CobiT

Alle EinträgeABCDEFGHIJKLMNOPQRSTUVWXYZ
Definition:

CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). CobiT definiert hierbei nicht, wie die Anforderungen umzusetzen sind, sondern nur was umzusetzen ist.

CobiT wurde ursprünglich (im Jahr 1993) vom internationalen Verband der EDV-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt, seit 2000 obliegt dem IT Governance Institute, einer Schwesterorganisation der ISACA, CobiT zu entwickeln und fortzuschreiben. CobiT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt. CobiT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten.

Der Steuerungsansatz von CobiT ist grundsätzlich in einer Top-Down-Logik strukturiert. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen vorgegebenen Steuerungs-Zyklus.

So definiert beispielsweise PO9 im CobiT-Framework den Prozess der Risikobeurteilung (Assess and Manage IT Risks). CobiT fordert, dass ein Risikomanagement-Framework ein allgemeines und vereinbartes Niveau von IT-Risiken sowie Strategien zur Risikoreduktion dokumentiert. Alle potenziellen Einflüsse auf die Ziele der Organisation, die durch ein ungeplantes Ereignis hervorgerufen werden, sollten identifiziert, analysiert und bewertet werden. Strategien der Risikoreduktion sollten umgesetzt werden, um das Restrisiko auf ein akzeptiertes Niveau zu reduzieren. Das Ergebnis der Bewertung sollte für die Stakeholder verständlich sein und in finanzbezogenen Kennzahlen kommuniziert werden, um den Stakeholdern zu ermöglichen, das Risiko auf ein akzeptables Toleranzniveau zu bringen.

Im Detail definiert CobiT im Block PO9 insgesamt sechs Steuerungsziele (Control Objectives):

 

  • PO9.1: IT and Business Risk Management Alignment: Integration und Koordinierung des unternehmensweiten Risikomanagements mit dem IT-Risikomanagement. Dies beinhaltet auch die strategische Ausrichtung des Unternehmens bezüglich Risikoappetit und Risikotragfähigkeit.
  • PO9.2: Establishment of Risk Context: Hier soll der gesamte Kontext für den Risikomanagement-Prozess definiert werden. Dies umfasst die Bestimmung der internen und externen Rahmenbedingungen für jede Risikobewertung, die Ziele der Bewertung und die Kriterien, nach denen Risiken evaluiert werden. Das CobiT-Framework stellt keine weiteren Werkzeuge und Methoden zur Identifikation und Bewertung von Risiken zur Verfügung.
  • PO9.3: Event Identification (Ereignisidentifikation): Bei diesem Steuerungsziel sollen sämtliche Ereignisse (Bedrohungen oder Verletzbarkeiten) mit einer potenziellen Auswirkung auf die Ziele oder den Betrieb des Unternehmens (einschließlich der folgenden Aspekte: Geschäftstätigkeit, Verordnungen, Recht, Technologie, Handelspartner, Personal und Betrieb) identifiziert werden. In diesem Kontext sollen insbesondere die positiven oder negativen Auswirkungen erfasst und dokumentiert werden.
  • PO9.4: Risk Assessment (Bewertung von Risiken): Unter Anwendung qualitativer und quantitativer Methoden sollen regelmäßig alle identifizierten Risiken hinsichtlich Wahrscheinlichkeit und Auswirkungen bewertet werden. Die Wahrscheinlichkeit und Auswirkungen, die mit inhärenten und Restrisiken verbunden sind, sollten einzeln, pro Kategorie und auf Basis eines Portfolios bestimmt werden.
  • PO9.5: Risk Response (Maßnahmen zur Risikobehandlung): CobiT verlangt in der Prozessphase der Risikosteuerung eine klare Definition von Risiko- und Prozessverantwortlichen. So soll sichergestellt werden, dass effiziente Controls und Steuerungsmaßnahmen die Risiken kontinuierlich reduzieren. Die Risikoreaktion sollte allgemein bekannte Risikostrategien, wie Vermeidung, Reduzierung, Transfer/Finanzierung oder Akzeptanz umfassen. In diesem Zusammenhang wiest CobiT auch darauf hin, dass die Maßnahmen unter Wirtschaftlichkeitsaspekten umgesetzt werden sollen.
  • PO9.6: Maintenance and Monitoring of a Risk Action Plan (Erhalt und Monitoring eines Plans zur Risikosteuerng): CobiT fordert als Steuerungsziel eine klare Priorisierung der Kontrollaktivitäten auf allen Ebenen, um die Maßnahmen umzusetzen. Hierzu gehört insbesondere auch eine effizientes Monitoring und Controlling der definierten Maßnahmen. Evtl. Abweichungen von den definierten Maßnahmen müssen dem Vorstand/Geschäftsleitung gemeldet werden.

 

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.