Endlich hat der Berufsverband der IT-Auditoren und -Sicherheits-Manager, Isaca, die Entwürfe für die neue COBIT-Version zur Diskussion gestellt (www.isaca.org/cobit5). Sie umfassen das COBIT-5-Rahmenwerk (Framework) sowie den Prozessleitfaden (Process Reference Guide).
COBIT 5 weist gegenüber COBIT 4.1 deutlich mehr Änderungen auf, als es bei früheren Versionswechseln der Fall war. Die wichtigsten davon sind anhand von fünf Kerneigenschaften (Principles) darstellbar.
1) Integratives Rahmenwerk (Integrator Framework)
Mit COBIT 4.1, Risk IT und Val IT hat Isaca seit 2005 drei Rahmenwerke für die IT her-ausgebracht. Hinzu kommen unterstützende Veröffentlichungen wie das IT Assurance Framework (Itaf) oder das Business Model for Information Security (BMIS). Eines der mit COBIT 5 verfolgten Ziele ist die Integration der Inhalte in ein gemeinsames Modell. Das ist mit dem vorliegenden Entwurf erfüllt. Ein detailliertes Mapping auf der Ebene der Control Objectives im Prozessleitfaden erleichtert den Anwendern die Umstellung von COBIT 4.1, Risk IT und/oder Val IT auf COBIT 5.
2) Getrieben von Anspruchsgruppen (Stakeholder Value Driven)
Im Allgemeinen verfolgen Unternehmen das Ziel, für ihre Anspruchsgruppen (Stakeholders) Werte zu erzeugen. Die Unternehmens-Governance muss sicherstellen, dass der angepeilte Nutzen zu optimalen Kosten erreicht wird und dass dabei die Risiken unter Kontrolle bleiben. Governance bedeutet aber auch, die Interessen der Stakeholder gegeneinander abzuwägen und die notwendigen Entscheidungen zu treffen. COBIT 5 berücksichtigt das.
3) Fokussiert auf das Business (Business and Context Focussed)
COBIT soll dafür sorgen, dass die IT die geschäftlichen Anforderungen unterstützt, einen Wertbeitrag erbringt und dabei ökonomisch sowie risikobewusst agiert. Deshalb wurde für COBIT explizit darauf geachtet, dass sich die Prozesse des Rahmenwerks und damit die IT-Ziele aus den Geschäftszielen ableiten lassen. Das neue COBIT-Informationsmodell stellt zudem die Verbindung zwischen geschäftlichen Informationen und IT-Funktionen her. In der jüngsten Ausführung schließt COBIT ein erweitertes Rollenmodell ein, das die Aktivitäten und Verantwortlichkeiten sowohl von IT-Funktionen als auch von IT-nahen Business-Funktionen abdeckt. Alle kritischen Geschäftselemente werden nach fünf einheitlichen Merkmalgruppen behandelt. Das erleichtert es den Anwendern, die Faktoren des Unternehmensumfelds an die organisationsspezifischen IT-Governance- und Management-Systeme anzupassen.
4) Basierend auf Schlüsselkomponenten (Enabler Based)
Als Schlüsselkomponenten für die IT-Governance sieht COBIT 5 im Wesentlichen die folgenden Ressourcen der Organisation:
• Prozesse,
• Prinzipien und Grundsätze,
• Organisationsstrukturen,
• Fähigkeiten und Kompetenzen,
• Kultur und Verhalten,
• IT-Service-Fähigkeiten sowie
• Information.
Jede dieser Schlüsselkomponenten ist in COBIT 5 durch die ihr zugeordneten Anspruchsgruppen, Ziele und Metriken, Lebenszyklen, Best Practices und Attribute näher beschrieben.
5) Strukturiert nach Governance und Management
COBIT unterscheidet im neuen Prozessmodell fünf Governance- und 31 Management-Prozesse. Die Governance-Prozesse stellen den Rahmen und die Regeln auf, denen die Management-Prozesse folgen. In COBIT 4.1 war der Aufbau einer IT-Governance im Prozess ME4 ("Provide IT Governance") gekapselt. In COBIT 5 hingegen wird das Governance-System als Rahmen für die Management-Prozesse dargestellt.
Der Aufbau der Management-Prozesse lehnt sich im Wesentlichen an die Domänen aus COBIT 4.1 an. Allerdings wurden die Prozesse stark überarbeitet. So enthält die Planungsdomäne "Align, Plan & Organize" (ehemals "Plan & Organize") nun zwölf Prozesse, also zwei mehr als zuvor. Die Prozesse in "Deliver, Support & Maintain" (ehemals "Deliver & Support") wurden von 13 auf acht Prozesse verringert.
Jeder Prozess ist einheitlich und strukturiert über die aus COBIT 4.1 bekannten Prozessbeschreibungen, Ziele und Metriken, Inputs und Outputs, Kompetenzmatriken sowie Aktivitäten (früher Control Practices) dargestellt. Die in den bislang getrennten Rahmenwerken unterschiedlich bezeichneten Anforderungen an das Management werden nun alle mit dem Begriff "Management Practices" umschrieben.
Die Reifegradmodelle sind entfallen. Abgelöst werden sie durch eine an ISO/IEC 15504 angelehnte Prozessbewertung. Sie ermöglicht einen objektiven, wiederholbaren, auf Nachweisen basierenden Prozess der Reifegradbeurteilung. So ist es mit COBIT mittelfristig möglich, Unternehmen auch ohne die Wirtschaftsprüfungsstandards IDW PS 951 beziehungsweise ISAE 3402 oder ISAE 3000 zu zertifizieren. (qua)
Markus Gaulke ist Senior Manager bei KPMG und Mitglied des Isaca-Vorstands.