Agilität für IT-Governance, Prüfung & Revision (eBook)

Urs Andelfinger ist Professor an der Hochschule Darmstadt und unterrichtet Wirtschaftsinformatik und Softwaretechnik. Er ist CMMI-Instruktor sowie SAFe Agilist und begleitet Organisationen in (nicht nur agilen) IT-Projekten sowie bei Digitalisierungsvorhaben. Petra Haferkorn ist Regierungsdirektorin bei der BaFin und prüft die Governance von Banken und Versicherungen vor Ort. Seit zwei Jahren leitet sie IT-Prüfungen mit den Schwerpunkten IT-Governance und Informationssicherheitsmanagement. Daneben ist sie als Dozentin an der Frankfurt School of Finance and Management in der Executive Education tätig.

Geleitwort 5
Vorwort 7
Danksagung 11
Inhaltsübersicht 13
Inhalt 15
1 Einführung 21
1.1 Worum es uns geht 22
1.2 Für wen ist dieses Buch? 24
1.3 Warum noch ein Buch zur Agilität? 25
1.4 Inhalt und Struktur 26
2 Agilität im Überblick 35
2.1 Ursprünge der Agilität 36
Tab. 2–1 Methodische Neuerungen und neue Managementkultur im New New Product Development Game nach [Takeuchi & Nonaka 1986]
2.2 Agilität in der IT 37
Tab. 2–2 Das Manifest für Agile Softwareentwicklung (»Agiles Manifest«) [Beck et al. 2001] 38
2.3 Agile Methoden für IT-Projekte: Beispiel Scrum 39
Abb. 2–1 Der Scrum-Flow im Überblick 41
2.4 Gelebte Agilität = Werte + Methoden 42
Tab. 2–3 Typische Verwerfungen durch agiles Theater 44
3 Agilität: Was ist (wirklich) anders? 47
Abb. 3–1 Facetten des Perspektivwechsels der Agilität 48
3.1 Grundhaltung: Neues als Störung oder als Chance? 48
3.1.1 Grundhaltung Kontrollorientierung 49
Abb. 3–2 Kontrollorientierung ordnet Neues in die bisherigen Strukturen ein. 50
3.1.2 Grundhaltung Möglichkeitsorientierung 51
Abb. 3–3 Möglichkeitsorientierung exploriert Neues ergebnisoffen. 52
3.1.3 Die strukturelle Dynamik zwischen den Grundhaltungen 52
Abb. 3–4 Kontroll- und Möglichkeitsorientierung zusammen führen zu einer strukturellen Dynamik. 53
Abb. 3–5 Die strukturelle Dynamik im Wechselspiel 54
Stufe 1 der Dynamik: Kein gegenseitiges Wahrnehmen 54
Stufe 2 der Dynamik: Konstruktive gegenseitige Aufmerksamkeit und Koevolution 54
Stufe 3 der Dynamik: Sich gegenseitig misstrauende Aufmerksamkeit und destruktive Eskalation 55
3.2 Lernorientierung: Darf es auch etwas anderes sein? 56
3.2.1 Umsetzungsorientiertes Lernen 56
3.2.2 Reflektierendes Lernen 58
3.2.3 Agilität verbindet umsetzungsorientiertes und reflektierendes Lernen 58
3.3 Risiko: Begriff und seine Funktionen 60
3.3.1 Gefahr versus Risiko 60
3.3.2 Risiko als instrumentelle Kategorie 63
3.3.3 Risiko als soziale Konstruktion 64
3.3.4 Umgang mit Risiko in der Agilität 65
3.4 Wirklichkeit ist immer die Wirklichkeit eines Beobachters 67
3.4.1 Die Rolle des Beobachters bei der Erzeugung von Wirklichkeit 67
Der blinde Fleck – unser Gehirn konstruiert ihn weg 68
Unser Gehirn stellt das Weltbild auf die Füße 68
Erkennen einer Melodie – geht das objektiv? 69
3.4.2 Agilität: Wirklichkeitskonstruktion durch Aushandlungsprozesse 69
3.5 Probleme und Rationalitäten: weniger eindeutig als gedacht 70
3.5.1 Von zahmen und bösen Problemen 71
3.5.2 Über die Zweckrationalität hinaus 72
Abb. 3–6 Elastizitätsbereiche in Organisationen (Helixstruktur) 74
3.6 Widersprüche und Paradoxien sind normal 75
3.6.1 Eindeutigkeit hat es schwer in der Organisationsrealität 75
3.6.2 Agilität: Ambiguitätstoleranz ist hilfreich 77
3.7 Sinn entsteht im Laufe der Zeit 78
3.7.1 Sensemaking nach Weick 79
3.7.2 Emerging Strategies nach Mintzberg 81
3.8 Agiles Vorgehen: Wirkung kleiner Schritte ausprobieren 82
3.8.1 Kompliziert und komplex sind verschiedene Qualitäten 82
3.8.2 Nicht triviale Systeme haben Eigensinn 84
3.8.3 Explorieren statt planbasierter Steuerung 86
4 Agile Prozesse in der IT-Governance, Prüfung & Revision
4.1 Anforderungen an agile Prozesse 92
Anforderung: Explorative Grundhaltung und Komplexität akzeptieren 92
Anforderung: Lernorientierung auf zwei Stufen 92
Anforderung: Risiko als Folge von Entscheidungen 92
Anforderung: Über Rationalitäten und Wirklichkeitswahrnehmungen in Austausch kommen 93
Anforderung: Berücksichtigung von laufender Sinnfindung 93
Anforderung: Widersprüche und Zielkonflikte auch mal stehen lassen 93
Anforderung: Rahmenbedingungen und Impulse setzen statt direkter Anweisungen 93
Tab. 4–1 Anforderungen an agile Prozesse im Überblick 95
4.2 Das generische Grundmuster 95
4.2.1 Herleitung des generischen Grundmusters 95
Abb. 4–1 Das generische Grundmuster für agile Prozesse (Überblick) 98
4.2.2 Schrittweise gemeinsame Exploration und Wirklichkeitskonstruktion 98
Schritt 1: Beobachten – Beschreiben – Information aufnehmen 99
Schritt 2: Erklären – Verstehen – Hypothesen bilden 99
Schritt 3: Bewerten – Stoßrichtung entscheiden – Nächste Schritte bestimmen 99
Schritt 4: Durchführung der nächsten Schritte – Intervention setzen 100
4.2.3 Handeln und Lernen auf zwei Ebenen 101
4.3 Entscheidungsprämissen begrenzen den Handlungsspielraum 104
Programme und Inhalte 105
Personen 105
Kommunikation (Prozesse und Strukturen) 105
4.4 Anschlussfähigkeit macht das Grundmuster wirksam 106
Sachliche Anschlussfähigkeit und inhaltliche Qualität 106
Zeitliche Anschlussfähigkeit 106
Soziale Anschlussfähigkeit: 107
Räumliche Anschlussfähigkeit 107
Symbolisch-politische Anschlussfähigkeit 107
5 Was ist (agile) IT-Governance? 115
5.1 Entwicklungsgeschichte der IT-Governance 115
Ursprünge des Governance-Begriffs 116
Von der Governance zur IT-Governance 117
Die Agilisierung der (IT-)Governance und Vorläufer einer agilen IT-Governance 118
5.2 Begriff und Zielsetzung agiler IT-Governance 119
5.3 Der Perspektivwechsel der agilen IT-Governance 120
Abb. 5–1 Verschiebung des Fokus auf Exploration und Evaluation 122
Abb. 5–2 Der Umgang mit Zielen wird beweglicher in der agilen IT-Governance. 122
Abb. 5–3 Erweiterung der Reichweite der IT-Governance auf die gesamte Organisation 123
Abb. 5–4 Experimente und empirische Erfahrungen als Steuerungsmodell der agilen IT-Governance 125
Abb. 5–5 Komplementarität von COBIT-gestützter IT-Governance und agiler IT-Governance 126
5.4 Prozessmodell für eine agile IT-Governance 127
5.4.1 Das generische Grundmuster 127
Abb. 5–6 Das generische Grundmuster der Agilität als Vorbild für die agile IT-Governance 128
5.4.2 Das konkrete Prozessmodell 128
Umsetzungsorientierter Zyklus: Vorbereitung, Exploration und umsetzungsorientiertes Lernen 129
Abb. 5–7 Exploration und umsetzungsorientiertes Lernen in der agilen IT-Governance 129
Reflexionsorientierter Zyklus: Verankerung und reflektierendes Lernen 130
Abb. 5–8 Verankerung als eigenständige Aktivität in der agilen IT-Governance 130
Abb. 5–9 Reflektierendes Lernen in der agilen IT-Governance 131
6 Kontexteignung bewerten (Readiness-Check) 133
Abb. 6–1 Bewertung der Kontexteignung für die agile IT-Governance (Ausschnitt) 133
6.1 Bewertungskriterien 134
6.1.1 Eignung der Aufgabenstellung 134
Abb. 6–2 Eignung der Aufgabenstellung für die agile IT-Governance 135
6.1.2 Emergente Sinnfindung und Risikoorientierung 136
6.1.3 Anschlussfähigkeit(en) und Elastizitätsbereiche 138
6.1.4 Ambiguitätstoleranz und Good-enough-Governance 139
6.1.5 Nichtlinearitäten und Systeme mit Eigendynamik 141
6.2 Selbstbewertung der Kriterien 142
Tab. 6–1 Beispieltabelle zur Selbstbewertung der Readiness für agile IT-Governance (situativ anpassbar) 143
Abb. 6–3 Beispieldiagramm der Readiness für agile IT-Governance 144
7 Umsetzungsorientierter Zyklus 147
Abb. 7–1 Die Vorbereitung im Rahmen der agilen IT-Governance (Ausschnitt) 147
Abb. 7–2 Der umsetzungsorientierte Zyklus der agilen IT-Governance 148
7.1 Vorbereitung – startklar machen 149
7.1.1 Inhaltliche Klärung: vom Möglichkeitsraum zum risikobewussten Erkundungsraum 150
Tetralemma 150
User Story Mapping 151
7.1.2 Anforderungen an Anschlussfähigkeiten ermitteln 151
Soziale Anschlussfähigkeit 152
Zeitliche Anschlussfähigkeit 152
Räumliche Anschlussfähigkeit 152
Symbolisch-politische Anschlussfähigkeit 152
7.1.3 Kompetenzen prüfen und Team bilden 152
Fachlich-technische Umsetzungskompetenzen 153
Indirekte Führungskompetenzen 153
Kommunikation und Sinnvermittlung 154
Mobilisierung der kollektiven Intelligenz 155
7.1.4 Rollen, Verantwortlichkeiten und Stakeholder klären 155
Bildung eines Innovationsteams (angelehnt an Scrum) 155
Teaminterne Mischung von Persönlichkeiten und Charakteren 156
Klärung der Schnittstellen, Rollen, Verantwortlichkeiten und Stakeholder aus der umgebenden Organisation 156
(Begleitende) Einbindung von ausgewählten Fachexperten 157
7.1.5 Prozesse und Kommunikationsstrukturen vorbereiten 157
Kurzer zyklischer Erkundungs- und Lernprozess 157
Selbstorganisation im Innovationsteam 158
Schnittstellen zur umgebenden Organisation 158
7.1.6 Geschützte Räume etablieren 158
7.1.7 Ressourcenausstattung klären 159
7.2 Auf das Agilitätsdilemma vorbereiten 159
7.2.1 Was ist das Agilitätsdilemma? 160
7.2.2 Typische Bruchstellen 161
Tab. 7–1 Typische Bruchstellen beim Agilitätsdilemma (Überblick) 162
Agile Selbstorganisation versus hierarchische Führung 162
Ganzheitliche Bildung von agilen Teams versus funktional differenzierte Organisationsformen 163
Kurzfristige(re) Budgetierung versus längerfristige Finanzplanung 163
Selbstorganisiertes versus zentral-strategisches Personalwesen 163
Gruppendynamische Effekte 163
Agiles Theater als Ausweichreaktion 164
Agile IT-Governance als isolierte Insel im klassischen Rest der Organisation 164
Agile IT-Governance als primäre Form der IT-Governance 164
7.3 Exploration und umsetzungsorientiertes Lernen 165
7.3.1 Exploration 165
Beispiele für empirische Explorationsansätze (Auswahl) 166
Verbindender roter Faden: nicht langfristig geplant, aber dennoch systematisch 168
Systematische Erarbeitung und Dokumentation der Erwartungen für die Exploration 169
Tab. 7–2 Beispiel für eine Explorationsstory in der agilen IT-Governance (angelehnt an das User-Story- Format) 169
7.3.2 Umsetzungsorientiertes Lernen und Validierung der (Risiko-)Erwartungen 170
8 Reflexionsorientierter Zyklus 173
Abb. 8–1 Die Verankerung verlässt den geschützten Raum. 174
Abb. 8–2 Das reflektierende Lernen nimmt den Gesamtkontext aus einer Außenperspektive in den Blick. 175
8.1 Verankerung 176
8.1.1 Erzählungen und Heldenreisen 177
8.1.2 Mentale und sprachliche Bilder 177
8.1.3 Parallelorganisation(en) 178
8.1.4 Vernetzung fördern 179
8.2 Mit dem Agilitätsdilemma umgehen 179
8.2.1 Innovationsrisikopoker 180
Abb. 8–3 Beispielbewertung beim Innovationsrisikopoker 181
Abb. 8–4 Das eingefärbte Innovationsrisikopoker als heuristischer Indikator für die Stärke des Agilitätsdilemmas 182
8.2.2 Denkanstöße und Aktivitäten 182
Tab. 8–1 Denkanstöße zum Umgang mit dem Agilitätsdilemma 183
8.3 Reflektierendes Lernen und risikoorientierte Justierung der IT-Governance 184
9 Zusammenfassung: Agile IT-Governance kompakt 187
Was macht agile IT-Governance aus? 187
Abb. 9–1 Der Gestaltungs- und Lernkorridor der agilen IT-Governance 188
Tab. 9–1 Wichtige Grundhaltungen der agilen und der klassischen IT-Governance im Überblick 188
Umsetzung als verzahnter evolutionärer (Doppel-)Zyklus 189
Abb. 9–2 Der evolutionäre Doppelzyklus von Umsetzung und Reflexion in der agilen IT-Governance 189
Erweiterte Handlungsfähigkeiten für die IT-Governance insgesamt – von klassisch bis agil 190
10 Was ist eigentlich eine (agile) Prüfung? 199
10.1 Sisyphos und Unsichtbarkeit der Prüfung 200
10.2 Kernpunkte einer agilen Prüfung 202
11 Agile Prüfung & Revision im Überblick
11.1 Der Perspektivwechsel der agilen Prüfung & Revision
11.1.1 Inkrementelle Exploration und Lernen 205
11.1.2 Kontinuierliche Risikokommunikation 208
11.2 Prozessmodell für agile Prüfung & Revision
11.2.1 Das generische Grundmuster als Vorbild 209
Abb. 11–1 Generisches Grundmuster und das konkrete Prozessmodell für agile Prüfung & Revision
11.2.2 Das konkrete Prozessmodell 210
Zyklische Umsetzung auf zwei Ebenen 211
Abb. 11–2 Zyklische Umsetzung der Vorbereitung einer agilen Prüfung & Revision mit Beispielaktivitäten
Die vier zyklischen Schritte in der Vor-Ort-Phase einer Prüfung (Beispiel) 212
Wichtige Aktivitäten & Ergebnisse: der Gesamtkontext einer agilen Prüfung &
Abb. 11–3 Überblick zum Gesamtkontext einer agilen Prüfung & Revision
12 Spannungsfelder und Kontexteignung bewerten (Readiness-Check) 217
12.1 Strukturelle Spannungsfelder 219
12.1.1 Objektivität und Perspektivität 219
12.1.2 Unabhängigkeit und Abhängigkeit 221
Abb. 12–1 Das unabhängige Prüferteam (Idealbild der normativen Prüfung) 221
12.1.3 Unabhängigkeit und Objektivität 223
Abb. 12–2 Agile Prüfungen erarbeiten Unabhängigkeit und Objektivität (Idealbild der agilen Prüfung) 223
12.2 Spannungsfelder zum Prüfungsergebnis 226
12.2.1 Zurückschauende Kontrolle und vorausschauende Prüfung 226
12.2.2 Bestätigungshoffnung und Veränderungsauftrag 228
12.2.3 Final dokumentierte und kontinuierliche mündliche Berichterstattung 230
12.2.4 Denken in Ambiguitäten 231
Abb. 12–3 Typische Ambiguitäten in Organisationen 232
12.2.5 Selbstbewertung der Spannungsfelder 233
Tab. 12–1 Beispieltabelle zur Selbstbewertung typischer Spannungsfelder zur Unabhängigkeit und Objektivität sowie zum Prüfungsergebnis 234
Abb. 12–4 Beispieldiagramm der Spannungsfelder zur Unabhängigkeit und Objektivität sowie zum Prüfungsergebnis 235
12.3 Spannungsfelder zum Prüfungsprozess 236
12.3.1 Prüfungszeit, Prüfungsressourcen und Prüfungsqualität 236
Abb. 12–5 Magisches Dreieck des Projektmanagements 237
12.3.2 Additives versus vernetztes Zusammenfügen der einzelnen Ergebnisse 238
12.3.3 Steuerung und Unsteuerbarkeit der Prüfung 239
12.3.4 Selbstbewertung der Spannungsfelder 241
Tab. 12–2 Beispieltabelle zur Selbstbewertung typischer Spannungsfelder zum Prüfungsprozess 242
Abb. 12–6 Beispieldiagramm der Spannungsfelder zum Prüfungsprozess 242
13 Prüfungsvorbereitung 245
Abb. 13–1 Die Vorbereitung im Gesamtkontext der agilen Prüfung (Überblick) 246
13.1 Inhaltliche Vorbereitung 247
Abb. 13–2 Vom Prüfungsauftrag zum Sprint-Board (Gesamtprozess) 247
13.1.1 Vom Prüfungsauftrag zum Audit-Board 248
Der Prüfungsauftrag als User Story 248
Tab. 13–1 Prüfungsauftrag als User Story 248
Ableitung der Prüfungsaspekte aus der User Story 249
Tab. 13–2 Prüfungsaspekte verfeinern einen Prüfungsauftrag bzw. eine User Story 249
Erstellung des Audit-Boards 250
Abb. 13–3 Das Audit-Board schafft Transparenz über den inhaltlichen Rahmen und die Themenbereiche einer Prüfung. 251
13.1.2 Vom Audit-Board zum Sprint-Board 252
Ableitung der Fragestellungen und Hypothesen 252
Tab. 13–3 Formular »Fragestellung und Hypothesen« verfeinert die Prüfungsaspekte. 253
Dokumentation des Arbeitsfortschritts im Sprint-Board 254
Abb. 13–4 »Fragen und Hypothesen« für den nächsten Sprint auf dem Sprint-Board 254
13.2 Das Prüferteam 254
Abb. 13–5 Enge und weite Begrenzung bei der Bildung des Prüferteams 255
14 Agile Prüfung vor Ort 261
14.1 Bearbeitung des Sprint-Boards 262
Abb. 14–1 Arbeitsfortschritt des Prüferteams am Sprint-Board visualisiert 262
14.2 Regelmäßige Reflexion des Fortschritts 263
14.3 Nützliche Prüfungstechniken 265
14.3.1 Trichterförmige Befragung 265
14.3.2 Verkettete Gespräche 267
14.3.3 Störungen aufdecken und Ebenenwechsel nutzen 268
15 Konsolidierung der Prüfungsergebnisse 271
Abb. 15–1 Die Konsolidierung im Gesamtkontext der agilen Prüfung 272
15.1 Wichtige Aktivitäten 273
Abb. 15–2 Fremd- und Selbstbild bei der Konsolidierung 273
15.1.1 Integration der Beobachtungen zu einem sinnhaften (statt: wahren) Gesamtbild 274
15.1.2 Anschlussfähigkeit des Prüfungsergebnisses 275
Abb. 15–3 Die Verhandlung von Fremd- und Selbstbild bei der Konsolidierung 276
16 Retrospektiven und reflektierendes Lernen 279
Abb. 16–1 Retrospektiven treten einen Schritt zurück von der konkreten Prüfung. 280
16.1 Wichtige Aktivitäten 281
16.1.1 Grundform für Retrospektiven 281
Abb. 16–2 Prinzipschaubild für eine Retrospektive 282
Schritt 1: Beobachtungen zusammentragen und grob (individuell) bewerten 282
Schritt 2: Erklären, gemeinsam bewerten, entscheiden und Interventionen für den nächsten Zyklus vorbereiten 283
16.1.2 Retrospektiven auf die Inhalte 284
16.1.3 Retrospektiven auf die Arbeitsweisen 285
16.2 Hilfreiche Techniken zur Unterstützung von Retrospektiven 288
16.2.1 Hypothetische Fragen 288
16.2.2 Gewaltfreie Kommunikation 289
16.2.3 Reflexionspoker 290
Auswahl des Aspektes, der gezielt betrachtet werden soll 290
Poker zur Bewertung 291
Diskussion der Ergebnisse 291
17 Zusammenfassung: Agile Prüfung & Revision kompakt
Was macht agile Prüfung & Revision aus?
Agile Prüfung versus normative Prüfung 294
Tab. 17–1 Prinzipien agiler Prüfungen 294
Standortbestimmung einer Prüfung 295
Ausblick und Perspektiven 296
Perspektiven für Prüfung & Revision
Perspektiven für das Berufsbild von Prüfern 297
18 Prüfung agiler Einzelprojekte 305
Tab. 18–1 Nutzen der Stimmigkeit von TUN und SEIN in der Agilität 306
18.1 Prüfung der agilen Methodik 308
Der DIIR-Standard Nr. 4 (2019) 308
Tab. 18–2 Prüfung der methodischen Ebene agiler Projekte nach Scrum (teilweise nach [DIIR 2019, S. 33]) 309
Scrum Checklist (Henrik Kniberg) 309
Bewertung der Softwareentwicklungsfähigkeiten 310
18.2 Prüfung der gelebten Agilität 311
Tab. 18–3 Beispielfragen zur Einschätzung der gelebten Agilität (agil SEIN) 312
Delegation Poker zur Einschätzung der Selbstorganisation 313
Agile-Werte-Spiel 315
Self Assessment Game 316
18.3 Gesetzliche Anforderungen in agilen Projekten 317
Akzeptanzkriterien: Einbringen gesetzlicher Anforderungen von Anfang an 318
Definition of Done (DoD): Sicherstellung der Erfüllung gesetzlicher Anforderungen am Ende 318
18.4 Mythen rund um die Prüfung agiler Projekte 319
Tab. 18–4 Mythen rund um die Prüfung agiler Projekte und wie sie entkräftet werden können. 319
19 Prüfung skalierter agiler Projektorganisationen 321
19.1 Von agilen Einzelteams zu skalierten agilen Projektorganisationen 321
19.2 Denkanstöße zur Prüfung 323
19.2.1 Produktarchitektur und Organisationsstrukturen 324
Denkanstoß: Operative Teamebene 325
Denkanstoß: Produktebene 325
Denkanstoß: Strategisches Portfoliomanagement 325
Denkanstoß: Interaktionen zwischen den verschiedenen Skalierungsebenen 326
19.2.2 Nutzung von Metriken und KPIs auf Gesamtproduktebene 327
19.2.3 Weitere Denkanstöße 328
Durchgängige Softwareentwicklungsfähigkeiten 328
Risikoorientiert auf allen Ebenen und übergreifend prozessorientiert prüfen 328
Retrospektiven auf allen Ebenen und durchgängig 329
Literatur 333
Index 343