COBIT Framework

COBIT (Control Objectives for Information and Related Technology, heute nur mehr als Akronym in Verwendung^[1]) ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit ‚Kontrollziel‘ übersetzt, eigentlich ‚Steuerungsvorgaben‘, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). COBIT definiert hierbei nicht vorrangig wie die Anforderungen umzusetzen sind, sondern primär was umzusetzen ist.

Aufbau von COBIT 5

COBIT 5 konsolidiert und integriert COBIT 4.1, Val IT 2.0 sowie das Risk IT Framework und BMIS (Business Model for Information Security).^[4][5]

Open

COBIT 5 definiert fünf grundlegende Prinzipien für die Governance und das Management der Unternehmens-IT. Eines der wesentlichen Prinzipien ist die Unterscheidung zwischen Governance (also der Vorgabe der Richtung, Priorisierung und Festlegung der Unternehmensziele) und Management (der Planung, Implementierung, Durchführung und Überwachung der dafür notwendigen Aktivitäten). Zwei wesentliche Prinzipien sind der umfassende, ganzheitliche Ansatz sowie die Abdeckung des gesamten Unternehmens. Hierfür definiert COBIT 5 sieben Enabler, welche die Erreichung der Unternehmensziele ermöglichen sollen und das gesamte Unternehmen abdecken. Treiber hinter allen Aktivitäten sind verschiedenste Anspruchsgruppen (englisch: Stakeholder) an die IT, beispielsweise Kunden, Lieferanten, Gesetzgeber oder Fachbereiche. Ziel ist es deren Anforderungen in eine durchführbare Unternehmensstrategie umzuwandeln. Hierfür sieht COBIT 5 eine Zielkaskade vor, ein Mechanismus welcher die Anforderungen der Stakeholder in Unternehmensziele, IT-bezogene Ziele und schließlich Enabler-Ziele herunterbricht. COBIT 5 definiert 17 generische Unternehmensziele, welche über ein entsprechendes Mapping 17 generischen IT-bezogenen Zielen zugeordnet werden können. Diese wiederum können generischen sowie spezifischen Enabler-Zielen sowie den 37 in COBIT 5 definierten Prozessen zugeordnet werden.

Die fünf grundlegenden Prinzipien für die Governance und das Management der Unternehmens-IT sind:

1. Erfüllung der Anforderungen der Anspruchsgruppen

2. Abdeckung des gesamten Unternehmens

3. Anwendung eines einheitlichen, integrierten Rahmenwerks

4. Ermöglichung eines ganzheitlichen Ansatzes

5. Unterscheidung zwischen Governance und Management

In COBIT 5 werden sieben Enabler-Kategorien definiert und betrachtet, jene Faktoren bzw. Unternehmensressourcen welche die Erreichung der Unternehmensziele ermöglichen sollen:

1. Prinzipien, Richtlinien und Rahmenwerke

2. Prozesse

3. Organisationsstrukturen

4. Kultur, Ethik und Verhalten

5. Informationen

6. Services, Infrastruktur und Anwendungen

7. Mitarbeiter, Fähigkeiten und Kompetenzen

Das COBIT 5-Prozessreferenzmodell definiert 37 Prozesse, welche in fünf Domänen gruppiert sind, davon eine Governance-Domäne (EDM) und vier Management-Domänen (APO, BAI, DSS und MEA), auch als PBRM (Plan, Build, Run, Monitor) bezeichnet. Diese Prozesse können etwa den 26 Prozessen aus ITIL v3/Edition 2011 gegenübergestellt werden, welche in die fünf Module Service Strategy (SS), Service Design (SD), Service Transition (ST), Service Operation (SO) und Continual Service Improvement (CSI) gruppiert sind.^[6]

• EDM – Evaluieren, Vorgeben und Überwachen (englisch: "Evaluate, Direct and Monitor")

  • EDM01 Sicherstellen der Einrichtung und Pflege des Governance-Rahmenwerks

  • EDM02 Sicherstellen der Lieferung von Wertbeiträgen

  • EDM03 Sicherstellen der Risiko-Optimierung

  • EDM04 Sicherstellen der Ressourcenoptimierung

  • EDM05 Sicherstellen der Transparenz gegenüber Anspruchsgruppen

• APO – Anpassen, Planen und Organisieren (englisch: "Align, Plan and Organise")

  • APO01 Managen des IT-Management-Rahmenwerks

  • APO02 Managen der Strategie

  • APO03 Managen der Unternehmensarchitektur

  • APO04 Managen von Innovationen

  • APO05 Managen des Portfolios

  • APO06 Managen von Budget und Kosten

  • APO07 Managen des Personals

  • APO08 Managen von Beziehungen

  • APO09 Managen von Servicevereinbarungen

  • APO10 Managen von Lieferanten

  • APO11 Managen der Qualität

  • APO12 Managen von Risiko

  • APO13 Managen der Sicherheit

• BAI – Aufbauen, Beschaffen und Implementieren (englisch: "Build, Acquire and Implement")

  • BAI01 Managen von Programmen und Projekten

  • BAI02 Managen der Definition von Anforderungen

  • BAI03 Managen von Lösungsidentifizierung und Lösungsbau

  • BAI04 Managen von Verfügbarkeit und Kapazität

  • BAI05 Managen der Ermöglichung organisatorischer Veränderungen

  • BAI06 Managen von Änderungen

  • BAI07 Managen der Abnahme und Überführung von Änderungen

  • BAI08 Managen von Wissen

  • BAI09 Managen von Betriebsmitteln

  • BAI10 Managen der Konfiguration

• DSS – Bereitstellen, Betreiben und Unterstützen (englisch: "Deliver, Service and Support")

  • DSS01 Managen des Betriebs

  • DSS02 Managen von Serviceanfragen und Störungen

  • DSS03 Managen von Problemen

  • DSS04 Managen der Kontinuität

  • DSS05 Managen von Sicherheitsservices

  • DSS06 Managen von Geschäftsprozesskontrollen

• MEA – Überwachen, Evaluieren und Beurteilen (englisch: "Monitor, Evaluate and Assess")

  • MEA01 Überwachen, Evaluieren und Beurteilen von Leistung und Konformität

  • MEA02 Überwachen, Evaluieren und Beurteilen des internen Kontrollsystems

  • MEA03 Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen

Das Prozessbefähigungsmodell zur Bewertung und kontinuierlichen Verbesserung von Prozessen basiert in COBIT 5 auf dem internationalen Standard ISO/IEC 15504.^[7]

Open