Cover Heft 36

Heft 36, Dezember 2022

Buchbesprechung

Urs Andelfinger, Petra Haferkorn Agilität für IT-Governance, Prüfung & Revision Grundlagen und Umsetzung in die Praxis* dpunkt.verlag, Heidelberg 2022 346 Seiten
ISBN 978-3-86490-861-3 € 42,90

Diese Neuerscheinung lässt aufhorchen: Agilität, IT-Governance, Prüfung und Revision in einem Titel? Das weckt großes Interesse, aber auch große Erwartungen. Schließlich ist IT-Governance nicht nur etwas für große Unternehmen, auch wenn es auf den ersten Blick ein (viel zu) komplexes Thema zu sein scheint. Und wer glaubt, Prüfung und Revision seien staubige Themen, die bestenfalls Finanzfachleute interessieren, irrt.

Um es vorwegzunehmen: Auch wenn es – zugegebenermaßen – etwas aus dem Rahmen fällt, die Themen passen zusammen. Es ist eine ungewöhnliche Perspektive, die sich einzunehmen lohnt. Denn im Kontext der digitalen Transformation gewinnt die IT-Funktion eine immer größere Bedeutung und damit auch eine durchdachte Umsetzung der IT-Strategie mithilfe von IT-Governance als Managementsystem und ganzheitlichem Führungsansatz.

Aber Agilität? Muss alles agil sein? Ist das nicht nur ein Buzzword oder steht mehr dahinter? Ja, denn für ein Unternehmen ist es trotz aller Notwendigkeit, in bestimmten Grenzen Stabilität zu wahren, einerseits wenig sinnvoll, sich Agilität in Projekten auf die Fahne zu schreiben, wenn andererseits die übrige Ablauforganisation im bisherigen, eher linear geprägten Denken verharrt. Was läge da näher, als konsequenterweise die IT-Governance agil zu gestalten – und damit auch die daraus abgeleitete operative Ebene und eben das Projektgeschäft. Denn wenn agil, dann ganzheitlich. Gleichzeitig ist es dann nur konsequent, auch die Prüfungs- bzw. Revisionsfunktion an diese Agilität anzupassen, will sie ihrem Anspruch in einem solchen Umfeld weiter gerecht werden. Denn Anspruch einer Prüfungs- bzw. Revisionsfunktion ist, dass eine unabhängige Einheit (organisationsintern oder -extern) systematisch, risikoorientiert und zielgerichtet alle Strukturen, Prozesse und Funktionen im Unternehmen prüft. Im Ergebnis soll dadurch eine Verbesserung des Risikomanagements sowie aller Prozesse in Bezug auf Steuerungs- und Kontrollmaßnahmen zur Risikobehandlung erreicht werden – kurz der Reifegrad der Gesamtorganisation erhöht werden.

Spätestens an dieser Stelle wird auch die Motivation des Autorenduos deutlich, sich diesem Thema zuzuwenden: Petra Haferkorn ist eine international erfahrene Prüferin und Urs Andelfinger Experte für Reifegradmodelle und Agilität. Dass sich beide seit Jahren mit IT-Governance befassen, ist eine exzellente Ausgangslage, um die eigenen Erfahrungen im Kontext neuer wissenschaftlicher Erkenntnisse an all diejenigen weiterzugeben, die in der täglichen, immer dynamischer werdenden Arbeit davon profitieren: IT-Führungskräfte, IT-Governance-Verantwortliche und Verantwortliche in der (IT-)Prüfung und im (IT-)Risikomanagement.

Um die umfassende Thematik zu strukturieren, ist das Buch in vier große Teile gegliedert, die durchaus linear gelesen werden sollten, auch wenn der Fokus vielleicht auf einem bestimmten Aspekt liegt. Teil I widmet sich den Grundlagen der Agilität. Die weiteren Teile thematisieren dann agile IT-Governance, agile Prüfung & Revision und schließlich Prüfung agiler Projekte.

Im ersten Teil stehen neben den bekannten Methoden vor allem gelebte Werte und die mehrdimensional ausgestaltete Grundhaltung (neudeutsch Mindset) im Vordergrund. Störungen sind Chancen, Lernorientierung ein wichtiges Element ebenso wie das "richtige" Verhältnis zum Risiko. Eine zentrale Erkennt- nis ist auch, dass Wirklichkeit immer subjektiv ist und Widersprüche und Paradoxien normal sind. Der tiefere Sinn hinter einer Sache erschließt sich mitunter erst im Zeitablauf, entsprechend kann es hilfreich sein, die Wirkung von Veränderungen in kleinen Schritten "auszuprobieren". Es ist fast schon beklemmend, wie aktuell angesichts der wirtschaftlichen Entwicklungen diese vielfach logisch und mit gesundem Menschenverstand leicht nachvollziehbaren Themen sind. Es drängt sich die Frage auf: "Warum haben wir nicht schon viel früher damit angefangen?" Damit das nun gelingt, geben zahlreiche "Denkanstöße" konkrete Tipps für die Praxis und die Diskussionen im Team.

Sehr spannend lesen sich die mit Beispielen unterlegten Ausführungen zu agilen Prozessen im Kontext von IT-Governance, Prüfung & Revision, die bestimmte Anforderungen erfüllen müssen. Maßgeblich ist hierbei die konsequente Anwendung eines generischen Grundmusters für agile Prozesse. Es fokussiert Elemente wie Transparenz, Überprüfung und Anpassung ebenso wie Beobachtung, Erklärung, Bewertung und Intervention. Dass bestimmte Entscheidungsprämissen Handlungsspielräume begrenzen, ist unvermeidbar, ebenso ist es leicht nachvollziehbar, dass nur die Bereitschaft, sich auf Neues einzulassen, es anzunehmen und umzusetzen (im Buch als "Anschlussfähigkeit" bezeichnet), zum Erfolg führen wird.

In Teil II steht die agile IT-Governance im Vordergrund. Für interessante Diskussionen sorgen dürfte hier die (absichtlich oder unabsichtlich aufgestellte) These, dass agile IT-Governance aktuell mit COBIT (Version 2019) noch nicht vollständig umgesetzt werden kann. COBIT bildet dafür das Fundament, auf dem dann die agile IT-Governance aufsetzt. Ein wenig schade, aber Kritik auf hohem Niveau ist, dass in den Abbildungen 5-2 und 5-3 die Achsenbezeichnungen erst durch gemeinsame Betrachtung vollständig erschlossen werden können und dass der Kontrast für leichtes Lesen eher ungünstig ist, dass das aber wohl absichtlich so gewählt wurde, um die Abbildung schrittweise zu entwickeln. Vielleicht findet sich hier für die 2. Auflage eine elegantere Form? Im weiteren Verlauf wird zunächst das in Teil I vorgestellte Prozessmodell auf die IT-Governance angewandt, anschließend wird – in der Praxis essenziell - eine Bewertung der Kontexteignung in Form eines "Readiness-Checks" vorgeschlagen, auch hier wieder ergänzt durch zahlreiche Denkanstöße und Umsetzungshilfen. Den Abschluss des Teils bilden eine ausführliche Anwendung des in Teil I entwickelten Prozesses mit Fokus auf die Umsetzung (Kapitel 7) und die Reflexion (Kapitel 8). Eine kleine Zusammenfassung bringt die wichtigsten Argumente und Inhalte nochmals auf den Punkt.

Für die Prüfung und Revision von besonderem Interesse ist Teil III. Was ist eine agile Prüfung und wie sieht der dafür notwendige Perspektivenwechsel aus? Ein Gedankenexperiment will bei der Beantwortung der Frage helfen, ebenso wie das anschließend analog zu Teil II erarbeitete Prozessmodell auf Basis der in Teil I gewonnenen Erkenntnisse. Auch hier ergänzt ein Readiness-Check (Spannungsfelder und Kontexteignung) mit zahlreichen Denkanstößen und Beispielen die Theorie für den Einsatz in der Praxis. Die folgenden vier Kapitel greifen die bekannten Phasen einer Prüfung auf und wenden die gewonnenen Erkenntnisse praxisnah an. Hier finden Prüfende sehr viele und oftmals direkt umsetzbare oder anleitende Tipps für ihre tägliche Arbeit. Und auch in diesem Teil darf eine Zusammenfassung nicht fehlen.

Der letzte und kleinste Teil IV greift die Prüfung agiler Projekte auf, ein bereits jetzt sehr aktuelles Thema, denn insbesondere in der IT werden Projekte seit Jahren mit zunehmender Tendenz agil durchgeführt. Dieser Teil profitiert stark von den Grundlagen und den vorausgehenden Teilen. Er konzentriert sich daher auf die Besonderheiten sowohl in Einzelprojekten (Kapitel 18) als auch in skalierten agilen Projektorganisationen (Kapitel 19), also immer dann, wenn das Prinzip "Agilität" auf die Gesamtorganisation übertragen wird. Auch hier unterstützt das Buch durch Praxishinweise.

Fazit: Ein spannendes und lesenswertes Buch. Es versucht durch fundierte Theorie und Praxisnähe erfolgreich, die sich durch agiles Vorgehen zwangsweise ergebenden Widersprüche aufzulösen und damit auch bislang tendenziell eher starre Strukturen an ein immer dynamischeres Umfeld anzupassen. Eine Fähigkeit, die wir – nicht nur in der IT – in Zukunft mehr denn je beherrschen müssen. Ein Gewinn wäre, wenn diesem Buch in der kleinen ISACA-Reihe weitere Titel zu aktuellen Themen rund um den Prüfungskontext mit ebenso großem Mehrwert für die tägliche Arbeit folgten.

*Der Titel bildet zusammen mit dem bereits erschienenen Buch "Praxiswissen COBIT" (M. Gaulke, 3. Aufl.) und dem für 2023 angekündigten Buch "IT-Governance" (M. Goeken/M. Klotz/M. Fröhlich) im dpunkt.verlag eine kleine Reihe des ISACA Germany Chapter zu aktuellen Themen des Berufsverbandes.

Prof. Dr. Matthias Knoll

Hochschule Darmstadt
matthias [dot] knoll [at] h-da [dot] de

Zur vorherigen Buchbesprechung in diesem Heft

Zum Inhaltsverzeichnis