Benutzerspezifische Werkzeuge

COBIT

COBIT ist ein weltweit anerkanntes Referenzmodell und in vielen, insbesondere größeren Unternehmen, etabliert. Die aktuelle Version wurde Ende 2018 veröffentlicht und trägt die Kurzbezeichnung «COBIT 2019». Dieses Modell soll dazu beitragen, eine effektive unternehmensweite Governance von Informationen und Technologie (EGIT) zu gewährleisten (ISACA, 2018a).

Entwicklung

COBIT ist ein Produkt der ISACA, ein unabhängiger, gemeinnütziger und globaler Verband, gegründet 1969, der sich in der Entwicklung, Etablierung und Anwendung von branchenführendem Wissen und Praktiken im Kontext der IT engagiert. Die erste Version von COBIT wurde im Jahr 1996 lanciert und war als Leitfaden für Revisoren der Informationstechnologie (IT) gedacht. In der nachfolgenden Version, COBIT 2, wurden zusätzliche Steuerungselemente, sogenannte «Controls» eingeführt. Das im Jahr 2000 veröffentlichte und signifikant erweiterte COBIT 3 war zusätzlich auf das Management von IT ausgerichtet. Darauf folgte COBIT 4 bzw. COBIT 4.1; dies wurde als Referenzmodell zum Management von «IT-Governance» eingeführt. Ergänzend zu COBIT 4/4.1 wurden zwei weitere Arbeitsmittel lanciert: «Val IT 2.0», als Werkzeug zum Management von IT-Investitionen und «Risk IT», zur Steuerung von IT-bezogenen Risiken. COBIT 5, im Jahr 2012 veröffentlicht, wurde wiederum erweitert und als übergreifendes und integriertes Referenzmodell für die «Governance der Unternehmens-IT» positioniert. Es nimmt wesentliche Elemente von Val IT 2.0 und Risk IT auf und schafft in diversen Bereichen Bezüge zu anderen etablierten Rahmenwerken und Standards wie ITIL oder TOGAF (ISACA, 2012a, b). Abbildung 1 visualisiert die detaillierten Entwicklungsschritte von COBIT von 1996 bis 2018.

Abb. 1: Die Entwicklung von COBIT (ISACA, 2019).

COBIT 2019

COBIT 2019 basiert im Wesentlichen auf COBIT 5 (ISACA, 2012a, b) und bedient sich, wie auch die Vorgängerversionen, an anderen bekannten, inhaltlich verwandten Standards und Referenzmodellen. Damit soll eine gewisse Kompatibilität und Konsistenz sichergestellt werden; die Liste der verwandten und genutzten Materialien beinhaltet unter anderem Referenzmodelle wie «CMMI», «COSO», «ITIL», «IIA», «PMBOK» «IT4IT», «TOGAF», sowie Standards wie «ISO/IEC», «NIST» (ISACA, 2018a, S. 63-64).

COBIT 2019 umfasst eine Reihe von Publikationen, die als «Set» oder – in Anlehnung noch an COBIT 5 – «Product Family» bezeichnet werden und stetig um neue Materialien ergänzt werden. Das aktuelle Set beinhaltet folgende Arbeitsmittel («Core Publications»):  

-  «COBIT 2019 Framework: Introduction and Methodology» (ISACA, 2018a),

-  «COBIT 2019 Framework: Governance and Management Objectives» (ISACA, 2018b),

-  «COBIT 2019 Design Guide: Designing an Information and Technology Governance Solution» (ISACA, 2018c), sowie

-  «COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution» (ISACA, 2018d).

Abbildung 2 skizziert die unterschiedlichen Publikationen von COBIT 2019 verknüpft mit einigen wesentlichen inhaltlichen Elementen, die nachfolgend erläutert werden.

Abb. 2: COBIT 2019 Product Family (ISACA 2018a, S. 19)

Eine wesentliche Neuerung gegenüber der Vorgängerversion ist die Integration sogenannter Designfaktoren («Design Factors») und Fokusbereiche («Focus Areas»). Designfaktoren sollen eine maßgeschneiderte Gestaltung und Implementierung des Governance-Systems unter Berücksichtigung der jeweiligen Unternehmensspezifika ermöglichen. Beispielsweise werden die jeweilige Strategie, Größe, Rolle der IT, Compliance Anforderungen und die Risikolage des Unternehmens als Designfaktoren betrachtet.

Ein Fokusbereich beschreibt ein bestimmtes Governance-Thema, das in besonderer Weise betrachtet werden muss und einen Einfluss auf die Ausgestaltung des spezifischen Governance-Systems hat. Beispiele für Fokusbereiche sind etwa Cybersicherheit, digitale Transformation, Cloud Computing, Datenschutz oder DevOps. Die offene Architektur von COBIT 2019 ermöglicht es, neue Fokusbereiche hinzuzufügen und bestehende zu modifizieren, ohne direkte Auswirkungen auf die Struktur und den Inhalt des COBIT-Kernmodells. Informationen zu Fokusbereichen werden fortlaufend durch die ISACA veröffentlicht und sollen eine evolutionäre Weiterentwicklung von COBIT unter Einbezug der Anwender ermöglichen.

Konzept

Angesichts der digitalen Transformation sind Information und Technologie (I&T) für Unternehmen von entscheidender Bedeutung. Die Wertschöpfung basiert verstärkt auf einem hohen Digitalisierungsgrad (mit neuen Geschäftsmodellen), erfolgreichen Innovationen sowie effizienten Prozessen. Dies führt zu einer zunehmenden Abhängigkeit von I&T. COBIT setzt hier an und geht davon aus, dass mittels einer EGIT das «Business» und die «IT» effektiv verbunden werden. Damit soll sichergestellt werden, dass IT-Investitionen einen relevanten Beitrag zur Wertschöpfung («Value Creation») des Unternehmens liefern (ISACA 2018a). Abbildung 3 visualisiert diesen Zusammenhang.

Abb. 3: EGIT zur Realisierung von Wertschöpfung mittels IT (ISACA 2018a, S. 11)

COBIT 2019, von ISACA auch als «I&T Governance Framework» bezeichnet, ist als Referenz-modell konzipiert, das sowohl auf Governance- als auch Managementaufgaben in Bezug auf I&T, und zwar für das gesamte Unternehmen, abzielt. Das Modell basiert auf sechs «Governance System Principles» (Abbildung 4) sowie drei «Governance Framework Principles» (Abbildung 5). Die sechs plus drei Prinzipien sollen Unternehmen einen Orientierungsrahmen für die Umsetzung und nachhaltige Etablierung einer EGIT vorgeben.

 

Abb. 4: COBIT 2019 «Governance System Principles» (ISACA 2018a, S. 17)

 

Abb. 5: COBIT 2019 «Governance Framework Principles» (ISACA 2018a, S. 18)

Eine wesentliche Komponente von COBIT 2019 ist das «COBIT Core Model» (ehem. «Process Reference Model»), welches insgesamt 40 Governance- bzw. Managementziele definiert, die gemäß COBIT 2019 erreicht werden sollten, um damit die sogenannten «Alignment Goals» bzw. «Enterprise Goals» zu erfüllen und so letztlich einen Wertbeitrag aus I&T für das Unternehmen zu schaffen (Abbildung 6). Die formulierten Ziele sind als untereinander gleichwertig und als normative Vorgaben zu betrachten. Mit Hilfe der Designfaktoren kann jedoch diese Äquivalenz beeinflusst werden und unter Berücksichtigung des unternehmensspezifischen Kontexts können Governance- und Managementziele priorisiert oder gar ausgeschlossen werden.

 

Abb. 6: COBIT 2019 «Core Model» (ISACA 2018a, S. 21)

Jedem dieser 40 Ziele sind sogenannte Komponenten («Components», in COBIT 5 als «Enabler» bezeichnet) zugeordnet, die – bei entsprechender Umsetzung – einen Beitrag zur Erreichung des jeweiligen Ziels leisten sollen. Die insgesamt sieben Komponenten (s. Abb. 7) werden von COBIT 2019 als Faktoren verstanden, die einzeln und in Kombination zu einem guten Funktionieren des Governance-Systems beitragen und damit als «Best Practices» verstanden werden können.

Abb. 7: COBIT 2019 Komponenten (ISACA 2018a, S. 22)

Alle Komponenten werden in einheitlicher und strukturierter Form entlang der 40 Governance-/Managementziele beschrieben und sollen Unternehmen bei deren Implementierung unterstützen. Die Komponente „Prozesse“ beschreibt beispielsweise zu implementierende Prozesspraktiken und -aktivitäten, Prozessmetriken und weiterführende Referenzmaterialien (ISACA, 2018b, S. 19ff).

Des Weiteren ist allen Prozessaktivitäten eine Fähigkeitsstufe zugewiesen, was eine eindeutige Zuordnung von verschiedenen Fähigkeitsstufen «Capability Levels» eines Prozesses ermöglichen soll. Die Fähigkeitsstufe ist ein Maß dafür, wie gut ein Prozess implementiert ist. Ein Prozess erreicht eine bestimmte Fähigkeitsstufe, sobald alle empfohlenen Aktivitäten dieser Ebene erfolgreich ausgeführt wurden. COBIT 2019 unterstützt ein auf dem «Capability Maturity Model Integration» (CMMI) basierendes Prozessfähigkeitsschema von 0 bis 5 (Abbildung 8).

 

Abb. 9: Prozessfähigkeitsschema und korrespondierende Merkmale (ISACA 2018b, S. 20)

 

Literatur

ISACA: COBIT 5. Rahmenwerk für Governance und Management der Unternehmens-IT (deutsche Fassung), 2012a. www.isaca.org/COBIT/Pages/COBIT-5-german.aspx (Abruf 2019-01-03).

ISACA: COBIT 5. A Business Framework for the Governance and Management of Enterprise IT, 2012b. www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx (Abruf 2019-01-03).

ISACA: COBIT 2019 Framework: Introduction and Methodology, 2018a. www.isaca.org/COBIT/Pages/COBIT-2019-Framework-Introduction-and-Methodology.aspx (Abruf 2019-01-03).

ISACA: COBIT 2019 Framework: Governance and Management Objectives, 2018b. www.isaca.org/COBIT/Pages/COBIT-2019-Framework-Governance-and-Management-Objectives.aspx (Abruf 2019-01-03).

ISACA: COBIT 2019 Design Guide: Designing an Information and Technology Governance Solution, 2018c. www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx (Abruf 2019-01-03).

ISACA: COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution, 2018d. http://www.isaca.org/COBIT/Pages/COBIT-2019-Implementation-Guide.aspx (Abruf 2019-01-03).

ISACA: COBIT 2019 Video and Infographic, 2019. http://www.isaca.org/COBIT/Documents/COBIT-Timeline-2019_ifg_eng_1118.pdf (Abruf 2019-01-03).

 

Autoren


 null

Prof. Dr. Petra Maria Asprion, University of Applied Sciences Northwestern Switzerland FHNW, School of Business, Peter-Merian-Straße 86, 4002 Basel, Schweiz

Autoreninfo



 null

Prof. Dr. Daniel Burda, h_da - Hochschule Darmstadt, University of Applied Sciences, Fachbereich Informatik, Schöfferstr. 8b, 64295 Darmstadt

Autoreninfo


Zuletzt bearbeitet: 27.02.2019 14:43
Letzter Abruf: 21.05.2019 15:01
Artikelaktionen