Neuer Entwurf: CoBIT 5 - Rahmen für die IT-Governance Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.07.2011 Markus Gaulke*

Neuer Entwurf: CoBIT 5 - Rahmen für die IT-Governance

In der letzten Juniwoche wurde der Fachwelt endlich der lang erwartete Entwurf für CoBIT 5 zur Diskussion gestellt. Hier das wichtigste zu dem aktualisierten Rahmenwerk für die IT-Governance.

Das Release 4.1 der Control Objectives for Information Technology, kurz CoBIT, hat im ersten Quartal 2012 ausgedient; dann soll es durch CoBIT 5 abgelöst werden. Der Berufsverband der IT-Auditoren und -Sicherheits-Manager, Isaca, hat nun die Entwürfe für die neue Version zur Diskussion gestellt. Sie umfassen das CoBIT-5-Rahmenwerk (Framework) sowie den Prozessleitfaden (Process Reference Guide).

CoBIT 5 weist gegenüber CoBIT 4.1 deutlich mehr Änderungen auf, als es bei früheren Versionswechseln der Fall war. Die wichtigsten davon sind anhand von fünf Kerneigenschaften (Principles) darstellbar.

INTEGRATIVES RAHMENWERK (INTEGRATOR FRAMEWORK) Mit CoBIT 4.1, Risk IT und Val IT hat Isaca seit 2005 drei prominente Rahmenwerke für die IT herausgebracht. Hinzu kommen unterstützende Veröffentlichungen wie das IT Assurance Framework (Itaf) oder das Business Model for Information Security (BMIS).

Eines der mit CoBit 5 verfolgten Ziele ist deshalb die Integration der vorhandenen Inhalte in ein gemeinsames Modell. Das ist mit dem vorliegenden Entwurf erfüllt. Ein detailliertes Mapping auf der Ebene der Control Objectives im Prozessleitfaden erleichtert den Anwendern die Umstellung von CoBIT 4.1, Risk IT und/oder Val IT auf CoBIT 5.

GETRIEBEN VON ANSPRUCHSGRUPPEN (STAKEHOLDER VALUE DRIVEN) Im Allgemeinen verfolgen die Unternehmen das Ziel, für Ihre Anspruchsgruppen (Stakeholders) Werte zu erzeugen. Was bedeutet das für die Unternehmens-Governance? Sie muss sicherstellen, dass der angepeilte Nutzen zu optimalen Kosten erreicht wird und dass dabei die Risiken unter Kontrolle bleiben.

Governance bedeutet aber auch, die Interessen der verschiedenen Stakeholder gegeneinander abzuwägen und notwendige Entscheidungen zu treffen. CoBIT 5 berücksichtigt das.

FOKUSSIERT AUF DAS BUSINESS (BUSINESS AND CONTEXT FOCUSSED) Allgemein gesprochen, soll CoBIT dafür sorgen, dass die IT die geschäftlichen Anforderungen unterstützt, einen Wertbeitrag erbringt und dabei selbst ökonomisch sowie risikobewusst agiert. Deshalb wurde für CoBIT noch einmal explizit darauf geachtet, dass sich die Prozesse des Rahmenwerks und damit die IT-Ziele aus den Geschäftszielen ableiten lassen. Das neue CoBIT-Informationsmodell stellt zudem die Verbindung zwischen geschäftlichen Informationen und IT-Funktionen her.

In der jüngsten Ausführung schließt CoBIT ein erweitertes Rollenmodell ein, das die Aktivitäten und Verantwortlichkeiten sowohl von IT-Funktionen als auch von IT-nahen Business-Funktionen abdeckt. Weiterhin werden in CoBIT alle kritischen Geschäftselemente nach fünf einheitlichen Merkmalsgruppen behandelt. Das erleichtert es den Anwendern, die externen und internen Faktoren des Unternehmensumfelds sowie die dadurch bedingten Anpassungen an die organisationsspezifischen IT-Governance- und Management-Systeme anzupassen.

BASIEREND AUF SCHLÜSSELKOMPONENTEN (ENABLER BASED) Als Schlüsselkomponenten für die IT-Governance sieht CoBIT 5 im Wesentlichen die folgenden Ressourcen der Organisation:

• Prozesse, • Prinzipien und Grundsätze, • Organisationsstrukturen, • Fähigkeiten und Kompetenzen, • Kultur und Verhalten, • IT-Service-Fähigkeiten sowie • Information.

Jede dieser Schlüsselkomponenten ist in CoBIT 5 durch die ihnen zugeordneten Anspruchsgruppen, Ziele und Metriken, Lebenszyklen, Best Practices und Attribute näher beschrieben.

STRUKTURIERT NACH GOVERNANCE UND MANAGEMENT CoBIT unterscheidet im neuen Prozessmodell fünf Governance- und 31 Management-Prozesse. Die Governance-Prozesse stellen den Rahmen und die Regeln auf, denen die Management-Prozesse folgen. Neben der Etablierung eines Rahmenwerks für die IT-Governance und eines transparenten Berichtswesens für die Anspruchsgruppen dienen diese Prozesse vor allem den drei grundsätzlichen CoBIT-Zielen: Sicherstellen der Wertegenerierung sowie Ressourcen- und Risikooptimierung.

In CoBIT 4.1 war der Aufbau einer IT-Governance im Prozess ME4 ("Provide IT Governance") gekapselt. Hingegen wird das das Governance-System in CoBIT 5 als Rahmen für die Management-Prozesse dargestellt.

Der Aufbau der Management-Prozesse lehnt sich im Wesentlichen an die Domänen aus CoBIT 4.1 an. Allerdings sind die Prozesse deutlich überarbeitet worden. So enthält die Planungsdomäne "Align, Plan & Organize" (ehemals "Plan & Organize") nun zwölf Prozesse, also zwei mehr als zuvor. Die Prozesse in "Deliver, Support & Maintain" (ehemals "Deliver & Support") wurden hingegen konsolidiert, sprich: von 13 auf nur noch acht Prozesse verringert.

Jeder Prozess ist einheitlich und strukturiert über die aus CoBIT 4.1 bekannten Prozessbeschreibungen, Ziele und Metriken, Inputs und Outputs, Kompetenzmatriken sowie Aktivitäten (früher Control Practices) dargestellt. Die in den bislang getrennten Rahmenwerken unterschiedlich bezeichneten Anforderungen an das Management (CoBIT Control Objectives, Val IT Key Management Practices, Risk IT Management Practices) werden nun alle mit dem Begriff "Management Practices" umschrieben.

Die Reifegradmodelle sind entfallen. Abgelöst werden sie durch einen an ISO/IEC 15504 angelehnten Prozessbewertungsprozess. Er ermöglichte einen objektiven, wiederholbaren und auf Nachweisen basierenden Prozess der Reifegradbeurteilung. So wird es mit CoBIT mittelfristig möglich sein, Unternehmen auch ohne Anwendung der Wirtschaftsprüfungsstandards IDW PS 951 beziehungsweise ISAE 3402 oder ISAE 3000 zu zertifizieren.

FAZIT: WAS BLEIBT, WAS ENTFÄLLT? In CoBIT 5 finden sich viele bewährte Elemente wieder, die gründlich überarbeitet und geschärft worden sind. Dazu kommen komplett neue Konzepte, wie das Informationsmodell oder die Schlüsselkomponenten (Enabler).

Vermissen werden viele Unternehmen das pragmatische Reifegradmodell aus Cobit 4.1. Doch dafür ergibt sich dank der Verbindung von CoBIT und ISO 15504 nun die Möglichkeit, Unternehmensprozesse zertifizieren zu lassen.

* Markus Gaulke ist Senior Manager bei KPMG und Mitglied des Isaca-Vorstands. Der Artikel stammt von der deutschen Computerwoche.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • Huawei Technologies Austria GmbH

    Huawei Technologies Austria GmbH mehr

Hosted by:    Security Monitoring by: