Agilität für IT-Governance, Prüfung & Revision: Grundlagen und Umsetzung in die Praxis

Von Urs Andelfinger und Petra Haferkorn

IT-Governance, Prüfung & Revision mal agil gedacht!

• Herausforderungen und Notwendigkeit eines Perspektivwechsels für IT-Governance, Prüfung & Revision
• viele Fallbeispiele zeigen die praktische Umsetzbarkeit auf

Agilität und der Einsatz agiler Methoden sind heute nicht mehr nur auf IT-Projekte begrenzt, sondern prägen zunehmend ganze Organisationen. Dieses Buch zeigt auf, wie sich IT-Governance, Prüfung & Revision erfolgreich dem durch Agilität ausgelösten Wandel stellen können und wie sich der Umgang mit den Kernthemen Risiko & Unsicherheit verändert. Zum einen werden Ansätze für eine agile IT-Governance und eine agile Prüfung & Revision beschrieben, indem sie sich agile Werte und Vorgehensweisen zu eigen machen. Zum anderen werden IT-Governance, Prüfung & Revision befähigt, agile Projekte angemessen steuern und wirksam prüfen zu können.

• Sprache: Deutsch
• Herausgeber: dpunkt.verlag
• Erscheinungsdatum: 1. März 2022
• ISBN: 9783969105641

Buchvorschau

1Einführung

Ein Buch zur Agilität für IT-Governance, Prüfung & Revision muss sich mit Widersprüchlichkeiten, Paradoxien und Spannungsfeldern beschäftigen:

Agilität steht oft als Metapher und Schlagwort für situative Flexibilität, Veränderlichkeit und rasche Reaktionsfähigkeit, notfalls auch anders als ursprünglich geplant. IT-Governance hingegen möchte den Einsatz der IT in Organisationen in einem magischen Dreieck zwischen Wirtschaftlichkeit, Wertbeitrag und Risikobetrachtungen geordnet führen und (planmäßig) kontrolliert weiterentwickeln. Prüfung & Revision beschäftigen sich mit der Ordnungsmäßigkeit von Geschäftsaktivitäten und benötigen dazu mehr oder weniger stabile Bezugspunkte.

Dieses Buch handelt also im Kern von Widersprüchen, z.B. zwischen Stabilität und Veränderung sowie zwischen vorausschauender Planung und Ergebnisoffenheit. Diese Spannungsfelder stellen sich zunehmend auch für die Gebiete der IT-Governance, Prüfung & Revision, beispielsweise: Wie kann IT-Governance ergebnisoffener und somit agiler werden, ohne dass daraus Beliebigkeit entsteht?

Die Antwort des Buches ist nicht, diese Widersprüche und Spannungsfelder durch einen harmonischen Ansatz zu beseitigen, der bestehende Widersprüche einfach ignoriert oder zudeckt. Stattdessen werden Wege aufgezeigt, wie Organisationen konstruktiv mit diesen Spannungsfeldern umgehen und sie in einer angemessenen Balance halten können. Das ist der Kern von Agilität für IT-Governance, Prüfung & Revision.¹

Dieses Kapitel beginnt mit einem Überblick, um welche grundlegenden Widersprüche es hauptsächlich im Buch gehen wird, und wir gehen darauf ein, für wen das Buch besonders geeignet ist. Außerdem geht es der Frage nach, warum es noch ein Buch zur Agilität braucht, wo es doch schon so viele Veröffentlichungen dazu gibt. Zum Abschluss des Kapitels werden Aufbau und zentrale Inhalte des Buches skizziert.

1.1Worum es uns geht

Agilität und der Einsatz agiler Methoden sind heute nicht mehr nur auf IT-Projekte begrenzt, sondern prägen zunehmend ganze Organisationen. Man erwartet von Agilität beispielsweise verbesserte Reaktionsfähigkeiten auf eine zunehmende Marktdynamik und eine stärkere Kundenorientierung. Agilität ist dabei weniger eine einzelne konkrete Methode, sondern eine eigenständige Denk- und Sichtweise, die verspricht, Stabilität und Flexibilität einer Organisation wirksam zu verbinden.

Oft wird die Flexibilität und Dynamik, die man mit Agilität in einer Organisation erreichen möchte, jedoch als besondere Herausforderung für die IT-Governance sowie für die Prüfung & Revision gesehen, die eher auf Stabilität, Kontinuität und Gewissheit ausgerichtet sind. Dabei wird leicht das Verbindende zwischen diesen Disziplinen und der Agilität übersehen, nämlich ein bewusster Umgang mit Risiko und Unsicherheit:

IT-Governance (beispielsweise auf Basis von COBIT (Control Objectives for Information and Related Technology)) ist ein von der Geschäftsstrategie her getriebener Führungsansatz für die Entwicklung und den Einsatz von IT in der Organisation, der durch planbasierte, aber prozesshaft auszugestaltende Vorgehensweisen prospektiv Risiken und Unsicherheit abmildern möchte. Pläne und quantitative Zielvorgaben haben einen hohen normativen Stellenwert, Abweichungen von den Plänen und zugehörigen Kenn- und Erfolgsgrößen zeigen Risiken an, die behandelt werden müssen.

(IT-)Prüfung & Revision möchten mithilfe systematisch aus historischer Erfahrung gewonnenen Prüfkriterien vorhandene Risiken aufdecken und (oft rückblickende) Prüfungsurteile über die Ordnungsmäßigkeit der abgeschlossenen Geschäftsvorfälle liefern. Erfahrungsbasierte Prüfungsstandards und Checklisten werden als normative Grundlage herangezogen, Abweichungen davon zeigen Risiken an, die behandelt werden müssen.

Agilität möchte in kleinen, aber eng aufeinanderfolgenden Explorationsschritten möglichst rasch konkrete Arbeitsfortschritte und Erkenntnisse in einem Themengebiet erreichen, das typischerweise noch nicht ganz verstanden ist. Agilität arbeitet bewusst mit überschaubaren Zielsetzungen und hält die inhaltlichen Details, so lange es geht, offen. Falls Risiken und Schäden eintreten – so die Annahme –, sind sie eher klein, verkraftbar und eine rechtzeitige Reaktion ist möglich. In der Agilität kann man deshalb als Leitmotiv formulieren: »Do fast – fail fast – learn fast.« An die Stelle eines normativen Ansatzes mit klaren Vorgaben als SOLL-Bezugspunkt tritt eine situativ und laufend fortgeschriebene Bewertung, ob bzw. inwieweit eine Abweichung ein Risiko oder eine neue Erkenntnis darstellt. Abweichungen von den ursprünglichen Vorgaben, Zielsetzungen oder Erwartungen werden als Gelegenheiten zum Lernen verstanden. Pläne, Prüfungsstandards und standardisierte Risikoklassifikationen sind zwar als Orientierungshilfe auch in der Agilität nützlich, jedoch ist ihr Stellenwert nicht so zentral wie in klassischen Ansätzen der IT-Governance, Prüfung & Revision.

Einig sind sich also Agilität, (klassische) IT-Governance und (normative) Prüfung & Revision in ihrem Fokus auf einen bewussten Umgang mit dem Risiko und dessen Begrenzung. Der Weg ist jedoch unterschiedlich und das hat Konsequenzen, wie das Beispiel der UP-Bank aus dem Vorwort zeigt. Klassische IT-Governance und normative Prüfung & Revision stoßen nämlich immer öfter auf hartnäckige Fragestellungen, beispielsweise:

Wie soll man aufgrund der vielfältigen neuen Technologien, für deren Zusammenwirken es noch keine hinreichenden Erfahrungswerte gibt, längerfristig valide Planungen und IT-Strategien erstellen?

Wie wäre es stattdessen, rasch ein überschaubares, aber funktionsfähiges Projektergebnis zu erhalten, mit dem man schon mal erste Erfahrungswerte bekommt?

Wie soll man die sich im Zusammenspiel mit den neuen Technologien herausbildenden neuen Organisations- und Arbeitsprozesse valide auf Basis von vergangenheitsbasierten Checklisten und Risikoeinschätzungen prüfen?

Wie gehen wir mit dem Problem um, dass bei der Veränderungsdynamik der Organisation und der langen Erstellungsdauer von Prüfungsberichten der Bericht zum Zeitpunkt seiner finalen Veröffentlichung bereits wieder veraltet sein dürfte?

Wie wäre es stattdessen, rasch ein überschaubares, aber funktionsfähiges Projektergebnis zu erhalten, mit dem wir ganz konkret die offenen Fragen beantworten könnten, statt noch ein Jahr bis zum kompletten IT-Produkt zu warten, das dann vielleicht nicht freigegeben wird?

Um die Beantwortung von solchen Fragen, wie hier exemplarisch formuliert, geht es in diesem Buch. Das Buch versucht, die bewährte Risikoorientierung von (klassischer) IT-Governance und (normativer) Prüfung & Revision mit dem Ansatz der Agilität zu verbinden. Dabei wird insbesondere einer Vorgehensweise in kleinen Schritten und der Kontinuität und Qualität der Kommunikationsprozesse eine größere Bedeutung zukommen als in stärker plangetriebenen Ansätzen von IT-Governance und Prüfung & Revision.

1.2Für wen ist dieses Buch?

Das Buch richtet sich an erfahrene Führungskräfte, Praktiker und anwendungsorientierte Wissenschaftler aus dem gesamten Berufsspektrum der IT-Governance, Prüfung & Revision. Während wir das Buch geschrieben haben, hatten wir verschiedene Zielgruppen besonders im Blick:

Leserinnen und Leser im gesamten Spektrum von IT-Governance, Prüfung & Revision, die eine fundierte und kompakte Orientierungshilfe suchen zu Grundkonzepten der Agilität und/oder konkrete Perspektiven und Entscheidungshilfen zur Umsetzung in ihren Berufsfeldern benötigen. Sie können sich an aktuellen Diskussionen kompetent beteiligen und Entscheidungen in diesem Themenfeld informiert treffen.

IT-Governance-Verantwortliche, Prüfer und Revisoren, die zwar von Agilität gehört haben, aber noch nicht praktisch damit vertraut sind, können lernen, was mit Agilität im Kern gemeint ist und wie sich ihre Aufgabengebiete dadurch verändern werden. Sie können dann besser entscheiden, ob und wo sie Agilität nutzbringend einsetzen können.

IT-Governance-Verantwortliche, Prüfer und Revisoren, die bereits erste Umsetzungsversuche der Agilität in ihren Aufgabengebieten unternommen haben, können lernen, worauf für eine erfolgreiche Umsetzung besonders zu achten ist. Sie erhalten vielfältige Hinweise zu den Grundkonzepten, die hinter der methodischen Ebene der Agilität »versteckt« sind, die aber oft den kleinen Unterschied für eine erfolgreiche Umsetzung ausmachen.

IT-Governance-Verantwortliche, Prüfer und Revisoren, für die IT-Steuerung und eine Prüfung mehr sind als die rational-zweckorientierte Überprüfung der Einhaltung von Prüfstandards und die formale Einhaltung von Plänen. Sie erhalten vielfältige Hinweise, welche Aspekte für Wirksamkeit von Prüfungen und IT-Governance-Vorhaben noch hilfreich sind.

Prüfer und Revisoren, Mitarbeiterinnen und Mitarbeiter, die checklistenmüde sind oder nicht mehr an einfache Rezepte und Methoden glauben oder die auch enttäuscht sind von der geringen Wirksamkeit normativer Prüfungen. Sie alle werden angeregt, neu über ihre Tätigkeit nachzudenken, und erhalten vielfältige Anregungen, ihr Handlungsrepertoire für die IT-Steuerung und für die IT-Prüfung zu erweitern.

Prüfer und Revisoren, die das Energieniveau und das Dynamik-Moment aus den Erkenntnissen einer Prüfung aufrechterhalten möchten. Sie erhalten vielfältig anwendbare Umsetzungshinweise.

Die ISACA und weitere Berufsverbände können aus dem Buch Anregungen für die Weiterentwicklung der IT-Governance und der Prüfung & Revision unter Bedingungen der Agilität ableiten. Die Weiterentwicklung umfasst dabei sowohl Inhalte der einschlägigen Methoden, Standards und Referenzmodelle wie auch die Weiterentwicklung der entsprechenden Berufsbilder.

1.3Warum noch ein Buch zur Agilität?

Agilität ist in den letzten Jahren zu einem vielgebrauchten Schlagwort geworden. Weit über den ursprünglichen Fokus auf Softwareprojekte hinaus hat sich inzwischen eine große Vielfalt von agilen Methoden entwickelt. Das Methodenspektrum reicht von Scrum für die Teamebene bis zu Skalierungsansätzen der Agilität für ganze Organisationen wie z.B. SAFe oder LeSS.

Auch uns als Autorenteam begleitet Agilität schon seit vielen Jahren, sei es im Unterricht an Hochschulen und in der Weiterbildung oder in der Praxis der IT-Governance, der (IT-)Prüfung & Revision und der Organisationsberatung. Die Vielzahl von Führungsratgebern, methodischen Büchern, Erfahrungsberichten und einschlägigen, oft sehr gut gemachten Blogs rund um die Agilität zeugt schließlich davon, dass Agilität irgendwie »angekommen« sein muss. Warum schreiben wir also noch ein Buch dazu?

Nun, die Antwort darauf ist eigentlich ganz einfach: Wenn wir in unserer Berufspraxis, sei es an der Hochschule, bei Prüfungen oder in der Beratung, nach den Zusammenhängen von Agilität, IT-Governance, Prüfung & Revision gefragt werden, gibt es kaum systematische Literatur dazu, die diese Themen kompakt und umsetzungsorientiert zusammenbringt. Zwar gibt es verschiedene erste Ansätze und Initiativen dazu, wie z.B. die GAAN-Initiative [GAAN 2021] und einen DIIR-Prüfungsstandard [DIIR 2019] mit einem Exkurs zur Prüfung agiler Projekte, aber nach unserem Eindruck gibt es hier eine Lücke, die wir mit unserem Buch füllen möchten.

Diese Lücke ist übrigens umso erstaunlicher, weil es nämlich immer öfter vorkommt, dass sich Informationstechnologien und IT-gestützte Produkte schneller weiterentwickeln als in den strategischen IT-Planungen der IT-Governance vorgesehen. Und langjährig bewährte Prüfungsvorgehensweisen und klassische IT-Sicherheitsbetrachtungen sind nicht mehr ohne Weiteres anwendbar auf neuartige Prüfungsthemen und neue Risikokonstellationen. Insbesondere die Berufsgruppen der ISACA, d.h. insbesondere IT-Revisoren, Informationssicherheitsmanager und IT-Governance-Experten, spüren die damit einhergehende Veränderungsdynamik besonders stark. Um hier nicht vollkommen dem Lauf der Dinge ausgesetzt zu sein, könnten Ideen und methodische Elemente der Agilität helfen. Daher möchten wir die Frage, warum noch ein Buch zur Agilität, wie folgt thesenartig beantworten:

Weil es einfach fachlich an der Zeit ist und es noch kaum systematische Veröffentlichungen zur Agilität für die IT-Governance, Prüfung & Revision gibt.

Weil es viele Mythen über Agilität insbesondere im Bereich der IT-Governance, Prüfung & Revision gibt, die unzutreffend sind.

Weil es oft falsche Erwartungen an und viele gescheiterte Umsetzungen von Agilität gibt, die nicht sein müssten.

Weil die erfolgreiche Umsetzung vielfältige Herausforderungen bei der Umsetzung mit sich bringt, die über die methodische Ebene hinausreichen.

Da es bereits schon sehr viele gute Veröffentlichungen zur Agilität (im Allgemeinen und zu agilen Methoden) gibt, wollen wir in unserem Buch übrigens nichts wiederholen, was an anderer Stelle bereits und oft auch sehr zutreffend und schön dargestellt wurde. Daher verweisen wir an geeigneten Stellen auf einschlägige Literatur und fokussieren uns in diesem Buch stringent auf eine Darstellung der Agilität für die Bereiche der IT-Governance, Prüfung & Revision.

1.4Inhalt und Struktur

Wie oben bereits erläutert, streben IT-Governance, Prüfung & Revision nach Verlässlichkeit und Risikobegrenzung, indem sie sich bewusst mit Risiko und Unsicherheit auseinandersetzen. Beides wird vor allem durch die Einhaltung von Vorgaben, also insbesondere von Plänen und Prüfkriterien, hergestellt. Im Kern sind eine planbasierte Vorgehensweise in der IT-Governance und eine normative und an feststehenden Kriterien ausgerichtete Prüfung & Revision vor allem in stabilen Unternehmensumwelten durchaus sinnvoll und gut anwendbar.

Auch Agilität strebt nach Verlässlichkeit und Risikobegrenzung im Handeln, geht jedoch vom Ansatz her von neuartigen Themenstellungen bzw. von einer Veränderlichkeit der Umwelt aus. Wenn sich der Wissensstand oder Umweltfaktoren ändern, können auch Entscheidungen und Beurteilungen anders ausfallen als ursprünglich geplant. Zielvorgaben und Prüfkriterien werden daher in der Agilität anfänglich eher grob gehalten und sukzessive angepasst und präzisiert, je näher sie zeitlich oder sachlich liegen. Aus Sicht der Agilität wird dadurch der zunehmenden Komplexität und Veränderungsdynamik der Unternehmensumwelt besser Rechnung getragen und letztlich Verlässlichkeit und Risikobegrenzung besser und rascher gewährleistet als durch eine verbindlich beschlossene und eher langfristige Planung oder durch letztlich aus der Vergangenheit abgeleitete Prüfkriterien und Risikolisten.

Damit die größere inhaltliche Veränderlichkeit und längerfristige Unbestimmtheit der Planung nun aber nicht zu Beliebigkeit führen, gehört zur Agilität auch die Verpflichtung, kontinuierlich und in sehr überschaubaren Zeitabständen immer sehr konkrete Arbeitsresultate zu liefern. Das wirkt nach unserer Erfahrung sehr disziplinierend und unterstützt wirksam den Lernprozess der Beteiligten.

Zusammenfassend stellt die zunehmende Komplexität und Dynamik der Unternehmensumwelt also eine große Herausforderung dar für eine eher langfristig orientierte IT-Governance und für eine eher normativ arbeitende Prüfung & Revision, und zwar auf zwei Ebenen:

Auf der methodischen Ebene äußert sich die Herausforderung darin, dass sich Technologien und IT-gestützte Produkte typischerweise schneller weiterentwickeln, als der Zyklus der strategischen IT-Planungen vorsieht. Auch Einsatzszenarien und Risiken entwickeln sich oft schneller, als von den Prüfungsstandards erfasst.

Auf der dahinterstehenden Ebene der Denkweise und Haltung äußert sich die Herausforderung darin, dass sowohl IT-Governance als auch Prüfung & Revision zwar durchaus intuitiv merken, dass komplexe Themenstellungen, begrenzte längerfristige Planbarkeit und neuartige Risikokonstellationen eher die Regel als die Ausnahme sind. Oft ist es aber schwierig, den Mut aufzubringen, in einem Umfeld, das an längerfristige Planungen gewohnt, normativ geprägt und auf Compliance bedacht ist, die Konsequenz zu ziehen, zukünftig explorierend und in kleinen Schritten vorzugehen. Lieber geht man deshalb aufgrund der Erwartungen des Umfelds für sich selbst kein Risiko ein und bewertet beispielsweise eine Abweichung gegenüber der ursprünglichen Projektplanung oder gegenüber den allgemein anerkannten Prüfkriterien als Non-Compliance. Agilität würde darin eher eine Gelegenheit zum Lernen sehen, bei der auch die Projektplanung, die Projektzielsetzung und die Prüfkriterien selbst zur Diskussion und Überprüfung stehen. Dass aus einer klassischen plan- und Compliance-orientierten Denkweise und Haltung leicht ein Risiko eigener Art entstehen kann, sei abschließend nur am Rande bemerkt: das Risiko von irrelevanten Projektergebnissen und Prüfungsergebnissen, die in der Folge nie verwendet werden. (Immerhin hat man sich dabei an die geltenden Erwartungen des Umfelds gehalten.)

Unser Buch setzt an diesen zwei Ebenen an und gibt Antworten auf folgende Leitfragen: Was sind die besonderen Denkweisen und Haltungen der Agilität und was unterscheidet sie genau von plan- und Compliance-orientierten Ansätzen? Welche Ansätze gibt es für die Umsetzung von Agilität in der IT-Governance, Prüfung & Revision? Das Buch ist zu diesem Zweck (nach dieser Einführung) in folgende Teile gegliedert:

Teil I Agilität: Grundlagen und Grundmuster zur Umsetzung beschreibt nach einer Einführung in die Ursprünge der Agilität wesentliche Unterschiede von plan- und Compliance-orientierten Ansätzen zu agilen Ansätzen. Die zentralen Unterschiede werden in Form von Facetten des agilen Perspektivwechsels konkret beschrieben und prägnant zusammengefasst. Hieraus wird abschließend ein generisches Grundmuster für agile Prozesse abgeleitet und überblicksartig beschrieben. Teil I möchte Leserinnen und Leser aus dem gesamten Themenspektrum der IT-Governance, Prüfung & Revision von der Denkweise her befähigen, Agilität als hilfreiche ergänzende Perspektive für die eigene Arbeit zu verstehen, insbesondere wenn das Arbeitsumfeld durch Komplexität, Dynamik und eine abnehmende Vorhersagbarkeit geprägt ist. Teil I ist aber auch lesenswert, wenn Sie eine kompakte Einführung in das Themengebiet der Agilität suchen und verstehen möchten, worin die wesentlichen Unterschiede zu plan- und Compliance-orientierten Vorgehensweisen bestehen.

Teil II Agile IT-Governance entwickelt aus dem in Teil I vorgestellten generischen Grundmuster einen durchgängigen Methodenrahmen für eine agile IT-Governance und gibt konkrete Umsetzungshinweise. Es wird zu Beginn auch darauf eingegangen, dass agile IT-Governance durchaus als Fortsetzung einer IT-Governance im Sinne von COBIT für unbekannte oder sich dynamisch entwickelnde Umgebungen verstanden werden kann. Agile IT-Governance ist damit komplementär zu klassischen Ansätzen der IT-Governance und eignet sich vor allem zur Exploration neuer Zusammenhänge. Daher berührt agile IT-Governance auch an einigen Stellen Themenbereiche, die im Innovationsund Veränderungsmanagement verankert sind. Agile IT-Governance eignet sich deshalb auch, Organisationen in Richtung Ambidextrie und bimodaler IT weiterzuentwickeln. Ein besonderes Augenmerk wird hier auf den Übergang von der Explorationsphase hin zur dauerhaften Verankerung von IT-Governance-Vorhaben gelegt. Dieser Übergang ist für viele Organisationen eine kritische Schwelle, an der innovative Vorhaben und der Transformationsprozess zu mehr Ambidextrie oft stecken bleiben.

Teil III Agile Prüfung & Revision entwickelt aus dem in Teil I vorgestellten generischen Grundmuster einen durchgängigen Methodenrahmen für eine agile Prüfung & Revision und gibt konkrete Umsetzungshinweise. Eine agile Prüfung & Revision plant den Prüfungsprozess nicht von vorne bis hinten detailliert durch, sondern nutzt das Grundmuster zur sukzessiven Exploration des Prüfungsgebiets. Um die Komplexität der zu prüfenden Sachverhalte in all ihrer Widersprüchlichkeit und Vieldeutigkeit erfassen zu können, ist eine gewisse Zusammenarbeit mit der geprüften Organisation unerlässlich. Dies gilt umso mehr, wenn Mängel der Organisation nachhaltig beseitigt werden sollen: Ohne die Erfahrungen und Kenntnisse der Mitarbeiter der Organisation und ohne ihre Motivation, den neu eingeschlagenen Kurs dauerhaft beizubehalten, können Prüfer keine tiefgreifenden Organisationsentwicklungsprozesse anstoßen. Agile Prüfung & Revision legt deshalb großen Wert auf die stringente Organisation eines gemeinsamen Lern- und Entscheidungsprozesses von Prüferteam und geprüftem Organisationsbereich während der Prüfung. Um dabei eine angemessene Objektivität und Unabhängigkeit des Prüferteams zu wahren, werden dem Prüferteam für die Durchführung der agilen Prüfung & Revision verschiedene Hilfestellungen zu einer Standortbestimmung an die Hand gegeben. Als weitere Leitplanken für einen explorativen Prüfungsprozess zeigen wir auf, wie Risiken identifiziert und bewertet werden können, zudem werden relevante Gesprächstechniken präsentiert und beschrieben, wie schließlich eine gemeinsame Konsolidierung der Prüfungsergebnisse mit dem geprüften Bereich erreicht werden kann. Zum Abschluss des Kapitels werden Perspektiven für eine veränderte Rolle von Prüferinnen generell vorgestellt und diskutiert.

Teil IV Prüfung agiler Projekte ist etwas anders strukturiert als die Teile II und III und im Verhältnis zu den anderen Teilen kürzer. Ausgehend vom generischen Grundmuster für agile Prozesse werden zunächst konkrete Anregungen gegeben, wie die Prüfung der methodischen Aspekte in einem agilen (Einzel-) Projekt erfolgen kann. Dabei werden auch vertiefende Hinweise auf die Prüfung von Projekten nach Scrum gegeben. Danach wird dargelegt, wie eine Einschätzung der gelebten Agilität erfolgen kann, also inwieweit die Grundideen und Werte der Agilität umgesetzt sind. Für diese Prüfung sind die in Teil I beschriebenen Facetten des agilen Perspektivwechsels besonders hilfreich. Hierauf aufbauend wird dann auf die Prüfung der beiden Ebenen (Methodik und dahinterstehende agile Grundhaltung) für eine skalierte agile Projektorganisation eingegangen. Auf der Grundlage von Teil IV können leicht eigene Ansätze entwickelt werden zur Prüfung konkreter agiler Einzelprojekte und skalierter agiler Projektorganisationen. Dabei sollte neben der Prüfung der methodischen Elemente immer auch eine Einschätzung der agilen Grundhaltung erfolgen.

Auch wenn wir in den Teilen II – IV methodische Ansätze und Vorgehensweisen beschreiben, möchten wir Sie ganz im Sinne der Agilität ermutigen, diese angepasst an Ihre jeweilige Situation anzuwenden und nach Bedarf auch zu variieren oder mit anderen Vorgehensweisen zu kombinieren. Und wenn Sie bereits über ein Grundverständnis zur Agilität verfügen, können Sie auch gerne direkt mit Inhalten aus den Teilen II – IV beginnen und je nachdem später zu Teil I zurückkehren.

Teil I

Agilität: Grundlagen und Grundmuster zur Umsetzung

Ja, mach nur einen Plan

sei nur ein großes Licht

und mach dann noch ’nen zweiten Plan

gehn tun sie beide nicht.

Bertolt Brecht, Dreigroschenoper

Agilität bedeutet einen auf schrittweises Lernen und adaptive Risikobewältigung zielenden Denk- und Methodenansatz. Im Projektmanagement und bei der Softwareentwicklung hat sich Agilität bereits seit vielen Jahren bewährt und ist durch Methoden wie beispielsweise Scrum fest etabliert. Insbesondere wenn es um die Entwicklung von Software auf Basis neuer Technologien und für neue Anwendungsfelder geht, für die nicht von vornherein schon bewährte Lösungen existieren, bieten sich agile Ansätze an, die in kleineren, rasch aufeinanderfolgenden Schritten statt längerfristig durchgeplant vorgehen.

Auch in der IT-Governance, Prüfung & Revision geht es zunehmend um Fragestellungen, Prüfungszusammenhänge und IT-Einsatzszenarien, die nicht mehr alleine mit den bisherigen Erfahrungen, Prüfungskriterien und Risikokategorien bearbeitet und beurteilt werden können. Agilität gewinnt darum auch für IT-Governance, Prüfung & Revision zunehmend an Bedeutung. Statt einer längerfristig im Detail und mit klaren Ergebnissen durchgeplanten IT-Governance und statt der Verwendung im Vorhinein weitgehend feststehender detaillierter Prüfkriterien und Risikobetrachtungen rückt Agilität auch in der IT-Governance, Prüfung & Revision das gemeinsame Erkunden von unbekannten Zusammenhängen, das Experimentieren, die dynamische Risikoidentifikation und -bewertung und das daraus resultierende Lernen und das situative Sicheinlassen auf neue Erkenntnisse in den Mittelpunkt.

Agilität bedeutet somit einen klaren Perspektivwechsel für die IT-Governance, Prüfung & Revision, eine ohnehin stets ungewisse Zukunft nicht mehr langfristig im Detail planmäßig vorwegzunehmen oder das Neue vorrangig an Maßstäben der Vergangenheit zu messen und zu bewerten.

Agilität lässt sich jedoch auch nicht einfach treiben oder wartet die Entwicklung ab. Sie trifft durchaus vorausschauend organisatorische und in Strukturen sowie Prozessen verankerte Vorkehrungen, um auf verschiedene Entwicklungspfade der Zukunft kompetent und risikoorientiert reagieren zu können. Allerdings werden detaillierte inhaltliche Festlegungen immer nur für einen kürzeren Zeithorizont vorgenommen, um die Reaktionsfähigkeit für unterschiedliche Entwicklungen offen zu halten. Die jeweils konkret eintretende Entwicklung wird – nach Maßgabe der generellen Zielrichtung des Projekts oder der Prüfung – in einem laufenden Lern- und Entscheidungsprozess systematisch und strukturiert so bearbeitet, dass über die jeweils nächsten Schritte immer auch im Lichte der neuen Bedingungen, Risikoeinschätzungen und Erkenntnisse entschieden wird.

Zwei wesentliche Kernfähigkeiten dabei sind die vorausschauende Vorwegnahme möglicher zukünftiger Entwicklungen (Antizipationsfähigkeit) und der Aufbau von Anpassungsfähigkeiten an veränderte Kontexte, insbesondere falls unerwartete Entwicklungen eintreten (Resilienz).

Agilität eignet sich vor allem für den Umgang mit noch nicht klar umrissenen oder noch nicht (ganz) verstandenen Themenfeldern und kann dazu beitragen, eine dynamische Balance zwischen Stabilität und Lernen zu erreichen. Richtig umgesetzt ist Agilität deshalb ein guter Ansatz, die Handlungsmöglichkeiten von IT-Governance, Prüfung & Revision in Richtung einer zusätzlichen Fähigkeit zur Ambidextrie zu erweitern, bei der situativ erfolgreiches (statt: primär normativ korrektes) Handeln im Mittelpunkt steht. Je nach Kontextbedingungen kann dann stärker der Effizienzgesichtspunkt (Exploitation mithilfe klassischer Ansätze) oder der Lerngesichtspunkt (Exploration mithilfe agiler Ansätze) zum Tragen kommen. Klassische Ansätze der IT-Governance, Prüfung & Revision sollen jedoch nicht komplett ersetzt werden, die Übergänge werden in der Praxis vielmehr fließend sein.

Teil I setzt die hier begonnene Einstimmung und Einführung in die Agilität als komplementäre Denkweise zu klassischen plan- und Compliance-orientierten Ansätzen der IT-Governance, Prüfung & Revision fort. Das Ziel ist, IT-Governance, Prüfung & Revision von der Denkweise her zu befähigen, Agilität als hilfreiche ergänzende Perspektive für die eigene Arbeit zu verstehen, insbesondere wenn das Arbeitsumfeld durch Komplexität, Dynamik und eine abnehmende Vorhersagbarkeit geprägt ist. Er ist wie folgt aufgebaut:

Kapitel 2 (Agilität im Überblick) führt in die Ursprünge der Agilität als Denkhaltung und Methode ein und beschreibt typische Missverständnisse und Mythen, denen sich Agilität in der Praxis oft gegenübersieht. Dabei wird auch das Phänomen des agilen Theaters beschrieben, das häufig entsteht, wenn agile Methoden in einem nicht agilen Kontext angewendet werden.

Kapitel 3 (Agilität: Was ist (wirklich) anders?) beschreibt anhand konkreter Facetten den bereits angesprochenen Perspektivwechsel der Agilität und arbeitet die Unterschiede und die Komplementarität im Vergleich zu plan- und Compliancegetriebenen Ansätzen detailliert heraus.

Kapitel 4 (Agile Prozesse in der IT-Governance, Prüfung & Revision) entwickelt aus den einzelnen Facetten des agilen Perspektivwechsels das generische Grundmuster für agile Prozesse. Das generische Grundmuster bildet das Bindeglied zu den Teilen II – IV, in denen konkrete Ansätze und Umsetzungshilfen für eine agile IT-Governance (Teil II), für eine agile Prüfung & Revision (Teil III) und für die Prüfung agiler Projekte (Teil IV) vorgestellt werden.

2Agilität im Überblick

Agilität ist in den letzten Jahren zu einem breit verwendeten und zunehmend mehrdeutigen Sammelbegriff geworden für moderne Arbeitsorganisation und Arbeitsweisen im weitesten Sinne. Die Erwartungen an Agilität sind dementsprechend vielfältig. Man verspricht sich von Agilität eine stärkere Kundenorientierung und verbesserte Reaktionsfähigkeiten auf eine zunehmende Marktdynamik genauso wie intern eine effektivere Kommunikation und effizientere Arbeitsprozesse.

Die Vielfalt der Begriffsverständnisse und die vorrangige Fokussierung der Diskussion in vielen Organisationen auf methodische Aspekte verstellen jedoch gerne den Blick darauf, was Agilität im Kern ausmacht. Ihr Ursprung ist einfach die Berufs- und Lebenserfahrung, dass trotz aller Planung und Risikovorsorgemaßnahmen immer wieder mit unerwarteten Ereignissen und einem sich verändernden Erkenntnisstand in der Zukunft zu rechnen ist. Als Konsequenz nimmt Agilität einen Perspektivwechsel vor und geht von der prinzipiellen Offenheit (jedoch nicht: Beliebigkeit) zukünftiger Entwicklungen aus, mit der wir trotz aller Planungs- und Kontrollanstrengungen zurechtkommen müssen.

Agilität baut für diese prinzipielle Unsicherheit vorausschauend Handlungskompetenzen, Organisationsstrukturen und (Kommunikations-)Prozesse auf, um schnell und situationsgerecht, also agil mit dem jeweils Neuen zielorientiert zurechtzukommen, was immer es sein möge.¹ Eine detaillierte und verbindliche Planung findet in der Agilität deshalb immer nur für kurze Zeitabschnitte statt. Eine gute Analogie zur Veranschaulichung von Agilität sind Rettungsdienste:

Eine Gesellschaft leistet sich Rettungsdienste, weil ein Überfall, ein Unfall oder ein Brand jederzeit passieren können. Es ist zwar nicht vorhersehbar, an welcher Stelle, zu welcher Zeit und in welcher genauen Art solche Ereignisse konkret eintreten werden. Aber es ist vorhersehbar, dass sie eintreten werden. Statt also einen konkreten Einsatz an einem konkreten Ort detailliert zu planen, werden generelle Handlungskompetenzen, Organisationsstrukturen und (Kommunikations-)-Prozesse aufgebaut und bereitgehalten, um im Falle eines Falles zielgerichtet zu retten. Und damit das auch im Ernstfall klappt, werden mögliche Ausgestaltungen der Zukunft oft in Form von Szenarien und Manövern geprobt und exploriert. Wenn dabei etwas (noch) nicht so funktioniert, wie es soll, ist das Risiko nicht so groß, wie es ein Ernstfall gewesen wäre. Agilität hat also viel von einer kurzfristig verfügbaren Reaktions- und dennoch zielorientierten und risikobewussten Gestaltungsfähigkeit, ohne dass man bereits alle Details der situativ erforderlichen Handlungsweisen zu kennen braucht.

Dieses Kapitel gibt einen Überblick über das Gesamtkonzept der Agilität und möchte der oft zu beobachtenden Verengung der Diskussion auf die methodischen Aspekte von Agilität entgegenwirken. Wichtig ist uns, Agilität als ein Gesamtkonzept von Grundhaltung (agil SEIN) und darauf beruhenden Methoden (agil TUN) zu vermitteln.

2.1Ursprünge der Agilität

Viele Kernideen der Agilität wurden – ohne dass es damals bereits »Agilität« genannt wurde – maßgeblich von zwei japanisch-amerikanischen Wirtschaftswissenschaftlern, Hirotaka Takeuchi und Ikujiro Nonaka, in den 1980er-Jahren auf der Grundlage empirischer Beobachtungen herausgearbeitet. Sie beschäftigten sich damals mit der Frage, wie hierarchisch-tayloristisch organisierte Technologiefirmen angesichts von tiefgreifenden Markt- und Technologieumbrüchen bahnbrechende Innovationen in kurzer Zeit marktreif bekommen. Die 1980er-Jahre waren gekennzeichnet u.a. durch die Mikrochiprevolution, die Entwicklung des PCs sowie durch den Eintritt der asiatischen Automobilindustrie in den weltweiten Automobilmarkt. Takeuchi und Nonaka haben deshalb innovative Produktentwicklungen im Automobil-, IT- und Fotografiesektor untersucht. Ihre Erkenntnisse haben sie unter dem Titel The New New Product Development Game beschrieben [Takeuchi & Nonaka 1986]. Sie erkannten als systematisches Muster, dass das neue Neue-Produkte-Spiel methodische Aspekte hat und eine spezifische Arbeits- und Führungskultur aufweist:

Von der methodischen Seite her entdeckten sie, dass sequenzielle Vorgehensweisen der Arbeitsorganisation (ähnlich zu einem Staffellauf) konsequent ersetzt wurden durch das komplette Abarbeiten von kleineren Einzelaufträgen in kleineren Teams, die erst später an Synchronisationspunkten integriert wurden. Die einzelnen Arbeitsgruppen arbeiten dabei ziemlich selbstständig und erproben ihre Teilergebnisse immer auch praktisch, bevor sie weitergereicht oder integriert werden.

Von der Arbeits- und Führungskultur her entdeckten sie, dass sich das Miteinander der Beteiligten deutlich von arbeitsteiligen und hierarchisch geprägten Organisationsformen unterscheidet. Sie beobachteten in den untersuchten Innovationsprojekten fachlich talentierte und selbstverantwortliche Mitarbeiter, die mitdenken, kreativ auf neue Herausforderungen reagieren und daraus lernen. Aufseiten der Führungskräfte beobachteten sie, dass diese typischerweise eher für gute Rahmenbedingungen sorgten, als sich selbst im Detail operativ zu beteiligen. Zusammenfassend haben sie diese neue Arbeitsweise in ihrem Artikel als subtle control (vermittelt durch grobe Zielsetzung, Selbstorganisation und Verzicht auf Mikromanagement) bezeichnet.

Schon hier taucht also die Grundidee von Agilität als Gesamtkonzept von Grundhaltung, Führungsstil und methodischer Umsetzung, auf ohne dass es bereits Agilität genannt wurde. Tabelle 2–1 stellt einige der methodischen Neuerungen und wichtige Aspekte dieses neuen Führungsstils (subtle control) dar.

Tab. 2–1Methodische Neuerungen und neue Managementkultur im New New Product Development Game nach [Takeuchi & Nonaka 1986]

Der Artikel von Takeuchi & Nonaka ist aber auch noch in einer anderen Hinsicht folgenreich geworden, da er vermutlich die Wahl des Begriffs Scrum mitbeeinflusst hat. Die Autoren fassen nämlich ihre Erkenntnisse wie folgt zusammen: Der neue Ansatz sei wie ein rugby approach, bei dem das Team versucht, die Distanz auf dem Spielfeld als Team zurückzulegen, und dabei den Ball dynamisch vor- und zurückspielt. In dieser Formulierung taucht erstmalig die Analogie der Strategie hinter dem neuen Führungsstil zum Rugby auf, was später zur Begriffsbildung von Scrum als Methode geführt hat: Scrum bezeichnet einfach das Gedränge bei Rugby-Spielen. Auch die Idee des Vor- und Zurückspielens des Balls taucht übrigens später in den agilen Grundideen auf, wenn es