Newsfeed abonnieren
Einsatz von COBIT in der Praxis
Ein häufiges Einsatzgebiet von COBIT sind IT-Revision sowie IT-Audits. COBIT unterstützt bei der Entwicklung des Prüfprogramms einerseits durch die Orientierung an den relevanten COBIT-Prozessen und Control Objectives, andererseits durch die Kriterien des COBIT Maturity Models für die zu untersuchenden Prozesse.
COBIT kann jedoch auch "konstruktiv" im Sinne von "nicht überprüfend" eingeführt werden. Die Erfahrung zeigt, dass in vielen Unternehmen vom Management Kennzahlen und objektive Steuerungsgrundlagen gewünscht werden. Häufig werden daher Kennzahlen und Kontrollmechanismen eigenständig entwickelt. COBIT bietet dafür eine gute Palette an Controls und Messpunkten an.
Der Einsatz von COBIT erfolgt in vier Schritten: Zuallererst bestimmt der Berater den Standort. Danach können gemeinsam mit dem Kunden die Ziele definiert sowie Lösungsvorschläge erarbeitet und schließlich die Lösung implementiert werden.
Für diese Phasen bietet COBIT Unterstützung:
Standortbestimmung
Die Bedarfsermittlung erfolgt über einen Quick Check auf Basis der COBIT Prozesse und Control Objektives sowie durch die Analyse von Risiken. Der Kunde erhält dadurch ein Stärken-/Schwächenprofil und ein Risikoprofil. Wesentlich ist, dass die Ergebnisse des Quick Check objektiviert werden und dass jedenfalls die unterschiedlichen Interessenspartner einbezogen werden.
Ziel-Entwicklung
Die Strategieanbindung ist für alle Prozessmanagement-Systeme wichtig. Ausgehend von den Business-Zielen des Kunden werden die IT-Ziele abgeleitet. Verknüpft mit dem Quick Check und der Risikoanalyse können Ziele priorisiert und Verbesserungsvorschläge gemeinsam mit dem Kunden erarbeitet werden.
Prozess-Modellierung
Ziel dieser Phase ist die Planung und Implementierung von Geschäftsprozessmanagement mit dem Schwerpunkt IT-Prozesse. Ansatzpunkte hierbei sind die generischen Business Prozesse wie CRM (Customer Relationship Management), SCM (Supply Chain Management) sowie PLM (Product Life Cycle Process).
Unter Berücksichtigung der COBIT Prozesse werden eine IT-Prozess-Landkarte erstellt und die Prozesse modelliert. Falls beim Kunden bereits eine Prozesslandkarte im Einsatz ist, wird von dieser ausgehend weitergearbeitet. Die Implementierung wird durch das Entwickeln von Verbesserungsplänen sowie das Definieren und Begleiten von Verbesserungs-Projekten unterstützt.
Messen und Verbessern
Durch laufende Prozessmessung sowie -monitoring wird die Nachhaltigkeit sichergestellt. In dieser Phase werden Messwerte für Prozessziele (KPI - Key Performance Indicators) sowie für Unternehmensziele (KGI -Key Goal Indicators) erarbeitet.
COBIT macht eine Vielzahl von Vorschlägen zur Prozessmessung. Es ist daher die Aufgabe des Prozess-Beraters, gemeinsam mit dem Kunden die für das Unternehmen wesentlichen Messziele zu definieren. Dabei ist das SMART-Prinzip für die Beurteilung der Messziele nützlich.
An dieser Stelle sei ausdrücklich davor gewarnt, alle COBIT-Controls auf einmal einzuführen, ohne sich über deren Zweckmäßigkeit und Eignung für das eigene Unternehmen klar zu sein.
Als Ergebnisse für den Kunden entstehen daraus Prozesskennzahlen für die Erstellung einer IT-BSC. Durch konsequentes Monitoring und Anpassen der Ziele wird die laufende Verbesserung umgesetzt.
Kundennutzen durch den Einsatz von COBIT
Mit dem Einsatz von COBIT werden die IT-Ziele an Strategie und Business-Zielen sowie die IT-Prozesse am Kunden und den Interessenspartnern ausgerichtet. Die Anwendung von Standards und bewährten Methoden erhöht die Umsetzungsgeschwindigkeit und -sicherheit. Ein wesentlicher Nutzen ergibt sich daraus, dass COBIT als Auditing Standard gilt und auf die wachsenden gesetzlichen Anforderungen (SOX, EuroSOX) vorbereitet.
(1) Cobit 4.1 Framework, Control Objectives, Management Guidelines, Maturity Models. IT Governance Institute, 2007.
(2) Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. IT Governance Institute und Office of Government Commerce (OGC), 2008.
- Vorgaben der ISO9000
Spezielle Modelle für IT-Organisationen:
- ITIL (IT Infrastructure Library): Umsetzung von ITSM (IT Service Management)
- SOX (Sarbanes-Oxley Act): US-Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung
- SAS70 (Statement on Auditing Standard) von AICPA (American Institute of Certified Public Accountants): Revisions- und Auditstandard
- ISO/IEC 27001 (bis Mitte 2007: ISO17799): Kontrollmechanismen für die Informationssicherheit
- CMMI (Capability Maturity Model Integration) und SPICE (Software Process Improvement and Capability Determination) oder ISO 15504: internationale Standards zur Durchführung von Bewertungen (Assessments) von Unternehmensprozessen (Schwerpunkt Softwareentwicklung)
- Strategie-Anbindung über die PO Prozesse
- Umfassendes Modell mit praxisorientierten Messvorschlägen
- Identifikation von Verbesserungspotentialen über Audits (Maturity Levels)
- Als Standard für IT-Revision etabliert
- Metamodell vieler anderer Modelle (z.B. ITIL, ISO17799)
Contra
- Es müssen die richtigen Schwerpunkte gefunden werden, da vollständige Audits sehr umfassend und aufwändig sind.
- Wenn die IT-Entwicklung einen Schwerpunkt der Organisation darstellt, sind Know-how Vertiefungen in spezifischen Best-Practice Modellen der IT-Entwicklung (CMMI, SPICE) erforderlich.
- Die Themen Marketing und Vertrieb sind im COBIT nicht abgedeckt.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Alexander Hackl ist freier Journalist in Wien. Er ist Absolvent des Master- Programms „Qualitätsjournalismus“ an der Donau-Universität Krems und spezialisiert auf Technologiethemen. Seit drei Jahren ist er als Autor für den MONITOR und das Wirtschaftsmagazin FORMAT tätig. Das Hauptaugenmerk in seiner Arbeit liegt auf Informations- technologie im Kontext gesellschaftlich-wirtschaftlicher Zusammenhänge. 