COBIT im Überblick

COBIT (Control Objectives for Information and Related Technology) ist ein Rahmenwerk für das Management und die Steuerung der Unternehmens-IT. COBIT 5 beinhaltet ein Prozessmodell mit generell anwendbaren und international akzeptierten IT-prozessbezogenen Anforderungen (Prozesspraktiken), die in einem Unternehmen beachtet und umgesetzt werden sollten, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. Die Idee dahinter: Erst wenn Informationen, Anwendungen, Infrastruktur und Menschen richtig organisiert sind, werden die Geschäftsprozesse die an sie gestellten Anforderungen erfüllen. COBIT 2019 führt diese Idee konsequent fort und erweitert das Prozessmodell in ein Kernmodell bestehend aus 40 Governance- und Managementzielen.

Die Prozesspraktiken sind in COBIT nach einem alle IT-Funktionen umfassenden Modell strukturiert. Dieses unterscheidet 40 Governance- und Managementziele, welche jeweils einem der fünf nachfolgend aufgelisteten Bereiche (domains) zugeordnet sind:


Die nachfolgende Abbildung verdeutlicht das COBIT-Kernmodell:

Abb.: Überblick der COBIT-Domänen               

Für jeden der in den fünf Bereichen enthaltenen 40 Governance- und Managementziele formuliert COBIT normative Aussagen (Prozesspraktiken) und gute Praktiken. Werden die Prozesspraktiken (mithilfe der über 1.000 Prozessaktivitäten) unter Beachtung der guten Praktiken der anderen Governance-Komponenten konsequent umgesetzt, dann wird die Erreichung der Unternehmensziele optimal unterstützt. 

Kernmodell COBIT 2019 deutsch

Abb.: COBIT-Kernmodell 2019        

Als übergeordnetes Modell ist COBIT unabhängig von der eingesetzten Technologie oder der Branche des Unternehmens und lässt sich unabhängig vom jeweiligen geschäftlichen und technischen Umfeld anwenden. COBIT richtet sich auch nicht nur an IT-Fachleute, sondern stellt über die Ausrichtung an die Governance- und Managementziele auch den Fachbereichen ein Rahmenwerk für das Business Management sowie dem Top Management durch die vorhandenen Zielen und Metriken ein ganzheitliches IT-Governance-Modell zur Verfügung.

Neben den Prozessen umfasst COBIT weitere wichtige Umsetzungskomponenten (Governance-Komponenten) für die IT-Governance und das IT-Management. Governance-Komponenten sind kritische Erfolgsfaktoren, die sowohl individuell als auch kollektiv Einfluss darauf haben, ob etwas funktioniert – in diesem Fall das Erreichen von Zielen durch eine effektive Governance und ein effektives Management der Unternehmens-IT. Das COBIT-Rahmenwerk beschreibt sieben Governance-Komponenten zum Erreichen der Governance- und Managementziele:

Prinzipien, Richtlinien und Rahmenwerke (Principles, Policies and Frameworks) 

Prinzipien, Richtlinien und Rahmenwerke sind das Vehikel zur Erreichung des erwünschten Verhaltens. Der Enabler bzw. die Komponente „Prinzipien, Richtlinien und Rahmenwerke“ umfasst die installierten Kommunikationsmittel, um die Vorgaben und Anweisungen der Governance-Organe und des Managements zu vermitteln. Für den Enabler bzw. die Komponente „Prinzipien, Richtlinien und Rahmenwerke“ werden im COBIT-Rahmenwerk gute Praktiken wie Effektivität, Effizienz, Aktualität oder Eingängigkeit dargestellt. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 6 meines Buches Praxiswissen COBIT.

Prozesse (Processes)

Prozesse beschreiben einen strukturierten Satz mit Praktiken und Aktivitäten zur Erreichung bestimmter Ziele und liefern einen Satz mit Ergebnissen, die zur Erreichung allgemeiner IT-bezogener Ziele beitragen. Der Enabler bzw. die Komponente „Prozesse“ umfasst vor allem ein Prozessmodell mit standardisierten Elementen wie Prozessbeschreibung, Prozesszweck, Ziele mit dazugehörigen Metriken, RACI-Diagramm, Prozesspraktiken und -aktivitäten sowie Referenzmaterialien. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 11 meines Buches Praxiswissen COBIT. 

Organisationsstrukturen (Organisational Structures)

Organisationsstrukturen sind die wichtigsten Entitäten der Entscheidungsfindung im Unternehmen. Für den Enabler bzw. die Komponente „Organisationsstrukturen“ werden im COBIT-Rahmenwerk sowohl das Rollenmodell dargestellt als auch gute Praktiken für Organisationsstrukturen wie Arbeitsprinzipien, ausgewogene Zusammensetzung der Mitglieder oder Umfang der Befugnisse. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 7 meines Buches Praxiswissen COBIT. 

Kultur, Ethik und Verhalten (Culture, Ethics and Behaviour)

Kultur, Ethik und Verhalten der Mitarbeiter und des Unternehmens werden als Erfolgsfaktoren für Governance- und Managementaktivitäten häufig unterschätzt. Der Enabler bzw. die Komponente „Kultur, Ethik und Verhalten“ bezieht sich auf individuelles und kollektives Verhalten innerhalb eines Unternehmens. Das COBIT-Rahmenwerk stellt insbesondere Verfahren zur Schaffung, Förderung und Aufrechterhaltung eines erwünschten Verhaltens dar. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 8 meines Buches Praxiswissen COBIT. 

Information (Information)

Informationen sind in jeder Organisation allgegenwärtig. Zu ihnen gehören sämtliche vom Unternehmen produzierten und verwendeten Informationen. Informationen sind für die Aufrechterhaltung des Betriebs der Organisation und dessen Steuerung unverzichtbar. Auf operativer Ebene sind Informationen häufig sogar das wichtigste Produkt des Unternehmens überhaupt. Der Enabler bzw. die Komponente „Information“ bezieht sich auf alle unternehmensrelevanten Informationen. Die Ziele des Enablers bzw. die Komponente „Information“ werden im COBIT-Rahmenwerk durch die drei Dimensionen intrinsische Qualität, kontextabhängige Qualität sowie Sicherheit bzw. Zugangsmöglichkeiten beschrieben. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 12 meines Buches Praxiswissen COBIT. 

Services, Infrastruktur und Anwendungen (Services, Infrastructure and Applications)

Services, Infrastruktur und Anwendungen umfassen die Infrastruktur, die Technologie und die Anwendungen, die innerhalb des Unternehmens die IT-Verarbeitung und IT-Services sicherstellen. Der Enabler bzw. die Komponente „Services, Infrastruktur und Anwendungen“ bezieht sich auf die Ressourcen, die bei der Bereitstellung von IT-Dienstleistungen genutzt werden. Die Ziele des Enablers werden im COBIT-Rahmenwerk in Bezug auf die Dienstleistungen (Anwendungen, Infrastruktur, Technologie) und die Service Level ausgedrückt. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 9 meines Buches Praxiswissen COBIT.

Mitarbeiter, Fähigkeiten und Kompetenzen (People, Skills and Competencies)

Mitarbeiter, Fähigkeiten und Kompetenzen beziehen sich auf das Personal und sind für die Durchführung aller Aktivitäten, das Treffen der richtigen Entscheidungen und die Umsetzung korrektiver Maßnahmen erfolgskritisch. Das COBIT-Rahmenwerk führt zum Enabler bzw. zur Komponente „Mitarbeiter, Fähigkeiten und Kompetenzen“ wichtige Fähigkeiten für jedes Governance- und Managementziel auf. Eine detaillierte Darstellung dieser Governance-Komponente erfolgt in Kapitel 10 meines Buches Praxiswissen COBIT.

Abb.: Überblick der COBIT-Enabler bzw. IT-Governance-Komponenten

Die Abbildung zeigt, dass die sieben Governance-Komponenten miteinander interagierende kritische Erfolgsfaktoren sind. Prinzipien, Richtlinien und Rahmenwerke sind als Vehikel zur Kommunikation der Vorgaben und Anweisungen der Governance-Organe und des Managements der Ausgangspunkt für alle anderen Komponenten. 

COBIT wird weltweit von Tausenden von Unternehmen als Basis für ihre IT-Governance- und IT-Compliance-Aktivitäten herangezogen. Im deutschen Sprachraum ist die Akzeptanz von COBIT in den letzten Jahren deutlich gestiegen, im globalen Vergleich aber immer noch vergleichsweise niedrig. International hat sich COBIT als anerkanntes Rahmenwerk für die Governance und das interne Kontrollsystem in der Informationstechnologie etabliert. COBIT wurde sowohl von namhaften Unternehmen in das eigene interne Kontrollsystem integriert (u. a. Daimler, Philips) als auch von Behörden (u. a. amerikanisches Verteidigungsministerium, European Agricultural Guidance and Guarantee Fund) und anderen Institutionen (u. a. META-Group, Gartner) als Standard empfohlen. Die Aufsichtsbehörden einiger Länder haben COBIT sogar für verbindlich erklärt (u. a. Türkei, Kolumbien, Uruguay).

Das Rahmenwerk von COBIT steht zum kostenfreien Download auf der Webseite des internationalen Berufsverbandes ISACADieses Rahmenwerk wird ergänzt durch Handbücher für einzelne Schlüsselkomponenten (wie Prozesse oder Information) als auch Umsetzungsleitfäden für einzelne Anwendungsfelder (wie Sicherheit, Assurance oder Risiko). 

Das ISACA Germany Chapter e.V. hat jeweils die beiden Hauptbücher des Rahmenwerks COBIT 5 und COBIT 2019 (Einführung und Referenzmodell) ins Deutsche übersetzen lassen. Diese deutsche Versionen von COBIT sind ebenfalls auf der Webseite des internationalen Berufsverbandes ISACA Bookstore verfügbar.

In meinem Buch Praxiswissen COBIT (2. Auflage) wird COBIT 5 basierend auf diesen Übersetzungen mit seiner kompletten Produktfamilie dargestellt. Die Übersetzung von COBIT 2019 baut in den Kernbegriffen auf meinem aktualisierten Buch Praxiswissen COBIT (3. Auflage) auf, das ebenfalls alle vier Hauptwerke von COBIT 2019 darstellt.