3 Das COBIT-Referenzmodell (S. 41-42)

In diesem Kapitel wird das Referenzmodell COBIT (Control Objectives for Information and Related Technology) vorgestellt. COBIT gilt derzeit als bestes Beispiel für einen systematischen Ansatz zur methodischen Unterstützung der IT-Governance. COBIT ist für die IT-Governance von besonderem Interesse, weil es die Brücke über den häufig beklagten Abgrund zwischen den geschäftlichen Bereichen und der IT in Unternehmen schlägt. Die folgende Darstellung orientiert sich an den frei zugänglichen englisch- und deutschsprachigen Dokumenten zu COBIT1. Wir werden zunächst einige Grundlagen erläutern und neben Geschichte, Zielen und Zielgruppen sowie der IT-Governance-Perspektive von COBIT die wesentlichen Merkmale darstellen (Abschnitt 3.2). Daran schließt sich eine Erläuterung der wesentlichen COBIT-Komponenten an (Abschnitt 3.3). Die Komponenten werden in ihrem Zusammenhang als Gesamtmodell dargestellt (Abschnitt 3.4), und das Kernkonzept von COBIT – die IT-Prozesse – wird ausführlich behandelt. Der Rahmen des Gesamtmodells wird dann um weitere COBIT-Produkte (Abschnitt 3.5) ergänzt. COBIT wird in Verbindung mit COSO diskutiert (Abschnitt 3.6), und ein Anwendungskontext – der Einsatz COBITs zur Herstellung von Sarbanes-Oxley-Compliance sowie Entwurfsgesichtspunkte eines »Control Framework« – wird vorgestellt (Abschnitt 3.7). Das Kapitel schließt mit Hinweisen zu Zertifizierung und Qualifizierung und einem Fazit.

3.1 Einleitung und Übersicht

3.1.1 Entstehung und Geschichte

Grundidee von COBIT COBIT ist ein IT-Governance-Referenzmodell (IT-Governance-Framework), das branchen- und betriebsgrößenunabhängig angewendet werden kann und allgemeine sowie international akzeptierte Grundsätze und Ziele für die IT definiert.2 Es bietet dem Management eine methodische Unterstützung zur effizienteren und effektiveren Nutzung und Steuerung der IT und soll sicherstellen, dass die IT die geschäftlichen Anforderungen unterstützt. Im Kern beschreibt COBIT ein generisches Prozessmodell, das die Prozesse, die man üblicherweise in einer IT-Abteilung oder Organisation findet (bzw. finden sollte), darstellt.

Herausgegeben wird COBIT von dem internationalen Prüferverband Information Systems Audit and Control Association (ISACA, vormals ISACF) und dem IT Governance Institute (ITGI). Das erstmals im Jahre 1996 veröffentlichte Referenzmodell (2nd Edition 1998; 3rd Edition 2000) wurde im Jahr 2005 grundlegend überarbeitet und erschien im Dezember 2005 mit der Versionsnummer 4.0. Die deutsche Übersetzung [ITGI 2006e] liegt seit 2006 vor, eine modifizierte englische Version 4.1 seit 2007 [ITGI 2007b].

Während die erste Version den Schwerpunkt auf sogenannte Kontrollziele (Control Objectives, s.u.) legte und damit Gesichtspunkte der Wirtschaftsprüfung (Audits) in den Mittelpunkt stellte, bietet die heute vorliegende Version eine zweckmäßige Ergänzung der Methoden des IT-Managements. Damit geht deren Zielsetzung über die der Unterstützung von Audits hinaus und adressiert methodische Hilfen sowie eine Vielzahl betriebswirtschaftlicher Aspekte. Neben dem Referenzmodell ist eine Reihe weiterer Dokumente entstanden, die ebenfalls von ISACA & ITGI weiterentwickelt werden. Diese sogenannten COBIT-Produkte erweitern das Referenzmodell inhaltlich und geben Hinweise für seine Implementierung und Anwendung. Zum Teil wurden bereits in der Version COBIT 4.0 verschiedene vormals unabhängige Dokumente integriert.