Ein Audit bringt immer eine gewisse Unruhe in die Organisation. Die Aufgaben der Auditoren und die Ziele des Audits sind meist nur den Auftraggebern im Unternehmen im Detail bekannt. Auch wenn es eine erste allgemeine Information über Zweck und Ablauf des Audits durch IT- und Geschäftsführung geben sollte, bleiben Details für die weiteren Personengruppen erst mal nicht greifbar.
Meiner Meinung nach lässt sich diese Situation durch Transparenz und Kommunikation auf Augenhöhe vermeiden. Deshalb erkläre ich den Ablauf des Audits in fünf Schritten.
Schritt 1: Vorbereitung
Stakeholder identifizieren, Datenbasis sichten
Die Stakeholder der Disziplinen in den Bereichen Management, Entwicklung, Betrieb, und Architektur werden anhand einen Interviewplans eingeladen. Grundlage ist ein auf die Disziplin abgestimmter Fragenkatalog. Er wird in einem zeitlich vertretbaren Abstand vor dem Interview dem Stakeholder bereitgestellt. So kann sich der Stakeholder bereits im Vorfeld mit den Themen auseinandersetzen und ggfls. bereits erste Informationen einholen.
Gleichzeitig wird die vorhandene Datenbasis gesichtet. Dazu zahlen u.a. Architektur- und Prozessdokumentation, sowie Incidents und Service Request in einem festzulegenden Zeitraum.
Schritt 2: Interviews & Analyse
Reifegradmodell, KPI’s und qualitative Bewertung
Im Interview wird der Fragenkatalog behandelt, erste Punke geklärt und weitere Aufgaben besprochen. U.U. wird ein weitere Termin, wenn notwendig mit anderen Personen angesetzt. Wenn notwendig, wird es weitere Iterationen geben.
Die Antworten und die bereitgestellten KPI’s werden anhand der unten stehenden Modelle ausgewertet und in den Gesamtkontext integriert.
Die Ergebnisse wird anhand des Organisations-Reifegrad Modells Punkt für Punkt mit dem / den Stakeholder bewertet. Daraus ergibt sich eine Bewertungs-Matrix.
Die Fragen zielen in der Regel auf den Kernprozess der Disziplin, auf das Rollenschema (RACI) und die Schnittstellen und Prozesse ab.
Organisations– Reifegradmodell
Mit dem Reifegrad wird gemeinhin die Fähigkeit einer Organisation beschrieben, eine bestimmte Methode, Handlungs- oder Führungsmodell erfolgreich einzusetzen. Am bekanntesten ist die Verwendung des sog. Reifegrads im „Capability Maturity Model“ (CMM) des Software Engineering Institutes. Darüber hinaus ist der Begriff Reifegrad auch im Zusammenhang mit Risikomanagement, Qualitätsmanagement und anderen Bereichen zu finden. Weitgehend durchgesetzt hat sich eine sechsstufige Skala zur Bestimmung des Reifegrads.
Reifegradmodell
| Stufe | Status | Beschreibung |
| 0 | ./. | Keine Fähigkeit vorhanden |
| 1 | Initial | individuelle, nicht in der Organisation verankerte Fähigkeiten, die nicht dokumentiert und nicht wiederholbar sind. |
| 2 | Wiederholbar | dokumentierte Standards für den betrachteten Bereich (Grob-Konzept) |
| 3 | Definiert | Aufbau einer Wissens- und Erfahrungsbasis und der Implementierung von messbaren Kennzahlen in den betrachteten Prozessen. (Feinkonzept, SOP’s, Standard-Geschäftsprozesse) |
| 4 | Verwaltet | bedeutet eine Orientierung der Organisation an Best Practices aus Benchmarking mit anderen Organisationen. (KPI’s) |
| 5 | Die Organisation kann aus sich selbst heraus einen kontinuierlichen Lern- und Verbesserungsprozess betreiben. (effizient) |
Vergl.: Fähigkeitsreifemodell – Wikipedia, Capability Maturity Model for Software (Version 1.1)
Key Performance Indicator
Als zweiten Faktor werden KPI’s zur quantitativen Bewertung einer Disziplin herangezogen. Beispiele zu den qualitativen Erörterungen und den KPI‘ werden im zweiten Teil beschrieben. KPI’s und Fragenkatalog werden weiter unten beschrieben.
KPI‘s werden gerne mit der SMART-Methode (Specific, Measurable, Achievable, Reasonable, Time-Bound) ermittelt. Sie unterstützt die eindeutige Definition von Zielen im Rahmen einer Zielvereinbarung. KPI’s müssen die Ziele des Unternehmens widerspiegeln. Die Zusammen-stellung der KPI’s ist für jede Zielgruppe in der Organisation einzigartig.
Dabei ist es für den Erfolg des Audits existentiell, das KPI’s gemäß dem Reifegrad der Organisation und Ihrer Teile eingesetzt werden. So ist es sinnlos, die Erstlösungsrate des Helpdesks zu ermitteln, wenn es keine vollständige Implementierung der Lösungskorridore in Form von SOP’s dazu gibt.
Vergl.: Key-Performance-Indicator – Wikipedia, Organisationshandbuch – SMART-Regel / SMART-Methode
Schritt 3: Bewertung
Zusammenführung, Scoring und Visualisierung im Dashboard
Das Dashboard nimmt die Antworten auf alle qualitativen Fragen und KPI’s der Disziplinen auf. Dabei ist der Reifegrad Grundlage für alle qualitativen Fragen. Daraus wird ein Mittelwert ermittelt. Er stellt einen Indikator des Organisations- Reifegrades für eine Disziplin dar. Eine einfache Art der Darstellung eines Dashboards ist eine entsprechende Excel Tabelle. Sie hat während des Audits den Vorteil, der schnellen und individuellen Anpassung an die Gegebenheiten des Audits.
Schritt 4: Benchmarking & Einordnung
Abgleich mit Standards, Reifegradvergleiche
Die ermittelten Werte im Dashboard werden Industriestandards und / oder Benchmarking gegenübergestellt. Damit wird die Leistungsfähigkeit der IT-Organisation im Verhältnis zu anderen Unternehmen der Branche, Best Practice und Defacto Standards ermittelt.
Beispiele:
Beispiel 1: „IT-Ausgaben zu Umsatz“
Das Verhältnis von Umsatz zu Ausgaben für die Informationstechnologie im Unternehmen liegt in der Dienstleistungsbranche (z.B. Handel) bei einem mittleren Wert für 2024/2025 von 3-6%,
Beeinflussende Faktoren
Wenn ein Immobilien-Unternehmen stark auf digitale Prozesse, KI-gestützte Heizungssteuerung und automatisierte Abrechnung setzt, ist ein IT-Kostenanteil im oberen Bereich des Benchmarks (>4 %) realistisch und plausibel.
| Branche | Einige Branchen, (z.B. Technologie), haben tendenziell höhere IT-Ausgaben. |
| Unternehmensgröße | größere Unternehmen haben oft höhere IT-Ausgaben, da sie mehr Mitarbeiter und eine komplexere IT-Infrastruktur haben. |
| Organisations- Reifegrad | Unternehmen, die sich in einer frühen Phase der Digitalisierung befinden, investieren oft mehr in IT, um ihre Prozesse zu optimieren und neue Technologien einzuführen. |
Beispiel 2: „Ausgabenverteilung Run-Grow-Transform (RGT)„
Laut einer Analyse von Confare und Metrics.biz zeigt sich 2025 folgende Verteilung:
| Run (Betrieb) | 60& | Betrieb bestehender IT-Systeme, Infrastruktur, Support |
| Grow (Optimierung) | 25% | Verbesserung bestehender Prozesse, Automatisierung, Effizienzsteigerung |
| Transform (Innovation) | 15% | Neue digitale Geschäftsmodelle, disruptive Technologien, KI, Plattformen |
Der Trend in 2025: Es findet eine Verschiebung von „Grow“ zu „Transform“ statt. Unternehmen investieren zunehmend in digitale Transformation, insbesondere in KI, Cloud und Plattformstrategien. Gleichzeitig bleibt der Run-Anteil hoch, da viele Unternehmen noch Legacy-Systeme betreiben.
Relevanz
Für Dienstleistungsunternehmen, das stark auf digitale Verbrauchserfassung, Smart Metering etc. setzt, wird der Transform-Anteil über dem Durchschnitt liegen – z.B. bei 20% oder mehr, wenn aktiv in neue digitale Services investiert wird.
Schritt 5: Ergebnispräsentation
Gap- Analyse, Handlungsempfehlungen, Priorisierung,
Es ist ratsam, die Ergebnisse des Audits allen beteiligten Personen zielgruppengerecht darzulegen. Das erhöht die Transparenz und vereinfacht die anschließende Arbeit.
Die Aufarbeitung der Ergebnisse in den Disziplinen (Gap-Analyse) werden durch entsprechende Handlungsempfehlungen in eine sinnvolle Reihenfolge (Action-List) gebracht. Es werden für jede Handlungsempfehlung Aufwände (mit möglichen Abweichungen) ermittelt und Nutzen spezifiziert.
| Priorität | Disziplin | Gap | Handlungsempfehlung | Aufwand (PT) | Nutzen | Abhängigkeiten |
| 1-x |
Die Begriffe der Action-List haben folgende Bedeutungen.
| Attribut | Beschreibung |
| Priorität | Die Priorität hängt von der Wichtigkeit, der Dringlichkeit, den technischen. und organisatorischen Abhängigkeiten sowie dem verfügbaren Gesamtbudget ab. Die Priorität wird vom Auditor vorgeschlagen, Die Stakeholder entscheiden aber letztendlich. |
| Disziplin | Die Disziplinen sind in die Kategorien Management, Entwicklung, Betrieb, und Architektur gegliedert. Eine genaue Bestimmung der Disziplinen sind von der Situation der IT-Organisation abhängig. |
| Gap | Beschreibung der Schwachstelle / Gap |
| Handlungsempfehlung | Beschreibung einer Maßnahme / Lösungsvariante |
| Aufwand | geschätzter Aufwand in PT mit einem Abweichungskorridor (-+%), da zum Zeitpunkt der Ermittlung nicht alle Rahmenbedingungen bekannt sind. |
| Nutzen | Nutzen der Maßnahme |
| Abhängigjkeiten | Beschreibung der Maßnahme von anderen Maßnahmen oder Voraussetzungen |