COBIT

COBIT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). COBIT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist.

Geschichte

COBIT wurde ursprünglich (1993) vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt, seit 2000 obliegt es dem IT Governance Institute, einer Schwesterorganisation der ISACA, COBIT zu entwickeln und fortzuschreiben. COBIT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter anderem auch als Modell zur Sicherstellung der Einhaltung gesetzlicher Anforderungen (Compliance) eingesetzt. Dies fördert die IT-Industrialisierung.

COBIT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten. Der Anspruch von COBIT ist, das Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO) und den IT-spezifischen Modellen (z.B. ITIL, ISO 17799/27002 etc.) zu sein. Dass COBIT diesem Anspruch gerecht wird, zeigt die hohe Verbreitung von COBIT als Steuerungsmodell der meisten großen Unternehmen international: die ISACA postuliert, dass 95% der Großunternehmen COBIT ganz oder teilweise umsetzen.

Steuerungsansatz

Der Steuerungsansatz von COBIT ist grundsätzlich Top-Down. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen vorgegebenen Steuerungs-Zyklus.

In Summe definiert das COBIT-Framework COBIT 34 IT-Prozesse, zu denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

Aufbau

Die Publikationen von COBIT bestehen aus dem „Core Content“, dem „IT Assurance Guide“, dem „Implementation Guide“ und den „Control Practices“.

Im COBIT 4.1 Core Content wird für jeden der 34 COBIT-Prozesse festgelegt:

• Prozessbeschreibung
• Prozessziel (High-Level Control Objective)
• wesentliche Aktivitäten
• wesentliche Messgrößen
• Control Objectives (in der Summe 210; im Vergleich zu insgesamt 215 in Version 4.0 und 318 in Version 3, die als „3rd Edition“ bezeichnet wird)
• Management Guidelines mit den Inputs und Outputs des Prozesses, einer Aufgaben- und Zuständigkeitsmatrix (RACI-Matrix) und detaillierten Metriken zur Beurteilung des Prozesses und zur Beurteilung des Beitrags einzelner Aktivitäten zu den Zielen des Prozesses und den Beitrag des Prozesses wiederum zu den Zielen der IT
• Reifegradmodell, das - angelehnt an CMM - die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen (0 bis 5) beschreibt

Zusätzlich beschreibt der COBIT 4.1 Core Content:

• die Verbindung von Unternehmensziel zu IT-Ziel
• ein generisches Reifegradmodell
• Messung und Beurteilung von IT
• sieben generische (für alle Prozesse gültige) Control Objectives
• Control Objectives für Anwendungskontrollen (Eingabe-, Verarbeitungs-, Ausgabe- und Übertragungskontrollen)

Der IT Assurance Guide gibt eine detaillierte Anleitung zur Prüfung der IT-Prozesse. Hierbei wird unterschieden in die Prüfung der Prozesse, der Control Objectives und der Control Practices.

Die COBIT Control Practices legen für jedes, im Core Content vorhandene Control Objective Maßnahmen fest, die helfen, die Vorgaben zu erreichen. Die Control Practices können somit als Leitfaden zur Umsetzung herangezogen werden.

Die methodische Vorgehensweise der gesamthaften Umsetzung von IT-Governance ist im „IT Governance Implementation Guide“ beschrieben.

COBIT-relevante Publikationen

Weitere COBIT-relevante Publikationen der ISACA sind:

• Board Briefing on IT Governance - Zur Bewusstseinsbildung für den Bedarf an unternehmensweiter Steuerung der IT
• COBIT Mapping - Eine Reihe von Dokumenten, die die Gegenüberstellung von COBIT und anderen IT-Standards (zB ITIL, ISO 17799, IT-Grundschutz-Kataloge, NIST, FIPS, ISO 13335, TOGAF, etc.) enthält. Im Rahmen des COBIT-Mapping wurde, gemeinsam mit OGC, dem Herausgeber von ITIL eine Publikation zur optimalen Kombination von COBIT, ITIL und ISO 27001 erstellt.
• Control Objectives for Sarbanes Oxley - Eine Anleitung zur Definition von wesentlichen Kontrollaktivitäten, die üblicherweise im Rahmen von SOX-Implementierungen festgelegt werden.
• Control Objectives for Basel II - Eine Anleitung zur Umsetzung der Anforderungen von Basel II mit Hilfe des COBIT-Frameworks (derzeit in Erstellung)

Die ISACA bietet einen COBIT Foundation Course zur Zertifizierung von Personen an. Zusätzlich werden die folgenden drei Zertifizierungen zum Thema angeboten:

• Certified Information Systems Auditor (CISA) – Diese Zertifizierung richtet sich hauptsächlich an IT-Prüfer/Auditoren.
• Certified Information Security Manager (CISM) – Diese Zertifizierung richtet sich hauptsächlich an IT-Sicherheitsmanager.
• Certified in the Governance of Enterprise IT (CGEIT) - Diese Zertifizierung richtet sich an IT-Governance-Verantwortliche.

ISACA organisiert jedes Jahr regionale (europäische) und internationale Konferenzen sowie mehrere COBIT User Conventions. Innerhalb dieser Plattformen werden Vorträge und Workshops rund um COBIT und IT-Governance angeboten.

Weblinks

• ISACA Website mit der englischsprachigen Version von COBIT 4.1 unter ISACA
• ISACA Switzerland Chapter
• ISACA German Chapter
• ISACA Austrian Chapter
• COBIT-Campus, Offizielles Training zu COBIT der ISACA International