Die Geschichte von ISACA und COBIT

Die Information Systems Audit and Control Association (ISACA) ist ein internationaler Berufsverband von IT-Revisoren, IT-Sicherheitsmanagern und IT-Governance-Experten. Primäres Ziel des Verbandes ist die Verbreitung von Berufsstandards und Arbeitstechniken sowie die Zertifizierung und Weiterbildung von Fachleuten, die sich mit der Kontrolle und der Sicherheit sowie dem Management und der Steuerung von Informationssystemen befassen.

Der Berufsverband ISACA, dem inzwischen weit über 130.000 Mitglieder angeschlossen sind, wurde ursprünglich 1969 als Berufsverband der IT-Revisoren - EDP Auditors Association (EDPAA) - gegründet. Erst 1994 erhielt der Verband seinen heutigen Namen: Information Systems Audit and Control Association - kurz: ISACA. Die Zentrale von des Berufsverbandes ISACA und seiner Forschungseinrichtung (IT Governance Institute) liegt in Rolling Meadows bei Chicago.

Bild: Eingangsschild des ISACA-HQ in 3701 Algonquin Road, Rolling Meadows, IL, USA

Die erste Version von COBIT wurde im April 1996 von der damaligen ISACA-Forschungseinrichtung ISACF (Information Systems Audit and Control Foundation) veröffentlicht. Zum Zeitpunkt der Veröffentlichung waren die nächsten Schritte der Weiterentwicklung bereits klar definiert. Die control objectives sollten nochmals auf Basis weiterer Referenzmaterialien überarbeitet werden und vor allem sollten noch Richtlinien zur Selbsteinschätzung und Metriken für das Management entwickelt werden.

Bild: COBIT Version 1

Im April 1998 erschien die überarbeitete und erweiterte zweite Version. Das Rahmenwerk wurde anfangs hauptsächlich von der internen und externen Revision verwendet, da COBIT für das ganze Spektrum der IT-Aktivitäten eines Unternehmens homogene Anforderungen (control objectives) als „good practices“ beschrieben hatte, welche als Sollvorgaben zur Beurteilung der Situation in der geprüften Einheit verwendet werden konnten. Weiterhin wurden detaillierte Prüfungshandlungen zu den Prozessen in separaten „Audit Guidelines“ beschrieben.

Um das Potenzial von COBIT, sich auch zu einem Rahmenwerk für das IT-Management und das Business Management zu entwickeln, besser zu unterstützen, wurde von der ISACA im Jahr 1998 das IT Governance Institute gegründet und die Entwicklung von COBIT dort angesiedelt. Im Juli 2000 wurde COBIT in der dritten Auflage vor allem um Aspekte des IT-Managements durch die sog. „Management Guidelines“ erweitert. Diese umfassten ein Reifegradmodell (maturity model), kritische Erfolgsfaktoren (critical success factors) sowie wesentliche Zielindikatoren (key goal indicators) und Leistungsindikatoren (key performance indicators). Damit wurden in COBIT Kriterien integriert, um dem Management zu ermöglichen, den Status und die Effektivität der eigenen IT-Prozesse im Hinblick auf die 34 übergeordneten Prozessbereiche beurteilen zu können, einen Soll-Zustand zu definieren, die notwendigen Schritte zur Erreichung des gewünschten Soll-Zustandes festzulegen und die Zielerreichung zu überwachen.


Nach Erscheinen der dritten Auflage haben die Unternehmen COBIT zunehmend sowohl als Leitfaden bei der Implementierung des internen Kontrollsystems in der Unternehmens-IT als auch für die Durchführung von Prozesszustandsbeurteilungen in Form von „Self Assessments“ oder „Health Checks“ angewandt.

Im Jahr 2004 starteten die Entwicklungsarbeiten an der nächsten Version von COBIT mit der Integration von diversen Forschungsprojekten, u.a. von der Antwerp Management School und der University of Hawaii. Im Dezember 2005 kam die Version 4.0 heraus, die vor allem eine deutliche Verschlankung und Reduzierung der control objectives bedeutete und auch explizit die Aspekte der IT-Governance integrierte. In der Folge wurde COBIT 4.0 nochmals in einigen Details überarbeitet und zusammen mit ergänzenden Büchern - wie den COBIT Control Practices, dem IT Governance Implementation Guide: Using COBIT and Val IT sowie dem IT Assurance Guide: Using COBIT - im Mai 2007 in der Version COBIT 4.1 veröffentlicht.

Das IT Governance Institute erachtete dieses Paket sich ergänzender und aufeinander referenzierender Bücher als weitgehend stabil und konzentrierte seine Forschungsbemühungen seitdem auf COBIT und die IT-Governance-Ansätze ergänzende Produkte.

Parallel dazu begann die Entwicklung am Rahmenwerk Val IT, das im Jahr 2006 erstmals veröffentlicht wurde. Die zweite, besser mit COBIT integrierte Version erschien im Jahr 2008. In diesem Jahr startete auch die Entwicklung des jüngsten Rahmenwerks der ISACA: Risk IT. Dieses erschien erstmals im Entwurf im Mai 2009 und in der finalen Version im November 2009. 

Im Jahr 2011 begann die ISACA mit der Weiterentwicklung von COBIT und rief eine entsprechende Task Force ins Leben. Ein Ziel dabei war die Integration der vorhandenen Inhalte aus verschiedenen ISACA-Rahmenwerken in ein Modell. Neben den bereits erwähnten Rahmenwerken Val IT und Risk IT wurden auch die Inhalte von ISACA-Veröffentlichungen wie dem IT Assurance Framework (ITAF), dem Board Briefing on IT Governance oder dem Business Model for Information Security (BMIS) integriert. Im April 2012 wurden die ersten drei Bücher der neu konzipierten COBIT 5-Produktfamilie veröffentlicht:

• das COBIT 5-Rahmenwerk (Business Framework), 

• das Handbuch COBIT 5: Enabling Processes und 

• der Umsetzungsleitfaden COBIT 5: Implementation. 

Das Business Framework dient als konzeptionelles Hauptwerk und umfasst vor allem eine Beschreibung der fünf Prinzipien, die Einführung in die sieben Enabler sowie eine kurze Vorstellung des neuen Prozessmodells und des neuen Reifegradansatzes. Das Prozessmodell wurde als separates Handbuch (COBIT 5: Enabling Processes) veröffentlicht und umfasst fünf Governance-Prozesse und 32 Managementprozesse. Der Umsetzungsleitfaden (COBIT 5: Implementation) gibt Hilfestellungen zur Einführung von IT-Governance und enthält neben einem siebenstufigen Lebenszyklus zur Einrichtung einer nachhaltigen IT-Governance auch viele praxisrelevante Elemente aus Risk IT und Val IT.

Weitere COBIT-Handbücher und Umsetzungsleitfäden erscheinen zur Vervollständigung der Produktfamilie sukzessive:

Alle diese COBIT-Bücher sind in meinem Buch Praxiswissen COBIT ausführlich beschrieben.