COBIT

COBIT (Control OBjectives for Information and Related Technology) ist ein Modell von generell anwendbaren und international akzeptierten IT-prozessbezogenen Kontroll- und Steuerungszielen, die in einem Unternehmen beachtet und umgesetzt werden sollten, um eine verläßliche Anwendung der Informationstechnologie zu gewährleisten. COBIT ist inzwischen der de-facto-Standard für das Interne Kontrolsystem im IT-Bereich.

Historie

COBIT wurde ursprünglich vom internationalen Prüfungsverband ISACA (Information Systems Audit and Control Association) entwickelt

Die Information Systems Audit and Control Associationwurde 1969 als „EDP Auditors Association“ zur Förderung der Anerkennung des Berufstandes der IT-Revisoren durch die Verbreitung von Berufsstandards und Arbeitstechniken sowie durch die ständige Weiterbildung gegründet. ISACA ist inzwischen eine weltweite Verbindung von über 70.000 Fachleuten, die sich mit der Kontrolle und der Sicherheit sowie dem Management und der Steuerung von Informationssystemen befassen. Die ISACA bietet auch zwei anerkannte, berufliche Zertifizierungen (CISA - Certified Information Systems Auditor und CISM - Certified Information Security Manager)

Über die angeschlossene „Information Systems Audit and Control Foundation“ (ISACF) und das „IT Governance Institute“ (ITGI) fördert der ISACA die Forschung auf dem Gebiet der Informationsrevision und des Informationsmanagements

Dem ISACA Germany Chapter gehören in Deutschland über 1.300 Mitglieder aus unterschiedlichsten Branchen und Unternehmensbereichen an.

Die erste COBIT-Version wurde Ende 1995 veröffentlicht. Im Mai 1998 erschien eine komplett überarbeitete und erweiterte Version mit 34 IT-Prozessen und über 300 Kontrollzielen. Im Juli 2000 wurde COBIT in der 3. Version im wesentlichen um Aspekte des IT Governance im Rahmen sog. „Management Guidelines“ erweitert. Eine Online Version (COBIT Online) wurde im Winter 2003 in Netz gestellt.

Die Entwicklung von COBIT Version 4.0 startete in 2004 mit Integration von diversen Forschungsprojekten, u.a. von der Antwerp Management School und der University of Hawaii. COBIT 4.0 wurde Anfang Dezember 2005 veröffentlicht.

Inzwischen hat sich COBIT international als Kontroll- und Steuerungsrahmenwerk für die IT durchgesetzt. Sicherlich waren die Anforderungen an den Nachweis eines effektiven internen Kontrollsystems aus dem Sarbanes-Oxley-Act und der 8. EU-Richtlinie hierfür auch maßgeblich. Die aktuelle COBIT Version kann kostenlos über die Internet-Seite der ISACA bezogen werden; dort steht auch weiterführendes Material zum Einsatz von COBIT und der Anwendung von COBIT im Kontext von Sarbanes Oxley.

COBIT 4.0 ist auf Initiative von KPMG sogar ins Deutsche übersetzt worden. Die aktuelle Version der deutschen Fassung kann mit nachfolgendem Link bezogen werden.

Im Mai 2007 ist ein Update von Cobit 4.0 erschienen: COBIT 4.1. Dort wurden u.a. kleinere Anpassungen an einzelnen "Detailed Control Objectives" vorgenommen sowie die Prozess- und Anwendungskontrollen überarbeitet. Weiterhin wurden die zusätzlichen COBIT Materialien auf den Stand 4.1 gehoben, insbesondere die COBIT Control Practices und der COBIT IT Assurance Guide.

Neben ISACA International hat das ISACA German Chapter ein Qualitätssicherungs- und Zertifizierungsprogramm für den deutschen Sprachraum entwickelt, bestehend aus

dem COBIT Basic Practitioner

dem COBIT Practitioner sowie

dem IT-Governance-Manager.

Das COBIT Basic Practitioner (CBP) Zertifikat basiert auf einem Präsenztraining und einer Multi-Choice-Prüfung. Der Zertifikatsinhaber weist damit Grundkenntnisse in der aktuellen Version von COBIT nach. Er kennt den das Rahmenwerk und die COBIT-Bücher des ITGI. Voraussetzung zur Teilnahme an der Prüfung ist der Nachweis einer entsprechenden Schulung mit mindestens 6 Unterrichtseinheiten à 50 Minuten (CPE). Die Prüfung umfasst 20 Fragen, die innerhalb von 20 Minuten zu beantworten sind. Voraussetzung zur Zertifikatserteilung ist, dass mind. 70 % der Fragen richtig beantwortet werden.

Das Zertifikat belegt das Verständnis der wesentlichen COBIT-Prinzipien und Elemente auf Basis der zum Prüfungszeitpunkt aktuellen Version von COBIT. Prüfungsinhalte sind: COBIT-Historie und Notwendigkeit, COBIT-Grundprinzipien, COBIT-Framework, COBIT im Verhältnis zu anderen Standards, Corporate Governance und IT-Governance, IT-Governance und COBIT, Auswahlkriterien zur Bestimmung von relevanten COBIT-Prozesse, Ansätze zur Nutzung von COBIT. Kurs und Prüfung werden vom ISACA Germany Chapter als auch von akkreditierten, externen Schulungsanbietern angeboten.

Mehr Details können Sie dem CBP-Zertifikatskonzept auf der Internetseite des German Chapter der ISACA entnehmen.

Das COBIT Practitioner (CP) Zertifikat basiert ebenfalls auf einem Präsenztraining und einer Multi-Choice-Prüfung. Der Zertifikatsinhaber weist neben Grundkenntnissen auch ein praktisches Verständnis der aktuellen Version von COBIT nach. Er kann das Rahmenwerk und die COBIT-Bücher des ITGI in Prüfungs- oder Beratungssituationen grundsätzlich anwenden. Voraussetzung zur Teilnahme an der Prüfung ist der Nachweis einer entsprechenden Schulung mit mindestens 12 Unterrichtseinheiten à 50 Minuten (CPE). Die Prüfung umfasst 30 Fragen, die teilweise etwas umfangreicher sind und innerhalb von 30 Minuten zu beantworten sind. Voraussetzung zur Zertifikatserteilung ist, dass mind. 70 % der Fragen richtig beantwortet werden. Kurs und Prüfung werden derzeit nur von externen, akkreditierten Schulungsanbietern angeboten.

Mehr Details können Sie dem CP-Zertifikatskonzept auf der Internetseite des German Chapter der ISACA entnehmen.

Das IT-Governance-Manager (ITGM) Zertifikat basiert auf einem mind. 35 Stunden umfassendem Präsenztraining und zweistündigen Prüfung (Mischung Multi-Choice-Prüfung und Aufsatz). Der Zertifikatsinhaber weist neben theoretischen und praktischen COBIT-Kenntnissen auch Kenntnisse über andere IT-Standards nach. Er kennt die zugrundeliegende Theorie und kann die Standards sinnvoll und aufeinander abgestimmt in Management-, Prüfungs- oder Beratungssituationen sicher anwenden. Kurs und Prüfung werden derzeit nur von der Hochschule Frankfurt School of Finance and Management in Zusammenarbeit mit dem ISACA Germany Chapter angeboten.

Mehr Details können Sie dem ITGM-Zertifikatskonzept auf der Internetseite des German Chapter der ISACA entnehmen.

COBIT Grundlagen

COBIT definiert für jeden IT-Prozess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontroll- und Steuerungsziele für diesen Prozess. Für die Formulierung der Kontroll- und Steuerungsziele werden sieben Arten von Geschäftsanforderungen berücksichtigt:

• die klassischen Sicherheitsanforderungen Vertraulichkeit, Integrität und Verfügbarkeit,
• Effektivität (Wirksamkeit), Effizienz (Wirtschaftlichkeit) sowie
• Compliance (Einhaltung rechtlicher Erfordernisse) und Zuverlässigkeit (Ordnungsmäßigkeit der Berichterstattung).

Daneben werden für jeden Prozess auch die Ressourcen definiert, die dieser Prozesse liefert, bearbeitet oder benötigt.

Die Struktur der Kontrollziele lehnt sich an ein prozessorientiertes Geschäftsmodell an. Dieses unterscheidet innerhalb der Informationstechnologie 34 zentrale IT-Prozesse, die in vier übergeordnete Bereiche zusammengefasst werden:

1) Planung und Organisation
2) Beschaffung und Implementation
3) Betrieb und Unterstützung
4) Überwachung und Bewertung

Für jeden IT-Prozess legt das Framework generisch fest, welche Kernaufgaben (activities) definiert sein sollten und welche Kontroll- und Steuerungsziele (control objectives) abgedeckt werden müssen.

Die wesentlichen, konzeptionellen Elemente fasst der COBIT-Würfel zusammen:

Gründe für den Einsatz von COBIT

Der intensive Einsatz von IT zur Unterstützung und Abwicklung geschäftsrelevanter Abläufe macht die Etablierung eines geeigneten Kontroll- und Steuerungsumfelds erforderlich. COBIT wurde als Methode entwickelt, um die Vollständigkeit und die Effektivität eines solchen Kontrollumfelds zur Begrenzung der entstehenden Risiken implementieren und prüfen zu können.

COBIT ist aber nicht nur auf die Sicherheitsbelange eines typischen Unternehmens ausgerichtet. Neben der Wahrung originärer Firmeninteressen (Verfügbarkeit, Integrität und Vertraulichkeit interner Informationen und Prozesse), wird auch die Einhaltung gesetzlicher Vorschriften (Datenschutz, Rechnungslegung) sowie die Wirtschaftlichkeit der IT-Prozesse berücksichtigt.

COBIT richtet sich nicht nur an IT-Fachleute, sondern stellt über die Ausrichtung an den Geschäftsprozessen den Geschäftsprozesseigentümern ein Management-Framework sowie dem Top Management durch die vorhandenen Prozessmerkmale und -kennzahlen ein ganzheitliches IT-Governance Modell zur Verfügung.

COBIT ist stark auf „Kontroll- und Steuerungsmaßnahmen“ fokussiert und weniger auf die Prozessausführung. COBIT lässt sich daher auch unabhängig vom jeweiligen geschäftlichen und technischen Umfeld anwenden

COBIT ermöglicht die Überwachung der Zielerreichung durch Metriken und Reifegradmodelle und ist daher als Managementmodell geeignet.

COBIT ist ein international anerkanntes Modell von IT-Prozessen mit Kontrollzielen, das eine verlässliche Anwendung und Steuerung von Informationstechnologien gewährleisten soll. COBIT eignet sich insbesondere für international tätige Unternehmen, da COBIT fast alle international anerkannten Standards und Empfehlungen berücksichtigt, auf Englisch verfügbar ist und permanent weiterentwickelt wird. Eine kleine Auswahl der berücksichtigten Normen:

• Technische Standards aus ISO, EDIFACT, usw.
• Geschäftspraktiken, herausgegeben durch die EU, OECD, ISACA, usw.
• Qualifizierungskriterien, wie ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, usw.
• Berufsstandards für interne Kontrolle und Revision: COSO, IFAC, AICPA, IIA MC und SAC (Institute of Internal Accountants Model Curriculum und Systems Auditability and Controls), ISACA, PCIE, GAO (Government Auditing Standards), usw.
• Anforderungen von Industrieforen (ESF, I4) und Behörden (IBAG, NIST, DTI), usw.

sowie insbesondere in der neusten COBIT-Version:

• Committee of Sponsoring Organisations of the Treadway Commission (COSO): Internal Control—Integrated Framework, 1994 sowie Enterprise Risk Mangement—Integrated Framework, 2004
• Office of Government Commerce (OGC®): IT Infrastructure Library® (ITIL®), 1999-2004
• International Organisation for Standardisation: ISO/IEC 17799:2005, Code of Practice for Information Security Management
• Software Engineering Institute (SEI®): SEI Capability Maturity Model (CMM®), 1993 sowie SEI Capability Maturity Model Integration (CMMI®), 2000
• Project Management Institute (PMI®): Project Management Body of Knowledge (PMBOK®), 2000
• Information Security Forum (ISF): The Standard of Good Practice for Information Security, 2003

Für die praktische Arbeit muss COBIT natürlich auf die individuelle Bedürfnisse angepasst werden. Gute Erfahrungen habe ich bereits mit COBIT als Prüfungswerkzeug, als Guideline zur Erreichung der Compliance mit Sarbanes-Oxley (SOX), als Richtschnur für SAS70-Berichte als auch zur Prozessoptimierung mit Nutzung des Reifegradmodells gemacht.

Für weitere Informationen zu COBIT empfehle ich eines der nachfolgende Bücher:

Das Praxisbuch zum Thema COBIT und den verwandten Referenzmodellen Val IT und Risk IT enthält neben einer Einführung in COBIT vor allem konkrete Anwendungsbeispiele sowie Übungsfragen zu den Zertifikaten COBIT Foundation und COBIT Practitioner.

Das HMD-Heft von August 2006 beschäftigt sich mit dem Thema IT-Governance und enthält auch einige Artikel mit COBIT-Bezug.

Das sehr aktuelle Praxishandbuch COBIT basiert auf COBIT 4.0 und enthält verschiedene Artikel zu Thema COBIT, u.a. mit Beiträgen von Martin Andenmatten, Peter R. Bitterli, Hilde van Brempt, Markus Gaulke, Wim van Grembergen, Steven de Haes, Luc Pelfini, Boris Sucker, Lars Schwarze und Stefan Weiss.

Das Taschenbuch ist das Resultat eines Projektes, das vom ISACA NL Chapter, vom ITSMF NL Chapter und von EXIN ins Leben gerufen wurde. Kompakt und gut, aber leider auf COBIT 3 basierend. Eine aktualisierte Version ist in Arbeit.