Das Release 4.1 der Control Objectives for Information Technology, kurz CoBIT, hat im ersten Quartal 2012 ausgedient; dann soll es durch CoBIT 5 abgelöst werden. Der Berufsverband der IT-Auditoren und -Sicherheits-Manager, Isaca, hat nun die Entwürfe für die neue Version zur Diskussion gestellt. Sie umfassen das CoBIT-5-Rahmenwerk (Framework) sowie den Prozessleitfaden (Process Reference Guide).
CoBIT 5 weist gegenüber CoBIT 4.1 deutlich mehr Änderungen auf, als es bei früheren Versionswechseln der Fall war. Die wichtigsten davon sind anhand von fünf Kerneigenschaften (Principles) darstellbar.
Integratives Rahmenwerk (Integrator Framework)
Mit CoBIT 4.1, Risk IT und Val IT hat Isaca seit 2005 drei prominente Rahmenwerke für die IT herausgebracht. Hinzu kommen unterstützende Veröffentlichungen wie das IT Assurance Framework (Itaf) oder das Business Model for Information Security (BMIS).
Eines der mit CoBit 5 verfolgten Ziele ist deshalb die Integration der vorhandenen Inhalte in ein gemeinsames Modell. Das ist mit dem vorliegenden Entwurf erfüllt. Ein detailliertes Mapping auf der Ebene der Control Objectives im Prozessleitfaden erleichtert den Anwendern die Umstellung von CoBIT 4.1, Risk IT und/oder Val IT auf CoBIT 5.
Getrieben von Anspruchsgruppen (Stakeholder Value Driven)
Im Allgemeinen verfolgen die Unternehmen das Ziel, für Ihre Anspruchsgruppen (Stakeholders) Werte zu erzeugen. Was bedeutet das für die Unternehmens-Governance? Sie muss sicherstellen, dass der angepeilte Nutzen zu optimalen Kosten erreicht wird und dass dabei die Risiken unter Kontrolle bleiben.
Governance bedeutet aber auch, die Interessen der verschiedenen Stakeholder gegeneinander abzuwägen und notwendige Entscheidungen zu treffen. CoBIT 5 berücksichtigt das.
Fokussiert auf das Business (Business and Context Focussed)
Allgemein gesprochen, soll CoBIT dafür sorgen, dass die IT die geschäftlichen Anforderungen unterstützt, einen Wertbeitrag erbringt und dabei selbst ökonomisch sowie risikobewusst agiert. Deshalb wurde für CoBIT noch einmal explizit darauf geachtet, dass sich die Prozesse des Rahmenwerks und damit die IT-Ziele aus den Geschäftszielen ableiten lassen. Das neue CoBIT-Informationsmodell stellt zudem die Verbindung zwischen geschäftlichen Informationen und IT-Funktionen her.
In der jüngsten Ausführung schließt CoBIT ein erweitertes Rollenmodell ein, das die Aktivitäten und Verantwortlichkeiten sowohl von IT-Funktionen als auch von IT-nahen Business-Funktionen abdeckt. Weiterhin werden in CoBIT alle kritischen Geschäftselemente nach fünf einheitlichen Merkmalsgruppen behandelt. Das erleichtert es den Anwendern, die externen und internen Faktoren des Unternehmensumfelds sowie die dadurch bedingten Anpassungen an die organisationsspezifischen IT-Governance- und Management-Systeme anzpassen..
Basierend auf Schlüsselkomponenten (Enabler Based)
Als Schlüsselkomponenten für die IT-Governance sieht CoBIT 5 im Wesentlichen die folgenden Ressourcen der Organisation:
-
Prozesse,
-
Prinzipien und Grundsätze,
-
Organisationsstrukturen,
-
Fähigkeiten und Kompetenzen,
-
Kultur und Verhalten,
-
IT-Service-Fähigkeiten sowie
-
Information.
Jede dieser Schlüsselkomponenten ist in CoBIT 5 durch die ihnen zugeordneten Anspruchsgruppen, Ziele und Metriken, Lebenszyklen, Best Practices und Attribute näher beschrieben.
Strukturiert nach Governance und Management
CoBIT unterscheidet im neuen Prozessmodell fünf Governance- und 31 Management-Prozesse. Die Governance-Prozesse stellen den Rahmen und die Regeln auf, denen die Management-Prozesse folgen. Neben der Etablierung eines Rahmenwerks für die IT-Governance und eines transparenten Berichtswesens für die Anspruchsgruppen dienen diese Prozesse vor allem den drei grundsätzlichen CoBIT-Zielen: Sicherstellen der Wertegenerierung sowie Ressourcen- und Risikooptimierung.
In CoBIT 4.1 war der Aufbau einer IT-Governance im Prozess ME4 ("Provide IT Governance") gekapselt. Hingegen wird das das Governance-System in CoBIT 5 als Rahmen für die Management-Prozesse dargestellt.
Der Aufbau der Management-Prozesse lehnt sich im Wesentlichen an die Domänen aus CoBIT 4.1 an. Allerdings sind die Prozesse deutlich überarbeitet worden. So enthält die Planungsdomäne "Align, Plan & Organize" (ehemals "Plan & Organize") nun zwölf Prozesse, also zwei mehr als zuvor. Die Prozesse in "Deliver, Support & Maintain" (ehemals "Deliver & Support") wurden hingegen konsolidiert, sprich: von 13 auf nur noch acht Prozesse verringert.
Jeder Prozess ist einheitlich und strukturiert über die aus CoBIT 4.1 bekannten Prozessbeschreibungen, Ziele und Metriken, Inputs und Outputs, Kompetenzmatriken sowie Aktivitäten (früher Control Practices) dargestellt. Die in den bislang getrennten Rahmenwerken unterschiedlich bezeichneten Anforderungen an das Management (CoBIT Control Objectives, Val IT Key Management Practices, Risk IT Management Practices) werden nun alle mit dem Begriff "Management Practices" umschrieben.
Die Reifegradmodelle sind entfallen. Abgelöst werden sie durch einen an ISO/IEC 15504 angelehnten Prozessbewertungsprozess. Er ermöglichte einen objektiven, wiederholbaren und auf Nachweisen basierenden Prozess der Reifegradbeurteilung. So wird es mit CoBIT mittelfristig möglich sein, Unternehmen auch ohne Anwendung der Wirtschaftsprüfungsstandards IDW PS 951 beziehungsweise ISAE 3402 oder ISAE 3000 zu zertifizieren.
Fazit: Was bleibt, was entfällt?
In CoBIT 5 finden sich viele bewährte Elemente wieder, die gründlich überarbeitet und geschärft worden sind. Dazu kommen komplett neue Konzepte, wie das Informationsmodell oder die Schlüsselkomponenten (Enabler).
Vermissen werden viele Unternehmen das pragmatische Reifegradmodell aus Cobit 4.1. Doch dafür ergibt sich dank der Verbindung von CoBIT und ISO 15504 nun die Möglichkeit, Unternehmensprozesse zertifizieren zu lassen. (qua)
Links und Literatur
-
Isaca: CoBIT 5, The Framwork, Rolling Meadows, USA, 2011. http://www.isaca.org/COBIT5;
-
Isaca: CoBIT 5, Process Reference Guide, Rolling Meadows, USA, 2011. http://www.isaca.org/COBIT5;
-
Thomas Hartmann: "Alle reden von Itil - und vergessen Cobit" http://www.computerwoche.de/management/it-strategie/2369425/
-
Ronny Wenzel: "Wertbeitrag der IT? - Welcher Wertbeitrag?" http://www.computerwoche.de/management/it-strategie/2351715/
-
Christoph Dewey: "Nur im Gesamtrahmen sinnvoll" http://www.computerwoche.de/management/it-strategie/1229244/
-
Matthias Goeken und Wolfgang Johannsen: Referenzmodelle für IT-Governance, Methodische Unterstützung der Unternehmens-IT mit CoBIT, Itil & Co. Heidelberg, 2011; Leseprobe unter http://dpunkt.de/leseproben/2449/Vorwort.pdf
-
Markus Gaulke: Praxiswissen Cobit - Val I - Risk IT, Grundlagen und praktische Anwendung für die IT-Governance, Heidelberg, 2010.
|
Governance-Prozesse |
|
|
EDM1 Set and Maintain the Governance Framework |
Definiere und pflege das Governance-Rahmenwerk |
|
EDM2 Ensure Value Optimisation |
Stelle einen optimalen Wertbeitrag sicher |
|
EDM3 Ensure Risk Optimisation |
Stelle eine optimale Risikosituation sicher |
|
EDM4 Ensure Resource Optimisation |
Stelle eine optimale Ressourcensituation sicher |
|
EDM5 Ensure Stakeholder Transparency |
Stelle Transparenz der Anspruchsgruppen sicher |
|
Align, Plan and Organise |
Anpassen, planen und organisieren |
|
APO1 Define the Management |
Framework for IT Definiere das IT-Management-Rahmenwerk |
|
APO2 Define Strategy |
Definiere die Strategie |
|
APO3 Manage Enterprise Architecture |
Definiere die Unternehmensarchitektur |
|
APO4 Manage Innovation |
Manage Innovation |
|
APO5 Manage Portfolio |
Manage das Portfolio |
|
APO6 Manage Budget and Cost |
Manage Personal |
|
APO8 Manage Relationships |
Manage Beziehungen |
|
APO9 Manage Service Agreements |
Manage Service-Vereinbarungen |
|
APO10 Manage Suppliers |
Manage Lieferanten |
|
APO11 Manage Quality |
Manage Qualität |
|
APO12 Manage Risk |
Manage Risiken |
|
Build, Acquire and Implement |
Erstellen, beschaffen und implementieren |
|
BAI1 Manage Programmes and Projects |
Manage Programme und Projekte |
|
BAI2 Define Requirements |
Manage Anforderungen |
|
BAI3 Identify and Build Solutions |
Identiziere und erstelle Lösungen |
|
BAI4 Manage Availability and Capacity |
Manage Verfügbarkeit und Kapazität |
|
BAI5 Enable Organisational Change |
Ermögliche organisatorische Veränderungen |
|
BAI6 Manage changes |
Manage Änderungen |
|
BAI7 Accept and Transition of Change |
Änderungen genehmigen und in Produktion geben |
|
BAI8 Knowledge Management |
Wissensmanagement |
|
Deliver, Service and Support |
Liefern, erbringen und unterstützen |
|
DSS1 Manage Operations |
Manage Betrieb |
|
DSS2 Manage Assets |
Manage Assets |
|
DSS3 Manage Configuration |
Manage die Konfiguration |
|
DSS4 Manage Service Requests and Incidents |
Manage Service-Anforderungen und Vorfälle |
|
DSS5 Manage Problems |
Manage Probleme |
|
DSS6 Manage Continuity |
Manage den kontinuierlichen Betrieb |
|
DSS7 Manage Information Security |
Manage Informationssicherheit |
|
DSS8 Manage Business Process Controls |
Manage Kontrollen in Geschäftsprozessen |
|
Monitor, Evaluate and Assess |
Überwachen, bewerten und beurteilen |
|
MEA1 Monitor and Evaluate Performance and Conformance |
Überwache und beurteile die Performance und Konformität |
|
MEA2 Monitor System of Internal Control |
Überwache das interne IT-Kontrollsystem |
|
MEA3 Monitor and Evaluate Compliance with External Requirements |
Überwache und beurteile Compliance mit externen Vorgaben |