Sie sind hier: Home » Recht » Deutschland » Standards und Regeln

COBIT: Referenzmodell für IT-Governance


COBIT stellt eine Vielzahl von Kontrollzielen und Überwachungsrichtlinien für die IT-Prozesse zur Verfügung
COBIT: Verfahren zur Kontrolle und Bewertung der IT und deren Prozesse - Prozess- und Umsetzungslücken, die ITIL und COBIT hinterlassen, ergänzen


(23.05.08) - Der intensive Einsatz von IT zur Unterstützung und Abwicklung geschäftsrelevanter Abläufe gilt als eine der größten Herausforderungen der heutigen Zeit. Im Zusammenhang mit neuen Richtlinien und Vorschriften wie SOX (Sarbanes Oxley Act) oder Basel II, werden Methoden zur Bewertung und Kontrolle der IT und zugehöriger IT-Prozesse immer wichtiger. Die Betrachtung der Ausrichtung interner Prozesse sorgt für notwendige Transparenz, minimiert mögliche Risikofaktoren und findet Optimierungspotentiale im Unternehmen.

COBIT ist in aller Munde in der Informationstechnologie und dürfte wohl das umfangreichste Framework für die Informationstechnologie sein. Es stellt ein Modell für die Kontrolle und Bewertung der IT und deren Prozesse dar. Die Abkürzung COBIT steht für "Control Objectives for Information and related Technology" und stellt ein Referenzmodell für IT Governance dar. Entwickelt von der ISACA (Information Systems Audit and Control Association) handelt es sich um ein Framework, das auf über 41 Standards aus den Bereichen Qualität- und Sicherheit basiert.

IT-Governance verfolgt im Wesentlichen fünf Ziele:
>> fortwährende Ausrichtung der IT an den Unternehmenszielen und -prozessen,
>> Unterstützung bei der Erreichung der Geschäftsziele,
>> verantwortungsvoller und nachhaltiger Einsatz der IT-Ressourcen,
>> Erhöhung der Zufriedenheit von Kunden und Beteiligten,
>> IT-Risiken minimieren.

Die IT-Governance-Ausrichtung soll sicherstellen, dass die Umsetzung der IT-Strategie im Sinne der Geschäftsleitung/Ziele erfolgt. Insbesondere werden in ihr Anforderungen an die Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit der Informationen gestellt. Dabei sind im Rahmen der Organisation funktionsbezogene Planungs- und Kontrollsysteme einzurichten.

COBIT ist ein Ansatz zur strategischen Neuausrichtung der IT. ITIL ist ein "Best Practise" für Service Management. Die ISO 20000 ist ein international anerkannter Standard, in dem die Anforderungen für ein professionelles IT-Service-Management dokumentiert sind, BS7799 ein Standard für Informationssicherheit, ISO 9000 ist für Qualitätsmanagement und CMMi ist ein Reifegradmodell zur Beurteilung und Verbesserung der Qualität ("Reife") von Produkt-Entwicklungsprozessen in Organisationen. Dabei werden die Stärken und Schwächen einer Produktentwicklung objektiv analysiert. So können Verbesserungsmaßnahmen bestimmt und in eine sinnvolle Reihenfolge gebracht werden.

COBIT hat es geschafft, alle diese Standards zu integrieren. Mit seinen 34 IT Prozessen, insbesondere mit den strategischen Prozessen wie der IT Architektur und Budgetierung könnte man COBIT ist als eine integrative Spange über vielen Ansätzen zu verstehen.

COBIT ist der erste integrative Ansatz, der den Ansprüchen des Controllings ganzheitlich gerecht wird
Es drängt sich nun die generelle Frage auf, ob die Einführung von COBIT für Unternehmen von unternehmerisch von Nutzen ist. Die Frage ist mit "Ja" zu beantworten. Die Forderungen und Bestrebungen die IT an den unternehmerischen Prozessen auszurichten nimmt ständig zu. COBIT ist der erste integrative Ansatz, der den Ansprüchen des Controllings ganzheitlich gerecht wird. Bei COBIT handelt es sich um ein skalierbares Modell, d.h. es ist ebenso für kleine Unternehmen wie für Großkonzerne geeignet.

So erfüllen Unternehmen die COBIT implementiert haben bereits heute zum großen Teil Anforderungen aus dem Sarbanes-Oxley Act (SOX) und Basel II. Die Bewertung der IT und Ausrichtung an den Geschäftszielen beeinflusst so maßgeblich den Geschäftserfolg.

COBIT stellt eine Vielzahl von Kontrollzielen und Überwachungsrichtlinien für die IT-Prozesse zur Verfügung und erlaubt, anhand der mit COBIT durchgeführten Kontrollen und Bewertungen, die Einordnung eines Unternehmens in ein Reifegradmodell. Ziel von COBIT ist die Betrachtung der Ausrichtung innerbetrieblicher IT-Prozesse an den Geschäftszielen. Im Hinblick auf das IT-Servicemanagement mit ITIL (IT Service Management) stellt COBIT ein Framework bereit, das den kompletten Lebenszyklus von IT-Systemen und –Dienstleistungen abdeckt und in diesem Rahmen die Kontrolle der Richtigkeit der durch ITIL definierten Prozesse übernimmt. Der Steuerungsansatz ist grundsätzlich Top-down. Ausgehend von den Unternehmenszielen werden IT-Ziele festgelegt.

Hierbei gewährleisten definierte IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen und die Erbringung von Services. Zusätzlich muss in Zusammenarbeit mit den entsprechenden Fachbereichen ein Konzept definiert werden, um die Rahmenbedingungen für kontinuierliche Verbesserungen zu schaffen. Hier liegt auch die Herausforderung, ohne praktische Erfahrung in den Bereichen der Projektorganisation, sowie dem Wissen um die eigene Wertschöpfungskette ist ein solches Projekt kaum zum bewältigen.

Spezialisierte Dienstleister wie die Globalpers GmbH haben bereits begonnen, die Prozess- und Umsetzungslücken, die ITIL und COBIT hinterlassen, zu ergänzen. Sie füllen Lücken im Sinne eines kompletten IT-Modells durch zusätzliche Referenzprozesse, Prozess-Schnittstellen, Rollenbeschreibungen und Eingabemasken. Nur über ein IT-Modell können die Erstellung eines Service-Management-Systems maßgeblich beschleunigt sowie die Projekt- und in der Folge die IT-Betriebskosten über eine effiziente Service-Organisation deutlich reduziert werden. (Globalpers: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Standards und Regeln

  • Einführung von Smart Grid-Anwendungen

    IEEE, der weltweit größte Verband zur Förderung von Technologien, gibt bekannt, dass der Standard IEEE P1901.2T-2013 für Niedrigfrequenz-Powerline-Kommunikation (PLC) unter 500 kHz für Smart Grid-Anwendungen erfolgreich die erste Freigaberunde abgeschlossen hat. Nach seiner endgültigen Genehmigung soll der Standard eine neue Generation der PLC-Technologie für Übertragungsfrequenzen von weniger als 500 kHz spezifizieren. Damit ist er für eine Vielzahl existierender sowie neu entstehender Smart Grid-Anwendungen relevant.

  • MES-Kennzahlen eindeutig definiert

    Mit der ISO/DIS 22400-2 steht ab sofort eine internationale, gültige Leitlinie für die Definition, Beschreibung und Interpretation von MES-Kennzahlen zur Verfügung. Die Entwurfsfassung der Norm beinhaltet 34 Key Performance Indicators (KPI) aus den Bereichen Produktion, Qualität, Instandhaltung und Lager/Logistik für Unternehmen aus der diskreten Fertigung, der Prozessindustrie sowie der hybriden Fertigung. Hinzu kommt ein relationales Wirkmodell, das über eine Kennzahlenmatrix und Beziehungsdiagramme die Abhängigkeiten zwischen den KPI und ihren Faktoren untereinander inhaltlich und organisatorisch beschreibt.

  • Netzanbindung dezentraler Energiesysteme

    Die IEEE Standards Association (IEEE-SA) gibt die Freigabe des Standards "1547.4" bekannt. "IEEE 1547.4" bezeichnet einen neuen Leitfaden für die Entwicklung, den Betrieb sowie die Integration dezentraler Energieressourcen und Insellösungen, mit Elektrizitätssystemen.

  • Entscheidung in der Standardisierungspolitik

    Ein aktueller EU-Verordnungsentwurf zur Europäischen Normung sieht eine Sonderregelung für den ITK-Sektor vor. Demnach sollen künftig auch Standards von nicht-staatlich anerkannten Normungsorganisationen in das europäische Normungssystem übernommen werden können. Damit werden öffentliche Ausschreibungen von ITK-Produkten und -Dienstleistungen einfacher und transparenter.

  • Vertrauenswürdige digitale Langzeitspeicherung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 1. März 2011 auf seiner Homepage die - mit Hilfe einer zusammen mit dem BSI und dem VOI-Verband Organisations- und Informationssysteme e.V. initiierten Arbeitsgruppe unter Moderation von Herrn Prof. Hackel (Physikalisch-Technische Bundesanstalt - PTB) - grundlegend überarbeitete Version 1.1 der Technischen Richtlinie 03125 "Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR)" – vormals TR-VELS (Vertrauenswürdige elektronische Langzeitspeicherung) veröffentlicht.