Startseite                
Impressum            

IT-Governance        
ITIL         
CObIT           
BSC                

Dieser Text ist nahezu unverändert meiner Diplomarbeit entnommen (daher auch die Nummerierung der Kapitel). Verweise auf andere Kapitel können Sie in meiner Diplomarbeit nachlesen. Meine Diplomarbeit können Sie hier herunterladen.

Relevante Literaturangaben finden Sie am Ende dieser Seite.

Der nachfolgende Text ist urheberrechtlich geschützt (siehe auch Impressum). Wenn Sie Teile daraus benutzen möchten geben Sie als Verweis bitte den entsprechenden Teil meiner Diplomarbeit an.

2.2.3.1 Zielsetzung

Die Zielsetzung des CObIT (Control Objectives for Information and related Technology) Referenzmodells ist die Entwicklung von allgemein akzeptierten Kontrollzielen für die IT (ITGI, 2004 b, S. 8). CObIT setzt dabei auf die Analyse und Harmonisierung von bereits existierenden Standards und Best Practices und ist explizit auf ein Zusammenwirken mit diesen ausgelegt (ITGI, 2005, S. 25). CObIT orientiert sich dabei eng an den vom ITGI erarbeiteten Zielen und Aufgaben von IT-Governance und versteht sich als das Referenzmodell für IT-Governance.

2.2.3.2 Entstehung

Das CObIT Referenzmodell liegt mittlerweile in der vierten Version vor und ist, ähnlich zu ITIL, eine Sammlung von verschiedenen Dokumenten (siehe unten).

Die erste Version von CObIT wurde 1996 von der ISACF veröffentlicht. 1998 wurde die zweite Version veröffentlicht. In die zweite Version ging dabei eine größere Anzahl von Quelldokumenten ein. Weiterhin wurden die Kontrollziele einer Revision unterzogen und ein so genanntes Implementation Toolset hinzugefügt (ITGI, 2000 a, S. 18). Die ersten beiden Versionen von CObIT wurden von Teams in Europa, den Vereinigten Staaten und Australien entwickelt. Im Rahmen der Ent-wicklung wurden verschiedene Standards und konkrete Erfahrungen sowie Anforderungen aus der Praxis zusammengestellt, überprüft und beurteilt. Ferner wurden mögliche Verbindungen analysiert (ITGI, 2005, S. 189).

Seit der dritten Version (veröffentlicht im Juli 2000) wird CobIT vom ITGI herausgegeben (ITGI, 2000 a, S. 18). Für die dritte Version des Referenzmodells wurden die so genannten Management Guidelines entwickelt und CObIT 2 mit neu gewonnenen Erkenntnissen und Informationen aus internationalen Teams überarbeitet. Die Management Guidelines wurden in einem, von Gartner und PwC unterstützten Wokshop mit 40 Experten aus Wirtschaft und Forschung entwickelt. Das Referenzmodell wurde außerdem erweitert, um dem Management mehr Kontrollmöglichkeiten einzuräumen und ein System zum Messen der Performance zu integrieren. Weiterhin wurden in der dritten Version erstmals IT-Governance Konzepte berücksichtigt (ITGI, 2005, S. 189).

Für die aktuelle vierte Version von CObIT wurde in den letzen zwei Jahren Forschungs- und Entwicklungsarbeit in verschiedene Aspekte von CObIT gesteckt. Nachfolgend ein kurzer Auszug aus den Forschungsprojekten (ITGI, 2005, S. 189 f.):

  • Verbindung von CObIT und IT-Governance
  • Harmonisierung von CObIT mit anderen Standards (z. B. ITIL)
  • Verbindung von Geschäfts- und IT-Zielen sowie IT-Prozessen

Die wichtigsten CObIT Dokumente sind (es sind derzeit noch nicht alle Dokumente auf Version vier umgestellt):

  • Executive Summary (noch für Version 3.0) (ITGI, 2000 b)
  • Framework (Version 4.0) (ITGI, 2005)
  • Control Objectives (noch für Version 3.0) (ITGI, 2000 c)
  • Management Guidelines (noch für Version 3.0) (ITGI, 2000 d)
  • Implementation Tool Set (noch für Version 3.0) (ITGI, 2000 e)

2.2.3.3 Verbreitung

Nach einer im Jahr 2005 von PwC im Auftrag des ITGI durchgeführten Studie (Umfrage: 22 Länder, 695 Teilnehmer, Position im Unternehmen größtenteils CEO oder CIO) ist CObIT ca. 30 % der Befragten bekannt. Eingesetzt wird CObIT dagegen nur von ca. 10 % der Unternehmen (ITGI, 2006 a, S. 27 f.). Gegenüber einer ähnlichen Studie aus dem Jahr 2003 (ITGI, 2004 a) ist der Bekanntheitsgrad von CObIT damit um ca. 50 % gestiegen (ITGI, 2006 a, 28).

Als Referenzmodell für IT-Governance liegt CObIT in der Studie nach dem Qualitätsmanagement-Standard ISO 9000 (Platz 1) und ITIL (Platz 2) auf Platz 3, wobei die meisten Teilnehmer jedoch angaben, ein intern (selbst) entwickeltes Referenzmodell zu benutzen.

Wie für ITIL das itSMF, gibt es für CObIT die ISACA, die sich als welt-weite Organisation mit Themen rund um CObIT beschäftigt und zusammen mit dem ITGI die Entwicklung von CObIT vorantreibt. ISACA hat in über 140 Ländern mehr als 50.000 Mitglieder aus Forschung und Wirtschaft. Die Mitglieder kommen aus verschiedenen Branchen und Unternehmensbereichen, worin ISACA selbst eine Stärke der Organisation sieht. In mehr als 60 Ländern unterhält ISACA zusätzlich eigene Ortverbände (ISACA, 2006 b).

Nachfolgend ein Auszug namhafter Unternehmen, die Mitglieder bei ISACA stellen (ISACA, 2006 a):

  • Ernst & Young
  • IBM
  • KPMG
  • PricewaterhouseCoopers
  • Swiss Life
  • Toyota Financial Services

2.2.3.4 Dokumentation

Für CObIT ist in ausreichendem Umfang Literatur und Dokumentation vorhanden. Allein die im Internet kostenlos zur Verfügung gestellten Dokumente geben einen sehr detaillierten Über- und Einblick in das Referenzmodell. Zur Verfügung gestellt werden diese Dokumente von der ISACA (ISACA, 2006 c). Auch außerhalb von ISACA finden sich im Internet viele Informationen zu CObIT. Eine Suche etwa bei der Internet Suchmaschine Google nach „CObIT“ ergab über eine Millionen Treffer (Suche weltweit, alle Sprachen, ca. 1.240.000 Treffer) (Google, 2006 c).

Von ISACA und ITGI sind verschiedene Studien und Anwenderberichte über CObIT, oftmals im Zusammenhang mit IT-Governance, verfügbar.

Gedruckte Werke über CObIT gibt es, gerade deutschsprachig, noch nicht sehr viele, was aber auch darauf zurückgeführt werden kann, dass die kostenlos im Internet angebotenen Dokumente nahezu vollständig sind.

2.2.3.5 Zukunft

Nach Aussage der Meta Group werden im Jahr 2006 mind. 45 % der Global 2000 Unternehmen durch rechtliche Vorschriften gezwungen sein, ein Risikomanagement Modell wie zum Beispiel CObIT einzu-setzen (Meta Group, 2003). Die Zunahme dieser rechtlichen Zwänge (durch z. B. Basel 2 und SOX; siehe 1.3) und die Tatsache, dass nach der ITGI Studie von 2006 (ITGI, 2006 a, S. 28) die Bekanntheit des Referenzmodells immer weiter zunimmt, lässt auf ein weiteres An-steigen der Verbreitung des Referenzmodells schließen. Dafür spricht auch die gute Bewertung (Platz zwei nach ITIL) des Referenzmodells in einer Studie der Fachhochschule Aalen von 2004 (Schmidt, 2004, S. 43).

2.2.3.6 Inhaltliche Beschreibung

CObIT betrachtet die IT als Zusammenspiel von drei wesentlichen Elementen: (IT-) Prozesse, Anforderungen (des Geschäfts) und (IT-) Ressourcen. Darauf aufbauend gliedert CObIT alle IT-Prozesse in Domänen, Prozesse und Aktivitäten auf (teilweise wird auch von Haupt- und Subprozessen gesprochen). Weiterhin definiert CObIT sieben Kategorien von Anforderungen aus dem Geschäft und vier Typen von IT-Ressourcen. Die drei Dimensionen (IT-Prozesse, IT-Ressourcen und Anforderungen des Geschäfts) lassen sich im so genannten CObIT-Würfel wie folgt darstellen:

Abb. 11 Der CObIT-Würfel (ITGI, 2005, S. 23)

Die vier CObIT-Domänen sind (ITGI, 2005, S. 13):

  1. Planen und organisieren (Plan and organise: PO)
  2. Beschaffen und implementieren (Acquire and implement: AI)
  3. Bereitstellen und unterstützen (Deliver and support: DS)
  4. Überwachen und bewerten (Monitor and evaluate: ME)

Zu jeder Domäne werden im CObIT Referenzmodell die wichtigsten Prozesse und die dazugehörigen Aktivitäten angegeben. Insgesamt ergeben sich so 34 (Haupt-) Prozesse und 215 Aktivitäten (Sub-prozesse).

Die in Abb. 11 dargestellten Anforderungen des Geschäfts sind im Einzelnen:

  1. Effektivität
  2. Effizienz
  3. Vertraulichkeit
  4. Integrität
  5. Verfügbarkeit
  6. Einhaltung rechtlicher Erfordernisse
  7. Zuverlässigkeit

Folgende IT-Ressourcen werden aufgeführt:

  1. Applikationen
  2. Informationen
  3. Infrastruktur
  4. Menschen

Zusammen mit den oben angegebenen CObIT-Elementen lässt sich ein von den Geschäfts- und (IT-) Governance-Zielen angetriebener Kreis-lauf darstellen. Die nachfolgende Abbildung zeigt diesen zusammen mit den jeweiligen Hauptprozessen der einzelnen Domänen:

Abb. 12 Das CObIT Referenzmodell (ITGI, 2005, S. 24)

Im Einzelnen gibt CObIT für jeden Prozess an, welche Anforderungen (siehe oben) primär und sekundär unterstützt werden sowie welche IT-Ressourcen von dem Prozess betroffen sind. Weiterhin werden die wichtigsten Ziele, Kennzahlen und seit Version 4.0 auch die von dem jeweiligen Prozess unterstützten Aufgaben der IT-Governance angegeben (siehe auch Kapitel 4.4). Ferner sind zu jedem Prozess noch so genannte detaillierte Kontrollziele angegeben (bezeichnet als PO 1.1, PO 1.2 usw.). Eine Übersicht über alle CObIT-Prozesse inkl. der zugehörigen detaillierten Kontrollziele findet sich in Anhang B.

Literatur