Petra Maria Asprion, Daniel Burda
COBIT
COBIT ist ein weltweit anerkanntes Referenzmodell und in vielen, insbesondere größeren Organisationen/Unternehmen, etabliert. Die aktuelle Version wurde Ende 2018 veröffentlicht und trägt die Kurzbezeichnung «COBIT 2019». Dieses Modell soll dazu beitragen, eine effektive, organisationsweite Governance von Informationen und Technologie zu gewährleisten (ISACA, 2018a).
Entwicklung
COBIT ist ein Produkt der ISACA, ein unabhängiger, gemeinnütziger und globaler Verband, gegründet 1969, der sich in der Entwicklung, Etablierung und Anwendung von branchenführendem Wissen und Praktiken im Kontext der IT engagiert. Die erste Version von COBIT wurde im Jahr 1996 lanciert und war als Leitfaden für Revisoren der Informationstechnologie (IT) gedacht. In der nachfolgenden Version, COBIT 2, wurden zusätzliche Steuerungselemente, sogenannte «Controls» eingeführt. Das im Jahr 2000 veröffentlichte und signifikant erweiterte COBIT 3 war zusätzlich auf das Management von IT ausgerichtet. Darauf folgte COBIT 4 bzw. COBIT 4.1; dies wurde als Referenzmodell zum Management von «IT-Governance» eingeführt. Ergänzend zu COBIT 4/4.1 wurden zwei weitere Arbeitsmittel lanciert: «Val IT 2.0», als Werkzeug zum Management von IT-Investitionen und «Risk IT», zur Steuerung von IT-bezogenen Risiken. COBIT 5, im Jahr 2012 veröffentlicht, wurde wiederum erweitert und als übergreifendes und integriertes Referenzmodell für die «Governance der Organisations-/Unternehmens-IT» positioniert. Es nimmt wesentliche Elemente von Val IT 2.0 und Risk IT auf und schafft in diversen Bereichen Bezüge zu anderen etablierten Rahmenwerken und Standards wie ITIL oder TOGAF (ISACA, 2012a, b). Abbildung 1 visualisiert die detaillierten Entwicklungsschritte von COBIT von 1996 bis 2018.
COBIT 2019
COBIT 2019 basiert im Wesentlichen auf COBIT 5 (ISACA, 2012a, b) und orientiert sich, wie auch die Vorgängerversionen, an anderen bekannten, inhaltlich verwandten Standards und Referenzmodellen. Damit soll eine gewisse Kompatibilität und Konsistenz sichergestellt werden; die Liste der verwandten und genutzten Materialien beinhaltet unter anderem Referenzmodelle wie «CMMI», «COSO», «ITIL», «IIA», «PMBOK» «IT4IT», «TOGAF», sowie Standards wie «ISO/IEC», «NIST» (ISACA, 2018a, S. 63-64).
COBIT 2019 umfasst eine Reihe von Publikationen, die als «Set» oder – in Anlehnung noch an COBIT 5 – «Product Family» bezeichnet werden und stetig um neue Materialien ergänzt werden. Auf der Webseite der ISACA werden zu COBIT 2019 aktuell verfügbare Publikation angeführt ISACA, 2023a). Im Folgenden einige wesentliche Publikationen («Core Publications»):
- «COBIT 2019 Framework: Introduction and Methodology» (ISACA, 2018a),
- «COBIT 2019 Framework: Governance and Management Objectives» (ISACA, 2018c),
- «COBIT 2019 Design Guide: Designing an Information and Technology Governance Solution» (ISACA, 2018d),
- «COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution» (ISACA, 2018e).
Neben Publikationen werden von der ISACA auch Online-Kurse zur Verfügung gestellt (ISACA, 2023b). Abbildung 2 skizziert die unterschiedlichen Publikationen von COBIT 2019 verknüpft mit einigen inhaltlichen Elementen, die nachfolgend erläutert werden.
Eine wesentliche Neuerung gegenüber der Vorgängerversion sind die Integration sogenannter Designfaktoren («Design Factors») und Fokusbereiche («Focus Areas»). Designfaktoren sollen eine maßgeschneiderte Gestaltung und Implementierung des Governance Systems einer Organisation unter Berücksichtigung der jeweiligen Organisationsspezifika ermöglichen. Beispielsweise werden die jeweilige Strategie, Größe, Rolle der IT, Compliance-Anforderungen und die Risikolage der Organisation als Designfaktoren betrachtet.
Ein Fokusbereich beschreibt ein bestimmtes Governance-Thema, das in besonderer Weise betrachtet werden muss und einen Einfluss auf die Ausgestaltung des spezifischen Governance-Systems hat. Beispiele für Fokusbereiche sind etwa Informationssicherheit (vgl. , ISACA 2020a), DevOps (vgl. ISACA 2020b), digitale Transformation, Cloud Computing oder Datenschutz. Die offene Architektur von COBIT 2019 ermöglicht es, neue Fokusbereiche hinzuzufügen oder bestehende zu modifizieren, ohne direkte Auswirkungen auf die Struktur und den Inhalt des COBIT-Kernmodells. Informationen zu Fokusbereichen werden fortlaufend durch die ISACA veröffentlicht und sollen eine evolutionäre Weiterentwicklung von COBIT unter Einbezug der Anwender ermöglichen.
Konzept
Angesichts der digitalen Transformation sind Information und Technologie (I&T) für Unternehmen von entscheidender Bedeutung. Die Wertschöpfung basiert verstärkt auf einem hohen Digitalisierungsgrad (mit neuen Geschäftsmodellen), erfolgreichen Innovationen sowie effizienten Prozessen. Dies führt zu einer zunehmenden Abhängigkeit von I&T. COBIT setzt hier an und geht davon aus, dass mittels einer systematisch eingeführten und verwalteten «Enterprise Governance for Information Technology» (EGIT) sowohl das «Business» als auch die «IT» effektiv miteinander verbunden werden, was auch als «Business/IT Alignment» bezeichnet wird. Damit soll sichergestellt werden, dass IT-Investitionen einen relevanten Beitrag zur Wertschöpfung («Value Creation») einer Organisation, eines Unternehmens liefern (ISACA 2018a). Abbildung 3 visualisiert diesen Zusammenhang.
COBIT 2019, von ISACA auch als «I&T Governance Framework» bezeichnet, ist als Referenzmodell, als Metamodell, konzipiert, das sowohl auf Governance- als auch Managementaufgaben in Bezug auf I&T, und zwar für die gesamte Organisation, abzielt. Das Modell basiert auf sechs «Governance System Principles» (Abbildung 4), sowie drei «Governance Framework Principles» (Abbildung 5). Die sechs plus drei Prinzipien sollen Organisationen/Unternehmen einen Orientierungsrahmen für die Umsetzung und nachhaltige Etablierung einer EGIT vorgeben.
Eine wesentliche Komponente von COBIT 2019 ist das «COBIT Core Model» (ehem. «Process Reference Model»), welches insgesamt 40 Governance- bzw. Managementziele definiert, die gemäß COBIT 2019 erreicht werden sollten, um damit die sogenannten «Alignment Goals» bzw. «Enterprise Goals» zu erfüllen und so letztlich einen Wertbeitrag aus I&T für das Unternehmen zu schaffen (Abbildung 6). Die formulierten Ziele sind als normative Vorgaben zu betrachten. Mit Hilfe der Designfaktoren kann jedoch diese Äquivalenz beeinflusst werden und unter Berücksichtigung des organisations-/unternehmensspezifischen Kontexts können Governance- und Managementziele priorisiert oder gar ausgeschlossen werden.
Jedem dieser 40 Ziele sind sogenannte Komponenten («Components», in COBIT 5 als «Enabler» bezeichnet) zugeordnet, die – bei entsprechender Umsetzung – einen Beitrag zur Erreichung des jeweiligen Ziels leisten sollen. Die insgesamt sieben Komponenten (Abbildung 7) werden von COBIT 2019 als Faktoren verstanden, die einzeln und in Kombination zu einem guten Funktionieren der EGIT beitragen und damit als anerkannte «Best Practices» verstanden werden können.
Alle Komponenten werden in einheitlicher und strukturierter Form entlang der 40 Governance-/Managementziele beschrieben und sollen Unternehmen bei deren Implementierung unterstützen. Die Komponente „Prozesse“ beschreibt beispielsweise zu implementierende Prozesspraktiken und -aktivitäten, Prozess-Metriken und weiterführende Referenzmaterialien (ISACA, 2018c, S. 19ff).
Des Weiteren ist allen Prozessaktivitäten eine Fähigkeitsstufe zugewiesen, was eine eindeutige Zuordnung von verschiedenen Fähigkeitsstufen «Capability Levels» eines Prozesses ermöglichen soll. Die Fähigkeitsstufe ist ein Maß dafür, wie gut ein Prozess implementiert ist. Ein Prozess erreicht eine bestimmte Fähigkeitsstufe, sobald alle empfohlenen Aktivitäten dieser Ebene erfolgreich ausgeführt wurden. COBIT 2019 unterstützt ein auf dem «Capability Maturity Model Integration» (CMMI) basierendes Prozessfähigkeitsschema von 0 bis 5 (Abbildung 8).
Literatur
ISACA: COBIT 5. Rahmenwerk für Governance und Management der Unternehmens-IT (deutsche Fassung), 2012a. Online nicht mehr erhältlich.
ISACA: COBIT 5. A Business Framework for the Governance and Management of Enterprise IT, 2012b. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoCDEA0 (auch weitere COBIT 5 Publikationen sind hier angeführt) (Abruf 2023-03-13).
ISACA: COBIT 2019 Framework: Introduction and Methodology, 2018a. www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19fim (Abruf 2023-03-13).
ISACA: COBIT 2019 The COBIT Framework Timeline (Infografic), 2018b. https://www.isaca.org/resources/infographics/the-cobit-framework-timeline Abruf 2023-03-13).
ISACA: COBIT 2019 Framework: Governance and Management Objectives, 2018c. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko5aEAC (Abruf 2023-03-13).
ISACA: COBIT 2019 Design Guide: Designing an Information and Technology Governance Solution, 2018d. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko9bEAC (Abruf 2023-03-13).
ISACA: COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution, 2018e. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko9aEAC (Abruf 2023-03-13).
ISACA: COBIT Focus Area: Information Security, 2020a. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko9eEAC (Abruf 2023-03-13).
ISACA: COBIT Focus Area: DevOps Using COBIT 2019, 2020b. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko9dEAC (Abruf 2023-03-13).
ISACA: Webseite zu COBIT 2019 – Aktuelle Informationen und Ressourcen, 2023a. https://www.isaca.org/resources/cobit# (Abruf 2023-03-13).
ISACA: COBIT 2019 Foundation Online Course. 2023b. https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoAJEA0 (Abruf 2023-03-13).