Treiber, Unternehmens- und IT-bezogene Ziele

Einsatz des Metamodells unterstützt infolgedessen die Gewährleistung der Vollständigkeit und Objektivität der Analyse. Als Bewertungskriterien wurden die im Kapitel 3.3 vorge-stellten Kriterien herangezogen. Dabei wurden für die Prüfobjekte, speziell für die Mo-dellinstanzen der Prozesse, Prozessziele, Prozesszielmetriken, Prozesspraktiken und Pro-zessaktivitäten grundsätzlich folgende mögliche Ausprägungen innerhalb der drei Säulen-betrachtung der Nachhaltigkeit zu Grunde gelegt:

· keine, teilweise, überwiegende Zuordnung zur ökonomischen Säule,

· keine, teilweise, überwiegende Zuordnung zur ökologischen Säule,

· keine, teilweise, überwiegende Zuordnung zur sozialen Säule,

· keine, teilweise, überwiegend generische Ausprägung und damit keine eindeutige Zuordnung zu einer der Säulen der Nachhaltigkeit möglich.⁵⁵

Analysiert und betrachtet wurden aus COBIT 5 u.a. 25 benannte Stakeholder, 22 Stake-holderbedürfnisse, 17 Unternehmens- und IT-bezogenen Ziele, 53 Unternehmensziel-metriken, 59 IT-bezogene ZielUnternehmensziel-metriken, 26 Rollen, mehr als 20 in COBIT 5 benannte Standards, 37 Prozesse, 129 Prozessziele, 266 Prozesszielmetriken, 210 Prozesspraktiken sowie mehr als 1100 Prozessaktivitäten des COBIT 5 Prozessreferenzmodells.

Die folgenden Abschnitte beschreiben die detaillierten Ergebnisse der durchgeführten Analyse, welche primär auf die Darstellung der Ausprägung von ökologischen und sozia-len Aspekten im COBIT 5 Prozessreferenzmodell fokussieren.⁵⁶

Stakeholder und Stakeholderbedürfnisse⁵⁷ die grundsätzliche Ausrichtung auf die Effekti-vität, Effizienz, Performance und Konformität. Damit wird im Vergleich zwischen öko-nomischer, ökologischer und sozialer Säule der Nachhaltigkeit überwiegend die ökonomi-sche Säule unterstützt. Stakeholder, die der ökologiökonomi-schen Säule der Nachhaltigkeit zuzu-ordnen sind (bsp. Umweltbeauftragter, Chief Sustainable Officer, Nachhaltigkeitsbeauf-tragter) werden bislang nicht benannt. Stakeholder, die man der sozialen Säule der Nach-haltigkeit zuordnen kann, werden in COBIT 5 vereinzelt genannt. So können beispielswei-se der Chief Information Officer (CIO), Security Manager und Privacy Officer [ISACA 2012a, 22] im Rahmen der Erfüllung der Aufgaben innerhalb der Information Governance teilweise der sozialen Säule der Nachhaltigkeit zugeordnet werden. Der RessourceMensch als zentralem Bestandteil der sozialen Säule der Nachhaltigkeit kann außerdem der HR Manager [ISACA 2012a, 22] zugeordnet werden. Darüber hinaus gehende Stakeholder, die die soziale unternehmerische Verantwortung adressieren wie etwa ein CSR Beauftrag-ter oder die Gesellschaft werden bislang nicht benannt.

Die im COBIT 5 Framework beispielhaft genannten 22 Stakeholderbedürfnisse fokussie-ren primär auf die Sicherstellung von ordnungsgemäßen, sichefokussie-ren, effektiven und effizien-ten IT-Prozessen. Ökologische Stakeholderbedürfnisse wie etwa die Frage nach der Gene-rierung eines Umweltbeitrages der IT oder dem Einsatz umweltverträglicher IT-Ressourcen werden bislang im COBIT 5 Framework nicht explizit benannt. Soziale Stake-holderbedürfnisse lassen sich nur teilweise für den Bereich der Information Governance und die Ressource Mensch finden.⁵⁸

Die Ableitung von Zielen innerhalb des COBIT 5 Frameworks erfolgt primär durch die Treiber; im konkreten Fall durch die Stakeholderbedürfnisse. Folglich werden die Bedürf-nisse der Stakeholder in Unternehmensziele (Enterprise Goal) gewandelt, die wiederum die Ausgangsbasis für die Ableitung von IT-bezogenen Zielen (IT-related Goal) sind [ISACA 2012a, 17]. Die Unternehmens- bzw. IT-bezogenen Ziele sind dabei ebenso wie die Stakeholderbedürfnisse hauptsächlich auf die Effektivität, Effizienz, Konformität und Performance ausgerichtet.⁵⁹ Auch wenn die ISACA betont, dass die im COBIT 5 Frame-work vorgestellten Unternehmens- und IT-bezogenen Ziele generisch und als Beispiele zu verstehen sind und im Rahmen des Einsatzes von COBIT 5 auf die unternehmensindividu-ellen Gegebenheiten angepasst werden sollten [ISACA 2012a, 17], so fokussieren die

ak-57Für eine detaillierte Übersicht der Stakeholder und Stakeholderbedürfnisse siehe [ISACA 2012a, 22 und 55f.].

58Dies sind u.a. die Bedürfnisse:„What are the (control) requirements for information?“, „Is the information I am processing well secured?“ und „Do I have enough people for IT? How do I develop and maintain their skills, and how do I manage their perfor-mance?“ [ISACA 2012a, 55f.]. Einige Stakeholderbedürfnisse können jedoch auf Grund der generischen Beschreibung auch im Sinne der Nachhaltigkeit in der IT bzw. Nachhaltigkeit durch die IT interpretiert werden, auch wenn hier eine Konkretisierung zwingend notwendig wird. Dies sind u.a. folgende Bedürfnisse:„How can I best exploit new technology for new strategic opportunities?“, „Did IT address all IT-related risk?“, „How do I improve business agility through a more flexible IT environment?“und „Does IT support the enterprise in complying with regulations and service levels?“ [ISACA 2012a, 55f.].

59Für eine detaillierte Übersicht der Unternehmens- und IT-bezogenen Ziele siehe [ISACA 2012a, 19].

tuell im COBIT 5 Framework jeweils genannten 17 Unternehmens- und IT-bezogenen Ziele im Vergleich zwischen ökonomischer, ökologischer und sozialer Säule der Nachhal-tigkeit eher auf die ökonomische Säule.⁶⁰ Ökologische Zielstellungen werden im COBIT 5 Framework explizit nicht benannt. Soziale Zielstellungen werden mit einer Ausnahme (16.

Unternehmensziel: „Skilled and motivated people“ [ISACA 2012a, 19]) bei den Unter-nehmenszielen im COBIT 5 Framework ebenfalls nicht explizit benannt.⁶¹

Bei den IT-bezogenen Zielen werden soziale Aspekte der Nachhaltigkeit für die Informa-tion Governance, das Wissensmanagement und die (IT-)Mitarbeiter benannt. Im Detail sind dies vor allem folgende IT-bezogene Ziele: „10. Security of information, processing infrastructure and applications“, „14. Availability of reliable and useful information for decision making“, „16. Competent and motivated business and IT personnel“ sowie „17.

Knowledge, expertise and initiatives for business innovation“ [ISACA 2012a, 19].

Als Ergebnis unzureichender ökologischer und unvollständiger sozialer Zieldefinitionen können nachhaltige Ziele wie etwa die Verbesserung der Öko- und Sozio-(Prozess-)Effizienz, die Entwicklung und Nutzung von nachhaltigen (IT-)Produkten [Bie-ker/Waxenberger 2002], die Etablierung eines nachhaltigen (IT-)Produktionsprozesses und die Schaffung von sozialverträglichen Arbeitsplatzbedingungen [Hahn/Wagner 2001] und Geschäftspartnerbeziehungen im aktuellen COBIT 5 Framework nicht gezielt oder nur ungenügend adressiert und somit nicht konsequent umgesetzt werden. Darüber hinaus können durch den Einsatz der herkömmlichen BSC bzw. IT-BSC in COBIT 5 nicht-marktliche ökologische und soziale Themen nur unzureichend bzw. gar nicht adressiert werden. Beispielhaft sind hier Themen des Umweltschutzes oder der Arbeitsbedingungen auf Unternehmensebene, aber insbesondere auf Ebene der IT-Organisation zu nennen. Die Darstellung von nicht-marktlichen Themen ist im Rahmen der Nutzung einer

Sustainabili-60Dies sind u.a. die Unternehmensziele:„1. Stakeholder value of business investments“, „5. Financial transparency“, „10. Optimisa-tion of service delivery costs“, „12. OptimisaOptimisa-tion of business process costs“sowie in Teilen„14. Operational and staff productivity“

und die IT-bezogenen Ziele:„6. Transparency of IT costs, benefits and risk“,„13. Delivery of programmes delivering benefits, on time, on budget, and meeting requirements and quality standards“und in Teilen„5. Realised benefits from IT-enabled investments and services portfolio“[ISACA 2012a, 19].

61Die Unternehmensziele:„3. Managed business risk (safeguarding of assets)“und„7. Business service continuity and availability“

[ISACA 2012a, 19] können darüber hinaus im Rahmen der Information Governance in Teilen der sozialen Säule zugeordnet werden.

Folgende Unternehmensziele werden als überwiegend generisch eingestuft:„2. Portfolio of competitive products and services“, „3.

Managed business risk (safeguarding of assets)“, „4. Compliance with external laws and regulations“, „6. Customer-oriented service culture“, „7. Business service continuity and availability“, „8. Agile responses to a changing business environment“, „9. Information-based strategic decision making“,„11. Optimisation of business process functionality“, „ 13. Managed business change programmes“,

„15. Compliance with internal policies“und „17. Product and business innovation culture“[ISACA 2012a, 19]. Folgende IT-bezogene Ziele werden als überwiegend generisch eingestuft:„1. Alignment of IT and business strategy“, „2. IT compliance and support for business compliance with external laws and regulations“, „3. Commitment of executive management for making IT-related decisions“,

„4. Managed IT-related business risk“, „5. Realised benefits from IT-enabled investments and services portfolio“, „7. Delivery of IT services in line with business requirements“, „8. Adequate use of applications, information and technology solutions“, „9. IT agility“,

„11. Optimisation of IT assets, resources and capabilities“, „12. Enablement and support of business processes by integrating applica-tions and technology into business processes“und „15. IT compliance with internal policies“ [ISACA 2012a, 19].

ty Balanced Scorecard (SBSC) [Dyllick 2001; Figge et al. 2002a; Figge et al. 2002b] bzw.

Sustainability IT-BSC [Erek 2011] möglich.