COBIT 5 im Überblick

COBIT (Control Objectives for Information and Related Technology) ist ein Rahmenwerk für das Management und die Steuerung der Unternehmens-IT. Die aktuelle Version von COBIT (COBIT 5) beinhaltet ein Prozessmodell mit generell anwendbaren und international akzeptierten IT-prozessbezogenen Anforderungen (Prozesspraktiken), die in einem Unternehmen beachtet und umgesetzt werden sollten, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. Die Idee dahinter: Erst wenn Informationen, Anwendungen, Infrastruktur und Menschen richtig organisiert sind, werden die Geschäftsprozesse die an sie gestellten Anforderungen erfüllen.

Die Prozesspraktiken sind in COBIT 5 nach einem alle IT-Funktionen umfassenden Prozessmodell strukturiert. Dieses unterscheidet 37 Prozesse, welche jeweils einem der fünf nachfolgend aufgelisteten Prozessbereichen (domains) zugeordnet sind:

 

 

Für jeden der in den fünf Bereichen enthaltenen 37 COBIT-Prozesse formuliert COBIT zwischen drei und 14 normative Aussagen (Prozesspraktiken). Werden die 210 in COBIT 5 enthaltenen Prozesspraktiken (mithilfe der über 1.000 Prozessaktivitäten) konsequent umgesetzt, kann damit eine Steuerung, Planung, Beschaffung, Abwicklung und Überwachung aller in den IT-Prozessen eingesetzten IT-Ressourcen sichergestellt werden.

Als prozessorientiertes Modell ist COBIT unabhängig von der eingesetzten Technologie oder der Branche des Unternehmens und lässt sich unabhängig vom jeweiligen geschäftlichen und technischen Umfeld anwenden. COBIT richtet sich auch nicht nur an IT-Fachleute, sondern stellt über die Ausrichtung an die Geschäftsprozesse auch den Geschäftsprozesseigentümern ein Rahmenwerk für das Business Management sowie dem Top Management durch die vorhandenen Prozessmerkmale und -kennzahlen ein ganzheitliches IT-Governance-Modell zur Verfügung.

Die nachfolgende Abbildung verdeutlicht das COBIT-Prozessmodell mit der Schnittstelle zum Business:

Abb.: Überblick der COBIT-5-Prozessbereiche

 

Daneben umfasst sieben wichtige Umsetzungskomponenten (Enabler) für die IT-Governance und das IT-Management. Enabler sind kritische Erfolgsfaktoren, die sowohl individuell als auch kollektiv Einfluss darauf haben, ob etwas funktioniert – in diesem Fall das Erreichen von Zielen durch eine effektive Governance und ein effektives Management der Unternehmens-IT. Das COBIT 5-Rahmenwerk beschreibt sieben Enabler zum Erreichen der IT-Ziele:

Prinzipien, Richtlinien und Rahmenwerke (Principles, Policies and Frameworks) 

Prinzipien, Richtlinien und Rahmenwerke sind das Vehikel zur Erreichung des erwünschten Verhaltens. Der Enabler „Prinzipien, Richtlinien und Rahmenwerke“ umfasst die installierten Kommunikationsmittel, um die Vorgaben und Anweisungen der Governance-Organe und des Managements zu vermitteln. Für den Enabler „Prinzipien, Richtlinien und Rahmenwerke“ werden im COBIT 5-Rahmenwerk gute Praktiken wie Effektivität, Effizienz, Aktualität oder Eingängigkeit dargestellt. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 6 meines Buches Praxiswissen COBIT.

Prozesse (Processes)

Prozesse beschreiben einen strukturierten Satz mit Praktiken und Aktivitäten zur Erreichung bestimmter Ziele und liefern einen Satz mit Ergebnissen, die zur Erreichung allgemeiner IT-bezogener Ziele beitragen. Der Enabler „Prozesse“ umfasst vor allem ein Prozessmodell mit standardisierten Elementen wie Prozessbeschreibung, Prozesszweck, Ziele mit dazugehörigen Metriken, RACI-Diagramm, Prozesspraktiken und -aktivitäten sowie Referenzmaterialien. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 11 meines Buches Praxiswissen COBIT. 

Organisationsstrukturen (Organisational Structures)

Organisationsstrukturen sind die wichtigsten Entitäten der Entscheidungsfindung im Unternehmen. Für den Enabler „Organisationsstrukturen“ werden im COBIT 5-Rahmenwerk sowohl das Rollenmodell dargestellt als auch gute Praktiken für Organisationsstrukturen wie Arbeitsprinzipien, ausgewogene Zusammensetzung der Mitglieder oder Umfang der Befugnisse. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 7 meines Buches Praxiswissen COBIT. 

Kultur, Ethik und Verhalten (Culture, Ethics and Behaviour)

Kultur, Ethik und Verhalten der Mitarbeiter und des Unternehmens werden als Erfolgsfaktoren für Governance- und Managementaktivitäten häufig unterschätzt. Der Enabler „Kultur, Ethik und Verhalten“ bezieht sich auf individuelles und kollektives Verhalten innerhalb eines Unternehmens. Das COBIT 5-Rahmenwerk stellt insbesondere Verfahren zur Schaffung, Förderung und Aufrechterhaltung eines erwünschten Verhaltens dar. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 8 meines Buches Praxiswissen COBIT. 

Information (Information)

Informationen sind in jeder Organisation allgegenwärtig. Zu ihnen gehören sämtliche vom Unternehmen produzierten und verwendeten Informationen. Informationen sind für die Aufrechterhaltung des Betriebs der Organisation und dessen Steuerung unverzichtbar. Auf operativer Ebene sind Informationen häufig sogar das wichtigste Produkt des Unternehmens überhaupt. Der Enabler „Information“ bezieht sich auf alle unternehmensrelevanten Informationen. Die Ziele des Enablers „Information“ werden im COBIT 5-Rahmenwerk durch die drei Dimensionen intrinsische Qualität, kontextabhängige Qualität sowie Sicherheit bzw. Zugangsmöglichkeiten beschrieben. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 13 meines Buches Praxiswissen COBIT. 

Services, Infrastruktur und Anwendungen (Services, Infrastructure and Applications)

Services, Infrastruktur und Anwendungen umfassen die Infrastruktur, die Technologie und die Anwendungen, die innerhalb des Unternehmens die IT-Verarbeitung und IT-Services sicherstellen. Der Enabler „Services, Infrastruktur und Anwendungen“ bezieht sich auf die Ressourcen, die bei der Bereitstellung von IT-Dienstleistungen genutzt werden. Die Ziele des Enablers werden im COBIT 5-Rahmenwerk in Bezug auf die Dienstleistungen (Anwendungen, Infrastruktur, Technologie) und die Service Level ausgedrückt. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 9 meines Buches Praxiswissen COBIT.

Mitarbeiter, Fähigkeiten und Kompetenzen (People, Skills and Competencies)

Mitarbeiter, Fähigkeiten und Kompetenzen beziehen sich auf das Personal und sind für die Durchführung aller Aktivitäten, das Treffen der richtigen Entscheidungen und die Umsetzung korrektiver Maßnahmen erfolgskritisch. Das COBIT 5-Rahmenwerk zeigt zum Enabler „Mitarbeiter, Fähigkeiten und Kompetenzen“ wichtige Fähigkeiten für jede COBIT-Prozessdomäne auf sowie Ziele für Fähigkeiten und Kompetenzen, wie Bildungs- und Qualifikationsniveaus, technische Fähigkeiten, Erfahrung, Wissen und Verhalten. Eine detaillierte Darstellung dieses Enablers erfolgt in Kapitel 10 meines Buches Praxiswissen COBIT.

Abb.: Überblick der COBIT-5-Enabler

Die Abbildung zeigt, dass die sieben Enabler miteinander interagierende kritische Erfolgsfaktoren sind. Prinzipien, Richtlinien und Rahmenwerke sind als Vehikel zur Kommunikation der Vorgaben und Anweisungen der Governance-Organe und des Managements der Ausgangspunkt für alle Enabler. 

COBIT wird weltweit von Tausenden von Unternehmen als Basis für ihre IT-Governance- und IT-Compliance-Aktivitäten herangezogen. Im deutschen Sprachraum ist die Akzeptanz von COBIT in den letzten Jahren deutlich gestiegen, im globalen Vergleich aber immer noch vergleichsweise niedrig. International hat sich COBIT als anerkanntes Rahmenwerk für die Governance und das interne Kontrollsystem in der Informationstechnologie etabliert. COBIT wurde sowohl von namhaften Unternehmen in das eigene interne Kontrollsystem integriert (u. a. Daimler, Philips) als auch von Behörden (u. a. amerikanisches Verteidigungsministerium, European Agricultural Guidance and Guarantee Fund) und anderen Institutionen (u. a. META-Group, Gartner) als Standard empfohlen. Die Aufsichtsbehörden einiger Länder haben COBIT sogar für verbindlich erklärt (u. a. Türkei, Kolumbien, Uruguay).

Das Rahmenwerk von COBIT 5 steht zum kostenfreien Download auf der Webseite des internationalen Berufsverbandes ISACADieses Rahmenwerk wird ergänzt durch Handbücher für einzelne Schlüsselkomponenten(wie Prozesse oder Information) als auch Umsetzungsleitfäden für einzelne Anwendungsfelder (wie Sicherheit, Assurance oder Risiko). 

Das ISACA Germany Chapter e.V. hat zwei der Bücher der COBIT 5-Produktfamilie (Rahmenwerk und Prozessreferenzmodell) ins Deutsche übersetzen lassen und im Oktober 2012 veröffentlicht. Diese sind ebenfalls auf der Webseite des internationalen Berufsverbandes ISACA verfügbar.

In meinem Buch Praxiswissen COBIT wird COBIT 5 mit seiner kompletten Produktfamilie dargestellt und auch die dahinter liegenden Konzepte behandelt.