Luis Praxmarer

Stärkere Sicherheitsbedenken, immer komplexere gesetzliche Vorgaben und Anforderungen aus allen möglichen Initiativen wie Qualitätskontrolle, Systemreife und Governance haben zu einem Wildwuchs an Bestimmungen, Standards und Frameworks geführt, die im Unternehmen eingehalten werden müssen. Manche Frameworks sind inzwischen für bestimmte Bestimmungen oder Verpflichtungen sehr beliebt: CobiT (mit COSO in den USA) und/oder ITIL sind weltweit als weit verbreitete Lösungen im Einsatz; auch ISO 27002 erfreut sich großer Beliebtheit.

Mit zunehmender Integration mit Standards nehmen Frameworks das Ausmaß von anderen Initiativen wie die Qualitätssicherungs-Initiativen ISO 9000 und Six Sigma oder Governance-Zertifizierungen wie CMMI an. In der Praxis gibt es sehr starke Überschneidungen zwischen den verfügbaren Modellen; damit wird das Einhalten von Vorgaben zunehmend schwieriger und Audits werden so gut wie unmöglich.

Die IT-Führungsmannschaft muss eine einheitliche Strategie für den Umgang mit der ständig wachsenden Menge an Standards, Bestimmungen, Frameworks und Kontrollen aufsetzen; dazu gehört auch eine umfassende Abbildung dieser Elemente und ihres unternehmensspezifischen Bezuges, so dass eine automatisierte Compliance gewährleistet ist. Zur Wahl steht eine ganze Reihe von Frameworks, deshalb sollte auch analysiert werden, welches davon am besten auf die Unternehmensziele abgestimmt ist.

Die wichtigen Servicemanagementmodelle und Frameworks unter einen Hut zu bringen und aufeinander abzustimmen ist unter Umständen eine schwierige Aufgabe, aber notwendig, um die heute geforderte einheitliche Governance, Risiko und Compliance (GRC) durchsetzen zu können. Standards und Bestimmungen entwickeln sich weiter und erreichen jeden Winkel im Unternehmen. Auch die erforderliche Erfüllung von Vorgaben für bessere Auditing-, Qualitätssicherungs- und Sicherheitsmaßnahmen macht klar, wie wichtig Frameworks als zugrundeliegender, einigender und alles überspannender Standard sind. Diese Elemente zu integrieren kann eine sehr komplexe Geschichte sein; auch hier wird ja ständig weiterentwickelt. Es gibt zwar viele Gemeinsamkeiten, doch zunehmend kristallisiert sich heraus, dass unbedingt eine zentrale Lösung zum Einsatz kommen muss, und das wiederum erfordert ein umfassendes Zuordnen von Standards, Frameworks und Kontrollen. Dieses Mapping muss ständig aktualisiert und somit auch überprüft werden, damit die Ziele auch wirklich erreicht werden können.

Derzeit arbeitet man an der Entwicklung von Lösungen; u.a. gibt es eine Reihe von Ansätzen aus der öffentlichen Hand, aber auch unabhängige Mappings von GRC-Anbietern. Diese Lösungen sind der erste Schritt hin zu einer universalen Vision des unternehmensweiten Service- und Risikomanagements, das organisationsweit die wachsende Anzahl an Bestimmungen, aber auch finanziellen und IT-Risiken integriert.