COBIT® 5 kann als Werkzeugkasten und Kontrollinstrument bezeichnet werden, mit dem die Zusammenarbeit zwischen IT und Business ermöglicht werden soll. Dabei wird die gesamte IT-Organisation durch das Framework COBIT® 5 unterstützt und die Voraussetzung für die Corporate Governance geschaffen. Die Aus- und Weiterbildung mit abschließender Zertifizierung ist hier an der expertplace academy möglich.
COBIT® 5 stellt ein Framework dar, mit dem die Anforderungen, die eine moderne IT eines Unternehmens stellt, erfüllt werden können. Damit die IT-Governance wirksam umgesetzt werden kann, wird das Rahmenwerk kontinuierlich durch die ISACA weiterentwickelt.
Zur Begriffsklärung:
Unter IT-Governance ist die Führung sowie die Organisationsstruktur mit den verbundenen Prozessen zu verstehen, mit denen die Unternehmensstrategie umgesetzt werden kann. Dies führt zum Erreichen der Unternehmensziele.
Die ISACA ist die Information Systems Audit and Control Association, ein internationaler Verband aus Fachleuten zu Risikomanagement, Sicherheit und IT-Sicherheit, Prüfung und Governance. Über 115.000 Mitglieder (darunter auch die expertplace compliance services GmbH) sind hier weltweit gelistet und arbeiten gemeinsam an der Weiterentwicklung des Frameworks sowie an der Herausgabe von berufsbezogenen Arbeitsmaterialien, Weiterbildungen und COBIT® 5-Zertifizierungen.
Dank der ständigen Weiterentwicklungen durch die ISACA bekam die IT-Governance einen Rahmen gesetzt, mit dem sich sämtliche IT-Aufgaben des Managements umsetzen lassen. Die aktuell gültige Version von COBIT® 5 ist seit April 2012 zugänglich und ersetzt die bis dahin eingesetzte Version 4.1. Zugleich wurden damit Val IT 2.0 und das Risk-IT-Framework ersetzt. Nun steht mit COBIT® 5 ein umfassendes Rahmenwerk bereit, mit dem sich die Ziele im Unternehmen sowie die Unternehmens-IT umsetzen lassen.
Übersicht | Preis |
---|
Das Ziel, einen ganzheitlichen Ansatz für die IT-Governance zu finden, wird durch COBIT® 5 erreichbar. Damit einher geht ein Management, welches ebenfalls ganzheitlich angelegt ist und nicht separat von der IT betrachtet werden darf. Um das zu erreichen, ist die lückenlose Integration aller IT-Bereiche nötig, außerdem müssen interne und externe Belange und Anforderungen bezogen auf die IT eines Unternehmens berücksichtigt werden. COBIT® 5 ist genau auf diese Forderungen ausgelegt und versteht sich als generischer Ansatz für alle Unternehmensgrößen und Branchen. Dabei basiert das Framework auf fünf Prinzipien, die einen Rahmen für Governance und Management setzen. Mithilfe dieses Rahmens werden Technologien und Informationsinvestitionen optimiert. Die Prinzipien sehen dabei wie folgt aus:
1. Erfüllung verschiedener Ansprüche einzelner Gruppen
In jedem Unternehmen sind verschiedene Ansprüche vorhanden, die auf den unterschiedlichen Anspruchsgruppen beruhen. Die Governance muss in der Lage sein, die Vorstellungen über die Wertschöpfung gegeneinander abzuwägen und bei Entscheidungen allen Ansprüchen gerecht zu werden. Die Zielkaskade von COBIT® 5 kann diese Anforderungen und Vorstellungen als Unternehmensziele konkretisieren und in Ziele, die IT-bezogen sind, sowie in Enabler-Ziele unterscheiden. Damit ist es möglich, direkte Ziele zu formulieren, die auf die einzelnen Anspruchsgruppen zugeschnitten sind. Die IT-Lösungen unterstützen somit optimal die Anforderungen des Unternehmens.
2. Abdeckung des gesamten Unternehmens
COBIT® 5 betrachtet die Governance und das Management von Information und zugehöriger Technologie aus einer unternehmensweiten Perspektive und implementiert die Governance der IT in die des Unternehmens. Damit werden alle Prozesse und Funktionen abgedeckt, die für die Organisation und Steuerung der Informationen eines Unternehmens wichtig sind. Dabei wird sowohl der Umfang der Governance (gesamtes Unternehmen oder nur Bereiche) festgelegt, als auch die dazugehörigen Rollen, Aktivitäten und Beziehungen.
3. COBIT® 5 als einheitliches Framework
COBIT® 5 stellt ein integriertes, systemisches und einheitliches Rahmenwerk dar. Es nutzt und verweist auf aktuelle Standards und Rahmenwerke und kann als allumfassendes Framework für IT-Governance und Management gesehen werden. Dabei schafft es die Basis für die Nutzung weiterer Rahmenwerke und Standards im Unternehmen. Die Strukturierung verschiedener Hilfsmaterialien und Produktpakete wird durch die einfache Architektur von COBIT® 5 erleichtert. Außerdem sind in der heutigen Version alle Grundlagen und das gesamte Wissen, welches die ISACA bisher veröffentlicht hat, beinhaltet. Somit steht ein umfassendes Rahmenwerk für Unternehmen zur Verfügung, das alle Bereiche und Anforderungen der IT-Governance abdeckt.
4. Ganzheitlicher Ansatz möglich
Die Enabler (Faktoren, die einzeln oder gemeinsam Einfluss auf die Funktion bestimmter Prozesse nehmen) von COBIT® 5 bauen auf der Zielkaskade des Frameworks auf, das heißt, sie werden durch höhere IT-Ziele definiert. Sie sind dabei für das gesamte Unternehmen gültig und umfassen alles, was für IT-Governance und Management nötig ist. Sämtliche Funktionen der IT sowie Aktivitäten und Geschäftsfunktionen außerhalb der Unternehmens-IT sind inbegriffen. Insgesamt gibt es sieben Kategorien von Enablern:
- Richtlinien, Prinzipien und Rahmenwerke
- Strukturen der Organisation
- Prozesse
- Informationen
- Ethik, Verhalten und Kultur
- Infrastruktur, Anwendungen und Services
- Fähigkeiten und Fertigkeiten der Mitarbeiter
5. Differenzierung in Management und Governance
COBIT® 5 ist in der Lage, zwischen Management und Governance zu unterscheiden. Beide basieren auf verschiedenen Aktivitäten und nutzen differenzierte Strukturen ihrer Organisation. Außerdem sind sie für unterschiedliche Zwecke dienlich. Folgende Merkmale sind für die Unterscheidung zwischen Management und Governance wichtig:
- Governance unterscheidet zwischen Rahmenbedingungen, Möglichkeiten und Anforderungen der einzelnen Anspruchsgruppen, damit ausgewogene Ziele für das Unternehmen definiert werden können. Damit wird eine Richtung festgelegt bzw. werden Prioritäten bestimmt, nach denen sich Entscheidungen richten und die berücksichtigt werden müssen.
- Management hingegen erstellt Planungen und überwacht die einzelnen Aktivitäten im Rahmen der Richtung, die seitens der Governance vorgegeben wird. Das Management sorgt dafür, dass Unternehmensziele erreichbar werden.
Bei COBIT® 5 werden verschiedene Prozesse klar definiert – dafür ist ein sogenanntes Prozessreferenzmodell enthalten, in welchem diese Prozesse beschrieben werden. Alle Prozesse sind hier vertreten, die üblicherweise in einem Unternehmen anfallen. Insgesamt gibt es 37 Prozesse, die nach Management und Governance getrennt betrachtet werden müssen.
COBIT® 5 ist nur dann in der Lage, einen guten Wert zu generieren, wenn das Framework direkt an das jeweilige Unternehmen und die dortige Umgebung angepasst ist. Jeder Ansatz zur Implementierung muss demzufolge den spezifischen Anforderungen des Unternehmens genügen und sich auch an das Verhalten des Managements bei Veränderungen anpassen. Der Implementierungsleitfaden besteht aus 7 Schritten. Jeder dieser 7 Schritte muss unter 3 Gesichtspunkten erfolgen: dem Programmmanagement, der Änderungssteuerung und dem kontinuierlichen Verbesserungsprozess. Damit sollen letzten Endes bessere Ergebnisse erreicht werden. Ein wichtiges Thema ist dabei die Erstellung eines Business Cases, mit dessen Hilfe Governance und Management implementiert und verbessert werden sollen. Auslöseereignisse sollen erkannt werden, außerdem steht die Suche nach typischen Schwachstellen im Raum. Gleichzeitig wird versucht, die passenden Gegebenheiten für die Implementierung zu schaffen. COBIT® 5 dient dabei dem Finden von Lücken und als Hilfe bei der Orientierung für die Entwicklung der Einflussfaktoren. Rollen, Verantwortlichkeiten, Prinzipien, Prozesse, Richtlinien und Strukturen der Organisation sollen leichter entwickelt werden können.
Dem Prozessbefähigungsmodell von COBIT® 5 liegt der Standard ISO/IEC 15504 zugrunde, der für die Informationstechnik und das Prozess-Assessment herausgegeben wurde. Dabei wird ein Modell geboten, mit dem sich die Prozesse in Management und Governance nach ihrer Messung verbessern lassen bzw. werden die Bereiche gefunden, die überhaupt verbesserungswürdig sind. Insgesamt werden dabei sechs Stufen zugrunde gelegt, nach denen ein Prozess eingeteilt werden kann. Die Stufe 0 entspricht dabei einem unvollständigen Prozess, Stufe 5 betrifft den optimierenden Prozess. Die genauen Stufen sind:
- 0 = unvollständig
- 1 = durchgeführt
- 2 = gemanagt
- 3 = etabliert
- 4 = vorhersehbar
- 5 = optimiert
Für die Beurteilung, auf welcher Stufe sich ein Prozess jeweils befindet, müssen Ergebnisse, Praktiken und Arbeitsprodukte der einzelnen Prozesse berücksichtigt werden. Das Prozessbefähigungsmodell stellt den Prozess in den Fokus. Das Reifegradmodell (Maturity Model), das ähnlich aufgebaut ist, die Fähigkeit einer Organisation.
Die Entwicklung von COBIT® 5 fand unter Berücksichtigung verschiedener Rahmenwerke statt, wobei auch diverse Standards zugrunde gelegt wurden. Im Einzelnen sind das:
- ISO/IEC 38500
- ISO/IEC 27000-x
- ITIL
- TOGRAF
- PRINCE2
- CMMI
Mithilfe von COBIT® 5 sollen Unternehmen dazu befähigt werden, ihre Ziele genauer zu definieren und umzusetzen, wobei Management und Governance in Einklang zueinander stehen sollen. Jeder dieser beiden Bereiche erreicht einen Wertbeitrag, der mit dem jeweils anderen addiert werden muss. Damit lässt sich die Unternehmens-IT optimieren.
COBIT® 5 eignet sich nicht nur für große Konzerne, sondern ist für Unternehmen jeglicher Größenordnung ausgelegt. Auch gemeinnützige Organisationen und öffentliche Einrichtungen profitieren von diesem Rahmenwerk. Die fünf bereits beschriebenen Prinzipien müssen bei der Umsetzung berücksichtigt bzw. erreicht werden. Sie setzen den Rahmen für die Vereinbarkeit von Management und Governance. Das wiederum hat Auswirkungen auf Entscheidungen, die zu Investitionen in Technologie und Informationen getätigt werden sollen. Sämtliche Investitionen sollen zur Erfüllung der Anforderungen jeder Anspruchsgruppe führen - COBIT® 5 hilft dabei, den Rahmen für diese Entscheidungen zu setzen. Immer werden dabei die treibenden Kräfte eines Unternehmens, die Stakeholder berücksichtigt, die hinter allen Aktivitäten stehen und das Unternehmen voranbringen sollen. Sie bestehen aus Kunden und Zulieferern, einzelnen Fachbereichen und auch aus dem Gesetzgeber. Die Anforderungen der Stakeholder müssen umgewandelt werden, sodass am Ende eine Unternehmensstrategie entwickelt werden kann, die zum Erreichen der gesetzten Unternehmensziele führt. Der Mechanismus hinter COBIT® 5 bricht die Anforderungen auf die einzelnen Ziele herunter, die zum Erfolg des Unternehmens führen sollen.
COBIT® 5 gibt die Vorgaben für ITIL®, steuert und kontrolliert dessen Ergebnisse. Und ITIL® hat ein Problem: Woher kommt die Service-Strategie? Das ist in ITIL® nicht sauber beschrieben. Genau diese Vorgaben macht aber COBIT® 5 mit den Zielkaskaden. Die IT-Ziele von COBIT® 5 sind der Input für die Service-Strategie von ITIL®. Die Enabler-Ziele sind die Vorgaben für das Service Design. Gegen diese Ziele wird die Service Operation kontrolliert. Gibt es Abweichungen, werden die Lösungen dazu über das Continual Service Improvement angestoßen. COBIT® 5 und ITIL® sind die ideale Ergänzung. Die COBIT® 5-Prozesse und die anderen Enabler legen die kritischen Erfolgsfaktoren und Kennzahlen fest, die die ITIL®-Prozesse erreichen sollen.
Die Entwicklung des heutigen COBIT® 5 begann im Jahr 1996 in den USA. Damals wurde verstärkt nach einem Werkzeug gesucht, welches die Wünsche und Zielsetzungen eines Unternehmens und die Steuerung der IT vereint. Dabei musste die Compliance berücksichtigt werden, die im engeren Sinne die Einhaltung von Recht und Gesetz durch das Unternehmen bedeutet. Ein Rahmenwerk für die Einhaltung dieser Anforderungen bei gleichzeitigem Erreichen der Unternehmensziele wurde gefordert. Um all diese Anforderungen erfüllen zu können, wurde die ISACF – eine Forschungseinrichtung der ISACA – mit der Entwicklung betraut. Als COBIT® 1 aber veröffentlicht wurde, gab es bereits Überlegungen zu den nächsten Schritten und zu einer Weiterentwicklung des Frameworks. Vor allem die control objectives sollten überarbeitet werden, hierzu gab es diverse Referenzmaterialien. Außerdem ging es um die Weiterentwicklung der Richtlinien für das Management im Hinblick auf eigene Metriken und Selbsteinschätzungen. So entstand die erste Version von COBIT® im Jahr 1996, wobei es sich damals vor allem um eine Art Leitfaden handelte. Dieser war für IT-Auditoren gedacht und sollte die einzelnen Abläufe der IT im Unternehmen leichter und effizienter überprüfen lassen.
COBIT® 2 wird entwickelt
Darauf aufbauend wurde COBIT® 2 entwickelt und im April 1998 veröffentlicht. Diese Version wurde durch verschiedene Steuerungselemente ergänzt, die als „Controls“ zusammengefasst waren. Angewendet wurde das Rahmenwerk damals vor allem bei Revisionen interner und externer Art. COBIT® 2 beschrieb sämtliche IT-Aktivitäten innerhalb eines Unternehmens als „good practices“, sofern die zugehörigen Anforderungen homogen waren. Dies wiederum war Voraussetzung dafür, dass Sollvorgaben überprüfbar waren und sich damit einzelne Situationen beurteilen ließen. Zugefügt wurden der zweiten Version außerdem „Audit Guidelines“ als umfassende und detaillierte Vorgaben zu Überprüfungshandlungen für einzelne Prozesse des Unternehmens.
1998 gründete die ISACA das „IT Governance Institute“, welches das Potenzial von COBIT® fördern sollte. Es ging darum, das Rahmenwerk für das gesamte IT-Management im Zusammenhang mit dem Business Management zu nutzen. Dieses Institut übernahm fortan die Weiterentwicklung von COBIT®.
COBIT® 3 mit wichtigen Neuerungen
Im Jahr 2000 wurde die dritte Version – COBIT® 3 – veröffentlicht. Diese Version war vor allem auf das Management der IT im Unternehmen ausgerichtet und enthielt diesbezüglich wichtige Erweiterungen. So war unter anderem ein „maturity model“ (Reifegradmodell) integriert, welches durch sogenannte kritische Erfolgsfaktoren und Zielindikationen (critical success factors und key goal indicators) ergänzt wurde. Auch Indikatoren für die Leistung des Unternehmens wurden in das Framework aufgenommen – die „key performance indicators“ wurden zum wichtigen Bestandteil des Rahmenwerks. Nun war das Management des Unternehmens in der Lage, die eigenen IT-Prozesse besser einschätzen zu können und deren Effektivität besser zu beurteilen. Es wurde erkennbar, wo das Unternehmen derzeit steht und welche der insgesamt 34 Prozessbereiche noch verbessert werden müssen. Auf dieser Basis ließ sich ein Sollzustand definieren – aus dem Vergleich von Ist- und Sollzustand ergab sich eine Aufgabenliste, die das Erreichen des Sollzustand ermöglichen sollte. Die definierten Ziele konnten durch das Rahmenwerk besser überwacht werden.
COBIT® 3 war erfolgreich: Zunehmend setzten die Unternehmen auf das Framework und nutzten es als Leitfaden für die Erstellung und Umsetzung interner Kontrollsysteme. Die Unternehmens-IT konnte besser auf die Anforderungen des Managements abgestimmt werden. Außerdem waren die Zustandsbeurteilungen der einzelnen Prozesse für die weitere Zieldefinition fast unverzichtbar geworden.
Weiterentwicklung zu COBIT® 4
Die Arbeiten zur Weiterentwicklung von COBIT® 3 zur Version 4 starteten im Jahr 2004, wobei verschiedene Forschungsprojekte integriert wurden. Unter anderem arbeiteten die University of Hawaii und die Antwerp Management School mit an diesen Projekten und der Integration derselben im Framework. Die Version 4.0 wurde im Dezember 2005 veröffentlicht und präsentierte sich als deutlich schlankere und reduziertere Version in Bezug auf die control objectives. Da dies nicht zufriedenstellend war, wurde die Version erneut überarbeitet und als 4.1 verbessert veröffentlicht. Nun wurden auch verschiedene Bücher als Ergänzung herausgegeben, die sich als Richtlinien für COBIT® erwiesen. Beispiele für diese Bücher sind „IT Governance Implementation Guide: Using COBIT® and Val IT“ und „IT Assurance Guide: Using COBIT®“.
Das Paket aus Framework und ergänzenden Büchern wurde als sinnvoll angesehen und die Entwicklung der Val IT wurde fortgesetzt. Erstmals wurde dieses Rahmenwerk in 2006 veröffentlicht, außerdem erschien COBIT® 4.2 in 2008. In diesem Jahr startete die ISACA mit dem Projekt Risk IT, dessen endgültige Version ein Jahr später erschien. Vom ersten Entwurf im Mai bis zur Veröffentlichung im November vergingen gerade einmal sechs Monate.
COBIT® 5 kommt auf den Markt
Die ISACA begann 2011 mit der weiteren Entwicklung von COBIT® und berief eine Task Force dafür ein. Die verschiedenen Rahmenwerke, die bis dato auf dem Markt waren, sollten in einem Modell vereint werden. Dabei sollten aber alle bisherigen Inhalte erhalten bleiben: Nicht nur Val IT und Risk IT wurden übernommen, sondern auch ITAF und BMIS (IT Assurance Framework sowie Business Model for Information Security).
COBIT® 5 wurde 2012 herausgegeben und gilt als aktuelles Rahmenwerk für die Governance der IT eines Unternehmens. Zeitgleich mit der Veröffentlichung von COBIT® 5 kamen drei Bücher auf den Markt: das „Business Framework“ als Rahmenwerk, das Handbuch „Enabling Processes“ und der Umsetzungsleitfaden „Implementation“. Das „Business Framework“ ist dabei als Hauptbuch zu sehen, in welchem die Prinzipien von COBIT®, die sieben Enabler und das gesamte Prozessmodell vorgestellt werden. „Enabling Processes“ als separat erhältliches Handbuch beinhaltet die fünf Prozesse der IT-Governance sowie die insgesamt 32 Prozesse des Managements. „Implementation“ ist ein Umsetzungsleitfaden mit Hilfestellungen zur IT-Governance und ihrer Einführung sowie deren Lebenszyklus im Unternehmen.
Inzwischen wurden sukzessive weitere Bücher veröffentlicht, die sich mit der Umsetzung von COBIT® 5 in der Praxis in Form von Umsetzungsleitfäden und Enabler-Handbüchern befassen.
Die ISACA vermarktet das Framework heute als Bindeglied zwischen den Zielen, die sich das Unternehmen gesetzt hat, und den IT-Zielen. Gerade im Mittelstand ist COBIT® 5 derzeit weit verbreitet, findet sich aber auch bei großen Organisationen und wird als wichtigstes Werkzeug der IT-Governance geführt. Seine Wirksamkeit konnte COBIT® 5 wiederholt beweisen und Kenntnisse bzw. Zertifizierungen zu diesem Rahmenwerk werden immer häufiger als Voraussetzung für Riskmanager, IT-Verantwortliche und Controller genannt.
Die ISACA bietet Zertifizierungen zu COBIT® 5 an, die sich an verschiedene Personengruppen richten und nach einer entsprechenden Weiterbildung erreicht werden können. Diese Weiterbildungen sind auch in unserem Hause möglich (Beispiele siehe unten). Folgende Zertifizierungen wurden durch die ISACA entwickelt:
- „COBIT® 5 Foundation“
- „COBIT® 5 Implementation“
- „COBIT® 5 Assessor“
- „Certified Information Systems Auditor“ (Zertifizierung für IT-Prüfer und Auditoren)
- „Certified Information Security Manager“ (Zertifizierung für IT-Sicherheitsmanager)
- „Certified in the Governance of Enterprise IT“ (Zertifizierung für IT-Governance Beauftragte)
- „Certified in Risk and Information Systems Control” (Zertifizierung für IT-Risiko- und Kontroll-Beauftragte)
Mit allen COBIT® 5-Zertifizierungen soll das Verständnis für die Prinzipien und die einzelnen Elemente des Frameworks verbessert werden. Die Zertifikate belegen, dass der Inhaber in der Lage ist, in praxisbezogenen Situationen das Wissen anwenden zu können und über die aktuellen Standards in diesem Bereich informiert ist. Die Zertifikate für den deutschen Sprachraum sind speziell konzipiert worden und werden von akkreditierten Schulungsunternehmen vergeben.
Ohne weitere Vorkenntnisse zugänglich und anerkannt sind unsere folgenden Seminare:
1. „COBIT® 5 Foundation“
Die „COBIT® 5 Foundation“-Schulung dauert zwei Tage und behandelt sämtliche Grundlagen des Frameworks. Innerhalb des Seminars erfahren die Teilnehmer, wie sich COBIT® 5 im Unternehmen einsetzen lässt und welche Schwerpunktbereiche dabei erreicht werden. Zur Zielgruppe der Veranstaltung zählen IT-Auditoren, Berater, Wirtschaftsprüfer, Revisoren und Prozessverantwortliche der Unternehmen. Besondere Voraussetzungen sind nicht zu erfüllen. Die Teilnehmer lernen alle wichtigen Bausteine des Rahmenwerkes kennen und erfahren, welche Schritte der jeweiligen Prozesse zur Umsetzung der Anforderungen wichtig sind. Das Seminar stellt die Grundlage für alle weiteren Zertifizierungen zu COBIT® dar.
2. „NIST Cybersecurity“
Dieses „NIST Cybersecurity“-Seminar dreht sich rund um den Schutz von Angriffen aus dem Internet und dauert zwei Tage. Es geht um das Cybersecurity Framework und dessen Umsetzbarkeit im Unternehmen. Die Teilnehmer sollten ein grundlegendes Verständnis zu COBIT® 5 und zu den verschiedenen Sicherheitskonzepten mitbringen und erfahren während der Veranstaltung, wie sich Sicherheitstechnologien besser nutzen lassen.