COBIT 5 - Hilfestellung für die IT-Compliance?

Mit der Bedeutung der IT wachsen auch die an sie gerichteten Compliance-Anforderungen. Inzwischen existiert eine Vielzahl von gesetzlichen und anderen regulativen Vorgaben, die direkt oder indirekt Anforderungen an die IT-Funktion einer Organisation stellen. Die jüngsten kommen vom Committee of Sponsoring Organizations of the Treadway Commission (COSO).

IT-Compliance bedeutet heute, ein dynamisches Marktumfeld, damit verbundene Risiken und ständig steigende Anforderungen zur Einhaltung gesetzlicher Vorschriften im Auge zu behalten und zu managen. Dabei hat sich das "COSO Internal Control - Integrated Framework" in vielen Unternehmen als Leitfaden für die Implementierung eines wirksamen internen Kontrollsystems etabliert.

Anforderungen aus COSO 2013

Im Mai dieses Jahres hat COSO eine aktualisierte Version seines Hauptwerks (COSO 2013) veröffentlicht. Grundsätzlich wurden die bestehenden Konzepte (Ziele und Komponenten) beibehalten. Neu ist jedoch die Zuordnung von bestimmten Prinzipien zu den einzelnen COSO-Komponenten.

COSO liefert ein grundlegendes Rahmenkonzept für die Sicherstellung des internen Kontrollsystems im Unternehmen. Damit ermöglicht es eine strukturierte Erfassung der bedeutsamen Risiken sowie deren Management. Ausgehend von einem unternehmensspezifisch zu definierenden Kontrollumfeld lassen sich Schwachstellen identifizieren, damit verbundene Risiken bewerten, Kontrollen zur Minimierung einrichten und deren Wirksamkeit durch regelmäßiges Überwachen gewährleisten.

Gesetze und Vorschriften im Fokus

Der neue COSO-Leitfaden berücksichtigt den in den vergangenen zehn Jahren eingetretenen Wandel der Geschäftsmodelle und Organisationsstrukturen. Besonders Globalisierung, technische Neuerungen und der Wettbewerb um fähige Mitarbeiter, aber auch die steigenden Anforderungen durch Gesetze und Vorschriften sowie Richtlinien und Standards im Unternehmen standen im Fokus der Überarbeitung.

Die Ziele des internen Kontrollsystems fokussieren sich auch im neuen Framework auf drei Bereiche:

1. Zunächst sind das die betrieblichen Ziele. Sie sind auf eine hohe Effektivität und Effizienz des operativen Geschäfts ausgerichtet; sie umfassen unter anderem die operative und finanzielle Leistungserbringung sowie den Schutz vor Vermögensverlusten.

2. Ein anderer Bereich widmet sich den Zielen im Berichtswesen. Während im ursprünglichen Framework ausschließlich die finanzielle Berichterstattung als relevant erachtet wurde, schließt dieser Zielbereich im neuen Framework neben einer Differenzierung in die interne und externe finanzielle Berichterstattung auch die nichtfinanzielle Berichterstattung an die Anspruchsgruppen (Stakeholder) ein. In den Blickpunkt gerückt ist auch die Einhaltung von Unternehmensrichtlinien oder Standards.

3. Der letzte Zielbereich für eine erfolgreiche Unternehmensführung ist die Compliance. Hier geht es um die Befolgung zwingend zu erfüllender Gesetze und Vorschriften im Unternehmen.

Um diese Ziele erreichbar zu machen, definiert COSO fünf in wechselseitiger Beziehung stehende Komponenten, die für ein effektives internes Kontrollsystem implementiert und wirksam sein müssen. Neu in COSO 2013 ist, wie bereits erwähnt, die Zuordnung von 17 Prinzipien zu den einzelnen Komponenten. Unter dem Begriff "Prinzipien" werden hier Grundsätze verstanden, die für eine effiziente interne Kontrolle notwendig sind.

Ein Prinzip ist stark IT-bezogen

Anhand dieser Prinzipien ist es möglich, die Effizienz des internen Kontrollsystems strukturiert und nachvollziehbar zu beurteilen. Dabei verdeutlicht Prinzip 11 ("Das Unternehmen entwickelt allgemeine Kontrollaktivitäten für die Unternehmstechnologie, um eine effektive Zielerreichung zu unterstützen") den hohen Stellenwert der IT. Als Schwerpunktthemen für dieses Prinzip werden in COSO 2013 genannt:

• Die Abhängigkeiten zwischen der Verwendung von Technologie in Geschäftsprozessen und allgemeinen IT-Kontrollen werden festgelegt.

• Um die Zuverlässigkeit des Technikeinsatzes zu erhöhen, muss das Management den Zusammenhang von Geschäftsprozessen, automatisierten Kontrollen und allgemeinen technologiebezogenen Kontrollen im Unternehmen verstehen.

• Über die technische Infrastruktur sind relevante Kontrollaktivitäten einzurichten.

• Die auf die Infrastruktur bezogenen Kontrollaktivitäten unterstützen Vollständigkeit, Fehlerfreiheit und Verfügbarkeit von technischen Prozessen. Zudem umfassen sie die Implementierung von Datensicherungsprozessen und Notfallplänen.

• Daneben werden relevante Kontrollaktivitäten über den Sicherheits-Management-Prozess etabliert.

• Auf das Sicherheits-Management bezogene Kontrollaktivitäten sind unter anderem auf Datenzugriffsrechte, Systemsoftware und IT-Anwendungen ausgerichtet. Sie schützen das Unternehmen vor unautorisierten Zugriffen auf Informationen, Daten und Systeme. Zudem helfen sie, die Funktionstrennung einzuhalten.

• Auch hinsichtlich Technikbeschaffung, -entwicklung und -betrieb müssen Kontrollaktivitäten eingerichtet werden.

Die letztgenannten Kontrollaktivitäten hängen von der Komplexität und dem Ausmaß der Risiken ab, denen die Unternehmen in diesen Bereichen ausgesetzt sind. Sie umfassen die Autorisierung, um Änderungen vorzunehmen, die Auswertungen von Testergebnissen oder die Produktivitätssetzung.

COBIT schließt die COSO-Lücken

Wie diese Schwerpunktthemen abgearbeitet werden sollen, führt COSO 2013 nicht weiter aus. Diese Lücke kann COBIT 5 schließen - zumindest für die IT.

Zehn Wahrheiten zu COBIT 5
Seit kurzem ist die Version 5 des IT-Governance-Frameworks COBIT veröffentlicht. Es kursieren einige Un- und Halbwahrheiten, die schleunigst korrigiert werdne sollten.

COBIT 5 wird GEIT
"Governance of Enterprise IT", kurz GEIT, so bezeichnen die COBIT-Protagonisten bei der Information Systems Audit and Control Association (Isaca) das neue Framework. Es hat bis zur heutigen Ausgestaltung einen erstaunlichen Wandel durchgemacht. Bis zur vierten Version war CoBIT aber auf die IT-Umgebung begrenzt. Erst in der aktuellen Version 5 hat es alle Informationen des Unternehmens und damit auch die Business-Prozesse sowie -Rollen auf dem Schirm.

Business Value im Fokus
Aus der Business-Perspektive soll CoBIT dafür sorgen, dass die IT die geschäftlichen Anforderungen unterstützt; sie muss einen Wertbeitrag erbringen und dabei ökonomisch sowie risikobewusst agieren. Deshalb wurde in Version 5 darauf geachtet, dass sich die Prozesse des Rahmenwerks und die IT-Ziele aus den Geschäftszielen ableiten lassen. Das neue Informationsmodell stellt die Verbindung zwischen geschäftlichen Informationen und IT-Funktionen her. Das erweiterte Rollenmodell deckt die Aktivitäten und Verantwortlichkeiten der IT- und der Business-Funktionen ab.

BMP-Frameworks integriert
Integration bedeutet hier, dass CoBIT 5 den Rahmen setzt, wie die etablierten Frameworks aus der Perspektive der Geschäftsanforderungen zusammenspielen müssen. Für eine Umsetzung liefert es aber nicht den nötigen Detailliserungsgrad. Dafür eignen sich Frameworks wie ITIL deutlich besser. Beide Frameworks behalten also ihre Relevanz und Schwerpunkte.

ITIL hat seine Berechtigung
Kann COBIT 5 auch den Bereich des IT-Service-Managements abdecken? Nein! COBIT 5 und ITIL sind von Ihrer Ausrichtung und ihrem Stellenwert her klar abgegrenzt. COBIT 5 fokussiert stärker auf die Verantwortung der Unternehmensführung beziehungsweise der Enterprise Governance. ITIL geht dafür tiefer ins Detail; dadurch ist das Framework auch komplexer als CoBIT 5.

Klare Abgrenzungen
COBIT 5 unterscheidet eindeutig zwischen Governance und Management. Die Governance stellt sicher, dass die Stakeholder sowie deren Bedürfnisse, Bedingungen und Optionen Maßstab der Bewertung sind und umgesetzt werden. Das Management ist dafür zuständig, die notwendigen Aktivitäten zu planen, zu betreiben und zu überwachen, um die Direktiven und Ziele zu erfüllen. Während die Governance-Prozesse den Grundrahmen, die Eckpfeiler und die Prinzipien definieren, stellen die Management-Prozesse die Prozess-Strukturen zur Verfügung. Das Ganze wird durch einen COBIT-5-spezifischen Lifecycle zusammengeführt.

Mit ISO/IEC 38500 abgestimmt
Der Standard ISO/IEC 38500 mit dem Namen "Corporate Governance in Information Technology" entstand 2008 auf Basis des australischen Standards AS8015:2005. Dieses Referenzmodell richtet sich vor allem an die obere Führungsebene und Entscheidungsträger, die ihre Verantwortung für eine effektive, effiziente und rechtskonforme Nutzung der IT wahrnehmen wollen. Zentrale Rollen spielen dabei die systematische Bewertung des IT-Einsatzes sowie die ständige Überwachung der Planumsetzung. COBIT 5 basiert direkt auf dem aus ISO/IEC 38500 stammenden "Model for Corporate Governance of IT".

Integration dank Zielhierarchien
Die Unternehmensziele sind in COBIT 5 auf der Grundlage einer Balanced Scorecard definiert - als Basismenge an generischen Unternehmenszielen. Um sie zu erreichen, ist es notwendig, eine bestimmte Anzahl von IT-bezogenen Ergebnissen vorweisen zu können, dargestellt durch "IT-related Goals". Die IT Ziele sind in einer "IT Balanced Scorecard" festgehalten.

Control Objectives sind passé
In CoBIT 5 ersetzen die Governance- und Management-Praktiken die in den Vorgängerversionen definierten "Control Objectives". Mit diesem Begriff bezeichnete CoBIT 4.1 wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozessziel sowie über das IT-Ziel letztlich das Unternehmensziel zu erreichen. Die "Control Practices" wurden umstrukturiert und gehen nun als Aktivitäten der Management-Praktiken in der neuen Struktur auf. Eine auf der Vorgängerversion aufgesetzten Framework-Struktur für die Einordnung dieser "Control Objectives" wird ebenfalls neu definiert.

Ein Guide für die Umsetzung
Ein Grund, warum in der Vergangenheit viele Ansätze zur GEIT-Implementierung gescheitert sind, war der, dass es dafür keine strukturiertern Programme mit klarer Zielsetzung, definiertem Umfang und ausdrücklicher Management Attention gab. Zudem fehlten Grundlagenansätze und Methoden zum Steuern des organisatorischen Wandels (Management of Change).

Standardisierte Beschreibung
Prozessmodelle müssen für die Mitarbeiter eines Unternehmens nachvollziehbar, lesbar und verständlich strukturiert sein. Darüber hinaus dürfen die operativen Handlungsspielräume nicht eingeengt werden. Die Prozesse in COBIT 5 umspannen aus einer Ende-zu-Ende-Sichtweise heraus die Business- und die IT-Aktivitäten. Das Framework umfasst 37 Prozesse. Dabei sind die Prozessmodelle und -beschreibungen alle nach demselben Standard aufgebaut. Input und Output werden nicht nur auf der Ebene der Einzelprozesse beschrieben, sondern auch mit dem Fokus auf übergeordnete Management- oder Governance-Praktiken.

Seit April 2012 ist die neueste Version des international anerkannten IT-Governance- und Management-Rahmenwerks COBIT verfügbar. Explizites Ziel für die Weiterentwicklung war seinerzeit, einen optimalen Wertbeitrag aus den Investitionen in Information und Technologie zum Nutzen aller Anspruchsgruppen zu erhalten.

Das aktuelle Rahmenwerk trägt den Titel "A Business Framework for the Governance and Management of Enterprise IT" und ermöglicht mit seinen Inhalten erstmals eine ganzheitliche Betrachtung der Themen IT-Governance und IT-Management. Darüber hinaus ist COBIT 5 auf die Erfüllung von unternehmensweit relevanten Zielen ausgerichtet. Dazu gehören unter anderen

• die Bereitstellung hochwertiger Informationen zur Entscheidungsfindung,

• der Einsatz effektiver und effizienter IT,

• die Begrenzung des IT-bezogenen Risikos,

• die Optimierung von IT-Kosten sowie

• die Erfüllung der zunehmenden Regulierungsanforderungen.

Eine Reihe von Enablern

Um Effektivität und Effizienz der Governance und des Managements der Unternehmens-IT sicherzustellen, definiert COBIT 5 eine Reihe von "Enablern", die als Schlüsselkomponenten einen wesentlichen Einfluss auf die Unternehmensziele haben. Sie umfassen alle Elemente eines Unternehmens, die für die IT-Governance und das IT-Management relevant sind.

Für den Enabler "Prozesse" ist in COBIT 5 ein Prozessmodell etabliert, das die relevanten Prozesse für Governance und Management in der Unternehmens-IT beschreibt. Aufgrund der unterschiedlichen Charakteristika von Governance und Management trennt COBIT 5 klar zwischen diesen beiden Bereichen: Die Governance ist dafür zuständig, strategische Unternehmensziele vorzugeben und zu überwachen, während das Management die konkreten Aktivitäten im Rahmen der Governance-Zielvorgaben steuert und überwacht.

Die Governance-Domäne umfasst fünf Prozesse; sie bildet den Rahmen für das IT-Management mit insgesamt 32 Prozessen.

• Der Prozess EDM01 ("Sicherstellen der Einrichtung und Pflege des Governance-Rahmenwerks") umfasst die Formulierung von Governance-Anforderungen und deren Analyse mit Hilfe von Strukturen, Prinzipien und Prozessen.

• Der Prozess EDM02 ("Sicherstellen der Lieferung von Wertbeiträgen") unterstützt das Erzielen von Mehrwert durch optimierte Geschäftsprozesse, IT-Services und IT-Betriebsmittel.

• Der Prozess EDM03 ("Sicherstellen der Risikooptimierung") definiert die Bereitschaft und Toleranz des Unternehmens gegenüber Risiken - insbesondere in Verbindung mit der Nutzung von Informationstechnik. Ziel dieses Prozesses ist es, sicherzustellen, dass das IT-bezogene Risiko innerhalb der Risikobereitschaft und -toleranz des Unternehmens bleibt.

• Der Prozess EDM04 ("Sicherstellen der Ressourcen-Optimierung") umfasst die Bereitstellung von IT-Ressourcen wie Mitarbeitern, Technologien und Prozessen im Unternehmen. Der Prozesszweck besteht darin, zu gewährleisten, dass Ressourcenanforderungen bestmöglich erfüllt und IT-Kosten optimiert werden.

• Der Prozess EDM05 ("Sicherstellen der Transparenz gegenüber Anspruchsgruppen") zielt vor allem auf eine transparente Gestaltung von IT-Leistung und Berichterstattung im Unternehmen ab.

Für die Umsetzung der Schwerpunktthemen aus dem Prinzip 11 von COSO 2013 kann diese Domäne aber nur den Rahmen bilden. Die relevanten Prozesse finden sich in der Management-Domäne.

Prozesse für die Umsetzung

Insbesondere die nachfolgenden Management-Prozesse unterstützen das Unternehmen dabei, die Schwerpunktthemen umzusetzen:

• APO13 (Managen der Sicherheit);

• BAI03 (Managen von Lösungsidentifizierung und Lösungserstellung);

• BAI04 (Managen von Verfügbarkeit und Kapazität);

• DSS01 (Managen des IT-Betriebs);

• DSS04 (Managen der Kontinuität);

• DSS05 (Managen von Sicherheitsservices);

• DSS06 (Managen von Geschäftsprozesskontrollen).

Um ein Sicherheits-Management zu gewährleisten (APO13), ist ein Informationssicherheits-Management-System (ISMS) nötig. Es ermöglicht ein standardisiertes und kontinuierliches Management sicherheitsrelevanter Informationen.

Zum Management von Sicherheitsservices im Unternehmen (DSS05) gehören unter anderen Maßnahmen gegen Malware, zur Sicherheit von Endpunkten, also Laptops, Servern, Netzgeräten oder Software, und zur Sicherstellung von logischem Zugriffschutz.

Die Prozesse BAI03 und BAI04 schließen Beschaffung, Entwicklung und Betrieb von Technologie ein.

Auch der Prozess DSS01 umfasst den Betrieb von Technologien, insbesondere das Betriebs-Management und die damit verbundenen Überwachungsaktivitäten.

DSS04 betrifft Maßnahmen, mit denen auf Störungen und Unterbrechungen so reagiert wird, dass der Betrieb kritischer Geschäftsprozesse und erforderlicher IT-Services fortgesetzt werden kann.

DSS06 zielt auf die Definition und Pflege geeigneter Geschäftsprozesskontrollen ab. Hier geht es darum, sicherzustellen, dass Informationen, die in Zusammenhang mit internen oder ausgelagerten Geschäftsprozessen stehen und von diesen verarbeitet werden, auch sämtlichen relevanten Anforderungen an die Informationskontrolle genügen. (qua)