -
Y /d/ K/d D ^D /^ : ' : Z s
37. Rollen und Verantwortlichkeiten
- Ergebnisse und Praxiseinsatz des COBIT 4.1 Rollenmodells -
Zumeist Management Rollen
Ein Satz von Standard Rollen über alle Prozesse
(In max. zwei Prozessen erweiterte Rollen in Anlehnung an ITIL mit meist funktionaler Ausprägung)
In mehreren Prozessen (PO 5, PO 9, DS 9, AI 4, AI 7)
Für Aktivitäten mehrere Rollen „Accountable“
gemäß RACI kann aber immer nur eine Rolle je Prozess „Accountable“ sein
Aber: COBIT lässt hier bewusst eine Auswahlmöglichkeit
Intension: Verantwortlichkeiten können auf Gegebenheiten angepasst werden – Leider kein Hinweis an
betreffenden Stellen vorhanden
Rollen innerhalb Geschäftseinheiten und oberste Managementebene „sehr stark
eingebunden“ - Umsetzbarkeit ? (resultiert aus amerikanischen SOX
Anforderungen)
In vielen Fällen zu viele Rollen an einem Prozess beteiligt – würde hohen
Abstimmungsbedarf bedeuten
Fazit:
Sämtliche Prozesse, Tasks und Rollen müssen überprüft und auf die Gegebenheiten angepasst
werden.
38. Das Rollen Modell in ITIL V3
Einsatz des „RACI Prinzip“
Die Rollen und Verantwortungsthemen werden jeweils in Kapitel 6 „Organizing
beschrieben
In Service Strategy in Kapitel 6 eine Abhandlung zum Themenbereich: Strategy
and Organization.
Keine RACI Darstellungen analog COBIT
Keine weitere Anwendung oder Erläuterung und nach der Prinzip-Darstellung
Kein allgemeines zu Grunde liegendes Organisationsmodell
(Organisationsmodelle kann man bei ITIL nur als Beispiele bzw. Erläuterungen im Zusammenhang mit
dem jeweiligen Kapiteltext verstehen)
Keine durchgängige Verknüpfung zu den Rollenbeschreibungen.
Buch Service Strategie – allgemeine Vor- und Nachteile verschiedener
Organisationsformen
In weiteren Büchern sind Teilmodelle bezogen auf den spezifischen Service-
Lebenszyklus zu finden
Buch Service Operation – Beschreibung verschiedener Organisationsformen,
aber ohne konkrete Umsetzung auf eine IT-Organisation.
42. Rollen und Verantwortlichkeiten
- Beispiel Ergebnis -
Beide Modelle aus Service Strategy und Service Transition stellen den allgemeinen
Aufbau einer Organisation auf Unternehmensebene dar
Die Modell sind nicht kongruent
Organisationsmodell Service Strategy:
keine neue Modellierung (Lifecycle Ansatz)
sondern an ein „klassisches“ Organisationsmodell wurden neue Funktionen angehängt
Organisationsmodell Service Transition
Mischung aus Organisationseinheiten wie z.B. „IT Service Organization“ und Prozessen wie
z.B. „Service Release and Deployment“ dar
Ansatz Plan Build Run durch eine separate Project/Programme Einheit anzunehmen
43. Rollen und Verantwortlichkeiten
- Ergebnisse und Praxiseinsatz des ITIL V3 Rollenmodells -
Rollen werden grundsätzlich als Prozessrollen verstanden und dargestellt
Der englische Begriff des „Managers“ ist im Normalfall nicht als Führungsrolle
sondern als Manager des Prozesses zu verstehen
Unterscheidung zwischen in Process-Owner und Service Owner
„Process Owner“
generische Rolle
Verantwortlich für die erfolgreiche Ausführung aller Aktivitäten eines Prozesses in der
erforderlichen Qualität und Zeit
Verantwortlich für Prozess Design, Prozessverbesserung ebenso wie Dokumentation und
Compliance.
„Service Owner“
Eindeutige Ausrichtung auf den Kunden bzw. Abnehmer des Services
Konzentration auf das Service Level Management, Service Verbesserung, Reporting und
andere kundenorientierte Aktivitäten
Vielzahl von Rollen, da detaillierter Darstellungsgrad operativer Aufgaben als in
COBIT
Bezug der Rollen zu den Organisationsmodellen fehlt
44. Rollen und Verantwortlichkeiten
- Gesamtbetrachtung -
Bei COBIT ist eine eindeutige Zuordnung zwischen Aktivitäten, Rollen und
Verantwortlichkeiten in Form einer RACI Matrix vorhanden
Bei ITIL fehlt die eindeutige Zuordnung
Rollenbeschreibungen sind global den Prozessen zugeordnet
Spiegeln die Aktivitäten innerhalb der Prozesse nicht wieder
Erhebliche Abweichungen in den Aufgaben zwischen Rollenbeschreibung und
Prozessbeschreibung
Beide Rahmenwerke geben nützliche Hinweise
Eine Verwendung als Checkliste für Rollen und Verantwortungen ist sinnvoll
Eine konkrete Hilfestellung zur Organisationsgestaltung ist in beiden
Rahmenwerken nicht gegeben
45. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
46. KPI – Mapping
- Einführung COBIT 4.1 -
Hierarchische Ableitung von Zielen mit jeweils zugeordneten Messgrößen:
Zur Erreichung der Geschäftsziele ist das Erreichen der IT-Ziele erforderlich.
Aus den IT-Zielen erfolgt die Ableitung der Prozessziele.
Aus den Prozesszielen werden die Ziele einzelner Aktivitäten abgeleitet.
Den jeweiligen Zielarten sind Leistungsmessgrößen zugeordnet.
Inhaltlich unwesentliche Änderungen gegenüber COBIT 4.0
Y K/d ' / ^ /d W ' D
47. KPI – Mapping
- Einführung ITIL V3 -
Wesentliche Änderungen gegenüber ITIL V2
Beispiel – Incident Management
ITIL V2 Anzahl KPI 31
ITIL V3 Anzahl KPI 19
Begründung nicht vorhanden
Beispiel – Financial Management
ITIL V2 Anzahl KPI 30
ITIL V3 keine KPI
Begründung nicht vorhanden
Keine Qualitätsverbesserungen gegenüber ITIL V2
Unterschiede in der Struktur der Bücher – Kapitelbezeichnungen
Service Design
Kapitel 4.1 Catalogue Management – Unterkapitel 4.1.8 Key Performance Indicators
Service Operation
Kapitel 4.2 Incident Management – Unterkapitel 4.2.8 Metrics
Service Transition
Kapitel 4.2 Change Management – Unterkapitel 4.2.8 Key performance indicators and metrics
Zusätzlich werden im Buch Continual Service Improvement weitere Metriken/KPIs in
unterschiedlicher Form zu einigen Prozessen dargestellt.
49. KPI – Mapping
- Ergebnisse des Mapping -
Deckungsgrad in %
ITIL Bücher Teilweise
Analoge Metriken Keine Übereinstimmung
übereinstimmend
Service Strategy 0,0% 0,0% 100,0%
Service Design 0,9% 22,7% 76,4%
Service Transition 0,7% 7,4% 91,9%
Service Operation 4,7% 5,5% 89,8%
Continual Service
5,7% 13,2% 81,1%
Improvement
Gesamtabdeckung
2,4 9,8 87,8
(Durchschnitt)
Deckungsgrad in %
COBIT Domänen Teilweise
Analoge Metriken Keine Übereinstimmung
übereinstimmend
Plan and Organize 0,0% 1,0% 99,0%
Aquire and Implement 2,50% 21,25% 76,25%
Deliver and Support 3,1% 28,2% 68,7%
Monitor and Evaluate 0,0% 2,3% 97,7%
Gesamtabdeckung
1,4% 13,2% 85,4%
(Durchschnitt)
51. Fazit zum KPI Mapping
Die Aussage – COBIT als Control Framework baut auf Prozessrahmenwerke
wie ITIL auf ist für das KPI Mapping nicht zutreffend
COBIT 4.1 weist eine eindeutige klare Struktur auf und verbindet die
dargestellten Metriken mit Zielen.
ITIL V3 fehlt eine durchgängige Struktur
In ITIL V3 ist nicht nachvollziehbar, warum z. B. die Prozesse im Buch Service
Strategie keinerlei Metriken aufweisen oder im Buch CSI nur einige Prozesse
mit Metriken exemplarisch dargestellt sind.
Beide Rahmenwerke weisen eine hohe Anzahl an Metriken auf. Die Qualität
der Metriken darf jedoch in Bezug auf Aussagekraft, Messbarkeit und Nutzen
teilweise in Frage gestellt werden.
So gilt nach wie vor folgende Regel bei der Implementierung von
Kennzahlen:
„So viele Metriken wie nötig, aber so wenige wie möglich“
52. Agenda
/d/ K/d D
/d/ K/d
^ ^ /d/ K/d
s /d/ K/d
Z /d/ K/d s
/d/ K/d s
53. Fazit
COBIT 4.1 weist eine eindeutige, klare Prozessstruktur auf und hat
eine klaren Fokus auf die Kontrollfunktionen. Für ein Prozessdesign ist
COBIT 4.1 häufig zu allgemein ausgeprägt.
ITIL V3 enthält eine Fülle von Methoden- und Aktivitäts-
beschreibungen. Diese Informationen stellen im allgemeinen eine gute
Hilfe bei der Gestaltung von IT Prozessen dar. ITIL V3 fehlt zum Teil
jedoch eine durchgängige Struktur.
Durch die verschieden Aufgabenstellung hinsichtlich der
Prozessgestaltung und Überwachung ergänzen sich die beiden
Rahmenwerke im allgemeinen gut.
Ein integrativer Einsatz beider Rahmenwerke ist sinnvoll, bedarf aber
einiger Erfahrung bei der Implementierung.
54. Disclaimer
ITIL® ist ein eingetragenes Warenzeichen des Office of Government
Commerce (OGC) in Großbritannien und allen anderen Ländern.
IT Infrastructure Library® ist ein eingetragenes Warenzeichen des
Office of Government Commerce (OGC).
COBIT® ist eingetragenes Warenzeichen der Information Systems
Audit and Control Association (ISACA).
ISO® ist ein eingetragenes Warenzeichen der International
Organization for Standardization (ISO).
Alle dargestellten Inhalte dieses Foliensatzes sind Arbeitsergebnisse
des Arbeitskreises ITIL-COBIT Mapping.