FAQ zu IT-Governance

Zehn Wahrheiten zu COBIT 5

07.01.2014
Von Thorsten Schneider
Seit kurzem ist die Version 5 des IT-Governance-Frameworks COBIT veröffentlicht. Es kursieren einige Un- und Halbwahrheiten, die schleunigst korrigiert werden sollten.
Foto: Pixstock, Fotolia.com

Viele Unternehmen haben in den vergangenen Jahren großes Augenmerk auf das Thema Governance gelegt. Es ging ihnen darum, ihre IT aus einer IT-Governance-Perspektive zu professionalisieren. In diesem Kontext standen die "Controll Objectives for Information and Related Technology "(COBIT) immer für den der IT übergeordneten Kontrollteil, während die IT Infrastructure Library (ITIL) als Framework für die IT-interne Ausrichtung zur Anwendung kam.

Mit der Zeit kam verstärkt die Forderung auf, die Grenzen der Betrachtungsebenen aufzulösen. Sowohl die Steuerung als auch das Management der IT sollten ganzheitlicher betrachtet werden. Die IT muss sich verstärkt auf den Mehrwert und einen damit verbundenen Nachweis für das Business konzentriren. Nicht nur wegen knapper IT-Budgets, sondern auch durch die Etablierung neuer Service- und Sourcing-Modelle wie Software as a Service (SaaS) oder Cloud sollten die Business-Ziele eng mit den IT-Zielen abgestimmt werden. Dafür bedarf es einer übergreifenden Steuerung aus strategischer Sicht.

CoBIT 5 reklamiert für sich, den Mehrwert für das Geschäft und die "Business Integration" in den Mittelpunkt der Betrachtung zu stellen, also quasi eine "Corporate Governance of IT" zu beschreiben. Das neue Framwork umfasst also das gesamte Unternehmen, nicht nur die IT. Was bedeutet das im Einzelnen?

COBIT 5 wird GEIT

"Governance of Enterprise IT", kurz GEIT, so bezeichnen die COBIT-Protagonisten bei der Information Systems Audit and Control Association (Isaca) das neue Framework. Es hat bis zur heutigen Ausgestaltung einen erstaunlichen Wandel durchgemacht. Als die erste Version 1996 veröffentlicht wurde, war sie ihrem Anspruch nach nicht mehr als eine (Prüf-)Checkliste für IT-Auditoren. Bereits zwei Jahre später, mit der zweiten Version, verbreitete sich das Prinzip der "Control Objectives" im Auditoren-Umfeld; zum ersten Mal wurde beschrieben, wie die Zielzustände der jeweiligen Betrachtungsbereiche und die Kontrollen zu definieren sind.

Im Jahr 2000 wurde das Framework in seiner dritten Version dann auch für das Management nutzbar. Als "Governance Framework für die IT" war es in seiner vierten Version bereits ein mächtiges Referenzmodell für den Aufbau der Management-Strukturen, die für eine IT-Governance notwendig sind. Geht es heute darum, regulatorische Anforderungen in der IT zu erfüllen, so verweist der Regulator auf CoBIT und nicht etwa auf ITIL. Bis zur vierten Version war CoBIT aber auf die IT-Umgebung begrenzt. Erst in der aktuellen Version 5 hat es alle Informationen des Unternehmens und damit auch die Business-Prozesse sowie -Rollen auf dem Schirm.