COBIT

COBIT

COBIT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). COBIT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist.

Inhaltsverzeichnis

Geschichte

COBIT wurde ursprünglich (1993) vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt, seit 2000 obliegt es dem IT Governance Institute, einer Schwesterorganisation der ISACA, COBIT zu entwickeln und fortzuschreiben. COBIT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter anderem auch als Modell zur Sicherstellung der Einhaltung gesetzlicher Anforderungen (Compliance) eingesetzt. Dies fördert die IT-Industrialisierung.

COBIT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten. Der Anspruch von COBIT ist, das Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO) und den IT-spezifischen Modellen (z.B. ITIL, ISO 17799/27002 etc.) zu sein. Dass COBIT diesem Anspruch gerecht wird, zeigt die hohe Verbreitung von COBIT als Steuerungsmodell der meisten großen Unternehmen international: die ISACA postuliert, dass 95% der Großunternehmen COBIT ganz oder teilweise umsetzen.

Steuerungsansatz

Der Steuerungsansatz von COBIT ist grundsätzlich Top-Down. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen vorgegebenen Steuerungs-Zyklus.

In Summe definiert das COBIT-Framework COBIT 34 IT-Prozesse, zu denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

Aufbau

Die Publikationen von COBIT bestehen aus dem „Core Content“, dem „IT Assurance Guide“, dem „Implementation Guide“ und den „Control Practices“.

Im COBIT 4.1 Core Content wird für jeden der 34 COBIT-Prozesse festgelegt:

  • Prozessbeschreibung
  • Prozessziel (High-Level Control Objective)
  • wesentliche Aktivitäten
  • wesentliche Messgrößen
  • Control Objectives (in der Summe 210; im Vergleich zu insgesamt 215 in Version 4.0 und 318 in Version 3, die als „3rd Edition“ bezeichnet wird)
  • Management Guidelines mit den Inputs und Outputs des Prozesses, einer Aufgaben- und Zuständigkeitsmatrix (RACI-Matrix) und detaillierten Metriken zur Beurteilung des Prozesses und zur Beurteilung des Beitrags einzelner Aktivitäten zu den Zielen des Prozesses und den Beitrag des Prozesses wiederum zu den Zielen der IT
  • Reifegradmodell, das - angelehnt an CMM - die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen (0 bis 5) beschreibt

Zusätzlich beschreibt der COBIT 4.1 Core Content:

  • die Verbindung von Unternehmensziel zu IT-Ziel
  • ein generisches Reifegradmodell
  • Messung und Beurteilung von IT
  • sieben generische (für alle Prozesse gültige) Control Objectives
  • Control Objectives für Anwendungskontrollen (Eingabe-, Verarbeitungs-, Ausgabe- und Übertragungskontrollen)

Der IT Assurance Guide gibt eine detaillierte Anleitung zur Prüfung der IT-Prozesse. Hierbei wird unterschieden in die Prüfung der Prozesse, der Control Objectives und der Control Practices.

Die COBIT Control Practices legen für jedes, im Core Content vorhandene Control Objective Maßnahmen fest, die helfen, die Vorgaben zu erreichen. Die Control Practices können somit als Leitfaden zur Umsetzung herangezogen werden.

Die methodische Vorgehensweise der gesamthaften Umsetzung von IT-Governance ist im „IT Governance Implementation Guide“ beschrieben.

COBIT-relevante Publikationen

Weitere COBIT-relevante Publikationen der ISACA sind:

  • Board Briefing on IT Governance - Zur Bewusstseinsbildung für den Bedarf an unternehmensweiter Steuerung der IT
  • COBIT Mapping - Eine Reihe von Dokumenten, die die Gegenüberstellung von COBIT und anderen IT-Standards (zB ITIL, ISO 17799, IT-Grundschutz-Kataloge, NIST, FIPS, ISO 13335, TOGAF, etc.) enthält. Im Rahmen des COBIT-Mapping wurde, gemeinsam mit OGC, dem Herausgeber von ITIL eine Publikation zur optimalen Kombination von COBIT, ITIL und ISO 27001 erstellt.
  • Control Objectives for Sarbanes Oxley - Eine Anleitung zur Definition von wesentlichen Kontrollaktivitäten, die üblicherweise im Rahmen von SOX-Implementierungen festgelegt werden.
  • Control Objectives for Basel II - Eine Anleitung zur Umsetzung der Anforderungen von Basel II mit Hilfe des COBIT-Frameworks (derzeit in Erstellung)

Die ISACA bietet einen COBIT Foundation Course zur Zertifizierung von Personen an. Zusätzlich werden die folgenden drei Zertifizierungen zum Thema angeboten:

ISACA organisiert jedes Jahr regionale (europäische) und internationale Konferenzen sowie mehrere COBIT User Conventions. Innerhalb dieser Plattformen werden Vorträge und Workshops rund um COBIT und IT-Governance angeboten.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужна курсовая?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • COBIT — is a framework created by ISACA for information technology (IT) management and IT Governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. Contents 1 Overview …   Wikipedia

  • CobiT — (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • Cobit — (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • COBIT — Le CobiT (Control Objectives for Information and related Techonology – Contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d instaurer un langage commun pour parler de la gouvernance des Systèmes d… …   Wikipédia en Français

  • Cobit — Le CobiT (Control Objectives for Information and related Techonology – Contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d instaurer un langage commun pour parler de la gouvernance des Systèmes d… …   Wikipédia en Français

  • Cobit — (сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»)  представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области… …   Википедия

  • CobiT — Le CobiT (Control Objectives for Information and related Technology – Objectifs de contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d instaurer un langage commun pour parler de la Gouvernance des… …   Wikipédia en Français

  • cobit — i (G). A gudgeon like fish …   Dictionary of word roots and combining forms

  • Control Objectives for Information and Related Technology — CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • Val IT — Le référentiel Val IT est un ensemble structuré de pratiques clés de management se rapportant à la gouvernance des systèmes d information. Cette dernière comporte deux volets : un aspect risques, qui conduit à des pratiques d audit et à des… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”