Die Strategie des Umsetzungsprojektes zu COBIT 4.0 zielte auf eine Anpassung an die Begrifflichkeiten und Prinzipien kompatibler Standards wie der Information Technology Infrastructure Library (ITIL), dem Capability Maturity Model (CMM) und dem Integrated Framework des Committee of Sponsoring Organizations of the Treadway Commission ( www.COSO.org). Daneben soll mithilfe von COBIT 4.0 das Management von Unternehmen in die Lage versetzt werden, Geschäftsprozesse kontrolliert zu unterstützen, die Wertschöpfung des Unternehmens mit IT effizient zu erhöhen und Risiken durch die IT zu vermindern.
----------Anfang Textkasten----------
Das IT Governance Institute ( www.itgi.org) wurde 1998 gegründet, um das Verständnis zur Führung und Kontrolle unternehmensweiter Informationstechnik und der Einrichtung internationaler Standards für diesen Zweck zu fördern. Eine effektive Kontrolle der IT gewährleistet, dass diese die Unternehmensziele unterstützt, Investitionen in die IT optimiert sowie IT-bezogenen Risiken und Chancen in geeigneter Weise einschätzt.
----------Ende Textkasten----------
Im Vergleich mit der im Jahr 2000 veröffentlichten dritten Auflage wurden die Komponenten Executive Summary, Framework, Control Objectives und Management Guidelines ersetzt. Die bislang in Version 3 durchgeführten Maßnahmen werden dabei jedoch nicht ungültig, vielmehr besteht die Möglichkeit einer werterhaltenden Anpassung an bereits geleistete Arbeiten.
COBIT 4.0 setzt sich aus den systematischen Bestandteilen Kurzfassung, Rahmenwerk, Kerninhalt sowie Anhängen zusammen. Als wesentlicher Teil besteht der Kerninhalt aus vier Domänen mit 34 Prozessen, deren konkrete Umsetzung im Unternehmen durch ein Reifegradmodell gemessen werden kann. Metriken stehen mit Key-Goal-Indikatoren (KGI) sowie Key-Performance-Indikatoren (PGI) für die Messung bereit. Das Ergebnis ist die Bewertung der Umsetzung von Prozessen in einer ordinalen Notenskala von 0 bis 5. Die einzelnen Noten stehen dabei für: 0 = non-existent, 1 = initial, 2 = repeatable, 3 = defined, 4 = managed, 5 = optimised.
Die höchste Strukturebene von COBIT 4.0 wird durch die Domänen mit den Bezeichnungen Planung/Organisation (PO), Beschaffung/Implementierung (AI), Bereitstellung/Support (DS) sowie Überwachung/Auswertung (ME) gefüllt. Zweck dieser Domänen ist eine Wiedergabe der Stufen eines revolvierenden Softwareentwicklungszyklus (Software Development Lifeclycle, SDLC).
Die Struktur der 34 Prozesse folgt ausgehend von sieben allgemeingültigen Kontrollzielen und IT-bezogenen Ressourcen einer einheitlichen Systematik. Diese Systematik besteht aus
Die allgemeingültigen Kontrollziele sind in die sieben Attribute Effektivität, Effizienz, Vertraulichkeit, Integrität, Verfügbarkeit, Compliance (Erfüllung regulatorischer Vorgaben) und Zuverlässigkeit unterteilt. Der Stellenwert des jeweiligen Kontrollziels wird durch eine primäre (P) oder sekundäre (S) Klassifikation innerhalb des Prozesses geordnet.
Zu den IT-bezogenen Ressourcen, auf die ein Prozess wirkt, gehören Anwendungen, Informationen, Infrastruktur und das Personal. Das übergeordnete Kontrollziel besteht jeweils aus den "wasserfallartig" angeordneten Elementen zur detaillierten Beschreibung eines konkreten Prozesses. Die Elemente werden durch den Prozess-Namen, die wichtigsten Unternehmensziele, einer Fokussierung auf wichtige IT-bezogene Ziele sowie Kernkontrollen und Metriken beschrieben.
Die Management-Richtlinien enthalten Angaben zu Informationen, die von weiteren Prozessbeteiligten erwartet (Input) oder an andere Prozessbeteiligte weitergegeben werden (Output). Im Verhältnis zu COBIT 3.0 sind die so genannten RACI-Charts (Responsible, Accountable, Consulted, Informed) beachtenswert, die Maßnahmen und Aktivitäten beschreiben, welche an – prozessorientierte – Unternehmenseinheiten weiterzuleiten sind. Die Rollen in den RACI-Charts unterliegen den folgenden Ausprägungen: Chief Executive Officer (CIO), Chief Financial Officer (CFO), Business Executives, Chief Information Officer (CIO), Business Process Owner, Head Operations, Chief Architect, Head Development, Head IT Administration, Project Management Officer (PMO) sowie Compliance-, Risk-, Audit- und Security-Employee.
COBIT 4.0 enthält als Anhang eine Fülle von Materialien, welche die praktische Umsetzung unterstützen sollen. Es handelt sich auszugsweise um Überleitungstabellen zwischen Unternehmenszielen und Zielen der IT sowie Zielen der IT und Prozessen der IT. Zudem wird ein Mapping zwischen COBIT 4.0 und COSO bereitgestellt, eine Tabelle dokumentiert den Reifegrad zum Status und Umsetzung interner Kontrollen und eine Synopse erörtert den Unterschied zwischen den COBIT-Versionen 3.0 und 4.0.
Abbildung 1: Systematik von Domänen und Prozessen in COBIT 4.0
ISACA German Chapter e. V.
Eichenstraße 7
46535 Dinslaken
www.isaca.de
Karin Thelemann (CISA, CISM)
ISACA-Vorsitzende
Tel.: +49 69 15208-26488
E-Mail: karin.thelemann@de.ey.com
Bernd Wojtyna (CISA)
Vizepräsident ISACA Germany Chapter
Tel.: +49 251 288-4253
E-Mail: Bernd.Wojtyna@extern.Sparkassen-Informatik.de
Wegen seiner an Best Practices orientierten Struktur ist COBIT 4.0 ohne weiterführende kostspielige Schulungsmaßnahmen zur kontroll-, chancen- und risikoorientierten Unternehmenssteuerung der IT unmittelbar einsetzbar. Es wäre deshalb wünschenswert, wenn dieser Standard auch ohne gesetzliche Vorgabe eine weitreichende Verbreitung in Form der Selbstbindung speziell von Unternehmen derjenigen Branchen fände, die wie Finance, Pharma oder Chemie erhöhten aufsichtsrechtlichen Anforderungen an eine kontrollwirksame Unternehmenssteuerung der IT unterworfen sind. COBIT 4.0 ist mit über 200 Seiten als Download per www.isaca.org/cobit/ verfügbar. (Bernd Wojtyna)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 26