COBIT

Die Fähig­keit mit kom­ple­xen Doku­men­ta­tio­nen – die nicht immer leser­freund­lich ver­fasst sind – umge­hen zu kön­nen, ist eine wich­ti­ge Kern­kom­pe­tenz für IT-Mana­ger. Daher besteht die­se Übung zunächst dar­in, dass Sie sich die frei ver­füg­ba­ren Ori­gi­nal-COBIT-Doku­men­ta­tio­nen verschaffen.

  • COBIT2019 unter[1]:

http://www.isaca.org/COBIT/Pages/COBIT-2019-Framework-Introduction-and-Methodology.aspx

und

http://www.isaca.org/COBIT/Pages/COBIT-2019-Framework-Governance-and-Management-Objectives.aspx

  • das Design Tool­kit unter:

http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-2019-Design-Toolkit_tkt_chi_0319.zip

Dafür müs­sen Sie sich auf der Web­site der ISACA unter: http://www.isaca.org zunächst regis­trie­ren.

Die Arbeit mit der Ori­gi­nal-Doku­men­ta­ti­on ist ein wesent­li­cher Bestand­teil die­ses Abschnit­tes und eini­ge der fol­gen­den Auf­ga­ben bau­en auf dem Vor­lie­gen der Doku­men­ta­ti­on auf.

COBIT ist eine gene­ri­sche Best Prac­ti­ce, die prin­zi­pi­ell zur Gestal­tung des IT-Manage­ments jeder Orga­ni­sa­ti­on ver­wen­det wer­den kann. Dies bedingt eine hohe Anpass­bar­keit und − um der Gefahr des Gol­de­nen Ponys ent­ge­gen­zu­wir­ken − sogar einen Zwang zur Anpas­sung an die jewei­li­ge Orga­ni­sa­ti­on. Am deut­lichs­ten wird dies anhand der Pro­zes­se. COBIT stellt zur Gestal­tung der IT-Gover­nan­ce einer Orga­ni­sa­ti­on[2] 40 gene­ri­sche Steue­rungs­zie­le bereit. Für jedes die­ser Steue­rungs­zie­le, wie z. B. Gesteu­er­te Sicher­heits-Diens­te[3] gibt es eine eige­ne Pro­zess­be­schrei­bung, die zeigt, wie das Steue­rungs­ziel erreicht wer­den kann. 
Gene­ri­sche und spe­zi­fi­sche Prozesse

Neben gene­ri­schen und spe­zi­fi­schen Prozessbeschreibungen,nutzt COBIT noch eini­ge wei­te­re Sich­ten auf Pro­zes­se, die in der fol­gen­den Abbil­dung zusam­men­ge­fasst sind.

COBIT Pro­zess­sich­ten
 
COBIT unter­schei­det in Manage­ment und Gover­nan­ce und stellt für bei­de Berei­che Steue­rungs­zie­le bereit.[4] Nach COBIT[5] defi­niert die Gover­nan­ce Richt­li­ni­en, ins­be­son­de­re unter Berück­sich­ti­gung der Sta­ke­hol­der­in­ter­es­sen, und über­wacht deren Ein­hal­tung und das Manage­ment sorgt dafür, dass die IT im Rah­men die­ser Richt­li­ni­en rei­bungs­los bereit­ge­stellt wird. Das IT-Manage­ment ist dem­nach eine Insti­tu­ti­on[6], z. B. reprä­sen­tiert durch den CIO, die einer ande­ren Insti­tu­ti­on − die im Fol­gen­den als Gesamt-Orga­ni­sa­ti­on bezeich­net wird und z. B. durch den CEO ver­tre­ten wird − unter­stellt ist und nur im Rah­men der durch die­se über­ge­ord­ne­te Insti­tu­ti­on erlas­se­nen Regeln agie­ren darf. 
Governance‑, Manage­ment- und ope­ra­ti­ve Prozesse
COBIT grup­piert die Steue­rungs­zie­le in fünf Domä­nen[7]:
  1. EDM: Eva­lua­te, Direct, Moni­tor bzw. Eva­lu­ie­ren, Vor­ge­ben, Überwachen.
  2. APO: Align, Plan, Orga­ni­se bzw. Anpas­sen, Pla­nen, Organisieren.
  3. BAI: Build, Acqui­re, Imple­ment bzw. Auf­bau­en, Beschaf­fen und Implementieren.
  4. DSS: Deli­ver, Ser­vice, Sup­port bzw. Bereit­stel­len, Betrei­ben, Unterstützen.
  5. MEA: Moni­tor, Eva­lua­te, Assess bzw. Über­wa­chen, Eva­lu­ie­ren, Beurteilen.
Die Defi­ni­ti­on des rich­ti­gen Betrach­tungs­aus­schnit­tes stellt für das IT-Manage­ment regel­mä­ßig eine Her­aus­for­de­rung dar. Ins­be­son­de­re gilt es fest­zu­le­gen, wel­che Berei­che des IT-Manage­ments betrach­tet wer­den sol­len und wel­che Qua­li­tät[8] benö­tigt wird. COBIT wid­met dem Scoping mit den Gestal­tungs­fak­to­ren einen eige­nen Mecha­nis­mus, der in einer geson­der­ten Publi­ka­ti­on aus­führ­lich beschrie­ben und durch eine Excel-Anwen­dung zusätz­lich unter­stützt wird.
COBIT wid­met der Umset­zung in der Orga­ni­sa­ti­on einen eige­nen Leit­fa­den, der aller­dings wie­der nur kos­ten­pflich­tig erhält­lich ist: Imple­men­ting and Opti­mi­zing an Infor­ma­ti­on and Tech­no­lo­gy Gover­nan­ce Solu­ti­on. Ein­füh­rend wird dort noch­mals die Rele­vanz der IT für alle Tei­le der Orga­ni­sa­ti­on betont und dar­aus die Not­wen­dig­keit einer orga­ni­sa­ti­ons­über­grei­fen­den Betrach­tung abge­lei­tet. Die Doku­men­ta­ti­on ver­wen­det dafür zusam­men­fas­send den Begriff Gover­nan­ce of Enter­pri­se IT (GEIT)[9]. Ein aus­lö­sen­des Ereig­nis zu fin­den und mit dem Vor­ha­ben anzu­fan­gen, ist ein wesent­li­cher Aspekt, Ver­än­de­run­gen umzu­set­zen. COBIT the­ma­ti­siert aber auch noch wei­te­re Aspek­te[10] und unter­teilt Ver­än­de­rungs­pro­zes­se in sie­ben Pha­sen[11]:

Mit der Ver­si­on 2019 von COBIT geht die ISACA einen gro­ßen Schritt vor­an. Das ist auf jeden Fall posi­tiv zu bewer­ten. Aller­dings ist COBIT noch nicht voll­stän­dig fer­tig und dies ist auch nicht ver­wun­der­lich, da der Umfang der Best Prac­ti­ce erheb­lich aus­ge­wei­tet wur­de. COBIT wirkt auf den ers­ten Blick recht kom­pli­ziert. Gelingt es, die­se Kom­pli­ziert­heit zu beherr­schen, so ist das kom­pli­zier­te Modell aller­dings auch gut geeig­net, die kom­ple­xe Rea­li­tät abzubilden.

[1]      Stand: Dezem­ber 2019

[2]      COBIT bezeich­net IT-Gover­nan­ce in der aktu­el­len Ver­si­on 2019 als: Enter­pri­se Gover­nan­ce of Infor­ma­ti­on and Tech­no­lo­gy (I&T), vgl. COBIT (2019), S. 11.

[3]      Im Ori­gi­nal: Mana­ged Secu­ri­ty Ser­vices.

[4]      Vgl. COBIT (2019), S. 13.

[5]      …zusätz­lich zu den bereits dis­ku­tier­ten Sichtweisen…

[6]      …das ist eine ande­re Sicht­wei­se als beim Modell der Auf­ga­ben­be­rei­che, in dem das IT-Manage­ment als Funk­ti­on betrach­tet wurde.

[7]      Vgl. COBIT (2019), S. 20.

[8]      …Qua­li­tät lässt sich z. B. durch Befä­hi­gungs­gra­de kon­kre­ti­sie­ren, sie­he auch CMMI.

[9]      Vgl. COBIT (2019c), S. 11.

[10]    Vgl. COBIT (2019c), S. 43.

[11]    Vgl. COBIT (2019c), S. 43.

Zur Start­sei­te
Auf­ga­ben COBIT