COBIT

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

COBIT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). COBIT definiert hierbei nicht vorrangig wie die Anforderungen umzusetzen sind, sondern primär was umzusetzen ist.

Geschichte[Bearbeiten]

COBIT wurde ursprünglich (1993) vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt. COBIT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter anderem auch als Modell zur Sicherstellung der Einhaltung gesetzlicher Anforderungen (Compliance) eingesetzt. Dies fördert die IT-Industrialisierung.

COBIT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten. Der Anspruch von COBIT ist, das Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO) und den IT-spezifischen Modellen (z.B. ITIL, ISO 27001/27002 etc.) zu sein. Dass COBIT diesem Anspruch gerecht wird, zeigt die hohe Verbreitung von COBIT als Steuerungsmodell der meisten großen Unternehmen international: Die ISACA postuliert, dass 95 % der Großunternehmen COBIT ganz oder teilweise umsetzen.

Steuerungsansatz[Bearbeiten]

Der Steuerungsansatz von COBIT ist grundsätzlich Top-Down. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen Steuerungs-Zyklus.

In Summe definiert das COBIT 5-Framework 37 IT-Prozesse, denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

Aufbau[Bearbeiten]

COBIT 4.1[Bearbeiten]

Die Publikationen von COBIT 4.1 bestehen aus dem „Core Content“, dem „IT Assurance Guide“, dem „Implementation Guide“ und den „Control Practices“.

Im COBIT 4.1 Core Content wird für jeden der 34 COBIT-Prozesse festgelegt:

  • Prozessbeschreibung
  • Prozessziel (High-Level Control Objective)
  • wesentliche Aktivitäten
  • wesentliche Messgrößen
  • Control Objectives (in der Summe 210; im Vergleich zu insgesamt 215 in Version 4.0 und 318 in Version 3, die als „3rd Edition“ bezeichnet wird)
  • Management Guidelines mit den Inputs und Outputs des Prozesses, einer Aufgaben- und Zuständigkeitsmatrix (RACI-Matrix) und detaillierten Metriken zur Beurteilung des Prozesses und zur Beurteilung des Beitrags einzelner Aktivitäten zu den Zielen des Prozesses und den Beitrag des Prozesses wiederum zu den Zielen der IT
  • Reifegradmodell, das - angelehnt an CMM - die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen (0 bis 5) beschreibt

Zusätzlich beschreibt der COBIT 4.1 Core Content:

  • die Verbindung von Unternehmensziel zu IT-Ziel
  • ein generisches Reifegradmodell
  • Messung und Beurteilung von IT
  • sieben generische (für alle Prozesse gültige) Control Objectives
  • Control Objectives für Anwendungskontrollen (Eingabe-, Verarbeitungs-, Ausgabe- und Übertragungskontrollen)

Der IT Assurance Guide gibt eine detaillierte Anleitung zur Prüfung der IT-Prozesse. Hierbei wird unterschieden in die Prüfung der Prozesse, der Control Objectives und der Control Practices.

Die COBIT Control Practices legen für jedes, im Core Content vorhandene Control Objective Maßnahmen fest, die helfen, die Vorgaben zu erreichen. Die Control Practices können somit als Leitfaden zur Umsetzung herangezogen werden.

Die methodische Vorgehensweise der gesamthaften Umsetzung von IT-Governance ist im „IT Governance Implementation Guide“ beschrieben.

COBIT 5[Bearbeiten]

COBIT 5 wurde im April 2012 veröffentlicht.[1] COBIT 5 konsolidiert und integriert COBIT 4.1, Val IT 2.0 sowie das Risk IT Framework.

COBIT-relevante Publikationen[Bearbeiten]

Weitere COBIT-relevante Publikationen der ISACA sind:

  • Board Briefing on IT Governance - Zur Bewusstseinsbildung für den Bedarf an unternehmensweiter Steuerung der IT
  • COBIT Mapping - Eine Reihe von Dokumenten, die die Gegenüberstellung von COBIT und anderen IT-Standards (zB ITIL, ISO 17799, IT-Grundschutz-Kataloge, NIST, FIPS, ISO 13335, TOGAF, etc.) enthält. Im Rahmen des COBIT-Mapping wurde, gemeinsam mit OGC, dem Herausgeber von ITIL eine Publikation zur optimalen Kombination von COBIT, ITIL und ISO 27001 erstellt.
  • Control Objectives for Sarbanes Oxley - Eine Anleitung zur Definition von wesentlichen Kontrollaktivitäten, die üblicherweise im Rahmen von SOX-Implementierungen festgelegt werden.
  • Control Objectives for Basel II - Eine Anleitung zur Umsetzung der Anforderungen von Basel II mit Hilfe des COBIT-Frameworks (derzeit in Erstellung)

Personenzertifizierung[Bearbeiten]

Die ISACA bietet folgenden Zertifizierungen zum Thema an:

ISACA organisiert jedes Jahr regionale (europäische) und internationale Konferenzen sowie mehrere COBIT User Conventions. Innerhalb dieser Plattformen werden Vorträge und Workshops rund um COBIT und IT-Governance angeboten.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. ISACA Issues COBIT 5 Governance Framework. In: ISACA.org. Abgerufen am 12. Juni 2013.
  2. http://www.isaca.org/Education/COBIT-Education/Pages/COBIT-Foundation.aspx
  3. http://www.isaca.org/Education/COBIT-Education/Pages/COBIT-Implementation.aspx
  4. http://www.isaca.org/Education/COBIT-Education/Pages/COBIT-Assessor.aspx