Die Geschichte von ISACA und COBIT

Die Information Systems Audit and Control Association (ISACA) ist ein internationaler Berufsverband von IT-Revisoren, IT-Sicherheitsmanagern und IT-Governance-Experten. Primäres Ziel des Verbandes ist die Verbreitung von Berufsstandards und Arbeitstechniken sowie die Zertifizierung und Weiterbildung von Fachleuten, die sich mit der Kontrolle und der Sicherheit sowie dem Management und der Steuerung von Informationssystemen befassen.

Der Berufsverband ISACA, dem inzwischen weit über 140.000 Mitglieder angeschlossen sind, wurde ursprünglich 1969 als Berufsverband der IT-Revisoren - EDP Auditors Association (EDPAA) - gegründet. Erst 1994 erhielt der Verband seinen heutigen Namen: Information Systems Audit and Control Association - kurz: ISACA. Die Zentrale von des Berufsverbandes ISACA und seiner Forschungseinrichtung (IT Governance Institute) liegt in Rolling Meadows bei Chicago.

Die erste Version von COBIT wurde im April 1996 von der damaligen ISACA-Forschungseinrichtung ISACF (Information Systems Audit and Control Foundation) veröffentlicht. Zum Zeitpunkt der Veröffentlichung waren die nächsten Schritte der Weiterentwicklung bereits klar definiert. Die control objectives sollten nochmals auf Basis weiterer Referenzmaterialien überarbeitet werden und vor allem sollten noch Richtlinien zur Selbsteinschätzung und Metriken für das Management entwickelt werden.

Bild: COBIT Version 1

Im April 1998 erschien die überarbeitete und erweiterte zweite Version. Das Rahmenwerk wurde anfangs hauptsächlich von der internen und externen Revision verwendet, da COBIT für das ganze Spektrum der IT-Aktivitäten eines Unternehmens homogene Anforderungen (control objectives) als „good practices“ beschrieben hatte, welche als Sollvorgaben zur Beurteilung der Situation in der geprüften Einheit verwendet werden konnten. Weiterhin wurden detaillierte Prüfungshandlungen zu den Prozessen in separaten „Audit Guidelines“ beschrieben.

Um das Potenzial von COBIT, sich auch zu einem Rahmenwerk für das IT-Management und das Business Management zu entwickeln, besser zu unterstützen, wurde von der ISACA im Jahr 1998 das IT Governance Institute gegründet und die Entwicklung von COBIT dort angesiedelt. Im Juli 2000 wurde COBIT in der dritten Auflage vor allem um Aspekte des IT-Managements durch die sog. „Management Guidelines“ erweitert. Diese umfassten ein Reifegradmodell (maturity model), kritische Erfolgsfaktoren (critical success factors) sowie wesentliche Zielindikatoren (key goal indicators) und Leistungsindikatoren (key performance indicators). Damit wurden in COBIT Kriterien integriert, um dem Management zu ermöglichen, den Status und die Effektivität der eigenen IT-Prozesse im Hinblick auf die 34 übergeordneten Prozessbereiche beurteilen zu können, einen Soll-Zustand zu definieren, die notwendigen Schritte zur Erreichung des gewünschten Soll-Zustandes festzulegen und die Zielerreichung zu überwachen.


Nach Erscheinen der dritten Auflage haben die Unternehmen COBIT zunehmend sowohl als Leitfaden bei der Implementierung des internen Kontrollsystems in der Unternehmens-IT als auch für die Durchführung von Prozesszustandsbeurteilungen in Form von „Self Assessments“ oder „Health Checks“ angewandt.

Im Jahr 2004 starteten die Entwicklungsarbeiten an der nächsten Version von COBIT mit der Integration von diversen Forschungsprojekten, u.a. von der Antwerp Management School und der University of Hawaii. Im Dezember 2005 kam die Version 4.0 heraus, die vor allem eine deutliche Verschlankung und Reduzierung der control objectives bedeutete und auch explizit die Aspekte der IT-Governance integrierte. In der Folge wurde COBIT 4.0 nochmals in einigen Details überarbeitet und zusammen mit ergänzenden Büchern - wie den COBIT Control Practices, dem IT Governance Implementation Guide: Using COBIT and Val IT sowie dem IT Assurance Guide: Using COBIT - im Mai 2007 in der Version COBIT 4.1 veröffentlicht.

Das IT Governance Institute erachtete dieses Paket sich ergänzender und aufeinander referenzierender Bücher als weitgehend stabil und konzentrierte seine Forschungsbemühungen seitdem auf COBIT und die IT-Governance-Ansätze ergänzende Produkte.

Parallel dazu begann die Entwicklung am Rahmenwerk Val IT, das im Jahr 2006 erstmals veröffentlicht wurde. Die zweite, besser mit COBIT integrierte Version erschien im Jahr 2008. In diesem Jahr startete auch die Entwicklung des jüngsten Rahmenwerks der ISACA: Risk IT. Dieses erschien erstmals im Entwurf im Mai 2009 und in der finalen Version im November 2009. 

Im Jahr 2011 begann die ISACA mit der Weiterentwicklung von COBIT und rief eine entsprechende Task Force ins Leben. Ein Ziel dabei war die Integration der vorhandenen Inhalte aus verschiedenen ISACA-Rahmenwerken in ein Modell. Neben den bereits erwähnten Rahmenwerken Val IT und Risk IT wurden auch die Inhalte von ISACA-Veröffentlichungen wie dem IT Assurance Framework (ITAF), dem Board Briefing on IT Governance oder dem Business Model for Information Security (BMIS) integriert. Im April 2012 wurden die ersten drei Bücher der neu konzipierten COBIT 5-Produktfamilie veröffentlicht:

• das COBIT 5-Rahmenwerk (Business Framework), 

• das Handbuch COBIT 5: Enabling Processes und 

• der Umsetzungsleitfaden COBIT 5: Implementation. 

Das Business Framework dient als konzeptionelles Hauptwerk und umfasst vor allem eine Beschreibung der fünf Prinzipien, die Einführung in die sieben Enabler sowie eine kurze Vorstellung des neuen Prozessmodells und des neuen Reifegradansatzes. Das Prozessmodell wurde als separates Handbuch (COBIT 5: Enabling Processes) veröffentlicht und umfasst fünf Governance-Prozesse und 32 Managementprozesse. Der Umsetzungsleitfaden (COBIT 5: Implementation) gibt Hilfestellungen zur Einführung von IT-Governance und enthält neben einem siebenstufigen Lebenszyklus zur Einrichtung einer nachhaltigen IT-Governance auch viele praxisrelevante Elemente aus Risk IT und Val IT.

Weitere COBIT-Handbücher und Umsetzungsleitfäden erscheinen zur Vervollständigung der Produktfamilie sukzessive:

Alle diese COBIT-Bücher sind in meinem Buch Praxiswissen COBIT ausführlich beschrieben.

Im November 2018 ist COBIT 5 überarbeitet worden und als COBIT 2019 erschienen. COBIT 2019 entwickelt COBIT 5 evolutionär weiter. Der Schwerpunkt der Weiterentwicklung lag vor allem darin, das Rahmenwerk COBIT für die Unternehmen besser adaptierbar für die Steuerung und das Management der Unternehmens-IT zu gestalten. Ein weiteres Ziel der Weiterentwicklung war, COBIT möglichst flexibel zu gestalten, um das Hinzufügen von guten Praktiken im Umgang mit neuen Themen zu ermöglichen. 

Was sind die wesentlichen Änderungen von COBIT 2019 gegenüber COBIT 5?

COBIT 2019 basiert nunmehr auf sechs Prinzipien für das Governance-System, die beiden neuen Prinzipen sind:

Hinter dem Prinzip des dynamischen Governance-Systems verbirgt sich das Konzept der Schwerpunktbereiche (Focus Areas), mit dem die Auswirkungen von technologischen Änderungen zum Beispiel bei der Strategie oder bei den Prozessen im Governance-System berücksichtigt werden können. Hinter dem Prinzip des Zuschnitts des Governance-Systems auf die Bedürfnisse des Unternehmens verbirgt sich das Konzept der Designfaktoren, mit denen das Governance-System bzw. dessen Komponenten auf die konkrete Unternehmenssituation angepasst werden können.

Damit die IT die Unternehmensziele optimal unterstützen kann, müssen die relevanten Governance- und Managementziele für die Unternehmens-IT erreicht werden. COBIT 2019 verwendet zur Strukturierung der IT-Governance- und Managementziele weiterhin das aus COBIT 5 bekannte Prozessreferenzmodell bestehend aus den bekannten fünf Prozessbereichen. Dieses Prozessreferenzmodell heißt nun „COBIT Core Model“ und umfasst 40 Prozesse.

Im Gegensatz zu COBIT 5 steht aber nicht der Prozess, sondern das Governance- oder Managementziel im Vordergrund. Der Umfang des Kernmodells von COBIT 2019 wurde gegenüber dem Prozessreferenzmodell von COBIT 5 um drei Managementziele erweitert.

Die Prozesselemente werden im „Core Model“ von COBIT 2019 etwas anders als in COBIT 5 abgebildet:

Weitere, aus COBIT 5 bekannte Prozesselemente, wie das RACI-Diagramm oder die Inputs und Outputs, werden im „Core Model“ von COBIT 2019 als Komponenten eines ganzheitlichen IT-Governance-System für jedes Governance- und Managementziel beschrieben. Die Komponenten entsprechen dabei im Wesentlichen den Enablern aus dem COBIT 5-Rahmenwerk. In COBIT 2019 werden diese Enabler nunmehr „Components“ genannt und direkt im Kernmodell für jedes Governance- und Managementziel beschrieben.

Neben den Unternehmenszielen gibt es in COBIT 2019 erstmals weitere Designfaktoren als Möglichkeit zur Priorisierung von Governance- und Managementzielen. Designfaktoren dienen vor allem der Priorisierung der Governance- und Managementziele. Über die Designfaktoren können Governance- und Managementziele eine höhere oder niedrigere Bedeutung erlangen. Designfaktoren beeinflussen aber auch die Bedeutung von Komponenten oder erfordern sogar spezifische Anpassungen. Diese spezifischen Anpassungen werden in COBIT 2019 in Schwerpunktbereichen (Fokus Areas) beschrieben. Das neue Konzept der Designfaktoren ist umsetzungsorientiert im Design-Leitfaden beschrieben.

Mit COBIT 2019 wurde das Prozessmodell aus COBIT 5 zu einem umfassenden, konsistenten Kernmodell mit Governance- und Managementzielen und damit zu einer zentralen Plattform für die Governance der Unternehmens-IT umgestaltet. Weiterhin wurden mit den Designfaktoren und Schwerpunktbereichen zwei Mechanismen eingeführt, um eine passgenaue IT-Governance für Unternehmen zu entwickeln. Zusammen mit dem aktualisierten „Implementation Guide“ bietet COBIT 2019 nunmehr zwei praktische Leitfäden für eine einfache, maßgeschneiderte Implementierung von COBIT an.