COBIT 2019 - Mehrwert für die IT-Revision

Das weltweit anerkannte Rahmenwerk COBIT wurde im November 2018 in einer überarbeiteten Version herausgegeben. Die Überarbeitung entwickelt das aus dem Jahr 2012 stammende Rahmenwerk COBIT 5 konsequent weiter und berücksichtigt dabei auch die seitdem weiterentwickelten anderen Rahmenwerke und Standards im IT-Bereich. In diesem Beitrag beschreibt COBIT-Experte und Autor Markus Gaulke die wichtigsten Neuerungen.

Der Schwerpunkt der Weiterentwicklung lag vor allem darin, das Rahmenwerk COBIT besser adaptierbar für die Steuerung und das Management der Unternehmens-IT zu gestalten. Ein weiteres Ziel der Weiterentwicklung war, COBIT möglichst flexibel zu gestalten, um das Hinzufügen von guten Praktiken im Umgang mit neuen Themen zu ermöglichen.

COBIT 2019 besteht aus vier Bänden:

1. COBIT® 2019 Framework: Introduction and Methodology
2. COBIT® 2019 Framework: Governance and Management Objectives
3. COBIT® 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution
4. COBIT® 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing an Information and Technology Governance Solution

Der erste Band führt in die wesentlichen Konzepte von COBIT 2019 ein. Der zweite Band beschreibt das Kernmodell, in dem die Prozessziele nunmehr im Vordergrund stehen, um diese mit den Unternehmenszielen besser abstimmen zu können. Der Design-Leitfaden (dritter Band) diskutiert die Designfaktoren, die dazu dienen, für die Unternehmen die passende Governance zu finden und der Implementierungsleitfaden (vierter Band) stellt einen Implementierungsansatz für die kontinuierliche Verbesserung der Governance vor.

COBIT 2019 basiert nunmehr auf sechs Prinzipien für das Governance-System, die beiden neuen Prinzipen sind:

Hinter dem Prinzip des dynamischen Governance-Systems verbirgt sich das Konzept der Schwerpunktbereiche (Focus Areas), mit dem die Auswirkungen von technologischen Änderungen zum Beispiel bei der Strategie oder bei den Prozessen im Governance-System berücksichtigt werden können. Inzwischen sind die offiziellen Leitfäden zu den Schwerpunktbereichen Informationssicherheit, IT-Risikomanagement, DevOps und KMUs (Kleine und mittlere Unternehmen) erschienen. Dadurch kann das Kernmodell COBIT bedarfsgerecht erweitert werden. Jeder Anwender kann aber auch eigenständig das Rahmenwerk COBIT erweitern, beispielsweise um die regulatorischen Anforderungen aus den BAIT abzudecken. Hierzu wurde seitens KPMG ein detailliertes Mapping durchgeführt, was als Basis für die Erweiterung des Rahmenwerkes zur Eignung als Prüfungsgrundlage für BAIT Audits dienen kann. Dieses Mapping erhalten auch alle Teilnehmer des Seminars „COBIT 2019 – das Modell für ein effizientes IT-Kontrollsystem“ bereitgestellt.

Das Prinzip des Zuschnitts des Governance-Systems auf die Bedürfnisse des Unternehmens beschreibt das Konzept der Designfaktoren, mit denen das Governance-System beziehungsweise dessen Komponenten auf die konkrete Unternehmenssituation angepasst werden können.

Damit die IT die Unternehmensziele optimal unterstützen kann, müssen die relevanten Governance- und Managementziele für die Unternehmens-IT erreicht werden. COBIT 2019 verwendet zur Strukturierung der IT-Governance- und Managementziele weiterhin das aus COBIT 5 bekannte Prozessreferenzmodell bestehend aus den bekannten fünf Prozessbereichen. Dieses Prozessreferenzmodell heißt nun „COBIT Core Model“ und umfasst 40 Prozesse.

Im Gegensatz zu COBIT 5 steht aber nicht der Prozess, sondern das Governance- oder Managementziel im Vordergrund. Der Umfang des Kernmodells von COBIT 2019 wurde gegenüber dem Prozessreferenzmodell von COBIT 5 um drei Managementziele erweitert:

Die Prozesselemente werden im „Core Model“ von COBIT 2019 etwas anders als in COBIT 5 abgebildet:

Weitere, aus COBIT 5 bekannte Prozesselemente, wie das RACI-Diagramm oder die Inputs und Outputs, werden im „Core Model“ von COBIT 2019 als Komponenten eines ganzheitlichen IT-Governance-Systems für jedes Governance- und Managementziel beschrieben. Die Komponenten entsprechen dabei im Wesentlichen den Enablern aus dem COBIT 5-Rahmenwerk. In COBIT 2019 werden diese Enabler nunmehr „Components“ genannt und direkt im Kernmodell für jedes Governance- und Managementziel beschrieben.

Neben den Unternehmenszielen gibt es in COBIT 2019 erstmals weitere Designfaktoren als Möglichkeit zur Priorisierung von Governance- und Managementzielen. Über die Designfaktoren können Governance- und Managementziele eine höhere oder niedrigere Bedeutung erlangen. Designfaktoren beeinflussen aber auch die Bedeutung von Komponenten oder erfordern sogar spezifische Anpassungen. Diese spezifischen Anpassungen werden in COBIT 2019 in Schwerpunktbereichen (Fokus Areas) beschrieben. Das neue Konzept der Designfaktoren ist umsetzungsorientiert im Design-Leitfaden beschrieben.

Mit COBIT 2019 wurde das Prozessmodell aus COBIT 5 zu einem umfassenden, konsistenten Kernmodell mit Governance- und Managementzielen und damit zu einer zentralen Plattform für die Governance der Unternehmens-IT umgestaltet. Weiterhin wurden mit den Designfaktoren und Schwerpunktbereichen zwei Mechanismen eingeführt, um eine passgenaue IT-Governance für Unternehmen zu entwickeln. Zusammen mit dem aktualisierten „Implementation Guide“ bietet COBIT 2019 nunmehr zwei praktische Leitfäden für eine einfache, maßgeschneiderte Implementierung von COBIT an, die auch im Rahmen der Prüfung berücksichtigt werden sollten.