CObIT (Control Objectives for Information and Related Technology) ist ein international akzeptiertes Modell von allgemein anwendbaren IT-prozessbezogenen Kontrollzielen, die in einem Unternehmen beachtet und umgesetzt werden sollten, um eine verlässliche Anwendung der Informationstechnologie zu gewährleisten. Die Idee dahinter: Erst wenn Daten, Anwendungen, Anlagen, die Technologie und das Personal richtig “organisiert” sind, werden die Geschäftsprozesse die an sie gestellten Anforderungen erfüllen.

CObIT wurde von internationalen Gremien des Verbandes der EDV-Prüfer (ISACA - Information Systems Audit and Control Association) seit 1993 entwickelt und als erste Version Ende 1995 veröffentlicht. Im Mai 1998 erschien dann eine komplett überarbeitete und erweiterte Version. Der Standard wurde anfänglich hauptsächlich in der internen und externen Revision verwendet, da COBIT dem IT-Revisor für das ganze Spektrum der IT-Aktivitäten eine vollständige Palette von homogenen Kontrollzielen anbietet, welche er als Sollvorstellungen zur Beurteilung der Situation in der geprüften Einheit verwenden kann. Nach Erscheinen der zweiten Auflage 1998 haben die Unternehmen CObIT zunehmend auch als Leitfaden bei der Implementierung des internen Kontrollsystems in der Unternehmungs-IT als auch für die Durchführung von Self-Assessments oder Healthchecks angewandt.

Im Juli 2000 wurde CObIT in der dritte Auflage vor allem um Aspekte des IT-Governance im Rahmen sog. „Management Guidelines“ erweitert. CObIT stellt damit nun nicht nur eine umfassende und weltweit anerkannte IT-Governance-Richtlinie dar, sondern enthält auch eine eigenständige Anleitung für das Management, um den Status und die Effektivität des eigenen Unternehmens im Hinblick auf die 34 übergeordneten Kontrollbereiche beurteilen zu können.

In die Management Guidelines werden auch gängige Management-Messgrößen wie Zielerreichungsindikatoren, kritische Erfolgsfaktoren, Performance-Indikatoren und Reifegradmodelle aufgelistet. Damit wurden in COBIT erstmals Tools integriert, um dem Management zu ermöglichen, den Stand des Unternehmens beim Thema IT-Governance festzustellen, den Soll-Zustand zu definieren und die notwendigen Schritte zur Erreichung des gewünschten Soll-Zustandes festzulegen.

CObIT wurde inzwischen sowohl von namhaften Unternehmen in das eigene Interne Kontrollsystem integriert (u.a. von DaimlerChrysler, Philips International BV) als auch von Behörden (u.a. vom amerikanischen Verteidigungsministerium) und anderen Institutionen (u.a. META-Group) als Standard empfohlen. Als offener Standard steht ein Großteil von COBIT zum kostenfreien Download auf der Webseite des IT Governance Institutes und auf der Webseite des ISACA bereit.

CObIT definiert für jeden IT-Prozeß sowohl die Geschäftsziele, die durch diesen Prozeß unterstützt werden sollen, als auch die Kontrollziele für diesen Prozeß. Für die Formulierung der Kontrollziele werden sieben Arten von Geschäftsanforderungen berücksichtigt:

Die Struktur der Kontrollziele lehnt sich an ein prozessorientiertes Geschäftsmodell an. Dieses unterscheidet innerhalb der Informationstechnologie 34 zentrale IT-Prozesse („Best Practice“), welche in die vier Bereiche Planung & Organisation (PO1…PO11), Beschaffung & Implementation (AI1…AI6), Betrieb & Unterstützung (DS1…DS13), Überwachung (M1…M4) zusammengefasst werden. Für jeden dieser Prozesse formuliert CObIT ein übergeordnetes Kontrollziel und zwischen 3 und 30 Detailziele (siehe Beispiel weiter unten).

Fazit

Der intensive Einsatz von IT zur Unterstützung und Abwicklung geschäftsrelevanter Abläufe macht die Etablierung eines geeigneten Kontrollumfelds erforderlich. CObIT wurde als Methode entwickelt, um die Vollständigkeit und die Effektivität eines solchen Kontrollumfelds zur Begrenzung der entstehenden Risiken implementieren und prüfen zu können.

CObIT ist auf die Sicherheitsbelange eines typischen Unternehmens ausgerichtet. Die Wahrung originärer Firmeninteressen (Integrität und Vertraulichkeit interner Informationen und Prozesse), wie die Einhaltung gesetzlicher Vorschriften (Datenschutz, Rechnungslegung) wird berücksichtigt.

CObIT eignet sich insbesondere für international tätige Unternehmen, da CObIT fast alle international anerkannten Standards und Empfehlungen berücksichtigt, auf Englisch verfügbar ist und permanent weiterentwickelt wird. Eine kleine Auswahl der berücksichtigten Normen:

• Technische Standards aus ISO, EDIFACT, usw.

• Geschäftspraktiken, herausgegeben durch die EU, OECD, ISACA, usw.

• Qualifizierungskriterien, wie ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, usw.

• Berufsstandards für interne Kontrolle und Revision: COSO Report (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework), IFAC, AICPA, IIA MC und SAC (Institute of Internal Accountants Model Curriculum und Systems Auditability and Controls), ISACA, PCIE, GAO (Government Auditing Standards), usw.

• Anforderungen von Industrieforen (ESF, I4) und Behörden (IBAG, NIST, DTI), usw.

Auch der Implementierungsaufwand ist überschaubar: Experten gehen davon aus, daß eine vollständige Analyse aller Kontrollziele innerhalb eines mittelständischen Unternehmens rund einen Arbeitsmonat dauert.

Um diesen internationalen Standard für kleinere und mittlere Unternehmen (KMUs) noch attraktiver und besser handhabbar zu machen, hat das IT Governance Institute  eine spezielle Version von COBIT für KMUs, „COBIT Quickstart“ genannt, entwickelt. Diese abgespeckte COBIT-Version soll kleineren und mittleren Unternehmen und anderen Organisationen, bei denen die IT nicht geschäftskritisch ist, eine Basis bieten, um ein angemessenes Kontrollniveau und eine adäquate IT-Governance zu erreichen.

Die Entwickler dieser speziellen COBIT-Versionen haben kleinere und mittlere Unternehmen dabei nicht starr nach Mitarbeiterzahl oder Umsatz definiert, sondern nach der strategischen Bedeutung der IT für das Unternehmen. Im Rahmen eines Self-Assessments werden die strategische Bedeutung der IT ebenso wie mögliche Besonderheiten, die ein höheres Abhängigkeitsniveau von der IT indizieren überprüft, und das Unternehmen entsprechend als KMU im Sinne von COBIT Quickstart qualifiziert.

Das Projekt wurde im Jahr 2002 aufgrund von Anmerkungen ins Leben gerufen, dass COBIT mit seinen über 300 Kontrollzielen zu umfangreich für die Implementierung bei KMUs sei. Insbesondere Unternehmen, die nur über eine geringe Anzahl von IT-Mitarbeitern verfügen, hatten oftmals nicht die notwendigen Ressourcen, um COBIT in einem überschaubaren Zeitraum zu implementieren. COBIT Quickstart wird eine Teilmenge der wichtigsten Kontrollziele und damit zusammenhängenden Revisionsleitfäden darstellen, um die Implementation von grundlegenden COBIT-Prinzipien einfach, effektiv und relativ schnell umsetzen zu können.

Zusätzlich bietet eine COBIT Online-Version Unternehmen die Möglichkeit  COBIT individuell auf die Bedürfnisse ihres Unternehmens zu konfigurieren und diese angepasste Version von COBIT zu speichern und später auch wieder weiter zu verändern. Daneben wird COBIT Online auch Online-Befragungen und -Benchmarking sowie ein Diskussionsforum bieten, um Erfahrungen und Fragen auszutauschen.

Beispiel von Erreichbarkeitslevels/Zielen: