Was Covid 19 ist, haben wir nun wohl nach über 2 Jahren alle gelernt. Mehr oder weniger. Darüber möchte ich heute nicht schreiben.
COBIT 2019 hingegen ist noch nicht ganz so bekannt, jedoch nicht weniger interessant und ungefährlich, sogar sehr hilfreich. Hilfreich zumindest für alle, die sich mit Unternehmens-Governance beschäftigen und einen optimalen Wertbeitrag aus Investitionen in Information und in die dazu benötigte Technologie zum Nutzen aller Stakeholder erhalten möchten.
Aber was genau bedeutet COBIT ? Es steht für „Control Objectives for Information and related Technology” und wird durch die Information Systems Audit and Control Accociation (ISACA) herausgegeben und weiterentwickelt. ISACA ist ein internationaler Berufsverband der IT-Revisoren, IT-Sicherheitsmanager und IT-Governance-Experten. Primäres Ziel des Verbandes ist die Entwicklung und Verbreitung von Berufsstandards und Arbeitstechniken sowie die Zertifizierung und Weiterbildung von Fachleuten, die sich mit der Kontrolle und der Sicherheit sowie dem Management und der Steuerung von Informationssystemen befassen.
COBIT ist ein umfassendes IT-Governance- und Management-Rahmenwerk für Information und die sie verarbeitende Technologie und wird in allen Unternehmensbereichen eingesetzt, in denen Informationen ver- und mit Technologie gearbeitet wird. Während die erste Version COBIT 1 im Jahre 1996 entwickelt wurde, gilt heute die aktuelle Version COBIT 2019.
COBIT 2019 formuliert sechs Prinzipien, die der Ausgestaltung des Governance-Systems zur Steuerung der Unternehmens-IT zugrunde liegen sollten. Sie lauten:
- Mehrwert für die Anspruchsgruppen bereitstellen
- Ganzheitlicher Ansatz
- Dynamisches Governance-System
- Governance getrennt von Management
- Zugeschnitten auf die Bedürfnisse des Unternehmens
- End-to-End-Governance-System
Daneben gibt es drei allgemeine Prinzipien für Governance-Rahmenwerke
- Basierend auf einem konzeptionellen Modell
- Offen und flexibel
- An wichtigen Standards ausgerichtet
Komponenten sind im COBIT-Rahmenwerk kritische Erfolgsfaktoren zum Erreichen der 40 vorgeschlagenen Governance- und Managementziele:
- Prinzipien, Richtlinien und Rahmenwerke
- Prozesse
- Organisationsstrukturen
- Kultur, Ethik und Verhalten
- Services, Infrastriktur und Anwendungen
- Mitarbeiter, Fähigkeiten und Kompetenzen
COBIT ist also ein Rahmenwerk und schreibt Unternehmen mit dem COBIT-Kernmodell keine Governance -und Managementprozesse vor, sondern empfiehlt lediglich deren Implementierung auf Basis guter Praktiken. Hierbei hat jeder Prozess mehrere Praktiken, die sich wiederum in Aktivitäten herunterbrechen lassen. Basierend auf den Praktiken gibt es definierte Outputs und auch Metriken, um den Prozess letztlich gut messen zu können. Es handelt sich wirklich um ein großartiges Werk! Jedes Unternehmen muss seine eigenen Prozessvarianten unter Berücksichtigung seiner spezifischen Situation definieren, dabei aber sicherstellen, dass die Kernbereiche und grundlegenden Governance- und Managementziele ausreichend abgedeckt werden. Kleinere Unternehmen können bspw. deutlich weniger relevante Prozesse als größere Unternehmen haben. Dieser adaptive Ansatz wird zusätzlich durch sogenannte Designfaktoren (Unternehmensstrategie, IT-Sourcing-Modell, bekannte Schwachstellen,…) unterstützt.
Abgerundet wird COBIT durch ein COBIT Performance Management, um herauszufinden, wie gut das Governance- und Managementsystem des Unternehmens arbeitet und wie es verbessert werden kann, um das erforderliche Niveau zu erreichen.
Freilich kann solch ein Artikel maximal dem Wecken von Interesse dienen. Für weitere Details gibt es vielfältige Quellen im Internet oder zu kaufender Literatur. Oder kommen Sie gerne auf mich zu.
All in all ein aufwändiges, jedoch sehr durchdachtes Governance-Rahmenwerk, das derzeit mit folgenden Unterlagen dokumentiert ist:
- Cobit 2019 Framework: Introduction and Methodology
- Cobit 2019 Framework: Governance and Management Objectives
- Cobit 2019 Design Guide: Designing an Information and Technology Governance Solution
- Cobit 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution
Ich persönlich sehe es als ein Buffet – man muss nicht alles nehmen aber man kann. Auch nur Teile davon umzusetzen kann das Governance-System eines Unternehmens mit Sicherheit sehr gut voranbringen.
Ich hatte den Genuss, mich damit sehr umfassend zu beschäftigen und habe dazu nach einem erfolgreich bestandenen exam mein Zertifikat erhalten. Bei Fragen oder Klärungsbedarf kontaktieren Sie mich gerne!