COBIT maßgeschneidert COBIT maßgeschneidertDie Idee hinter COBIT: Erst wenn Daten, Anwendungen, Anlagen, Technik und Personal richtig organisiert sind, erfüllen Geschäftsprozesse die an sie gestellten Anforderungen. COBIT fomuliert daher über 300 Kontrollziele, die ein Unternehmen beachten und umsetzen sollte, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. Die Struktur der Kontrollziele lehnt sich an ein prozessorientiertes Geschäftsmodell an. Es unterscheidet 34 zentrale IT-Prozesse in den vier Bereichen Planung und Organisation, Beschaffung und Implementation, Betrieb und Unterstützung sowie Überwachung. Für jeden Prozess formuliert COBIT ein übergeordnetes Kontrollziel und 3–30 Detailziele.
COBIT wurde von internationalen Gremien des Verbands der EDV-Prüfer, der Information Systems Audit and Control Association (ISACA), seit 1993 entwickelt und mehrfach überarbeitet. Der Standard fand anfänglich hauptsächlich in der internen und externen Revision Verwendung, da er eine vollständige Palette homogener Kontrollziele anbietet, die ein IT-Revisor als Sollvorstellungen zur Beurteilung der Situation in der geprüften Einheit verwenden kann. Seit Erscheinen der zweiten Auflage 1998 dient COBIT zunehmend auch als Leitfaden bei der Implementierung des internen Kontrollsystems in der Unternehmungs-IT und für die Durchführung von Self-Assessments oder Healthchecks.
Im Juli 2000 wurde COBIT vor allem um Aspekte des IT-Governance im Rahmen so genannter Management Guidelines erweitert und enthält somit nun auch eine eigenständige Anleitung für die Führungsebene, um den Status und die Effektivität des eigenen Unternehmens im Hinblick auf die 34 Kontrollbereiche beurteilen zu können. Die Management Guidelines umfassen auch gängige Messgrößen wie Zielerreichungs- und Performance-Indikatoren, kritische Erfolgsfaktoren sowie Reifegradmodelle. Damit lässt sich der Ist-Stand eines Unternehmens beim Thema IT-Governance feststellen, der Soll-Zustand definieren und man kann Schritte zu seiner Erreichung festlegen.
Um CoBIT für kleinere und mittlere Unternehmen (KMU) attraktiver und besser handhabbar zu machen, entwickelt das IT Governance Institute derzeit die spezielle Version COBIT Quickstart. Damit erhalten KMU und andere Organisationen, bei denen die IT nicht geschäftskritisch ist, eine Basis für ein angemessenes Kontrollniveau und eine adäquate IT-Governance.
Die Entwickler dieser speziellen COBIT-Versionen haben ihre Zielgruppe dabei nicht starr nach Mitarbeiterzahl oder Umsatz definiert, sondern nach der strategischen Bedeutung der IT für das Unternehmen. Per Self-Assessment können Unternehmen dazu die strategische Bedeutung der IT ebenso prüfen wie mögliche Besonderheiten, die ein höheres Abhängigkeitsniveau von der IT indizieren.
Wem die notwendigen Ressourcen fehlen, um das komplette COBIT in einem überschaubaren Zeitraum zu implementieren, der kann mit COBIT Quickstart eine Teilmenge der wichtigsten Kontrollziele und die damit zusammenhängenden Revisionsleitfäden darstellen, um die Implementation von grundlegenden COBIT-Prinzipien einfach und relativ schnell umzusetzen.
Zusätzlich wird künftig eine spezielle Version COBIT Online die Möglichkeit bieten, den Standard individuell auf die Bedürfnisse eines Unternehmens zu konfigurieren und diese angepasste Version zu speichern und später weiter zu verändern. Daneben sind auch Online-Befragungen und -Benchmarking sowie ein Diskussionsforum vorgesehen.
Ein Großteil von COBIT steht auf den Webseiten des IT Governance Institutes (![[externer Link]](../../../../images/link.gif)
www.itgovernance.org) und des ISACA ( www.isaca.org/cobit) bereit; ISACA-Mitglieder können sogar auf beinahe den kompletten Standard kostenlos zugreifen.
(Markus Gaulke)
ISACA German Chapter e. V.
Eichenstrasse 7
46535 Dinslaken
www.isaca.de
Ingo Struckmeyer
Vorstand Publikationen
Tel.: +49 4106 704-1233
E-Mail: Publikationen@isaca.de
Markus Gaulke
Vizepräsident ISACA German Chapter
E-Mail: markusgaulke@kpmg.com
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#3, Seite 57
| 