Die IT-Abteilung braucht agile Entwicklung, flexible Reaktion und kürzere Time-to-Market. Die Governance-Abteilung sorgt für die strikte Einhaltung der Regularien. Zwei gegensätzliche Anforderungen, die sich mittlerweile aber selbst im Konzernumfeld und in regulierten Märkten
in Einklang bringen lassen.
Agile Softwareentwicklung, agile Projekte, agile Methoden – sie haben sich in den vergangenen Jahren aus nachvollziehbaren Gründen verbreitet und etabliert. Die Vorteile der unter dem Attribut »agil« subsumierten Frameworks, Vorgehensweisen und Praktiken sind anerkannt – gerade in kleineren und mittelständischen Unternehmen. Dazu gehören Flexibilität, Schnelligkeit und Qualitätssteigerung. Beispiele dafür sind zahlreich: ob Flickr, Netflix, Salesforce, Spotify oder Xing. All dies zeigt: bisher ist Agilität hauptsächlich in mittelständischen Unternehmen in technologienahen Märkten ein Thema.
Ein wichtiger Grund, warum agile Verfahren in Großunternehmen und Konzernen bislang nicht die Rolle spielen, die sich so manch eine IT-Abteilung wünschen würde: Konzerne bewegen sich sehr oft in regulierten Märkten und haben entsprechend andere Ansprüche an Governance. Wollen sich auch Konzerne die Vorzüge der Agilität zunutze machen, empfiehlt es sich, dazu ihre Governance-Denkweise zu modifizieren. Was es braucht, ist agile Governance.
Governance, die die scheinbare Planlosigkeit von agilen Projekten einzufangen vermag und die den iterativen Entwicklungsprinzipien der Agilität ihr starres Kontrollbedürfnis entgegensetzt? Ist solch eine agile Governance, die schon in ihrem Namen das scheinbar Unvereinbare zusammenzwingt, überhaupt möglich? Bei näherer Betrachtung zeigt sich, dass eine für agile Projekte geeignete Governance zwar anders aussieht als eine traditionelle, aber dass sie erstens durchaus möglich und zweitens nicht weniger wirkungsvoll ist. Die Wünsche der IT-Abteilung nach agiler Entwicklung, nach flexibler Reaktion auf die Anforderungen der Kunden, nach einer kürzeren Time-to-Market lassen sich mit den Kontrollbedürfnissen der Governance-Abteilung durchaus versöhnen. Auch im Konzernumfeld und in regulierten Märkten.
Sollen in einem Konzern agile Verfahren eingesetzt werden, erfordert schon die Größe der Organisation interne Governance-Mechanismen und Prozesse, die sicherstellen, dass IT und Produktentwicklung auf die Unternehmensziele ausgerichtet sind. Zudem machen die zahlreichen Stakeholder, darunter Regierungen und regulatorische Instanzen, Governance nötig. In der Automobilindustrie beispielsweise muss der Prozess der Produktentwicklung von Hard- und Software dem recht strikten Automotive-SPICE genügen, der domänenspezifischen Variante der »Software Process Improvement and Capability Determination«-Norm, also ISO 15504 (SPICE). Bei sicherheitsrelevanten Funktionen und Bauteilen kommen Anforderungen der Functional Safety hinzu.
Die Zulieferer müssen dem Hersteller gegenüber in Audits konsistente und vollständige Prozessdokumentationen nachweisen. Ein agiles Framework wie Scrum, eingesetzt im Projektmanagement, in der internen Entwicklung oder in der Produktentwicklung, bringt aber selbst keine Governance-Mechanismen mit, die den Bedarf im Konzernumfeld decken. Um diesen Erfordernissen gerecht zu werden, sollten die agilen Vorgehensweisen und Prinzipien also in einen Rahmen aus Governance-Mechanismen eingebettet werden.
Governance neu denken. Es reicht dazu, in bestehenden Strukturen neu zu denken. Cobit (Control Objectives for Information and Related Technology) ist hierzu ein seit Jahren etabliertes, weltweit anerkanntes Framework zur IT-Governance. Das Cobit-Framework definiert 37 Prozesse, um Kongruenz von IT- und Unternehmenszielen sicherzustellen. Auf der obersten Ebene ist jeder dieser Prozesse einer der folgenden fünf Domänen zugeordnet:
- Evaluieren, Vorgeben und Überwachen (Evaluate, Direct and Monitor – EDM)
- Anpassen, Planen und Organisieren (Align, Plan and Organise – APO)
- Aufbauen, Beschaffen und Imple mentieren (Build, Acquire and Implement – BAI)
- Bereitstellen, Betreiben und Unterstützen (Deliver, Service and Support – DSS)
- Überwachen, Evaluieren und Beurteilen (Monitor, Evaluate and Assess – MEA).
Die Domänen, die die Prozesse von Cobit strukturieren, können dazu dienen, die Handlungsfelder aufzuzeigen, die bei einem agilen Vorgehen von der Governance betrachtet und gelöst werden müssen.
Abbildung 1: Diese fünf Aspekte sollte eine Governance in agilem Vorgehen berücksichtigen.
1. Governance: Evaluieren, Vorgeben und Überwachen.
Hier geht es darum, Mechanismen zu entwickeln und zu etablieren, die die Kommunikation, Einhaltung und Messung der Unternehmensziele sowie der regulatorischen Vorgaben sicherstellen. Diese Verfahren und die entsprechende Organisation müssen einerseits die Ausrichtung an den Unternehmenszielen garantieren, dürfen andererseits aber die Flexibilität der genutzten agilen Methoden nicht zu stark einschränken. Benötigt wird eine flexible Stabilisierung – kein starres Korsett. Ein Ansatzpunkt dafür können Prinzipien aus dem »Lean«-Konzept liefern: Beispielsweise ein klarer Rahmen der strategische Weichenstellungen auf höchster Ebene fördert und operative Entscheidungen konsequent dezentralisiert. Auch sind grundsätzliche Wege zum Stakeholder-Management zu schaffen, die ein agiles Framework mit Ausrichtung auf die Teamebene nicht selbst mitbringt – nicht für große Organisationen mit einer hohen Anzahl von Kundengruppen, Investoren, Zertifizierungsstellen sowie Regierungs- und Regulierungsinstanzen. Die Ansätze der Agilität zur vertrauensvollen Integration von Kunden erfordern ein aktives Management der Beziehung, um einseitige und schädliche Vorteilsnahmen durch Einzelne zu verhindern.
2. Management: Anpassen, Planen und Organisieren.
Agile Vorgehensmodelle und Frameworks beschreiben die Arbeitsweise für ein Team und dessen Umgang mit Anforderungen, Aufgaben und Arbeitspaketen und beispielsweise deren Priorisierung anhand des Kundennutzens. Im hier betrachteten Kontext wird ein Umgang mit Anforderungen auf einer höheren Ebene nötig: Wie werden ganze Investitions- oder Produktideen – weit größer und gröber als eine feingranulare Anforderung im Sinne einer User Story – initial beschrieben und im Sinne der wirtschaftlichen Relevanz bewertet? Dazu ist ein Verfahren mit den nötigen Rollen zu etablieren, durch das Investitionen gegeneinander gewichtet werden und mit dem dasjenige zur Umsetzung selektiert werden kann, das den größten Nutzen im Sinne der Unternehmensziele verspricht: ein agiles Portfoliomanagement. Wichtig ist zudem, Verträge mit Drittparteien über Dienstleistungen und Gewerke so zu gestalten, dass sie auch über die Konzerngrenzen hinweg Spielraum für Agilität lassen und doch die Parteien schützen. Stichworte dabei sind Flexibilität und Vertrauen.
3. Management: Aufbauen, Beschaffen und Implementieren.
Sind Investitionsentscheidungen getroffen worden, dann ist etwa die Konsistenz und Koordination vieler an der Umsetzung beteiligter Parteien sicherzustellen und der weitere Einklang mit den Unternehmenszielen zu gewährleisten. Auf der Planungsebene gilt es, eine passende Abstraktionsebene für Anforderungen zu finden, die allen Beteiligten die Kommunikation erlaubt. Eine Produktidee wird in einzelne – aber grobe – nutzbringende Anforderungen wie Teilprodukte oder nutzbare Funktionalitätspakete heruntergebrochen. Ein agiles Programmmanagement sorgt dafür, diese Pakete im Kontext miteinander zu halten. Fehlt dies, kann ein agiles Vorgehen leicht die eigentlichen Ziele »vor lauter Bäumen« aus den Augen verlieren.
4. Management: Bereitstellen, Betreiben und Unterstützen.
Während die agile Entwicklung von Produkten auf Flexibilität und kurze Time-to-Market zielt, ist Stabilität die Zielgröße des Betriebs. Jüngere Konzepte wie »DevOps« zeigen auf, dass beides miteinander einhergehen kann. Agile Best Practices und Lean-Prinzi-pien wie die Ausrichtung nach dem Pull-Prinzip, Taktung und iterative Vorgehensweise in kurzen Zyklen unterstützen die Zusammenarbeit zwischen Entwicklung und Betrieb – bei passender Integration in die agile Governance.
5. Management: Überwachen, Evaluieren und Beurteilen.
Evaluation ist aus Governance-Gesichtspunkten unabdingbar – wobei es sich um einen kontinuierlichen Prozess handeln muss, nicht um einen einmaligen Audit. Entsprechende Instanzen können eigenständig sein, um einen neutralen Blickwinkel zu bewahren, oder in die agile Arbeitsweise integriert sein. Letzteres sorgt dafür, dass Audits und Reviews kein reiner Selbstzweck sind, sondern Wert beitragen. So kann etwa die Erreichung eines Reifegrads nach CMMI Vertriebsvorteile bringen oder im Markt sogar Voraussetzung sein. Den größten Vorteil gewinnt eine Organisation aber nicht durch das Bestehen der Audits, sondern durch das Leben der zugrundeliegenden Kriterien. Es kommt darauf an, wie Querschnittsfunktionen wie Security, Safety etc. in die agile Organisation integriert werden, um effizient mitarbeiten, steuern und beurteilen zu können.
Abbildung 1 zeigt im Überblick die Aspekte, die eine Governance in agilem Vorgehen berücksichtigen sollte. Die Herausforderung für die effektive Governance eines agilen Vorgehens ist es, Organisation und Prozesse/Abläufe nicht durch zahlreiche starre Elemente zu stark zu formalisieren. Auf der Umsetzungsebene bringt das agile Vorgehen innerhalb von Teams nur wenig Vorteile für Ziele wie kurze Time-to-Market, hohe Flexibilität, Qualität und Kundenorientierung, wenn die höheren Ebenen und Governance-Mechanismen zu wenig Freiheit und Flexibilität zulassen. Entscheidend ist, wirkliche Kongruenz mit Unternehmenszielen und externen Regularien sicherzustellen, statt durch einen festen Prozess lediglich diesen Anschein zu erwecken. Für Governance-Abteilungen wird es darauf ankommen, zu verstehen, dass agile Governance zwar anders ist, aber nicht weniger wirkungsvoll. Im Gegenteil: Die iterative Fertigstellung ist viel konkreter. Die Möglichkeiten zur Kontrolle und Steuerung nehmen dadurch sogar noch zu. Auch Konzerne können die Vorteile der agilen Vorgehensweise nutzen – wenn sie ihre Governance-Denkweise anpassen. Agile Projekte brauchen agile Governance.
Patrick Daut (l.) ist Senior Consultant und
Sascha Meyer (r.) Management Consultant
bei Cassini Consulting
agile.cassini.de