IT-Governance und COBIT

Ilse u. Rudolf Wolf

Der Begriff IT-Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch die Unternehmensführung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie. Diese Steuerung (engl. "Governance") durch die Unternehmensführung ist notwendig, da die IT-Prozesse in vielen Unternehmen eine zunehmend wichtige Rolle spielen und somit deren reibungsloser Ablauf und konsequente Verbesserung ein wesentlicher Erfolgsfaktor für die Unternehmen darstellt.

Die IT-Governance wird zu einem immer wichtigeren Thema, und bei wachsender Notwendigkeit für so genannte "Compliance", d.h. Verantwortung dafür, dass eine Firma sowohl internationale als auch nationale regulatorische Rahmenbedingungen (Stichworte: Basel II, Softwarelizenzierung, etc.) erfüllt.

IT-Governance verfolgt im Wesentlichen vier Ziele:

• fortwährende Ausrichtung der IT an den Unternehmenszielen und -prozessen,
• Unterstützung des Unternehmens bei der Erreichung der Geschäftsziele,
• verantwortungsvoller und nachhaltiger Einsatz der IT-Ressourcen,
• IT-Risiken minimieren und optimal meistern.

Die IT-Governance soll sicherstellen, dass die Umsetzung der IT-Strategie im Sinne der Verantwortungsträger erfolgt. Insbesondere werden in ihr Anforderungen an Sicherheit (Integrität, Verfügbarkeit, Vertraulichkeit) und Verlässlichkeit (Einhaltung externer Anforderungen) der Informationen gestellt, die wiederum neue und umfassende Anforderungen an das Management der Informationstechnologie stellen. Dabei sind im Rahmen der Organisation zweckmäßige und funktionsbezogene Planungs- und Kontrollsysteme einzurichten und weiterzuentwickeln.

Als Basis für ein IT Governance Framework kann COBIT (Control Objectives for Information and related Technology) herangezogen werden, denn es deckt praktisch alle IT-Aktivitäten ab. COBIT enthält ein managementorientiertes Framework für die Kontrolle der IT auf Basis eines Reifegradmodells, kritischen Erfolgsfaktoren und Schlüsselkennzahlen für die Geschäftsziele, die mit IT-Mitteln erreicht werden sollen.

COBIT liefert der IT-Governance ein umfassendes System von Kontrollzielen, die für die Auditierung von IT-Systemen verwendet werden. Hier wird vor allem die Brücke von der rückwärts gerichteten Sicht der Prüfung zu der nach vorne gerichteten Gestaltung service-orientierter Geschäftsprozesse geschlagen. Der COBIT-Würfel hat sich als zweckmäßiger Ausgangspunkt für ein Assessment bewährt. Er erlaubt Aussagen zu den wesentlichen Dimensionen Steuerung (Control), Ressourcen und Prozessen.

Was ist COBIT?

COBIT ist eine Synthese aus 41 Standards aus den Bereichen Kontrolle, IT-Sicherheit und Qualitätssicherung und bietet für das Management Benchmarks zur Orientierung an.

COBIT wurde von der ISACA (Information Systems Audit and Control Association) seit 1993 entwickelt und als erste Version Ende 1995 veröffentlicht. Im Mai 1998 erschien eine komplett überarbeitete und erweiterte Version mit 34 IT-Prozessen und 300 Kontrollzielen. Im Juli 2000 wurde COBIT in der dritten Version im Wesentlichen um Aspekte des IT Governance im Rahmen sogenannten Management Guidelines erweitert.

Der COBIT IT-Sicherheitsstandard wurde von der Kommission der Europäischen Gemeinschaften als einer der drei international anerkannten Standards ausgewählt und ist der Sicherheitsstandard, der bei der Sicherheit der Informationssysteme und der Kontrolle von Agrarzahlstellen verwendet werden soll. Die EU-Verordnung vom 22. März 2005 dient der Straffung der IT-Sicherheit in den 25 Mitgliedsstaaten der EU.

Im Dezember 2005 veröffentlichte das britische IT Governance Intstitute (ITGI, www.itgi.org) COBIT 4.0. Es ist das erste größere Update des COBIT-Kerninhalts seit der Herausgabe der COBIT 3 Edition im Jahre 2000.

Das mehrere hundert Seiten umfassende Framework beinhaltet unter anderem die Dokumente Executive Summary, Management Guidelines, Control Objectives und ein Implementation Toolset und kann somit zielgruppenorientiert eingesetzt werden. Im COBIT-Würfel wird der Zusammenhang zwischen Prozessen den IT-Ressourcen sowie den Kriterien verdeutlicht.

COBIT ist sehr umfassend und deckt wie kein anderes Framework die Prozesse und Aktivitäten in der IT ab. Es eignet sich daher insbesondere zur Umsetzung einer IT Governance, d.h. die optimale Unterordnung und den Einsatz der IT zur Unterstützung der Geschäftsanforderungen.

Die neue Edition OBIT 4.0 konzentriert sich stärker auf das Unternehmen, um die Veranwortlichkeiten von Vorstand und Angestellten anzusprechen.

COBIT 4.0 beinhaltet Anleitungen für Vorstände und alle Managementebenen. Es besteht aus vier Abschnitten:

• Executive Overview
• Das Framework
• Der Kerninhalt (Kontrollziele, Management Guidelines und Maturity Models)
• Anhänge (Abbildungen, Querverweise und ein Glossar)

Der Kerninhalt ist entsprechend den 34 IT-Prozessen unterteilt und bietet ein komplettes Bild davon, wie jeder Ablauf zu kontrollieren, zu bewerten und zu managen ist.

COBIT 4.0 kann bei der ISACA (www.isaca.org/cobit) heruntergeladen werden. Es ist allerdings eine Registrierung erforderlich.

COBIT hat drei Zielgruppen, die dieses Framework unterstützen soll. Das Management soll unterstützt werden Risiken abzuwägen und Kontrolle über Investitionen zu behalten. Anwender sollen Gewissheit über die Sicherheit und Kontrolle über IT-Dienste haben, und Revisoren ihre Meinung bekräftigen bzw. Hilfestellung für interne Kontrollmechanismen geben.

Das COBIT-Framework definiert detailliert 318 Kontrollziele und Audit-Richtlinien zu 34 kritischen Prozessen in vier Domänen:

• Planung und Organisation,
• Beschaffung und Implementation,
• Betrieb und Support sowie Überwachung,

die einen Lebenszyklus bilden.

Die Kontrollziele definieren für die Prozesse, welche Mindestkontrolle ausgeübt werden soll um ein bestimmtes Niveau zu erreichen, während die Auditrichtlinie definiert, wie geprüft werden soll. Die IT-Ressourcen sind gemäß COBIT in die Kategorien Daten, Anwendungen, Technologien, Anlagen und Personal gegliedert.

Fazit

Die Implementierung von IT-Governance ist nicht mit klassischen CRM- oder ERP-Projekten vergleichbar, aber gewisse Projektelemente sind dennoch ähnlich: etwa die dedizierten Teams, welche die Maßnahmen und ihre Koinzidenz mit den Business-Strategien ständig überprüfen.

Trotz der vorhandenen Vorteile eines solchen Governance-Konzeptes muss die Einführung mit großer Disziplin und Sorgfalt erfolgen. Die konsequente Analyse des Ist-Zustandes der eigenen unternehmerischen Prozesse sowie die herrschende IT-Infrastruktur inklusive der dafür oder dadurch erbrachten Dienstleistungen, sei es intern oder extern, ist Grundvoraussetzung für die Einführung.

Zusätzlich muss in Zusammenarbeit mit den entsprechenden Fachbereichen und den Projekt- sowie Budgetverantwortlichen ein Sollkonzept definiert werden, denn ein integraler Bestandteil von COBIT ist die Etablierung von Rahmenbedingungen zur Ermöglichung der kontinuierlichen Verbesserung. Hier liegt grundsätzlich auch die Herausforderung. Ohne praktische Erfahrung in den Bereichen der Projektorganisation, -abwicklung sowie dem Wissen um die eigene Wertschöpfungskette und der einzuführenden Methodologie ist ein solches Projekt kaum zum bewältigen.