COBIT2019 - mehr als nur ein Facelifting

8. Juni 2019 - Von Martin Andenmatten

Das neue Enterprise-Governance-Rahmenwerk für Informationen und Technologien.


Mit COBIT2019 ist eine neue Version des international anerkannten Rahmenwerks für Governance der Unternehmens-IT erschienen, welche noch stärker als die Vorgängerversionen hilft, die Governance- und Managementstrukturen auf die unterschiedlichen Unternehmensbedürfnisse masszuschneidern. In Zeiten agiler Unsicherheit und sich auflösender Organisationsstrukturen ist es daher wichtig, mit klaren Leitblanken und Governance-Prinzipien das Unternehmen in eine sichere und auch profitable Zukunft zu lenken. Dies ist auch bitter nötig, da aktuell vielerorts grossangelegte Transformationsbemühungen in den Unternehmen stattfinden, im Rahmen dessen ein Grossteil an Vorgaben, Strukturen und Prozesse auf den Prüfstand gestellt und vielfach auch abgebaut werden. Es besteht vielfach die Gefahr, dass damit das Kind mit dem Bade ausgeschüttet wird. COBIT2019 kommt daher wie gerufen.


Vier neue Publikationen

COBIT2019 bezeichnet sich neu als Framework für "Enterprise Governance of Information and Technology - EGIT". Damit geht COBIT noch einen Schritt weiter als COBIT 5 und bezeichnet sich definitiv als Rahmenwerk auf Unternehmensstufe und nicht etwa auf Stufe der IT-Organisation. Die Assets Informationen und Technologien sind aus Sicht COBIT die Kronjuwelen eines jeden Unternehmens. Die Bezeichnung von Information and Technology wird bewusst immer als "I&T" angegeben, um eine Verwechslung mit der IT als Funktion oder Abteilung zu vermeiden.

Die neue COBIT2019 Framework-Version ersetzt die Vorgängerversion mit vier vollständig überarbeiteten Publikationen. Dazu gehören das Grundlagendokument "Einführung und Methodik", das Buch mit den detaillierten Beschreibungen der 40 "Governance und Managementziele", dem "COBIT2019 Design Guide" zum Design und zur Anpassung eines Governance-Systems an die spezifischen Gegebenheiten und den Kontext des eigenen Unternehmens sowie den "COBIT2019 Implementierungsleitfaden" unter Berücksichtigung der Design Faktoren gemäss eigenen Bedürfnissen. Auf den ersten Blick basiert die neue Version sehr stark auf den Strukturen von COBIT5, ist aber nun in sich vollständiger, benutzerfreundlicher und besser auf die volatile und agile Zeit von heute ausgerichtet.


Überarbeitete Prinzipien

Bei der Definition der Grundsätze eines guten Governance-Systems wurde nun eine Unterscheidung zwischen den Prinzipien für ein Governance-System und den Prinzipien für das Governance-Rahmenwerk vorgenommen. Für das Governance-System, dem eigentlichen Führungssystem für das Unternehmen sind 6 Prinzipien zu Grunde gelegt worden. Für die Festlegung des internen Rahmenwerks, auf dem das Governance-System aufbaut, wurden drei weitere Prinzipien festgelegt. Als wesentlicher Unterschied wurden die Grundsätze zur notwendigen Dynamik eines Governance-Systems sowie die notwendige Anpassung des Führungssystems an die eignen Unternehmensbedürfnisse hervorgehoben.

Das Zielkaskadensystem auf Basis des Grundsatzes, dass das Governance-System die Anforderungen der Stakeholder zu erfüllen habe, wurde vollständig überarbeitet. Neu steht eine Balanced Score Card mit je 13 Unternehmens-Zielen sowie 13 Alignment-Zielen als Orientierungshilfe zur Verfügung. Die Zielkaskade ermöglicht ein Herunterbrechen von Bedürfnissen der Anspruchsgruppen über Unternehmensziele, Alignmentziele und letztlich den konkreten 40 Governance und Management Zielen. Das Erreichen dieser Ziele stellt eine Indikation der Erfüllung der Unternehmensziele und letztlich der Erfüllung der Stakeholder-Anforderungen dar.


COBIT Core – Die 40 Gover­nance- und Management-Ziele

Vollständig überarbeitet wurde das in COBIT5 eingeführte Enabler-Prinzip, welches den ganzheitlichen Ansatz zur Umsetzung des Governance- und Management-Konzepts illustrierte. Im Detail wurde seitens ISACA jedoch nur zwei Enabler als Publikation veröffentlicht: "Enabling Processes" und "Enabling Information". Die anderen 5 Enabler waren sehr dürftig umschrieben. In COBIT2019 spricht man nun von Komponenten für einen ganzheitlichen Ansatz: Prozesse; Organisations-Strukturen: Informationsflüsse; Mitarbeiter, Fähigkeiten und Kompetenzen; Prinzipien, Richtlinien und Rahmenwerke; Kultur, Ethik und Verhalten sowie Services, Infrastruktur und Anwendungen.

Als COBIT Core bezeichnet ISACA nun die 40 Governance und Management Ziele, welche in COBIT 5 als Prozesse beschrieben wurden. Zu den 37 Prozessen sind 3 neue hinzugekommen: APO14 Managed Data, BAI11 Managed Projects und MEA04 Managed Assurance. Im COBIT Core sind nun aber nicht bloss die 40 Prozesse beschrieben, sondern jeweils auch alle anderen Komponenten. Also auch Hinweise zu Ethik, Kultur und Verhalten oder auch zu Services und Applikationen.


Design-Faktoren und Fokus Areas

Die Publikation COBIT2019 Design Guide ist ein ausgezeichneter Leitfaden, um das Governance und Management System von COBIT auf die eigenen Anforderungen des Unternehmens auszurichten. Anhand von 11 Design Faktoren, welche je Unternehmen unterschiedlich zu betrachten sind und welche entsprechende Auswirkungen auf das zu bauende Governance-System haben, können die individuellen Bedürfnissen des eigenen Unternehmens berücksichtigt ­werden.

In COBIT2019 wurden sogenannte Fokusbereiche definiert, welche eine Kombination aus generischen Governance-­Komponenten und Varianten enthalten. Es gibt unzählige Fokusbereiche wie beispielsweise "Security"-, "Risiko"- oder "DevOps"-fokussierte Bereiche, welche Unternehmen bei der Definition des Governance-Systems nutzen können. Zusammen mit dem Design Guide und dem Implementierungsleitfaden ist es nun wesentlich leichter, ein massgeschneidertes Governance-System umzusetzen.

Zum Design Guide gehört auch ein Design-­Guide Tool Canvas auf Excel-­Basis, welches hilft ausgehend von einem generischen Ansatz, dem Verständnis der Unternehmensziele, des Risikoprofils, dem angestrebten Reifegrad und vielen anderen Aspekten die Verfeinerungen des eigenen Governance-Systems zu defi­nieren.


COBIT2019 – Das Rahmen­werk zum Managen der unterschiedlichen Frameworks

COBIT2019 ist immer noch das umfassendste Rahmenwerk, welche sämtliche Governance und Management Praktiken zur Steuerung und Überwachung der Informations- und Technologie-Assets abdeckt. Es jedoch nicht so, dass mit COBIT2019 alle anderen Rahmenwerke und Leitfaden abgelöst werden können. Vielmehr bildet COBIT auf Ebene Governance und Management zu vereinheitlichen und bei der Umsetzung einzelner Praktiken auf andere international anerkannte Standards und Rahmenwerke zu verweisen. So sind bei allen 40 Governance und Management Zielen jeweils dokumentiert, wo vertiefte Informationen in anderen Leitfaden wie ITIL, PMI BOK, TOGAF, ISO27001 und vielen mehr gefunden werden kann. Teilweise weisen diese Rahmenwerke durchaus überlappende Themenbereiche auf, was nicht selten zu Abgrenzungsproblemen in Unternehmen führen kann. Mit COBIT2019 kann hier eine übergeordnete Steuerung der Frameworks sichergestellt werden.


Empfehlungen für die ersten Schritte mit COBIT2019

Unternehmen welche bereits mit COBIT arbeiten oder solche die planen, erste Schritte mit COBIT zu unternehmen ist empfohlen, direkt auf COBIT2019 zu setzen. Die Umstellung von COBIT 5 ist relativ einfach – auch wenn das neue Maturity-Modell auf CMMI umgestellt wurde. Die vier Publikationen lassen sich einfach auf der ISACA.ORG Website herunterladen. Während zwei Publikationen für alle gratis zur Verfügung stehen, müssen für den Design und Implementation Guide entweder eine Mitgliedschaft von ISACA vorgewiesen oder eine Gebühr entrichtet werden. Dies lohnt sich auf jeden Fall. Und das erwähnte Excel-Tool kann obendrein gleich auch heruntergeladen werden.

Am effizientesten ist der Besuch eines COBIT Foundation Trainings, in dem man einerseits das Rahmenwerk ausgiebig kennen lernen kann und anderseits auch die Publikationen in Buchform erhält. Alle welche bereits ein COBIT5 Zertifikat besitzen können mit einem vereinfachten Bridge-Kurs das Update inklusive Zertifikat erarbeiten.


Der Autor

Martin Andenmatten, CEO Glenfis AG, CISA, CRISK, CGEIT und ITIL-Master

Copyright by Swiss IT Media 2020