Praxiswissen COBIT E-Book

Markus Gaulke, Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) und Certified in Risk and Information Systems Control (CRISC), ist in Deutschland der führende Experte zum Thema COBIT und dessen Anwendung. Als das für Weiterbildung zuständige Vorstandsmitglied im deutschen Chapter des internationalen IT-Berufsverbands »ISACA« hat er die COBIT-bezogenen Zertifikatskurse »COBIT Practitioner« für COBIT 4.1 und »IT-Governance & IT-Compliance Practitioner« für COBIT 5 bzw. aktuell für COBIT 2019 ins Leben gerufen. Zudem hat er zusammen mit der Hochschule »Frankfurt School of Finance and Management« die weiterführenden dualen Zertifikatskurse »IT-Governance-Manager« und »IT-Compliance-Manager« entwickelt.

Markus Gaulke hat inzwischen weit über 1.000 Teilnehmer in COBIT und dessen Anwendung in unterschiedlichsten Veranstaltungsformaten geschult. Darüber hinaus hat er zur Anwendung von COBIT im Umfeld von IT-Governance, IT-Compliance und Risikomanagement zahlreiche Artikel und Fachbeiträge verfasst sowie Vorträge auf Konferenzen gehalten.

International war er als Mitautor an der deutschen Fassung von COBIT 4.0 sowie am internationalen ISACA-Standardwerk »Control Objectives for Basel II« beteiligt. Weiterhin hat er das Übersetzungsteam für die deutschen Versionen von COBIT 5 geleitet.

Beruflich ist er seit mehr als 20 Jahren bei der KPMG AG Wirtschaftsprüfungsgesellschaft in Frankfurt am Main für die IT-Prüfung und IT-Beratung von Unternehmen vor allem aus dem Finanzsektor zuständig. Die Praxisbeispiele in diesem Buch entstammen daher auch konkreten Beratungssituationen aus seiner Berufspraxis.

Markus Gaulke

Praxiswissen COBIT

Grundlagen und praktische Anwendung in der Unternehmens-IT

3., aktualisierte und überarbeitete Auflage

Edition ISACA Germany Chapter

Markus Gaulke

www.markus-gaulke.de

Lektorat: Christa Preisendanz

Copy-Editing: Ursula Zimpfer, Herrenberg

Satz: Birgit Bäuerlein

Herstellung: Stefanie Weidner

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:Print     978-3-86490-699-2PDF      978-3-96088-831-4ePub    978-3-96088-832-1mobi    978-3-96088-833-8

3., aktualisierte und überarbeitete Auflage 2020Copyright © 2020 dpunkt.verlag GmbHWieblinger Weg 1769123 Heidelberg

Hinweis:

Dieses Buch wurde auf PEFC-zertifiziertem Papier aus nachhaltiger Waldwirtschaft gedruckt. Der Umwelt zuliebe verzichten wir zusätzlich auf die Einschweißfolie.

Schreiben Sie uns:

Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.

5 4 3 2 1 0

Geleitwort

Dass Markus Gaulke, ausgewiesener COBIT-Experte und Vorstandskollege im ISACA Germany Chapter, jetzt, im Herbst 2019, eine neue Auflage seines Buches »Praxiswissen COBIT« vorlegt, freut mich als Vizepräsident Publikationen ganz besonders.

Zum einen, weil damit recht bald nach der grundlegenden Überarbeitung des COBIT-Frameworks durch ISACA International eine leicht zugängliche und gut lesbare Aufarbeitung vorhanden ist, die sowohl Neulingen den Einstieg als auch COBIT-Kennern die Aktualisierung ihrer Kenntnisse erleichtert.

Das Framework wurde in vielen Belangen geändert und deutlich erweitert – insbesondere um solche Konzepte, die die unternehmensspezifische Anpassung und die Konfiguration vor dem Hintergrund verschiedener fachlicher Aufgabenstellungen unterstützen. Mit Blick darauf werden es sicherlich auch COBIT-Kenner schätzen, diese konzeptionellen Änderungen sich nicht eigenständig erarbeiten zu müssen. Insofern wird das Buch ein wichtiger Beitrag sein, das Wissen über das Framework sowie dessen jüngste Änderungen im deutschsprachigen Raum aktuell zu halten.

Zum anderen freut mich, dass Markus Gaulke sich entschieden hat, das Buch in der neuen ISACA-Buchreihe zu veröffentlichen. Der Vorstand hatte sich schon im letzten Jahr zusammen mit dem dpunkt.verlag entschlossen, neben der Zeitschrift IT-Governance und den Leitfäden der Fachgruppen eine Buchreihe ins Leben zu rufen, die umfangreichere Abhandlungen zu den verschiedenen Themen, die die Mitglieder unseres Berufsverbands bewegen, erlaubt. Es ist aus meiner Sicht besonders erfreulich, dass es nun gelungen ist, als ersten Band in dieser Buchreihe ein Buch herauszugeben, das das zentrale Rahmenwerk der ISACA in den Mittelpunkt stellt und so sicherlich zu dessen Verbreitung beiträgt.

Es behandelt neben dem Rahmenwerk an sich auch dessen Anwendung und zeigt, welche Schritte erforderlich sind, um in der Praxis von einer Einführung zu profitieren. Dass mit Blick auf die Zertifizierungen der ISACA auch Übungsfragen zur Überprüfung des erworbenen Wissens vorhanden sind, macht das Buch gewiss auch für Lernende wertvoll.

Ich wünsche dem Buch eine große Leserschaft und hoffe, dass es auf gute Resonanz bei den Mitgliedern des Germany Chapter sowie allen COBIT-Anwendern und -Interessierten stößt. Markus danke ich für sein Engagement und die beträchtliche Arbeit, die er geleistet hat, und dem dpunkt.verlag für die abermals gute Zusammenarbeit.

Prof. Dr. Matthias GoekenHochschule der Deutschen BundesbankVizepräsident Publikationen

Vorwort

Auch zum Zeitpunkt dieser dritten Auflage sind IT-Governance, IT-Risikomanagement, IT-Compliance, IT-Assurance und IT-Outsourcing weiterhin wichtige Themen für das Management der Unternehmens-IT. Die Technologie und die Methodiken haben sich seit der ersten Auflage vor zehn Jahren weiterentwickelt. Themen wie agile Entwicklung, DevOps, Cloud, Cyber Security und Privacy gehören zum Grundwortschatz in der IT; die aus diesen Themen erwachsenen Herausforderungen zu lösen, gelingt in der Praxis aber nur effizient, wenn ein ganzheitliches Verständnis für diese Themen vorhanden ist und die Aktivitäten in ein passendes Rahmenwerk eingebunden werden.

COBIT stellt ein solches integratives Rahmenwerk für eine umfassende Governance und ein effektives Management der Unternehmens-IT dar. COBIT umfasst Methoden, Prinzipien, gute Praktiken und Leitfäden, die erforderlich sind, um eine optimale Wertschöpfung durch den Einsatz von Informationstechnologie im Unternehmen zu erreichen. COBIT strukturiert die wichtigsten Umsetzungskomponenten inkl. der Prozesse, die gewöhnlich in der IT-Funktion einer Organisation stattfinden, in einem zielorientierten Kernmodell. Dieses berücksichtigt die Inhalte der weltweit am meisten eingesetzten Praktiken und Standards im IT-Bereich, wie z.B. ITIL, COSO, ISO/IEC 20000, ISO/IEC 27001, ISO/IEC 38500, PMBOOK, CMMI und TOGAF. Dadurch stellt COBIT ein umfassendes Referenzmodell für bewährte Verfahren der IT-Governance und des IT-Managements bereit. Durch die Konzentration auf 40 universelle IT-Governance- und IT-Managementziele sowie sieben wichtige Umsetzungskomponenten ist COBIT unabhängig von Technologien und Branchen anwendbar.

COBIT ist aber mehr als nur ein Referenzmodell für die Governance und das Management der Unternehmens-IT. COBIT kann durch die integrierten Assessment-Modelle auch zur Prozessbewertung eingesetzt werden. Dabei richtet sich COBIT nicht nur an IT-Fachleute, sondern stellt über die Ausrichtung an die Unternehmens- und IT-bezogenen Ziele auch den Geschäftsprozesseigentümern ein Rahmenwerk für das Management der Unternehmens-IT (Technologiemanagement) sowie der Geschäftsund Bereichsleitung ein ganzheitliches Modell für die Steuerung und Überwachung der Unternehmens-IT (IT-Governance) zur Verfügung.

International hat sich COBIT als anerkanntes Rahmenwerk für die Governance und das Management der Unternehmens-IT etabliert. COBIT wird weltweit von Tausenden von Unternehmen als Basis für Initiativen vor allem zur Verbesserung der IT-Governance und der IT-Compliance herangezogen. Behörden (u.a. amerikanisches Verteidigungsministerium, European Agricultural Guidance and Guarantee Fund) und andere Institutionen (u.a. META-Group, Gartner) empfehlen, COBIT einzusetzen. Die Aufsichtsbehörden einiger Länder haben COBIT sogar für verbindlich erklärt (u.a. Türkei, Kolumbien, Uruguay).

Auch im deutschen Sprachraum sind die Akzeptanz und die Anwendung von COBIT in den letzten Jahren deutlich gestiegen. Im Jahr 2010 bei der ersten Auflage dieses Buches, das sich auf COBIT 4.1 bezog, gab es nur wenige deutsche Unternehmen, die sich öffentlich zur Nutzung von COBIT bekannt haben. Mit dem Erscheinen von COBIT 5 im Jahr 2012 stieg die Akzeptanz und Nutzung von COBIT deutlich. Für die zweite Auflage konnte ich daher auch erstmals Autoren aus deutschen Unternehmen gewinnen, darüber zu berichten, wie diese COBIT einsetzen. Inzwischen wendet aus meiner Wahrnehmung die Mehrzahl der größeren deutschen Unternehmen, insbesondere im Finanzbereich, COBIT in irgendeiner Weise an. Daher sind in der hier vorliegenden, dritten Auflage dieses Buches auch wieder ganz neue Praxisbeiträge enthalten, diesmal ausschließlich von Unternehmen mittlerer Größe. Die Praxisbeispiele illustrieren die Anwendung von COBIT zur IT-Steuerung, für das IT-IKS, als umfassende GRC-Referenz, als Revisionswerkzeug sowie als Risiko-Rahmenwerk. Durch die im Buch beschriebenen Anwendungsszenarien und die externen Praxisbeiträge soll das Buch zum Gebrauch von COBIT animieren – denn letztendlich zeigt sich der Nutzen dieses IT-Management- und IT-Governance-Rahmenwerks nur im konkreten Einsatz.

Die Anwendung von COBIT strahlt also aus und liegt im Trend. Mit der Weiterentwicklung von COBIT 5 zu COBIT 2019 wurde von der ISACA auch bereits ein spezieller Umsetzungsleitfaden (Focus Area Guide) für kleine und mittlere Unternehmen mit weniger als 250 Mitarbeitern angekündigt, der diesen Trend unterstützen wird. Auch das Thema Agilität soll mit einem Umsetzungsleitfaden zum Thema DevOps aufgenommen werden. COBIT 2019 wird sich also über die hier behandelten Kernbücher hinaus weiterentwickeln. Die »Focus Area Guides« und andere wesentliche Weiterentwicklungen werde ich in Form von Beiträgen in der Zeitschrift »IT-Governance« darstellen.

Das vorliegende Buch bezieht sich auf COBIT 2019. Die Darstellungen sind aber weitestgehend auch für COBIT 5 anwendbar, weil COBIT 2019 vor allem eine nutzerorientierte Weiterentwicklung von COBIT 5 ist und das Kernmodell inhaltlich nur marginal verändert wurde. Viele Ausführungen gelten daher für beide COBIT-Versionen. Die deutschen Bezeichnungen in diesem Buch orientieren sich daher auch an der Übersetzung der beiden zentralen Bücher der COBIT-5-Produktfamilie (Rahmenwerk und Prozessreferenzmodell) durch das ISACA Germany Chapter. Zusätzlich werden die Veränderungen zwischen COBIT 5 und COBIT 2019 in Kapitel 16 zusammenfassend aufgezeigt.

Der Aufbau des Inhalts ermöglicht eine hohe Flexibilität beim Umgang mit diesem Buch. Der COBIT-Einsteiger sollte sich vor allem mit dem ersten Teil des Buches beschäftigen, in dem die Grundlagen von COBIT vermittelt werden. In den nachfolgenden Kapiteln können dann Interessenschwerpunkte vertieft werden. Der mit COBIT bereits vertraute Leser kann das Buch selektiv lesen und als Nachschlagewerk verwenden. Anhand der Testfragen kann der an einer Zertifizierung interessierte Leser auch gezielt seine Wissenslücken herausfinden und durch Bearbeiten der entsprechenden Themen schließen.

Ich hoffe, dass dieses Buch allen Lesern hilft, das aktuelle Rahmenwerk COBIT 2019 – auch im Kontext mit anderen Praktiken und Standards – besser zu verstehen, um COBIT erfolgreich im Sinne der Unternehmensziele einzusetzen.

Markus GaulkeKönigstein im Taunus, September 2019

Inhaltsübersicht

1Einleitung

Teil I

COBIT verstehen

2Entwicklung und Bedeutung von COBIT

3Die sechs Prinzipien eines Governance-Systems

4Prinzipien für Governance-Rahmenwerke

5Komponenten und ihre Dimensionen

6Prinzipien, Richtlinien und Verfahren

7Organisationsstrukturen

8Kultur, Ethik und Verhalten

9Services, Infrastruktur und Anwendungen

10Mitarbeiter, Fähigkeiten und Kompetenzen

11Prozesse

12Information

13Kernmodell

14COBIT Performance Management

15Referenzen für COBIT

16Die wesentlichen Veränderungen zu COBIT 5

Teil II

COBIT anwenden

17Geschäftsrelevante IT-Prozesse identifizieren

18Reifegrad von IT-Prozessen ermitteln

19Kennzahlensysteme aufbauen

20Geschäftsprozesskontrollen optimieren

21IT-Governance ausüben

22IT-Governance kontinuierlich verbessern

23IT-Risiken managen

24Informationssicherheit managen

25IT-Compliance erreichen

26IT-Outsourcing steuern

27IT-Assurance-Initiativen durchführen

Teil III

COBIT in der Praxis

28Einführung von COBIT für die IT-Steuerung

29COBIT als Basis des IT-internen Kontrollsystems

30Einführung neuer IT-Governance-Prozesse

31COBIT als Rahmenwerk für die Revision

32COBIT-Risikoszenarien auf Unternehmensziele anwenden

Teil IV

COBIT-Kenntnisse nachweisen

33Zertifizierungen und Zertifikate

Teil V

COBIT-Kenntnisse überprüfen

34Wissens- und Verständnisfragen

Teil VI

Anhang

AÜbersicht Governance- und Managementziele

BÜbersicht der COBIT-Prozesse und -Prozesspraktiken

CÜbersicht der Unternehmensziele und zugeordneten IT-bezogenen Ziele in COBIT 2019

DÜbersicht der IT-bezogenen Ziele und zugeordneten COBIT-Prozesse

Abkürzungsverzeichnis

Literaturverzeichnis

Index

Inhaltsverzeichnis

1Einleitung

1.1Aufbau des Buches

Teil I

COBIT verstehen

2Entwicklung und Bedeutung von COBIT

2.1ISACA und das IT Governance Institute

2.2Entstehung und Entwicklung von COBIT

2.3COBIT-Produktfamilie

3Die sechs Prinzipien eines Governance-Systems

3.1Prinzip 1: Mehrwert für die Anspruchsgruppen bereitstellen

3.2Prinzip 2: Ganzheitlicher Ansatz

3.3Prinzip 3: Dynamisches Governance-System

3.4Prinzip 4: Governance getrennt vom Management

3.5Prinzip 5: Zugeschnitten auf die Bedürfnisse des Unternehmens

3.6Prinzip 6: End-to-End-Governance-System

4Prinzipien für Governance-Rahmenwerke

4.1Prinzip 1: Basierend auf einem konzeptionellen Modell

4.2Prinzip 2: Offen und flexibel

4.3Prinzip 3: An wichtigen Standards ausgerichtet

5Komponenten und ihre Dimensionen

5.1Anspruchsgruppen

5.2Ziele

5.3Lebenszyklus

5.4Bewährte Verfahren

6Prinzipien, Richtlinien und Verfahren

6.1Anspruchsgruppen

6.2Ziele

6.3Lebenszyklus

6.4Bewährte Verfahren

7Organisationsstrukturen

7.1Anspruchsgruppen

7.2Ziele

7.3Lebenszyklus

7.4Bewährte Verfahren

8Kultur, Ethik und Verhalten

8.1Anspruchsgruppen

8.2Ziele

8.3Lebenszyklus

8.4Bewährte Verfahren

9Services, Infrastruktur und Anwendungen

9.1Anspruchsgruppen

9.2Ziele

9.3Lebenszyklus

9.4Bewährte Verfahren

10Mitarbeiter, Fähigkeiten und Kompetenzen

10.1Anspruchsgruppen

10.2Ziele

10.3Lebenszyklus

10.4Bewährte Verfahren

11Prozesse

11.1Anspruchsgruppen

11.2Ziele

11.3Lebenszyklus

11.4Bewährte Verfahren

12Information

12.1Anspruchsgruppen

12.2Ziele

12.3Lebenszyklus

12.4Bewährte Verfahren

13Kernmodell

13.1Domänen mit Governance- und Managementzielen

13.1.1Governance-Domäne

13.1.2Management-Domänen

13.1.2.1Management-Domäne APO

13.1.2.2Management-Domäne BAI

13.1.2.3Management-Domäne DSS

13.1.2.4Management-Domäne MEA

13.1.3Übergreifende Elemente des Kernmodells

13.1.3.1Name des Governance- und Managementziels

13.1.3.2Beschreibung und Zweck

13.1.3.3Unternehmensziele und IT-bezogene Ziele

13.1.4Prozesse im Kernmodell

13.1.4.1Prozesspraktiken und beispielhafte Metriken

13.1.4.2Prozessaktivitäten und zugeordneter Fähigkeitsgrad

13.1.4.3Zugehörige Leitfäden und detaillierte Referenzen

13.1.5Organisationstrukturen im Kernmodell

13.1.6Informationsflüsse und -elemente im Kernmodell

13.1.7Mitarbeiter, Fähigkeiten und Kompetenzen im Kernmodell

13.1.8Richtlinien und Verfahren im Kernmodell

13.1.9Kultur, Ethik und Verhalten im Kernmodell

13.1.10Services, Infrastruktur und Anwendungen im Kernmodell

14COBIT Performance Management

14.1CMMI Development

14.2Prozessbewertungsmodell (COBIT 2019)

14.3ISO/IEC 15504 und ISO/IEC 33000

14.4Prozessbewertungsmodell (PAM)

14.4.1Indikatoren für die Prozessdurchführung

14.4.2Indikatoren für die Prozessfähigkeit

15Referenzen für COBIT

15.1Entwicklung der COBIT-Referenzen

15.2COSO Enterprise Risk Management

15.3ITIL und ISO/IEC 20000

15.4Capability Maturity Model (Integration)

15.5PMBOK

15.6TOGAF

15.7COBIT als Integrationsrahmenwerk

16Die wesentlichen Veränderungen zu COBIT 5

Teil II

COBIT anwenden

17Geschäftsrelevante IT-Prozesse identifizieren

17.1COBIT-Zielkaskade

17.2Designfaktoren

18Reifegrad von IT-Prozessen ermitteln

18.1Prozessaktivitäten beurteilen

18.2Prozesspraktiken und Arbeitsprodukte beurteilen

18.3Selbsteinschätzung der Prozessbefähigung durchführen

19Kennzahlensysteme aufbauen

19.1IT Balanced Scorecard

19.2COBIT-Ziele und -Metriken in eine IT Balanced Scorecard integrieren

19.2.1COBIT-Ziele in eine IT Balanced Scorecard integrieren

19.2.2COBIT-Metriken in eine IT Balanced Scorecard integrieren

20Geschäftsprozesskontrollen optimieren

21IT-Governance ausüben

21.1Grundlagen der IT-Governance

21.2ISO/IEC 38500: Corporate Governance of IT

21.3COBIT als IT-Governance-Rahmenwerk

21.4Kernbereiche der IT-Governance

21.4.1Strategische Ausrichtung der IT

21.4.2Wertbeitrag der IT

21.4.3Management der IT-Ressourcen

21.4.4Risikomanagement in der IT

21.4.5Messen der IT-Performance

21.5IT Governance Policy erstellen

22IT-Governance kontinuierlich verbessern

22.1Implementierungs-Lebenszyklus

22.1.1Programmmanagement

22.1.2Änderungsmanagement

22.1.3Kontinuierliche Verbesserung

22.1.4Herausforderungen und Erfolgsfaktoren

22.1.5Business Case

22.2Governance System Design Workflow

23IT-Risiken managen

23.1Grundlagen des Risikomanagements

23.2IT-Risikomanagement im COBIT-Kernmodell

23.2.1Governance-Ziel EDM03

23.2.2Managementziel APO12

23.2.3Risikobehandlung in anderen COBIT-Prozessen

23.2.3.1Programm- und Projektrisikomanagement

23.2.3.2Lieferantenrisikomanagement

23.2.3.3Risikoanalyse bei der Softwareauswahl und -entwicklung

23.3Umsetzungsleitfaden »COBIT 5 for Risk«

23.4Governance und Management der Risikofunktion

23.4.1Prinzipien, Richtlinien und Rahmenwerke für die Risikofunktion

23.4.2Prozesse für die Risikofunktion

23.4.3Organisationsstrukturen für die Risikofunktion

23.4.4Kultur, Ethik und Verhalten für die Risikofunktion

23.4.5Informationselemente für die Risikofunktion

23.4.6Services, Infrastruktur und Anwendungen für die Risikofunktion

23.4.7Fähigkeiten und Kompetenzen für die Risikofunktion

23.5Risikomanagementprozesse

23.5.1Risikoereignisse

23.5.2Risikoindikatoren

23.5.3Risikoszenarien bilden

23.5.4Risikobehandlung

24Informationssicherheit managen

24.1Grundlagen der Informationssicherheit

24.1.1ISO/IEC-27000-Normenfamilie

24.1.2ISF Standard of Good Practice for Information Security

24.1.3NIST Special Publications 800

24.1.4HITRUST CSF

24.1.5CMMI Cybermaturity Platform

24.1.6CIS Critical Security Controls for Effective Cyber Defense

24.2Informationssicherheit im COBIT-Kernmodell

24.2.1Informationssicherheitsrelevante Governance- und Managementziele

24.2.2Managementziel APO13

24.2.3Managementziel DSS05

24.3Umsetzungsleitfaden »COBIT 5 for Information Security«

24.4Enabler für die Informationssicherheit

24.4.1Prinzipien, Richtlinien und Rahmenwerke für die Informationssicherheit

24.4.2Prozesse für die Informationssicherheit

24.4.3Organisationsstrukturen für die Informationssicherheit

24.4.4Kultur, Ethik und Verhalten für die Informationssicherheit

24.4.5Informationstypen für die Informationssicherheit

24.4.6Services, Infrastruktur und Anwendungen für die Informationssicherheit

24.4.7Fähigkeiten und Kompetenzen für die Informationssicherheit

25IT-Compliance erreichen

25.1Grundlagen der IT-Compliance

25.1.1Einhaltung von Gesetzen und Rechtsverordnungen

25.1.2Einhaltung sonstiger Anforderungen

25.2IT-Compliance im COBIT-Kernmodell

25.2.1Compliance-relevante Governance- und Managementziele

25.2.2Managementziel MEA03

25.3Anwendungsbeispiel: COBIT als Basis eines IT-Compliance-Rahmenwerks

26IT-Outsourcing steuern

26.1Outsourcing-relevante Governance- und Managementziele

26.2Managementziel APO10

26.3Outsourcing-Assurance

26.3.1Assurance Reports

26.3.2Umfang und Inhalte eines Berichts nach ISAE 3402 oder PS 951

26.4Bedeutung von COBIT für Berichte nach ISAE 3402 oder PS 951

26.4.1Anwendungsbeispiel: Kontrollziele und -beschreibungen mit COBIT strukturieren

27IT-Assurance-Initiativen durchführen

27.1Grundlagen der Assurance

27.2Assurance im COBIT-Kernmodell

27.2.1Managementziel MEA04

27.3Umsetzungsleitfaden »COBIT 5 for Assurance«

27.4Governance und Management der Assurance-Funktion

27.4.1Prinzipien, Richtlinien und Rahmenwerke für die Assurance

27.4.2Prozesse für die Assurance-Funktion

27.4.3Organisationsstrukturen für die Assurance-Funktion

27.4.4Kultur, Ethik und Verhalten für die Assurance-Funktion

27.4.5Informationstypen für die Assurance-Funktion

27.4.6Services, Infrastruktur und Anwendungen für die Assurance

27.4.7Fähigkeiten und Kompetenzen für die Assurance-Funktion

27.5Assurance über einen Prüfungsgegenstand geben

27.5.1Prüfungsumfang festlegen

27.5.2Enabler verstehen, Beurteilungskriterien festlegen und Beurteilung durchführen

27.5.2.1Beurteilung des Enablers Prinzipien, Richtlinien und Rahmenwerke

27.5.2.2Beurteilung des Enablers Prozesse

27.5.2.3Beurteilung des Enablers Organisationsstrukturen

27.5.2.4Beurteilung des Enablers Kultur, Ethik und Verhalten

27.5.2.5Beurteilung des Enablers Information

27.5.2.6Beurteilung des Enablers Services, Infrastruktur und Anwendungen

27.5.2.7Beurteilung des Enablers Mitarbeiter, Fähigkeiten und Kompetenzen

27.5.3Prüfungsergebnisse kommunizieren

Teil III

COBIT in der Praxis

28Einführung von COBIT für die IT-Steuerung

28.1Modell der drei Verteidigungslinien

28.2COBIT im regulatorischen Umfeld

28.3Statement of Applicability

28.4COBIT in der IT-Governance

28.5COBIT und die IT-Prozesse

28.6COBIT und die zwei Sichtweisen der IT-Governance

28.6.1IT-Compliance

28.6.2IT-Audit

28.7COBIT und die Ausgestaltung von IT-Risiken

28.7.1Adaption der IT-Risiken mittels COBIT 2019 IT Risk Categories

28.8Zusammenspiel IT-Governance

28.9Fazit

29COBIT als Basis des IT-internen Kontrollsystems

29.1Ausgangslage

29.2Internes Kontrollsystem

29.2.1Three-Lines-of-Defense-Modell

29.2.2Internes Kontrollsystem

29.3BMW Group IT-IKS

29.3.1Weiterentwicklung

29.3.2ISAE 3402

29.3.3Migration auf COBIT 2019

29.3.4Transformation zu einem 100% agilen Vorgehensmodell

29.4Fazit

30Einführung neuer IT-Governance-Prozesse

30.1Einleitung

30.2Ausgangssituation

30.3IT-Strategiephase

30.4Planung und Durchführung der Transformation

30.4.1Implementierungsplanung

30.4.2Veränderung der Ablauforganisation

30.4.3Gründe für eine Veränderung der Aufbauorganisation

30.4.4Veränderung der Aufbauorganisation

30.5Kontinuierliche Verbesserung und regelmäßiges Self-Assessment

30.6Fazit

31COBIT als Rahmenwerk für die Revision

31.1COBIT als Grundlage für das Audit Universe in der IT-Revision

31.2Definition von Prüfungsobjekten

31.3Prüfungsleitfäden

31.4Vollständigkeit Audit Universe

31.5Schnittstellen zu Fachrevisionsprüfungen

31.6Durchführung einer Prüfung

31.7Querauswertung von Prüfungsergebnissen

31.8Migration auf neuere COBIT-Versionen

31.9Fazit

32COBIT-Risikoszenarien auf Unternehmensziele anwenden

32.1Einleitung

32.2Kategorisierung von Risiken

32.3Risikoszenarien und Risikokategorien

32.4Anwendung der Kategorisierung

32.5Definition eines angemessenen Sicherheitsniveaus

32.6Quantitative Abhängigkeit der Unternehmensziele vom Sicherheitsniveau

32.7Fazit

Teil IV

COBIT-Kenntnisse nachweisen

33Zertifizierungen und Zertifikate

33.1Internationale Zertifizierungen und Zertifikate

33.1.1CGEIT: Certified in the Governance of Enterprise IT

33.1.2Internationale Zertifikate

33.2Nationale Zertifikate

33.2.1IT-Governance & IT-Compliance Practitioner

33.2.2IT-Governance-Manager

33.2.3IT-Compliance-Manager

Teil V

COBIT-Kenntnisse überprüfen

34Wissens- und Verständnisfragen

34.1Wissensfragen zu COBIT

34.1.1Einführung in das Rahmenwerk

34.1.2COBIT-Prinzipien

34.1.3Governance-System und -Komponenten

34.1.4Governance- und Managementziele

34.1.5Designfaktoren

34.1.6Performance Management, Anpassung und Umsetzung

34.2Lösungen zu den Wissensfragen

34.2.1Lösungen zur Einführung in das Rahmenwerk

34.2.2Lösungen zu COBIT-Prinzipien

34.2.3Lösungen zu Governance-System und -Komponenten

34.2.4Lösungen zu Governance- und Managementzielen

34.2.5Lösungen zu Designfaktoren

34.2.6Lösungen zu Performance Management, Anpassung und Umsetzung

34.3Verständnisfragen zu COBIT

34.4Lösungen zu den Verständnisfragen

Teil VI

Anhang

AÜbersicht Governance- und Managementziele

BÜbersicht der COBIT-Prozesse und -Prozesspraktiken

CÜbersicht der Unternehmensziele und zugeordneten IT-bezogenen Ziele in COBIT 2019

DÜbersicht der IT-bezogenen Ziele und zugeordneten COBIT-Prozesse

Abkürzungsverzeichnis

Literaturverzeichnis

Index

1Einleitung

Governance zusammen mit Risikomanagement, Compliance und Assurance haben sich auf den Prioritätenlisten vieler Unternehmen an die Spitze gesetzt. Diese Entwicklung wird maßgeblich von den Anforderungen der Anteilseigner und Aufsichtsgremien sowie der erhöhten Aufmerksamkeit des Gesetzgebers und der Aufsichtsbehörden sowie der Öffentlichkeit getrieben (vgl. Abb. 1–1). Der Trend zu einer verbesserten Governance in den Unternehmen wird durch eine Vielzahl von Initiativen sichtbar. Diese haben in der Regel das Ziel, die Kommunikation und Informationsflüsse zu verbessern, das Risikobewusstsein zu erhöhen und ein angemessenes internes Kontrollsystem aufzubauen und nachzuweisen.

Abb. 1–1Treiber von Governance-Initiativen

Die zunehmende Durchdringung von Unternehmen mit Informationstechnologie (IT) und die dadurch bedingte steigende Abhängigkeit von der Verfügbarkeit und Verlässlichkeit der IT-Prozesse und Daten erfordern, die Unternehmens-IT besser in die Governance-Prozesse und das interne Kontrollsystem des Unternehmens einzubeziehen und diese aus Unternehmenssicht zu steuern und zu überwachen. Corporate Governance der IT (kurz: IT-Governance) hat zum Ziel, dass die IT die Geschäftsziele des Unternehmens unterstützt, die IT-Investitionen auf die geschäftlichen Ziele hin optimiert und dass gleichzeitig die IT-Risiken beherrscht werden. IT-Governance ist damit ein wesentlicher Bestandteil eines ganzheitlichen Corporate-Governance-Ansatzes zur Steuerung und Überwachung eines Unternehmens.

Das IT Governance Institute (ITGI) als führende Institution für IT-Governance bzw. der Berufsverband Information Systems Audit and Control Association (ISACA) hatte neben COBIT als Rahmenwerk mit dem Fokus auf die Steuerung und das Management von IT-Prozessen noch zwei weitere Rahmenwerke entwickelt: das Rahmenwerk »Val IT« mit dem Fokus auf die geschäftlichen Investitionen sowie das Rahmenwerk »Risk IT« mit dem Fokus auf die IT-bezogenen Geschäftsrisiken. Die intelligente Anwendung dieser drei Rahmenwerke sollte Organisationen aller Art ermöglichen, ihre IT-Governance und ihre IT-Compliance zu verbessern sowie den optimalen Nutzen aus den IT-bezogenen Investitionen und aus den IT-Risikomanagement-Aktivitäten zu ziehen [ITGI 2009e].

Mit dem Erscheinen von COBIT 5 wurden diese drei Rahmenwerke nicht außer Kraft gesetzt, sondern die Inhalte sind unter dem gemeinsamen Dach von COBIT zusammengeführt worden und werden unter diesem Dach weiterentwickelt.

Das vorliegende Buch bezieht sich bereits auf die erste evolutionäre Weiterentwicklung von COBIT 5, die »COBIT 2019« genannt wird.

1.1Aufbau des Buches

Der erste Teil des Buches führt in das neue Rahmenwerk von COBIT 2019 und das zentrale Modell mit allen seinen Elementen ein und erläutert die zugrunde liegenden Konzepte von COBIT. Neben den grundlegenden Prinzipien von Governance-Systemen und Governance-Rahmenwerken werden dazu die sieben im Kernmodell von COBIT dargestellten Komponenten (in COBIT 5: Enabler) ausführlich in allen ihren Dimensionen diskutiert. Das in COBIT 2019 neu hinzugekommene Prozessbefähigungsmodell wird ebenso dargestellt wie die mit COBIT eng verbundenen Praktiken, Standards und Rahmenwerke.

Im zweiten Teil werden vor allem Ansätze für die Anwendung von COBIT vorgestellt. Insgesamt werden elf Anwendungsszenarien ausführlich erläutert. Diese umfassen die vielfältigen Anwendungsmöglichkeiten von COBIT als Modell für die IT-Governance, die IT-Compliance, das IT-Risikomanagement, die IT-Assurance, das IT-Outsourcing, die Informationssicherheit sowie für die Identifikation von geschäftsrelevanten Prozessen und deren Überwachung.

Im dritten Teil berichten Praktiker aus deutschen Unternehmen, wie sie COBIT konkret einsetzen. In dieser Auflage sind neue Praxisbeiträge von unterschiedlichsten Unternehmen aufgenommen worden. Die Praxisbeispiele illustrieren die Anwendung von COBIT zur IT-Steuerung, für das IT-IKS, als umfassende GRC-Referenz, als Revisionswerkzeug sowie als Risiko-Rahmenwerk.

Der vierte Teil beschreibt die von der berufsständischen Organisation ISACA angebotenen COBIT-2019-bezogenen Zertifizierungsmöglichkeiten mit ihren Lehr- und Prüfungsinhalten sowie Testfragen für die Vorbereitung auf die Prüfungen »COBIT Foundation« und »IT-Governance & IT-Compliance Practitioner«.

Der Anhang enthält tabellarische Übersichten der Governance- und Managementziele sowie der Prozesse mit ihren Governance- und Managementpraktiken. Weiterhin wird die Zielkaskade von den Unternehmenszielen bis zu den primär zugeordneten Governance- und Managementzielen dargestellt. Die Übersichten sowie alle zentralen Begriffe im Buch sind in Deutsch und in Englisch aufgeführt, was sich in der Projektpraxis oftmals als hilfreich erwiesen hat.

Teil I

COBIT verstehen

2Entwicklung und Bedeutung von COBIT

Dieses Kapitel stellt die Entwicklung des COBIT-Rahmenwerks und der komplementierenden Rahmenwerke Val IT und Risk IT sowie deren Integration in COBIT 5 und dessen Weiterentwicklung zu COBIT 2019 dar. Daneben wird die Rolle des internationalen Berufsverbandes ISACA und seiner Forschungseinrichtungen für COBIT beschrieben.

2.1ISACA und das IT Governance Institute

Die Information Systems Audit and Control Association (ISACA) ist ein internationaler Berufsverband der IT-Revisoren, IT-Sicherheitsmanager und IT-Governance-Experten. Primäres Ziel des Verbandes ist die Entwicklung und Verbreitung von Berufsstandards und Arbeitstechniken sowie die Zertifizierung und Weiterbildung von Fachleuten, die sich mit der Kontrolle und der Sicherheit sowie dem Management und der Steuerung von Informationssystemen befassen.

Der Berufsverband ISACA wurde ursprünglich 1969 als Berufsverband der IT-Revisoren – EDP Auditors Association (EDPAA) – gegründet. 1976 wurde von der EDPAA eine Forschungseinrichtung, die »EDP Auditors Foundation« (EDPAF), gegründet, die größere Forschungsvorhaben aus der Mitgliederorganisation herausgelöst vornehmen sollte. Erst im Jahr 1994 erhielt der Verband seinen heutigen Namen: »Information Systems Audit and Control Association« (ISACA). Die Forschungseinrichtung wurde entsprechend in »Information Systems Audit and Control Foundation« (ISACF) umbenannt.

Im Jahr 1998 wurde von der ISACA zusätzlich das »IT Governance Institute« (ITGI) als Forschungseinrichtung auf dem Gebiet des Informationsmanagements gegründet. Damit erweiterte sich auch das thematische Spektrum des Berufsverbandes von der IT-Revision über das IT-Management bis hin zur IT-Governance. Im Jahr 2003 ging die ISACF im ITGI auf, sodass das ITGI der alleinige Herausgeber der Rahmenwerke COBIT 4.0 bzw. COBIT 4.1 und Val IT wurde.

Inzwischen trägt der Berufsverband ISACA seiner erreichten Anerkennung über die IT-Prüfung hinaus Rechnung und nutzt die neutrale Plattform des ITGI immer seltener. Bereits das Rahmenwerk Risk IT wurde im November 2009 wieder unter der Herausgeberschaft der ISACA veröffentlicht. Für alle Veröffentlichungen von COBIT 5 und COBIT 2019 ist die ISACA der alleinige Herausgeber.

Dem Berufsverband ISACA gehörten zum Zeitpunkt der Entstehung dieses Buches weltweit über 150.000 Mitglieder an. Neben der zentralen Organisation in Rolling Meadows bei Chicago ist die ISACA dezentral in über 190 lokalen Chaptern organisiert. In Deutschland wird die ISACA durch den ISACA Germany Chapter e.V. vertreten. Das ISACA Germany Chapter war Ende 2018 mit knapp 3.000 Mitgliedern das siebtgrößte Chapter weltweit (vgl. Tab. 2–1).

Chapter

Internetadresse

Gründung

Anzahl Mitglieder

ISACA Germany Chapter

www.isaca.de

1986

2.968

ISACA Switzerland Chapter

www.isaca.ch

1988

1.567

ISACA Austria Chapter

www.isaca.at

1998

421

Tab. 2–1Übersicht der deutschsprachigen Chapter der ISACA (Stand: 31.12.2018)

Die lokalen ISACA-Chapter bieten ergänzend zum zentralen Angebot der ISACA spezifische Fachinformationen, Weiterbildungs- und Qualifizierungsmaßnahmen sowie Veranstaltungen an, damit sich die Mitglieder ortsnah fortbilden und besser vernetzen können.

Neben COBIT haben auch die Berufszertifizierungen der ISACA weltweite Anerkennung gefunden. Die älteste Berufszertifizierung zum »Certified Information Systems Auditor« (CISA) trugen Mitte 2019 weltweit über 90.000 Personen, davon allein 2.074 Personen in Deutschland. Deutlich zugelegt hat auch die Anzahl der Inhaber der Berufszertifizierung zum »Certified Information Security Manager«. Diese Berufszertifizierung hatten in Deutschland Mitte 2019 fast 1.000 Personen erworben (vgl. Tab. 2–2).

Tab. 2–2Übersicht der Berufszertifizierungen der ISACA (Stand: 31.07.2019)

Weitere Informationen zu den vier Berufszertifizierungen erhalten Sie über die Internetseite der ISACA (www.isaca.org). Die lokalen Chapter bieten in der Regel Vorbereitungskurse für die Zertifizierungsprüfungen an. Das Seminarangebot des deutschen Chapter finden Sie unter www.isaca.de.

2.2Entstehung und Entwicklung von COBIT

Das Akronym COBIT steht als Kurzwort für »Control Objectives for Information and Related Technology«. Die Wurzeln von COBIT liegen in der IT-Revision, inzwischen hat sich COBIT aber zu einem umfassenden IT-Governance- und Management-Rahmenwerk für Information und die sie verarbeitende Technologie entwickelt. Dieser Anspruch wird durch die aktuelle Version von COBIT noch deutlicher unterstützt: Explizites Ziel des Einsatzes der aktuellen Versionen von COBIT ist, einen optimalen Wertbeitrag aus Investitionen in Information und in die dazu benötigte Technologie zum Nutzen aller Anspruchsgruppen zu erhalten.

Die ursprüngliche Basis des Rahmenwerks COBIT war ein Standardwerk, in dem das Wissen und der Erfahrungsschatz des Berufsstandes der IT-Revisoren gebündelt war: »Control Objectives – Controls in an Information Systems Environment: Objectives, Guidelines und Audit Procedures«. Dieses Werk wurde bereits im Jahr 1976 erstmals von der EDPAF (später ISACF) herausgegeben und von dieser ständig weiterentwickelt. Im April 1992 erschien die vierte und letzte Ausgabe [EDPAF 1992], in der die allgemeinen IT-Kontrollen in Kontrollen

des Managements (Management Controls),

der IT-Systementwicklung, Beschaffung und Wartung (Information System Development, Acquisition, and Maintenance Controls) sowie

des Betriebs (Information System Operations Controls)

gegliedert worden sind, was bereits im Wesentlichen der späteren Domänenstruktur von COBIT entsprach. Daneben gab es noch eine Darstellung der Anwendungskontrollen (Application Controls) sowie einen eigenen Abschnitt mit technologieorientierten Kontrollen (Technology Specific Controls). Dieser Abschnitt ist aufgrund seiner Technikorientierung nicht in das Rahmenwerk COBIT mit eingeflossen.

Die ISACA hat im Jahr 1993 begonnen, auf Basis der bestehenden Sammlung von Kontrollzielen und Kontrollen ein eigenständiges Rahmenwerk zu erarbeiten. Dazu wurde von der ISACA ein internationales Gremium eingesetzt (COBIT Steering Committee), das die erste Version von COBIT entwickeln sollte. An der Entwicklung des neuen Rahmenwerks waren auch die Free University of Amsterdam, die California Polytechnic University und die University of New South Wales beteiligt.

Die erste Version von COBIT wurde im April 1996 von der damaligen ISACA-Forschungseinrichtung ISACF (Information Systems Audit and Control Foundation) veröffentlicht. »COBIT 1« beinhaltete neben einem konzeptionellen Rahmen bereits ein Prozessmodell mit generell anwendbaren und international akzeptierten IT-prozessbezogenen Anforderungen (Control Objectives). Das COBIT-Prozessmodell umfasste damals 32 Prozesse mit 271 detaillierten Anforderungen. Diese detaillierten Anforderungen sollten in einer Organisation beachtet und umgesetzt werden, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. Die Idee dahinter: Erst wenn die Prozesse richtig organisiert sind, werden die Geschäftsprozesse die an sie gestellten Anforderungen erfüllen [ISACF 1996].

Zum Zeitpunkt der Veröffentlichung dieser ersten Version von COBIT waren die nächsten Schritte der Weiterentwicklung bereits klar definiert. Die Control Objectives sollten nochmals auf Basis weiterer Referenzmaterialien überarbeitet werden und vor allem sollten noch Richtlinien zur Selbsteinschätzung und Metriken für das Management entwickelt werden. Im April 1998 erschien die überarbeitete und erweiterte zweite Version mit 302 detaillierten Anforderungen (Control Objectives) in 34 Prozessen [ISACF 1998] sowie einem zusätzlichen »Implementation Tool Set«, bestehend aus einer Anleitung zur Implementation von COBIT und unterstützenden Materialien.

Das Rahmenwerk COBIT wurde anfangs hauptsächlich von der internen und externen Revision verwendet, da COBIT für das gesamte Spektrum der IT-Aktivitäten eines Unternehmens homogene Anforderungen (Control Objectives) als »Good Practices« beschrieb. Diese guten Praktiken konnten als Sollvorgaben zur Beurteilung der Ist-Situation verwendet werden. Weiterhin wurden detaillierte Prüfungshandlungen zu den COBIT-Prozessen in separaten »Audit Guidelines« beschrieben.

Um das Potenzial von COBIT in Richtung eines Rahmenwerks für das IT-Management und das Business Management besser zu unterstützen, hat die ISACA im Jahr 1998 die Forschungseinrichtung »IT Governance Institute« (ITGI) gegründet und die Entwicklung von COBIT dort angesiedelt.

Mit der dritten Auflage im Juli 2000 wurde COBIT vor allem um Aspekte des IT-Managements durch die sogenannten »Management Guidelines« erweitert. Diese umfassten ein Reifegradmodell (Maturity Model), kritische Erfolgsfaktoren (Critical Success Factors) sowie wesentliche Zielindikatoren (Key Goal Indicators) und Leistungsindikatoren (Key Performance Indicators). Damit wurden in COBIT Hinweise und Kriterien integriert, um dem Management zu ermöglichen, den Status und die Effektivität der eigenen IT-Prozesse im Vergleich mit den 34 COBIT-Prozessen und den 318 detaillierten Anforderungen (Control Objectives) beurteilen zu können. Das Management konnte auf dieser Basis einen Sollzustand definieren, die notwendigen Schritte zur Erreichung des gewünschten Sollzustandes festlegen und die Zielerreichung überwachen [ITGI 2000].

Nach Erscheinen der dritten Auflage haben die Unternehmen COBIT zunehmend sowohl als Leitfaden bei der Implementierung des internen Kontrollsystems in der Unternehmens-IT als auch für die Durchführung von Prozesszustandsbeurteilungen in Form von »Self Assessments« oder »Health Checks« angewandt.

Im Jahr 2004 starteten die Entwicklungsarbeiten an der nächsten Version von COBIT mit der Integration von diversen Forschungsprojekten, u.a. von der Antwerp Management School und der University of Hawaii. Im Dezember 2005 kam die Version 4.0 heraus, die vor allem eine deutliche Verschlankung und Reduzierung der Control Objectives auf 215 bedeutete und auch explizit Aspekte der IT-Governance integrierte [ITGI 2005g]. In der Folge wurde COBIT 4.0 nochmals in einigen Details überarbeitet und zusammen mit ergänzenden Büchern – wie den »COBIT Control Practices« [ITGI 2007b], dem »IT Governance Implementation Guide: Using COBIT and Val IT« [ITGI 2007c] sowie dem »IT Assurance Guide: Using COBIT« [ITGI 2007d] – im Mai 2007 in der Version COBIT 4.1 veröffentlicht [ITGI 2007a].

Parallel mit der Ausarbeitung von COBIT 4.x begann die Entwicklung am Rahmenwerk Val IT, das im Jahr 2006 erstmals veröffentlicht wurde [ITGI 2006e]. Die zweite, besser mit COBIT integrierte Version Val IT 2.0 erschien im Jahr 2008 [ITGI 2008b]. Im Jahr 2008 startete auch die Entwicklung des ISACA-Rahmenwerks Risk IT. Dieses erschien erstmals im Entwurf im Mai 2009 und in der endgültigen Version im November 2009 [ISACA 2009a].

Im Jahr 2011 begann die ISACA mit der Weiterentwicklung von COBIT und rief eine entsprechende Task Force ins Leben. Ein Ziel dabei war die Integration der vorhandenen Inhalte aus verschiedenen ISACA-Rahmenwerken in ein Modell. Neben den bereits erwähnten Rahmenwerken Val IT und Risk IT wurden auch die Inhalte von ISACA-Veröffentlichungen wie dem IT Assurance Framework (ITAF) [ISACA 2008], dem Board Briefing on IT Governance [ITGI 2003] oder dem Business Model for Information Security (BMIS) [ISACA 2010a] integriert. Im April 2012 wurden die ersten drei Bücher der neu konzipierten COBIT-5-Produktfamilie veröffentlicht:

das COBIT-5-Rahmenwerk »Business Framework« [

ISACA 2012a

],

das Handbuch »COBIT 5: Enabling Processes« [

ISACA 2012b

] und

der Umsetzungsleitfaden »COBIT 5 Implementation« [

ISACA 2012c

].

Das Business Framework diente als konzeptionelles Hauptwerk und umfasste vor allem eine Beschreibung der fünf Prinzipien, eine Einführung in die sieben Enabler sowie eine kurze Vorstellung des neuen Prozessmodells und des neuen Reifegradansatzes [Gaulke 2012]. COBIT 5 richtete sich dabei nicht nur an das IT-Management, sondern stellte über die Ausrichtung an die Geschäftsziele explizit auch ein Rahmenwerk für die Geschäftsbereichsleiter (Business Executives) zur Verfügung.

Das Prozessmodell wurde als separates Handbuch (COBIT 5: Enabling Processes) veröffentlicht und umfasste fünf Governance-Prozesse und 32 Managementprozesse, die jeweils einem von fünf Kernbereichen (domains) zugeordnet waren. Für jeden Prozess waren im COBIT-5-Prozessmodell zwischen drei und 14 normative Aussagen (Prozesspraktiken) formuliert. Die Idee dahinter: Werden die insgesamt 210 im COBIT-5-Prozessmodell enthaltenen Prozesspraktiken konsequent umgesetzt, kann damit eine umfassende Governance und ein gutes Management der IT-Prozesse im Sinne der Anforderungen der Anspruchsgruppen sichergestellt werden.

Der Umsetzungsleitfaden (COBIT 5 Implementation) gab Hilfestellungen für Initiativen zur Verbesserung der IT-Governance und enthielt neben einem siebenstufigen Lebenszyklus zur Einrichtung einer nachhaltigen IT-Governance auch viele praxisrelevante Elemente aus Risk IT und Val IT.

Weitere COBIT-Handbücher und Umsetzungsleitfäden zur Vervollständigung der Produktfamilie erschienen sukzessive: Im Juli 2012 folgte beispielsweise der Leitfaden »COBIT 5 for Information Security« [ISACA 2012d], im Februar 2013 drei Bücher zum »Process Assessment Model« [ISACA 2013 a-c], im Juni 2013 der Leitfaden »COBIT 5 for Assurance« [ISACA 2013d] sowie im September 2013 »COBIT 5 for Risk« [ISACA 2013f] und im November dann »COBIT 5: Enabling Information« [ISACA 2013g].

Im November 2018 wurde schließlich eine Weiterentwicklung von COBIT 5 unter dem Namen COBIT 2019 veröffentlicht. Als übergeordnetes Rahmenwerk sollte COBIT an die ihrerseits weiterentwickelten Standards und Rahmenwerke angepasst werden, auf die COBIT referenziert. Weiterhin sollten auch technologische Trends wie die digitale Transformation und DevOps in COBIT 2019 berücksichtigt werden. Als erste Bücher erschienen die beiden zentralen Dokumente »COBIT 2019 Rahmenwerk: Einführung und Methoden« (COBIT 2019 Framework: Introduction and Methodology) und »COBIT 2019 Rahmenwerk: Governance- und Managementziele« (COBIT 2019 Framework: Governance and Management Objectives). Das letztgenannte Werk beschreibt das zentrale Modell (Core Model) und ersetzt mit 40 Governance- und Managementzielen das gegenüber COBIT 5 minimal erweiterte Prozessmodell. Zusätzlich sind nun im Kernmodell die mit COBIT 5 eingeführten Enabler als den Zielen zugeordnete Komponenten aufgeführt.

Bereits einen Monat später folgten der Designleitfaden (COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution) und der Implementierungsleitfaden (COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution). Der Designleitfaden enthält die Faktoren, die das Governance-System beeinflussen und unterstützt bei der Anwendung dieser Faktoren auf ein Unternehmen. Im Implementierungsleitfaden wurde der bewährte, siebenstufige Lebenszyklus zur Einrichtung einer nachhaltigen IT-Governance auf COBIT 2019 angepasst.

Angekündigt waren zum Zeitpunkt der Erstellung dieses Buches noch sogenannte »Focus Area Guides«. Diese eigenständigen Schwerpunktbereiche (Focus Areas) sollen das Rahmenwerk COBIT 2019 ergänzen und auf diese Weise an neue Entwicklungen und Themen anpassen. Beispielsweise kann dadurch das Kernmodell spezifisch für DevOps oder kleine und mittelständische Unternehmen angepasst werden oder für das Thema Informationssicherheit oder Risikomanagement erweitert werden.

2.3COBIT-Produktfamilie

Die COBIT-2019-Produktfamilie basiert auf der COBIT-5-Produktfamilie, die konzeptionell überarbeitet wurde. In der COBIT-5-Produktfamilie war das Hauptwerk ein mit knapp 100 Seiten relativ kurzes Rahmenwerkdokument. Dieses Rahmenwerk wurde ergänzt durch Handbücher für die einzelnen Enabler (wie Prozesse oder Information) und Umsetzungsleitfäden für einzelne Anwendungsfelder (wie Sicherheit, Assurance oder Risiko).

Abb. 2–1COBIT-5-Produktfamilie in Anlehnung an [ISACA 2012a]

Abbildung 2–1 und Tabelle 2–3 geben einen Überblick über die COBIT-5-Produktfamilie.

COBIT-5-Bücher

Inhalte

Erscheinungsdatum

COBIT 5 Business Framework [ISACA 2012a]

Beschreibung des übergreifenden Rahmenwerks, insbesondere der fünf Kernprinzipien und der sieben Enabler

April 2012

COBIT 5: Enabling Processes [ISACA 2012b]

Beschreibung des Prozessmodells mit den 37 COBIT-Prozessen und seinen beschreibenden Elementen

April 2012

COBIT 5 Implementation [ISACA 2012c]

Beschreibung des siebenstufigen Lebenszyklus zur Einrichtung einer nachhaltigen IT-Governance

April 2012

COBIT 5 for Information Security [ISACA 2012d]

Leitfaden zur Anwendung von COBIT 5 für die Informationssicherheit

Juli 2012

COBIT Process Assessment Model (PAM): Using COBIT 5 [ISACA 2013a]

Beschreibung der Kriterien zur Beurteilung von Unternehmensprozessen nach COBIT 5

Februar 2013

COBIT Self-Assessment Guide: Using COBIT 5 [ISACA 2013b]

Beschreibung einer vereinfachten Beurteilung von Unternehmensprozessen nach COBIT 5

Februar 2013

COBIT Assessor Guide: Using COBIT 5 [ISACA 2013c]

Beschreibung der Vorgehensweise zur Beurteilung von Unternehmensprozessen nach COBIT 5

Februar 2013

COBIT 5 for Assurance [ISACA 2013d]

Leitfaden zur Anwendung von COBIT 5 für Zwecke der Bestätigung (Assurance)

Juni 2013

COBIT 5 for Risk [ISACA 2013f]

Leitfaden zur Anwendung von COBIT 5 für das Management der Informationsrisiken

September 2013

COBIT 5: Enabling Information [ISACA 2013g]

Beschreibung des Enablers Information und eines Informationsmodells

November 2013

Tab. 2–3Übersicht der COBIT-5-Bücher

Die COBIT-2019-Produktfamilie umfasst vier Kernbücher (vgl. Tab. 2–4). Dabei werden insbesondere alle Enabler in dem zweiten Rahmenwerk-Band ausführlich dargestellt. Des Weiteren wird mit dem Designleitfaden ein neues Buch zur Unterstützung der Anwendung von COBIT für die IT-Governance eingeführt.

COBIT-2019-Kernbücher

Inhalte

Erscheinungsdatum

COBIT 2019 Framework: Introduction and Methodology [ISACA 2018a]

Einführung in die wesentlichen Konzepte und Methoden von COBIT 2019

November 2018

COBIT 2019 Framework: Governance and Management Objectives [ISACA 2018b]

Beschreibung des Kernmodells, in dem die Prozessziele nunmehr im Vordergrund stehen, um diese mit den Unternehmenszielen besser abstimmen zu können.

November 2018

COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution [ISACA 2018c]

Beschreibung der Designfaktoren, um für die Unternehmen die passende Governance zu finden.

Dezember 2018

COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution [ISACA 2018d]

Beschreibung eines Implemetierungsansatzes für die kontinuierliche Verbesserung der Governance

Dezember 2018

Tab. 2–4Übersicht der COBIT-2019-Kernbücher

Mit Veröffentlichung dieser vier Hauptwerke wurden für vier Schwerpunktbereiche (DevOps, SME, Risk und Security) bereits spezifische Ergänzungen zum Kernmodell von COBIT 2019 angekündigt. Diese sogenannten »Focus Area Guides« behandeln damit auch zwei Themen, die in der COBIT-5-Produktfamilie als Umsetzungsleitfäden veröffentlicht worden sind. Abbildung 2–2 stellt die COBIT-2019-Produktfamilie schematisch dar.

Abb. 2–2COBIT-2019-Produktfamilie

Alle Dokumente der aktuellen COBIT-Produktfamilie stehen auf der Internetseite www.isaca.org zum Download als personalisierte PDF-Dateien zur Verfügung. Weiterhin bietet ISACA die Dokumente größtenteils auch als gedruckte Versionen zum Kauf an.

Neben diesen Büchern sind auf der Internetseite der ISACA noch eine Vielzahl von weiteren Publikationen der ISACA und des IT Governance Institute veröffentlicht, die spezielle Themen im Umfeld von IT-Governance und IT-Management aufgreifen. Diese referenzieren häufig auch COBIT und dessen Kernelemente, gehören im Sinne dieses Buches jedoch nicht zur engeren oder erweiterten COBIT-Produktfamilie und sind nicht Gegenstand dieses Buches.

3Die sechs Prinzipien eines Governance-Systems

COBIT 2019 formuliert sechs Prinzipien, die der Ausgestaltung des Governance-Systems zur Steuerung der Unternehmens-IT zugrunde liegen sollten (vgl. Abb. 3–1). In diesem Kapitel werden die sechs Kernprinzipien von COBIT 2019 dargestellt. Sie lauten:

Mehrwert für die Anspruchsgruppen bereitstellen (Provide Stakeholder Value)

Ganzheitlicher Ansatz (Holistic Approach)

Dynamisches Governance-System (Dynamic Governance System)

Governance getrennt vom Management (Governance Distinct From Management)

Zugeschnitten auf die Bedürfnisse des Unternehmens (Tailored to Enterprise Needs)

End-to-End-Governance-System (End-to-End Governance System)

Abb. 3–1Prinzipien für Governance-Systeme [ISACA 2018a]

Diese Prinzipien beschreiben die Kernanforderungen an ein Governance-System für die Unternehmens-IT und sind für das Verständnis von COBIT von herausragender Bedeutung.

3.1Prinzip 1: Mehrwert für die Anspruchsgruppen bereitstellen

Dieses Prinzip zielt darauf ab, dass Informationsverarbeitung kein Selbstzweck ist, sondern sich am Geschäft (business) bzw. an den Anspruchsgruppen (stakeholder) orientieren muss. Diese machen die Vorgaben für die geschäftlich benötigte Informationsverarbeitung und stellen letztlich auch die (finanziellen) Mittel für die notwendige Technologie bereit. Unternehmen haben zum Ziel, für ihre Anspruchsgruppen maximalen Nutzen unter Beachtung der gegebenen Rahmenbedingungen zu erzeugen. Entsprechend muss das Ziel der IT-Governance sein, maximalen Nutzen aus der Anwendung von Informationstechnologie zu optimalen Ressourcenkosten und IT-Risiken zu realisieren.

Jedes Unternehmen benötigt eine Strategie und ein Governance-System, um die Bedürfnisse der internen und externen Anspruchsgruppen zu berücksichtigen. COBIT unterstützt die unterschiedlichen internen und externen Anspruchsgruppen, ihre Anforderungen an die Informationsverarbeitung umzusetzen, um aus der Nutzung der Unternehmens-IT den gewünschten Mehrwert zu generieren. Zudem stellt COBIT eine Beziehung zwischen den Anforderungen der Anspruchsgruppen und den Unternehmenszielen (Enterprise Goals) und den darauf ausgerichteten IT-bezogenen Zielen (Alignment Goals) her. Dadurch können die Ziele für die Governance und das Management der Unternehmens-IT (Governance and Management Objectives) besser priorisiert werden.

Als Instrument dafür stellt COBIT eine generische Zielkaskade (Goals Cascade) bereit, die an den jeweiligen Unternehmenskontext angepasst werden kann. Dabei können allgemeine Unternehmensziele über eine Zuordnungstabelle IT-bezogenen Zielen primär und sekundär zugeordnet werden und diese IT-bezogenen Ziele lassen sich dann über eine weitere Zuordnungstabelle den 40 Governance- und Managementzielen zuordnen. Diese Zuordnungstabellen basieren auf Forschungen der Management School der Universität Antwerpen und wurden im Rahmen der Entwicklung von COBIT 5 und COBIT 2019 nochmals von Experten des Berufsverbandes ISACA validiert. Abbildung 3–2 verdeutlicht die Idee der Zielkaskade.

Die COBIT-Zielkaskade ist der zentrale Mechanismus, mit dem Anforderungen von Anspruchsgruppen in konkrete, durchführbare und angepasste Unternehmensziele, daran ausgerichtete IT-bezogene Ziele und konkrete Governance- und Managementziele umgewandelt werden können. In Abschnitt 17.1 wird detailliert auf das Instrument der COBIT-Zielkaskade eingegangen.

Abb. 3–2Mehrwert für die Anspruchsgruppen bereitstellen (in Anlehnung an [ISACA 2018a])

3.2Prinzip 2: Ganzheitlicher Ansatz

Ein Governance-System besteht aus einer Reihe von Komponenten, die unterschiedlichen Typs sein können, aber ganzheitlich zusammenwirken. Komponenten sind kritische Erfolgsfaktoren, die sowohl individuell als auch kollektiv Einfluss darauf haben, ob die ausgewählten Governance- und Managementziele erreicht werden. COBIT betrachtet in seinem Rahmenwerk vor allem sieben Komponenten (components):

Prinzipien, Richtlinien und Rahmenwerke (Principles, Policies and Frameworks)

Prinzipien, Richtlinien und Rahmenwerke sind das Vehikel zur Umsetzung des von der Unternehmensleitung erwünschten Verhaltens in die tägliche Praxis. Die Komponente »Prinzipien, Richtlinien und Rahmenwerke« umfasst die installierten Kommunikationsmittel, um die Vorgaben und Anweisungen der Governance-Organe und des Topmanagements zu vermitteln. Für die Komponente »Prinzipien, Richtlinien und Rahmenwerke« werden im COBIT-Rahmenwerk meist typische Richtlinien beschrieben, beispielsweise eine Beschaffungsrichtlinie (IT Procurement Policy) beim Lieferantenmanagement. Methodisch sollten sich diese Richtlinien an guten Praktiken wie Effektivität, Effizienz, Aktualität oder Eingängigkeit orientieren. Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 6 dieses Buches.

Prozesse (Processes)

Prozesse beschreiben einen strukturierten Satz mit Praktiken und Aktivitäten zur Erreichung bestimmter Ziele und liefern einen Satz mit Ergebnissen, die zur Erreichung der allgemeinen IT-bezogenen Ziele beitragen. Die Komponente »Prozesse« umfasst vor allem Prozesspraktiken mit dazugehörigen beispielhaften Metriken und dafür notwendige Aktivitäten. Die Prozesskomponente wird von anderen Komponenten mit Elementen wie Verantwortlichkeitsmatrizen und Informationselementen ergänzt. Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 11 dieses Buches.

Organisationsstrukturen (Organisational Structures)

Organisationsstrukturen sind die wichtigsten Entitäten der Entscheidungsfindung im Unternehmen. Für die Komponente »Organisationsstrukturen« werden im COBIT-Rahmenwerk sowohl ein Rollenmodell beschrieben als auch gute Praktiken für Organisationsstrukturen wie Arbeitsprinzipien, ausgewogene Zusammensetzung der Mitglieder oder Umfang der Befugnisse. Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 7 dieses Buches.

Kultur, Ethik und Verhalten (Culture, Ethics and Behaviour)

Kultur, Ethik und Verhalten der Mitarbeiter und des Unternehmens werden als Erfolgsfaktoren für Governance- und Managementaktivitäten häufig unterschätzt. Die Komponente »Kultur, Ethik und Verhalten« bezieht sich auf individuelles und kollektives Verhalten innerhalb eines Unternehmens. Das COBIT-Rahmenwerk führt für die Governance- und Managementziele jeweils wichtige kulturelle Elemente auf. Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 8 dieses Buches.

Information (Information)

Informationen sind in jeder Organisation allgegenwärtig. Zu ihnen gehören sämtliche vom Unternehmen produzierten und verwendeten Informationen. Informationen sind für die Aufrechterhaltung des Betriebs der Organisation und dessen Steuerung unverzichtbar. Auf operativer Ebene sind Informationen häufig sogar das wichtigste Produkt des Unternehmens überhaupt. Für die Komponente »Information« werden im COBIT-Rahmenwerk sowohl die durch die Prozesspraktiken benötigten als auch die von den Prozesspraktiken erzeugten Informationselemente dargestellt. Die Ziele der Komponente »Information« können generisch durch die drei Dimensionen intrinsische Qualität, kontextabhängige Qualität sowie Sicherheit bzw. Zugangsmöglichkeiten beschrieben werden. Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 12 dieses Buches.

Services, Infrastruktur und Anwendungen (Services, Infrastructure and Applications)

Services, Infrastruktur und Anwendungen umfassen die Infrastruktur, die Technologie und die Anwendungen, die innerhalb des Unternehmens die IT-Verarbeitung und IT-Services sicherstellen. Die Komponente »Services, Infrastruktur und Anwendungen« bezieht sich auf die Ressourcen, die bei der Bereitstellung von IT-Dienstleistungen genutzt werden. Im COBIT-Rahmenwerk werden für jedes Governance- und Managementziel typische unterstützende Services, Tools, Systeme, Plattformen und Anwendungen aufgeführt. Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 9 dieses Buches.

Mitarbeiter, Fähigkeiten und Kompetenzen (People, Skills and Competencies)

Mitarbeiter, Fähigkeiten und Kompetenzen beziehen sich auf das Personal, das für die Durchführung aller Aktivitäten, das Treffen der richtigen Entscheidungen und die Umsetzung korrektiver Maßnahmen verantwortlich ist. Das COBIT-Rahmenwerk beschreibt wichtige Fähigkeiten der für jedes Governance- und Managementziel benötigten Mitarbeiter und entsprechende Referenzen zu gängigen Kompetenzrahmenwerken Eine detaillierte Darstellung dieser Komponente erfolgt in Kapitel 10 dieses Buches.

Abb. 3–3Ganzheitlicher Ansatz (in Anlehnung an [ISACA 2018a])

Abbildung 3–3 zeigt das Governance-System bestehend aus den sieben Komponenten, die kritische Erfolgsfaktoren für die Erreichung der Governance- und Managementziele sind. Die Komponenten interagieren aber auch untereinander. Beispielsweise sind Prinzipien, Richtlinien und Rahmenwerke als Vehikel zur Kommunikation der Vorgaben und Anweisungen der Governance-Organe und des Managements bestimmender Ausgangspunkt für alle anderen Komponenten.

3.3Prinzip 3: Dynamisches Governance-System

Ein Governance-System sollte dynamisch sein, sodass die Auswirkungen von Änderungen zum Beispiel an der Strategie, an der Bedrohungslage oder an der Technologie im Governance-System berücksichtigt werden. Die Designfaktoren repräsentieren typische Veränderungen, die ggf. im Governance-System zu beachten sind. Anhand von Designfaktoren sollte das Governance-System regelmäßig überprüft werden und Änderungen am System vorgenommen werden, wann immer dies erforderlich ist.

Abb. 3–4Dynamisches Governance-System (in Anlehnung an [ISACA 2018a])

Die in Abbildung 3–4 dargestellten Designfaktoren sind im Designleitfaden beschrieben und in Bezug zu den Governance- und Managementzielen gesetzt worden. Eine detaillierte Darstellung dieser Komponente erfolgt in Abschnitt 17.2 dieses Buches.

3.4Prinzip 4: Governance getrennt vom Management

COBIT unterscheidet deutlich zwischen Governance und Management der Unternehmens-IT. Diese beiden Disziplinen sind mit unterschiedlichen Arten von Aktivitäten verbunden, erfordern unterschiedliche Organisationsstrukturen und dienen unterschiedlichen Zwecken (vgl. Abb. 3–5). Um eine klare Zuordnung und Trennung von Verantwortlichkeiten zu erreichen, sind Governance und Management der Unternehmens-IT auch im Kernmodell von COBIT durch eigene Domänen getrennt.

Governance stellt sicher, dass die Anforderungen der Anspruchsgruppen, Rahmenbedingungen und Möglichkeiten evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen. Governance gibt die Richtung durch die Festlegung von Prioritäten und das Fällen von Entscheidungen vor und überwacht die Leistung und die Erreichung der vereinbarten Richtung und Zielvorgaben. Die Governance liegt in den meisten Unternehmen in der Zuständigkeit der Geschäftsleitung und des Aufsichtsorgans (Board of Directors).

Das Management plant, erstellt, betreibt und überwacht Aktivitäten – im Rahmen der von der Governance vorgegebenen Richtung –, um die Unternehmensziele zu erreichen. Das Management der Unternehmens-IT liegt meist in der Zuständigkeit der Ebene unterhalb der Geschäftsleitung (CEO).

Abb. 3–5Unterscheiden zwischen Governance und Management

Die Governance-Prozesse umfassen das Evaluieren der Anforderungen der unterschiedlichen Anspruchsgruppen, das Vorgeben der Richtung sowie das Überwachen der Zielerreichung. Die Prozesspraktiken zur Erreichung der Governance-Ziele in der Governance-Domäne von COBIT bilden jeweils genau diese drei Aufgaben der Governance ab. Das Management plant, erstellt, betreibt und überwacht Aktivitäten – im Rahmen der von der Governance vorgegebenen Richtung. Die vier Management-Domänen von COBIT bilden genau diese vier Aufgabengebiete ab.

3.5Prinzip 5: Zugeschnitten auf die Bedürfnisse des Unternehmens

Ein Governance-System sollte auf die Bedürfnisse des Unternehmens zugeschnitten sein. COBIT 2019 benennt drei unterschiedliche Faktoren, die das Design der Governance beeinflussen (vgl. Abb. 3–6):

Auswahl und Priorisierung von Governance- und Managementzielen

Die 40 Governance- und Managementziele im COBIT-Kernmodell sind gleichwertig zueinander, d.h., es gibt erst einmal keine natürliche Rangfolge unter ihnen. Die besondere Unternehmenssituation, die sich in COBIT 2019 über die Designfaktoren abbilden lässt, kann diese Äquivalenz jedoch beeinflussen und bestimmte Governance- und Managementziele wichtiger erscheinen lassen als andere.

Ein bereits aus COBIT 5 bekannter Designfaktor zur Priorisierung von Governance- und Managementzielen ist die Zielkaskade. Über die Auswahl der relevanten Unternehmensziele aus der Unternehmenszielliste der Zielkaskade lassen sich die potenziell vorrangigen Governance- und Managementziele ableiten.

Beispiel: Für ein Unternehmen ist es wichtig, im Markt mit einem attraktiven Produktportfolio aufzutreten. Daher würde bei Anwendung der COBIT-Zielkaskade das Unternehmensziel »Portfolio wettbewerbsfähiger Produkte und Dienstleistungen« als sehr relevant eingestuft werden. Daraus folgt durch Anwendung der Zielkaskade, dass mit hoher Wahrscheinlichkeit das Governance- und Managementziel »Managed Portfolio« ein wichtiger Bestandteil des Governance-Systems dieses Unternehmens sein sollte.

In der Praxis bedeutet eine höhere Bedeutung, dass für diese Governance- und Managementziele höhere Zielfähigkeitsgrade angestrebt werden als für weniger wichtige Governance- und Managementziele.

Auswahl/Priorisierung von Komponenten

Komponenten sind erforderlich, um Governance- und Managementziele zu erreichen. Einige Designfaktoren können die Wichtigkeit einer oder mehrerer Komponenten beeinflussen oder spezifische Variationen erfordern.

Beispiel: Kleine und mittlere Unternehmen benötigen möglicherweise nicht alle Rollen und Organisationsstrukturen, wie sie im COBIT-Kernmodell zur Komponente »Organisationsstrukturen« festgelegt sind. Diese Unternehmen können ein reduziertes Rollenmodell verwenden.

Beispiel: Eine Bank ist in einem stark regulierten Umfeld tätig. Daher ist für dieses Unternehmen die Komponente »Prinzipien, Richtlinien und Rahmenwerke« besonders wichtig, da für Banken an dokumentierten Arbeitsergebnissen, Richtlinien und Verfahren besondere Anforderungen bestehen.

Anpassung des COBIT-Kernmodells

Einige Designfaktoren, wie die Bedrohungslandschaft oder die angestrebten IT-Implementierungsmethoden, erfordern kontextspezifische Anpassungen des COBIT-Kernmodells.

Beispiel: Ein Unternehmen, das DevOps für die Entwicklung und den Betrieb von Lösungen einsetzt, benötigt beispielsweise für die Managementziele »Lösungsidentifizierung und -erstellung sind gemanagt« (BAI03) oder »Betrieb ist gemanagt« (DSS01) angepasste Komponenten, insbesondere für »Prozesse«, »Organisationsstrukturen« oder »Kultur, Ethik und Verhalten«. Solche Anpassungen sollen in von ISACA angekündigten Schwerpunktleitfaden näher beschrieben werden.

Abb. 3–6Parameter für den Zuschnitt auf die Bedürfnisse des Unternehmens

Designfaktoren und Schwerpunkte (Fokus Area) dienen in COBIT 2019 als Parameter, um das Governance-System bzw. dessen Komponenten anzupassen. Daneben enthält COBIT 2019 auch eine Ablauffolge (Workflow), wie ein maßgeschneidertes Governance-System entworfen werden kann. In diesem »Governance System Design Workflow« werden die Designfaktoren in einer bestimmten Abfolge zur Festlegung des initialen Governance-Systems und zur weiteren Verfeinerung angeordnet. Eine detaillierte Darstellung der Designfaktoren und deren Anwendung erfolgt in Abschnitt 17.2 dieses Buches.

Abb. 3–7Maßgeschneidertes IT-Governance-System

3.6Prinzip 6: End-to-End-Governance-System

COBIT integriert die Governance der Unternehmens-IT in die unternehmensweite Governance und deckt alle Funktionen und Prozesse ab, die für das Steuern und Managen von Unternehmensinformationen und der zugehörigen Technologien erforderlich sind. Diese ganzheitliche und systemische Sicht auf die Governance der Unternehmens-IT basiert auf einem Governance-System, das aus drei Elementen besteht (vgl. Abb. 3–8):

Governance-Komponenten

Governance-Umfang

Rollen, Aktivitäten und Beziehungen

Governance-Komponenten sind die für das Governance-System relevanten Ressourcen der Organisation (z.B. Rahmenwerke, Prinzipien, Strukturen, Prozesse und Praktiken). COBIT stellt bei der Governance und dem Management der Unternehmens-IT auf eine Reihe von unternehmensweiten und durchgängigen Komponenten ab. Anspruchsgruppen müssen zur Unterstützung der Umsetzung ihrer Ziele Anforderungen an diese Komponenten definieren. Fehlende oder mangelhafte Komponenten beeinträchtigen die Fähigkeit des Unternehmens, die Governance- und Managementziele zu erreichen und damit die erwartete Wertschöpfung zu generieren.

Governance kann sich auf das gesamte Unternehmen, eine Entität oder auf einzelne Betriebsmittel beziehen. Der Umfang des Governance-Systems ist daher zu definieren. COBIT nimmt als Umfang das Unternehmen an sich an, aber theoretisch ist auch ein anderer Umfang möglich.

Das dritte Governance-Element besteht aus Rollen, Aktivitäten und Beziehungen und wie die Beteiligten innerhalb eines Governance-Systems miteinander interagieren. COBIT enthält daher ein erweitertes Rollenmodell, das sowohl die Verantwortlichkeiten von IT-Funktionen als auch von IT-relevanten Businessfunktionen abdeckt.

Abb. 3–8Abdecken des gesamten Unternehmens (in Anlehnung an [ISACA 2012a])

COBIT betrachtet die Governance und das Management von Information und Technologie aus einer unternehmensweiten, durchgängigen Perspektive und unterstützt dabei, die Governance und das Management der Unternehmens-IT in das Governance-System des Unternehmens zu integrieren.

4Prinzipien für Governance-Rahmenwerke

Neben den sechs Prinzipien eines Governance-Systems führt COBIT 2019 zusätzlich drei allgemeine Prinzipien für Governance-Rahmenwerke an (vgl. Abb. 4–1). Sie lauten:

Basierend auf einem konzeptionellen Modell (Based on Conceptual Model)

Offen und flexibel (Open and Flexible)

An wichtigen Standards ausgerichtet (Aligned to Major Standards)

Diese Prinzipien sind Anforderungen an jedes Governance-Rahmenwerk, das in Organisationen angewendet wird.

4.1Prinzip 1: Basierend auf einem konzeptionellen Modell

Dieses Prinzip stellt darauf ab, dass jedes Governance-Rahmenwerk auf einem konzeptionellen Modell basieren sollte, das die wesentlichen Komponenten und die Beziehungen zwischen diesen Komponenten beschreibt.

In COBIT 2019 wird diese Anforderung durch die Komponenten im Kernmodell erfüllt.

4.2Prinzip 2: Offen und flexibel

Dieses Prinzip stellt darauf ab, dass jedes Governance-Rahmenwerk offen und flexibel sein sollte, um das Hinzufügen neuer Inhalte zu ermöglichen und neue Herausforderungen auf möglichst flexible Weise anzugehen.

In COBIT 2019 wird diese Anforderung durch die Designfaktoren und die Schwerpunktleitfäden erfüllt.

4.3Prinzip 3: An wichtigen Standards ausgerichtet

Dieses Prinzip stellt darauf ab, dass jedes Governance-Rahmenwerk sich an wichtigen, relevanten Standards, Rahmenwerken und Regulierungen orientieren sollte.

In COBIT 2019 wird diese Anforderung durch die Verwendung von Referenzmaterialien im Kernmodell erfüllt. Das COBIT-Rahmenwerk integriert die Ideen von anderen IT-relevanten Standards (z.B. ISO-Standards) und Rahmenwerken (z.B. ITIL, TOGAF) und schafft damit die Grundlage für die effektive Integration gängiger Rahmenwerke, Standards und guter Praktiken. In Kapitel 15 wird detailliert auf die von COBIT referenzierten Standards, guten Praktiken und Rahmenwerke eingegangen.

Abb. 4–1Prinzipien für Governance-Rahmenwerke (in Anlehnung an [ISACA 2018a])

5Komponenten und ihre Dimensionen

Komponenten sind im COBIT-Rahmenwerk kritische Erfolgsfaktoren zum Erreichen der Governance- und Managementziele. Jedes Governance- und Managementziel kann über eine Kombination der sieben miteinander in Beziehung stehenden Komponenten erreicht werden:

Prinzipien, Richtlinien und Rahmenwerke (Principles, Policies and Frameworks)

Prozesse (Processes)

Organisationsstrukturen (Organisational Structures)

Kultur, Ethik und Verhalten (Culture, Ethics and Behaviour)

Information (Information)

Services, Infrastruktur und Anwendungen (Services, Infrastructure and Applications)

Mitarbeiter, Fähigkeiten und Kompetenzen (People, Skills and Competencies)

Die Komponenten in COBIT 2019 entsprechen 1:1 den Enablern in COBIT 5. Daher ist das Steuerungsmodell für die Enabler weiterhin gültig. COBIT 5 beschreibt für alle Enabler vier Dimensionen, mit denen die Leistung der Enabler gesteuert und gemessen werden kann. Die allen Enablern bzw. Komponenten gemeinsamen Dimensionen sind (vgl. Abb. 5–1):

Anspruchsgruppen

Ziele

Lebenszyklus

Bewährte Verfahren

Die ersten beiden Dimensionen stellen die Zielerreichung sicher: Wird den Anforderungen der Anspruchsgruppen entsprochen? Werden die Ziele erreicht?

Die Dimensionen Lebenszyklus und bewährte Verfahren beeinflussen die Wahrscheinlichkeit der Zielerreichung. Ein aktiv gemanagter Lebenszyklus und die Anwendung bewährter Verfahren erhöhen die Wahrscheinlichkeit der Zielerreichung. Während die ersten beiden Dimensionen über rückwärtsgerichtete Indikatoren beurteilt werden können, lassen sich die letzten beiden Dimensionen über vorwärtsgerichtete Indikatoren messen.

Abb. 5–1Dimensionen Komponenten (in Anlehnung an [ISACA 2012a])

Die einzelnen Dimensionen werden in den nachfolgenden Abschnitten allgemein diskutiert und in den folgenden Kapiteln spezifisch dargestellt.

5.1Anspruchsgruppen

Jede Komponente hat Anspruchsgruppen, d.h. Parteien, die eine aktive Rolle spielen und ein Interesse an den Governance-Komponenten haben.

Anspruchsgruppen können innerhalb oder außerhalb des Unternehmens angesiedelt sein. Sie alle haben eigene Interessen und Anforderungen, die manchmal auch in Konflikt zueinander stehen. Die Anforderungen der unterschiedlichen Anspruchsgruppen müssen daher evaluiert und gegeneinander abgewogen werden. COBIT unterscheidet dabei zwischen internen und externen Anspruchsgruppen (vgl. Tab. 5–1).

Anspruchsgruppe

Beispiele

Interne Anspruchsgruppen

▪ Aufsichtsorgane

▪ Geschäftsleitung

▪ Führungskräfte des Unternehmens

▪ Business Manager

▪ IT-Manager

▪ Risikomanager

▪ Interne Revision

▪ Sicherheitsmanager

▪ Datenschutzverantwortliche

Externe Anspruchsgruppen

▪ Geschäftspartner

▪ Lieferanten

▪ Anteilseigner

▪ Regulierungsbehörden

▪ Kunden

Tab. 5–1Übersicht möglicher interner und externer Anspruchsgruppen [ISACA 2012a; ISACA 2018a]

Die Erreichung dieser Dimension wird über das Ergebnis der Governance-Komponente bzw. durch die Feststellung, ob den Anforderungen der Anspruchsgruppen entsprochen wird, definiert. Die anzuwendenden Metriken müssen als rückwärtsgerichtete Indikatoren messen, inwieweit die Anforderungen der Anspruchsgruppen berücksichtigt wurden. Diese Metriken werden auch als nachlaufende Indikatoren (Lag Indicators) bezeichnet.

5.2Ziele

Für jede Komponente lassen sich verschiedene Ziele definieren. Durch die Erreichung dieser Ziele leisten die Governance-Komponenten einen Beitrag zur Erreichung der Governance- und Managementziele und damit einen Wertbeitrag für das Unternehmen. Die Ziele der Komponenten können als erwartetes Ergebnis oder als Anwendung der Komponente selbst definiert sein. Die Komponentenziele können weiter unterteilt und unterschiedlichen Kategorien zugeordnet werden (vgl. Tab. 5–2).

Für die Komponente »Information« wird in COBIT 2019 beispielsweise ein Informationsreferenzmodell mit 15 Qualitätskategorien für Informationselemente beschrieben. Die Zielkategorien dieses Modells eignen sich aber auch für andere Governance-Komponenten.

Zielkategorie

Erläuterung

Intrinsische Qualität

Umfang, in dem Komponenten akkurat und objektiv funktionieren und akkurate, objektive und wiederholbare Ergebnisse liefern

Kontextbezogene Qualität

Umfang, in dem Komponenten und ihre Ergebnisse in dem jeweiligen Kontext, in dem sie eingesetzt werden, zweckdienlich sind und beispielsweise relevant, vollständig, aktuell, geeignet, konsistent, verständlich und leicht anzuwenden sind

Zugänglichkeit und Sicherheit

Umfang, in dem Komponenten und ihre Ergebnisse zugänglich und verfügbar sowie sicher und geschützt sind

Tab. 5–2Übersicht der Komponentenziele [ISACA 2012a]

Die Zielerreichung der Governance-Komponenten lässt sich durch rückwärtsgerichtete Indikatoren messen. Die anzuwendenden Metriken müssen feststellen, inwieweit die Ziele erreicht wurden.

5.3Lebenszyklus

Jede Komponente hat einen Lebenszyklus, der von der Erstellung über die Nutzungsdauer bis hin zu seiner Beendigung andauert. Der Lebenszyklus einer Komponente kann folgende Phasen umfassen:

Planen (einschließlich Konzeptentwicklung und Konzeptauswahl)

Konzipieren

Aufbauen/Beschaffen/Erstellen/Implementieren

Nutzen/Betreiben

Evaluieren/Überwachen

Aktualisieren/Einstellen

Zur Steuerung dieser Dimension muss hinterfragt werden, ob der Lebenszyklus der relevanten Komponenten angemessen gesteuert wird. Die anzuwendenden Metriken geben dem Management einen Anhaltspunkt, ob die Ziele der Komponente und die Anforderungen der Anspruchsgruppen erreicht werden können. Diese Metriken sagen also etwas über die Wahrscheinlichkeit der Zielerreichung aus und sind entsprechend vorwärtsgerichtete Indikatoren und werden auch als vorlaufende Indikatoren (Lead Indicators) bezeichnet.

5.4Bewährte Verfahren

Für jede Komponente können bewährte Verfahren eingesetzt werden. Bewährte Verfahren unterstützen die Erreichung der Komponentenziele. Bewährte Verfahren stellen Beispiele oder Empfehlungen bereit, wie eine Komponente optimal implementiert werden kann und wie die erforderlichen Arbeitsprodukte optimal gestaltet sein sollten. Das COBIT-Rahmenwerk beschreibt für jede Komponente bewährte Verfahren und verweist auf andere Standards, gute Praktiken oder Rahmenwerke. Zusätzlich stellt COBIT 5 in separaten Handbüchern und Umsetzungsleitfäden für einzelne Komponenten oder Themengebiete weiter gehende Beispiele für bewährte Verfahren bereit.

Zur Steuerung dieser Dimension muss hinterfragt werden, ob bewährte Verfahren angewandt werden. Die anzuwendenden Metriken geben dem Management einen wichtigen Anhaltspunkt, ob die Ziele der Komponente erreicht werden können. Der Umfang der Anwendung von bewährten Verfahren beeinflusst die Wahrscheinlichkeit der Erreichung der Zieldimension für diese Komponente. Die Metriken sind entsprechend vorwärtsgerichtete Indikatoren und werden auch als vorlaufende Indikatoren (Lead Indicators) bezeichnet.

6Prinzipien, Richtlinien und Verfahren

Die Komponente »Prinzipien, Richtlinien und Verfahren« gilt im COBIT-Rahmenwerk als Vehikel zur Erreichung des erwünschten Verhaltens. Die Komponente umfasst die installierten Kommunikationsmittel, um die Vorgaben und Anweisungen der Governance-Organe, der Organisationsstrukturen und des Managements zu vermitteln. Prinzipien, Richtlinien und Verfahren spiegeln aber auch die Kultur, die ethischen Werte des Unternehmens und das gewünschte Verhalten wider.