Control Objectives for Information and Related Technology

Control Objectives for Information and Related Technology

CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). CobiT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist. CobiT wurde ursprünglich (1993) vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt, seit 2000 obliegt dem IT Governance Institute, einer Schwesterorganisation der ISACA, CobiT zu entwickeln und fortzuschreiben. CobiT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter anderem auch als Modell zur Sicherstellung der Einhaltung gesetzlicher Anforderungen (Compliance) eingesetzt. Dies fördert die IT-Industrialisierung.

CobiT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten. Der Anspruch von CobiT ist, das Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO) und den IT-spezifischen Modellen (z.B. ITIL, ISO17799/27002 etc.) zu sein. Dass CobiT diesem Anspruch gerecht wird, zeigt die hohe Verbreitung von CobiT als Steuerungsmodell der meisten großen Unternehmen international: die ISACA postuliert, dass 95% der Großunternehmen CobiT ganz oder teilweise umsetzen.

Der Steuerungsansatz von CobiT ist grundsätzlich Top-Down. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen vorgegebenen Steuerungs-Zyklus.

In Summe definiert das CobiT-Framework CobiT 34 IT-Prozesse, zu denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

Die Publikationen von CobiT bestehen aus dem "Core Content", dem "IT Assurance Guide", dem "Implementation Guide" und den "Control Practices".

Im CobiT 4.1 Core Content wird für jeden der 34 CobiT-Prozesse festgelegt:

  • Prozessbeschreibung
  • Prozessziel (High-Level Control Objective)
  • wesentliche Aktivitäten
  • wesentliche Messgrößen
  • Control Objectives (in der Summe 210; im Vergleich zu insgesamt 215 in Version 4.0 und 318 in Version 3, offiziell als "3rd Edition" bezeichnet)
  • Management Guidelines mit den Inputs und Outputs des Prozesses, einer Aufgaben- und Zuständigkeitsmatrix (RACI-Matrix) und detaillierten Metriken zur Beurteilung des Prozesses und zur Beurteilung des Beitrags einzelner Aktivitäten zu den Zielen des Prozesses und den Beitrag des Prozesses wiederum zu den Zielen der IT
  • Reifegradmodell, das - angelehnt an CMM - die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen (0 bis 5) beschreibt

Zusätzlich beschreibt der CobiT 4.1 Core Content:

  • die Verbindung von Unternehmensziel zu IT-Ziel
  • ein generisches Reifegradmodell
  • Messung und Beurteilung von IT
  • sieben generische (für alle Prozesse gültige) Control Objectives
  • Control Objectives für Anwendungskontrollen (Eingabe-, Verarbeitungs-, Ausgabe- und Übertragungskontrollen)

Der IT Assurance Guide gibt eine detaillierte Anleitung zur Prüfung der IT-Prozesse. Hierbei wird unterschieden in die Prüfung der Prozesse, der Control Objectives und der Control Practices.

Die CobiT Control Practices legen für jedes, im Core Content vorhandene Control Objective Maßnahmen fest, die helfen, die Vorgaben zu erreichen. Die Control Practices können somit als Leitfaden zur Umsetzung herangezogen werden.

Die methodische Vorgehensweise der gesamthaften Umsetzung von IT-Governance ist im "IT Governance Implementation Guide" beschrieben.

Weitere CobiT-relevante Publikationen der ISACA sind:

  • Board Briefing on IT Governance - Zur Bewusstseinsbildung für den Bedarf an unternehmensweiter Steuerung der IT
  • CobiT Mapping - Eine Reihe von Dokumenten, die die Gegenüberstellung von CobiT und anderen IT-Standards (zB ITIL, ISO17799, IT-Grundschutzhandbuch, NIST, FIPS, ISO13335, TOGAF, etc.) enthält. Im Rahmen des CobiT-Mapping wurde, gemeinsam mit OGC, dem Herausgeber von ITIL eine Publikation zur optimalen Kombination von CobiT, ITIL und ISO17799 erstellt.
  • Control Objectives for Sarbanes Oxley - Eine Anleitung zur Definition von wesentlichen Kontrollaktivitäten, die üblicherweise im Rahmen von SOX-Implementierungen festgelegt werden.
  • Control Objectives for Basel II - Eine Anleitung zur Umsetzung der Anforderungen von Basel II mit Hilfe des CobiT-Frameworks (derzeit in Erstellung)

Die ISACA bietet einen CobiT Foundation Course zur Zertifizierung von Personen an. Zusätzlich werden die folgenden drei Zertifizierungen zum Thema angeboten:

ISACA organisiert jedes Jahr regionale (europäische) und internationale Konferenzen sowie mehrere CobiT User Conventions. Innerhalb dieser Plattformen werden Vorträge und Workshops rund um CobiT und IT-Governance angeboten.

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Information technology governance — Information Technology Governance, IT Governance or ICT (Information Communications Technology) Governance, is a subset discipline of Corporate Governance focused on information technology (IT) systems and their performance and risk management.… …   Wikipedia

  • Information security audit — An information security audit is an audit on the level of information security in an organization. Within the broad scope of auditing information security there are multiple type of audits, multiple objectives for different audits, etc. Most… …   Wikipedia

  • Information Technology Infrastructure Library — La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la… …   Wikipedia Español

  • Information Systems Audit and Control Association — Die Information Systems Audit and Control Association (ISACA) ist der Berufsverband der EDV Prüfer (IT Auditoren) und hat in über 140 Ländern mehr als 70.000 Mitglieder. Die Mitglieder sind Mitarbeiter der Internen Revision oder von Prüfungs und… …   Deutsch Wikipedia

  • Corporate governance of information technology — Information Technology Governance, IT Governance is a subset discipline of Corporate Governance focused on information technology (IT) systems and their performance and risk management. The rising interest in IT governance is partly due to… …   Wikipedia

  • History of information technology auditing — Information Technology Auditing (IT auditing) began as Electronic Data Process (EDP) Auditing and developed largely as a result of the rise in technology in accounting systems, the need for IT control, and the impact of computers on the ability… …   Wikipedia

  • Objetivos de control para la información y tecnologías relacionadas — Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la… …   Wikipedia Español

  • Framework Programmes for Research and Technological Development — The Framework Programmes for Research and Technological Development, also called Framework Programmes or abbreviated FP1 through FP8, are funding programmes created by the European Union in order to support and encourage research in the European… …   Wikipedia

  • Information technology controls — In business and accounting, Information technology controls (or IT controls) are specific activities performed by persons or systems designed to ensure that business objectives are met. They are a subset of an enterprise s internal control. IT… …   Wikipedia

  • Technology Integration — is a term used by educators to describe effective uses of technology by teachers and students in K 12 and university classrooms. Teachers use technology to support instruction in language arts, social studies, science, math, or other content… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”