Prozessorientiertes Service Management: CobiT

I. Inhaltsverzeichnis

1 Einleitung

2 Begrifflichkeiten
2.1 IT-Governance
2.2 ISACA
2.3 ISACF
2.4 IT-Governance Institut
2.5 Leitsätze des Referenzmodells
2.5.1 Definitionen
2.5.2 Geschäftsprozess
2.5.3 Informationskriterien
2.5.4 IT-Ressourcen

3 Grundlagen des Referenzmodells
3.1 Notwendigkeit
3.2 Historie
3.3 Integrierte Standards
3.4 Zielgruppe

4 CobiT-Referenzmodell
4.1 Framework
4.1.1 Die vier Domains
4.1.1.1 Planning and Organisation (PO)
4.1.1.2 Acquisition and Implementation (AI)
4.1.1.3 Delivery and Support (DS)
4.1.1.4 Monitoring (M)
4.2 Control Objectives
4.2.1 Beispiel für die Prüfung eines IT-Prozesses
4.2.2 Kontrollziele für prozessorientiertes Service Management
4.3 Management Guidelines
4.3.1 Critical Success Factors (CSF)
4.3.2 Key Goal Indicators (KGI)
4.3.3 Key Performance Indicators (KPI)
4.3.4 Maturity Models (MM)
4.3.5 Zusammenspiel der MM, CSF, KGI und KPI
4.4 Audit Guidelines
4.5 Implementation Tool Set
4.6 Vergleich CobiT <-> ITIL
4.7 Einordnung in IT-Risikomanagement

5 Projektartige Einführung von CobiT
5.1 Implementierung von IT-Governance mittels CobiT
5.2 Projekt-Roadmap
5.2.1 Phase I: Anforderungen identifizieren
5.2.2 Phase II: Eine Lösung vorsehen
5.2.3 Phase III: Eine Lösung planen
5.2.4 Phase IV: Eine Lösung implementieren

6 Neue Ansätze/Weiterentwicklungen
6.1 CobiT Online
6.2 CobiT Quickstart
6.3 CobiT Control Practices
6.4 CobiT Security Baseline
6.5 CobiT in Academia
6.6 Weitere Entwicklungen

7 Praxis
7.1 Praxisrelevanz
7.2 Success Stories

8 Fazit
8.1 Bewertung bzw. Kritik anhand einer SWOT-Analyse
8.1.1 Stärken
8.1.2 Schwächen
8.1.3 Chancen
8.1.4 Risiken
8.2 Eignung als Service-Management-Modell

II. Abbildungsverzeichnis

Abbildung 1: IT-Governance Domänen (in Anlehnung an [ITGI03])

Abbildung 2: Zusammensetzung Geschäftsanforderungen (in Anlehnung an [ISACA01])

Abbildung 3: CobiT Produktfamilie (in Anlehnung an [ISACA01]

Abbildung 4: CobiT Life Cycle (in Anlehnung an [ISACA01])

Abbildung 5: IT-Ebenen (in Anlehnung an [ISACA01])

Abbildung 6: Kontrolle der IT-Prozesse (in Anlehnung an [ISACA01])

Abbildung 7: CobiT Cube (in Anlehnung an [ISACA01])

Abbildung 8: Komplette Prozessdarstellung (in Anlehnung an [ISACA01])

Abbildung 9: Konkretes Kontrollziel für die Domäne DS1 (in Anlehnung an [ISACA01])

Abbildung 10: Beispiel für das MM (aus den Management Guidelines [ISACA01])

Abbildung 11: ITIL <-> CobiT Prozessübertragung (in Anlehnung an [CAM02])

Abbildung 12: Abdeckung der Ebenen durch CobiT/ITIL (in Anlehnung an [BAAD04])

Abbildung 13: Projektablauf bei der Einführung von CobiT (in Anlehnung an [KOR04])

Abbildung 14: Einordnung verschiedener Modelle (in Anlehnung an [HES04])

Abbildung 15: Positionierung von IT-Rahmenwerken (in Anlehnung an [SAL04])

Abbildung 16: Zusammenhang ITSM und IT-Governance (in Anlehnung an [SAL04])

III. Tabellenverzeichnis

Tabelle 1: Nutzung von CobiT; Stand 1999 (in Anlehnung an [ISCH04])

Tabelle 2: Die 34 IT-Prozesse (in Anlehnung an [ISACA01])

Tabelle 3: Kontrollziele für DS1 (in Anlehnung an [ISACA01])

Tabelle 4: Unterschiede CobiT <->ITIL (in Anlehnung an div. Autoren)

Tabelle 5: CSF, KPI, KGI zu Risikomanagement (in Anlehnung an [BAME03])

IV. Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Im Laufe der letzten drei Jahrzehnte entwickelte sich die Unternehmenslandschaft von einer reinen Datenverarbeitung zu einer Informationsverarbeitung mit immer stärkerer Abhängigkeit von der jeweiligen Informationstechnologie (IT) und den jeweiligen In-formationssystemen. IT und Informationssysteme zählen heute zu den wichtigsten Wettbewerbsfaktoren für den Unternehmenserfolg und somit für den Wettbewerbs-vorteil.

Parallel zu der Entwicklung der IT wuchsen auch die jeweiligen Anforderungen an die Systeme, z. B. bezüglich der Qualität, Sicherheit, Ordnungsmäßigkeit, Wirtschaftlich-keit und Wesentlichkeit der IT-Ressourcen/IT-Prozesse an die Systeme. Diese Anfor-derungen waren ganz unterschiedlich ausgestaltet. Entsprechend viele Standards ent-wickelten sich aus den unterschiedlichen Anforderungen bzw. Vorschlägen öffentlicher oder teilweise-öffentlicher Bereiche.

Zur Schaffung eines geeigneten Kontrollumfelds für die Einhaltung der vom oberen Management definierten Geschäftsziele^[1] wurde daher von der ISACA und dem ITGI das Control Objectives for Information and related Technology (CobiT)–Framework als Standard für IT-Governance. Dieser Standard dient der Kontrolle und Abschätzung der IT in Form von Best Practices [ISCH04], [ISACA01], [BRU04].

2 Begrifflichkeiten

Im eigentlichen Sinne handelt es sich bei CobiT um ein Referenzmodell^[2], da es als Modellmuster für eine Klasse zu modellierender Sachverhalte betrachtet werden kann. In der Literatur wird von CobiT häufig als Rahmenwerk (englisch: Framework) gespro-chen, welches mehrere Modelle abdeckt und allgemeiner ist als ein Referenzmodell^[3]. Die Begriffe CobiT- Framework, -Rahmenwerk, und –Referenzmodell sollen nun im Verlauf synonym verwendet werden, da auch in der Literatur häufig so verfahren wird.

2.1 IT-Governance

Aufgrund des signifikanten Potenzials der IT für den Unternehmenserfolg kann eine korrekte Ausrichtung der IT und des Wissens über IT-Risiken bzw. deren Auswirkun-gen, enorme Wettbewerbsvorteile bedeuten. Dies sollte der Unternehmensleitung be-wusst sein [ISCH04], [ITGI03].

Definition IT-Governance: „[…] IT Governance besteht aus Führung, Organisations-strukturen und Prozessen, die sicherstellen, dass die IT, die Unternehmensstrategie und -ziele unterstützt werden. […] IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. […]“ [ITGI2003]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: IT-Governance Domänen (in Anlehnung an [ITGI03])

Abbildung 1 verdeutlicht die Gebiete, die mit IT-Governance abgedeckt werden sollen. Dazu zählen das Liefern von nötigen Werten, um bestimmte Aussagen treffen zu können, die strategische Ausrichtung des Unternehmens bzw. der IT, Maßnahmen zur Steigerung der Performance und das Ressourcen- und Risikomanagement.

Um die optimale Umsetzung der Unternehmensziele sicherzustellen und Strategien zur Erweiterung des Geschäftsbetriebs zu schaffen, ist es notwendig, die strategische Bedeu­­tung der IT zu verstehen und die IT jederzeit beherrschbar zu machen. Hierbei hilft IT-Governance, indem es die Leistung und den Shareholder Value eines Unternehmens optimiert. Dies kann z. B. durch Einbezug der IT in den Geschäftsprozess, Sicherstellen der Qualität, Sicherheit der Informationssysteme und effizientes Informationsmanagement geschehen [ITGI03].

2.2 ISACA

1969 wurde die internationale Körperschaft Information Systems Audit and Control Association (ISACA) zunächst unter dem Namen EDPAA ins Leben gerufen. Sie setzte sich aus Informatik-Revisoren und anderen Spezialisten (z. B. aus den Bereichen der Informationssicherheit, Risikoabschätzung, Kontrolle, usw.) zusammen. 1994 fand schließlich die Namensänderung in ISACA statt und eine Ausrichtung der Tätigkeiten in Richtung Management und Sicherheit von Informationssystemen wurde verfolgt. Durch ihre Standardisierungsbemühungen, Forschungsarbeit, Konferenzen und ihre Ausbildungstätigkeit (zertifizierte Titel wie dem CISA oder CISM) nimmt die ISACA eine weltweit führende Rolle im Bereich des IT-Audit und der IT-Sicherheit ein. Momentan zählt die ISACA weltweit mehr als 35.000 Mitglieder (ca. 50% Anteil aus den USA und dem Rest aus Europa, Asien, Kanada, etc.; Stand 2004), verteilt in über 100 Ländern [ISCH04], [ISACA03].

Eine weitere Stärke der ISACA sind die einzelnen „Ortsverbände“, sog. Chapter. Weltweit gibt es momentan mehr als 160 dieser Chapter. Ein Chapter hat den Vorteil, dass Mitgliedern der ISACA aufgrund der lokalen Orientierung, eine bessere Ausbildung, Zugang zu Forschungsergebnissen, verbilligter Zugang zu Produkten des ITGI, usw. garantiert wird [ISCH04], [ISACA03].

Der Chapter Deutschland wurde 1995 gegründet. Auf der Homepage findet man diverse Links und Veröffentlichungen rund um die ISACA, die Arbeit in Deutschland, die Vorstandmitglieder, Veranstaltungen, Infos über CISA/CISM Zertifizierung in Deutschland, u. v. m. [ISDE98]

2.3 ISACF

Speziell für die ständige Weiterentwicklung der notwendigen Praktiken, Standards, Untersuchungen von Projekten und das Herausgeben von Dokumenten zur Einführung von neuen Technologien und ihrer Anwendungen, wurde 1976 die Stiftung Information Systems Audit and Control Foundation (ISACF) an die ISACA angegliedert. ISACF betreibt in großem Umfang Forschungsbemühungen, um das Wissen und den Wert von IT-Governance und des Kontrollumfelds zu erweitern. Die ISACF entwickelte die Control Objectives – den Vorläufer von CobiT [ISDE98].

2.4 IT-Governance Institut

Mit der Erkenntnis über den enormen Anstieg der Bedeutung von IT wurde 1998 das IT-Governance Institut (ITGI) von der ISACA und der ISACF gegründet, um die Führungsebene der Unternehmen zu unterstützen. Das ITGI bietet jährliche Fachkonferenzen, Untersuchungen, Präsentationen und elektronische Unterlagen an, damit die Unternehmensführung die Relevanz von richtiger IT-Governance erkennt, versteht und umsetzt.

Aus den Untersuchungen entwickelte sich zusammen mit der ISACA bzw. ISACF das Primärwerkzeug CobiT für die Umsetzung von IT-Governance; ITGI vertreibt CobiT, während die eigentliche Forschungsarbeit bei der ISACF bzw. ISACA verbleibt^[4] [ITGI03].

2.5 Leitsätze des Referenzmodells

Im Folgenden werden kurz einige Begriffe erläutert, die für das Verständnis des Referenzmodells relevant sind.

2.5.1 Definitionen

Controls (Kontrollen) sind diejenigen Praktiken, Verfahren, Konzepte und Organisationsstrukturen, die garantieren, dass sowohl die Geschäftsziele erreicht als auch nicht erwünschte Ereignisse verhindert, erkannt oder korrigiert werden können [ISCH04].

Control Objectives (Kontrollziele) implizieren eine Aussage über den gewünschten Zweck bzw. das Resultat, welche mittels Einsatz von Kontrollen/Kontrollverfahren in einer bestimmten Aktion erreicht werden sollen [ISCH04].

2.5.2 Geschäftsprozess

Zur Verdeutlichung des Begriffs „Geschäftsprozess“ soll dieser kurz definiert werden. Es gibt mehrere Definitionen zu Geschäftsprozessen, folgende Definition (nach [SCSE04]) soll aber für das Verständnis im Verlauf der Arbeit verwendet werden:

„ Geschäftsprozesse sind funktionsübergreifende Verkettungen wertschöpfender Aktivitäten, die von Kunden erwartete Leistungen erzeugen und deren Ergebnisse strategische Bedeutung für das Unternehmen haben. Sie können sich über das Unternehmen hinaus erstrecken und Aktivitäten von Kunden, Lieferanten und Partnern einbinden.“

2.5.3 Informationskriterien

Zur Erreichung ihrer Geschäftsziele müssen die Geschäftsprozesse bestimmte Kriterien erfüllen. Die sieben Kriterien für Qualität, Ordnungsmäßigkeit und Sicherheit, mit denen CobiT arbeitet, lauten nach [ISCH04] wie folgt:

- Effectiveness (Wirksamkeit) bedeutet, dass die für den Geschäftsprozess relevanten Informationen rechtzeitig, korrekt, konsistent und in einer verwendbaren Form geliefert werden.
- Efficiency (Wirtschaftlichkeit) betrifft die Bereitstellung von Informationen unter optimaler Nutzung der Ressourcen.
- Confidentiality (Vertraulichkeit) bezieht sich auf den Schutz von sensitiven Informationen und unerlaubter Veröffentlichung.
- Integrity (Integrität) steht in Zusammenhang mit der Vollständigkeit und Richtigkeit der Informationen und auch ihrer Übereinstimmung mit den betriebswirtschaftlichen Werten und Erwartungen.
- Availabilty (Verfügbarkeit) bezeichnet die Verfügbarkeit von Informationen, die sowohl jetzt als auch in naher Zukunft für den Geschäftsprozess benötigt werden. Zudem betrifft es den Schutz notwendiger Ressourcen und den damit zusammenhängenden Informationen.
- Bei Compliance (Einhaltung rechtlicher Daten) handelt es sich um die Erfül-lung der Gesetze, Regularien und vertraglichen Abmachungen im Rahmen des Geschäftsprozesses, was extern auferlegte Geschäftskriterien impliziert.
- Reliability of information (Zuverlässigkeit der Informationen) zielt auf die Bereitstellung geeigneter Daten ab, um eine Geschäftseinheit zu führen und dem Management die Ausübung seiner Verantwortlichkeit bezüglich der finanziellen und regulativen Berichterstattung zu ermöglichen.

2.5.4 IT-Ressourcen

Gemäß CobiT basieren Geschäftsprozesse auf IT-Ressourcen. Bei CobiT sind dies Daten, Anwendungen, Technologien, Anlagen und Personal. Sie bilden zusammen die fünf CobiT-IT-Ressourcen für Geschäftsprozesse. Die Definitionen lauten nach [ISCH04]:

- Data (Daten) sind Datenelemente bzw. Objekte im weitesten Sinne (also interne und externe), strukturierte bzw. nicht-strukturierte Objekte, Grafiken, Töne, etc.
- Applikation Systems (Anwendungen) können verstanden werden als Summe von manuellen und programmierten Prozeduren.
- Technology (Technologien) betrifft sowohl Hard- als auch Software, Datenbanken, Betriebssysteme, Netzwerkressourcen, etc.
- Facilities (Anlagen) sind alle Ressourcen, die Informationssysteme beherbergen und betreffen.
- People (Personal) enthält die Kenntnisse, das Bewusstsein und die Produktivität zur Planung, Organisation, Beschaffung, Absatz, Unterstützung und Überwachung sowohl von Informationssystemen als auch Informationsdienstleistungen.

Abbildung 2 zeigt den Verlauf der IT-Ressourcen bis zu den Geschäftsanforderungen einschließlich der Informationskriterien. Die IT-Ressourcen erstellen Informationen und die Geschäftsanforderungen bzw. Geschäftsprozesse erhalten diese Informationen. Die Frage die CobiT dabei versucht zu beantworten lautet, ob bzw. wie die IT-Ressourcen und Geschäftsanforderungen zusammenpassen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Zusammensetzung Geschäftsanforderungen (in Anlehnung an [ISACA01])

3 Grundlagen des Referenzmodells

3.1 Notwendigkeit

Die Erfahrung der letzten Jahre zeigt, dass die Stakeholder (Gläubiger, Investoren etc.) eines Unternehmens trotz einer Vielzahl von Gesetzestexten, Richtlinien und Standards gegen die Willkür des Managements nicht ausreichend geschützt sind. Durch den Wust an Gesetzen, Vorschriften, etc. bleiben die Geschäftsprozesse den Stakeholdern oftmals verborgen.

Die Kalkulation des Unternehmensrisikos stellt eine schwer zu bewältigende Aufgabe dar. Um das Risiko zu kalkulieren, wurden schon in den 70er und 80er Jahren verschiedene Rahmenwerke geschaffen, wie COSO^[5] oder SAS^[6]. Auch danach gab es viele neue, zum Teil auch internationale Gesetze, z. B. Basel II oder SOA^[7], welche die Transparenz und Nachvollziehbarkeit der Geschäftsprozesse erhöhen sollten. Diese Gesetze, Richtlinien, etc. setzten sich zwar mit Kontrollmedien und den resultierenden Maßnahmen auseinander, die Relevanz der IT wurde dabei jedoch gar nicht oder nur in geringem Maße berücksichtigt. Um diese Lücken zu schließen, wurde CobiT entwickelt [BRU04].

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Nutzung von CobiT; Stand 1999 (in Anlehnung an [ISCH04])

Tabelle 1 unterstreicht die Relevanz von CobiT für die Kontroll- und Risikoaktivitäten. Befragt wurden die Mitglieder des Schweizer Chapters nach der Verwendung von CobiT; die Mitglieder stammen aus unterschiedlichen Branchen, überwiegend aber aus den Bereichen der Sicherheit und Revision [ISCH04].

3.2 Historie

Die erste Version von CobiT wurde im Sommer 1996 von der ISACF, im Auftrag der ISACA, entwickelt. In der zweiten Version von 1998 kamen eine Reihe von Quell-Dokumenten, eine Revision von „high-level“ und detaillierten Kontrollobjekten hinzu. Außerdem wurde das Implementation Tool Set^[8] zugefügt. Durch Hinzunahme eines primären Publishers des IT Governance Instituts wurden im Jahr 2000 der aktuellen, dritten Version die Management Guidelines^[9] aufgenommen. Die Version besticht hauptsächlich durch ihren stärkeren Fokus auf IT-Governance [ISCH04], [ITA04].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: CobiT Produktfamilie (in Anlehnung an [ISACA01]

Die CobiT 3rd Edition (Abbildung 3) besteht nunmehr aus sechs Elementen (nach [ISACA01]):

- Die Executive Summary spiegelt kurz den CobiT-Ansatz wider.
- Das Framework^[10] erklärt die Struktur und Idee von CobiT, beschränkt sich dabei aber auf übergeordnete Kontrollen bzw. Kontrollziele für jeden Prozess.
- Die Control Objectives erweitern das Framework mit 318 spezifisch detaillierten Kontrollzielen für alle IT-Prozesse.
- Die Management Guidelines bieten Richtlinien für das Management.
- Das Implementation Tool Set gibt Hilfestellung bei der Implementierung eines IKS mit einer Reihe von Informationen.
- Die Audit Guidelines geben an, wie die richtige Implementierung der Kontrollziele geprüft werden kann. Sie sind hauptsächlich an Revisoren gerichtet.

3.3 Integrierte Standards

Das Referenzmodell setzt sich nach [ISACA01] aus ca. 41 nationalen und internationalen, primären Standards zusammen, die sich auf Information und Kommunikation beziehen. Diese lassen sich unter folgende Gesichtspunkte zusammenfassen:

- Technische Standards (ISO, EDIFACT, etc.)
- Codes of conduct (OECD, ISACA, etc.)
- Qualifikationskriterien (ITSEC, TCSEC, ISO9000, SPICE, TickIT, ITIL, Common Criteria, etc.)
- Berufsstandards (COSO Report, IFAC, AICPA, IIA, ISACA, PCIE, GAO Standards, etc.)
- Industrie-Praktiken und Anforderungen: Industrie (ESF, I4, etc.) und staatlich-gesponserte Anforderungen (IBAG, NIST, DTI, etc.)
- Neu aufkommende industrie-spezifische Anforderungen aus dem Umfeld der Banken, E-Commerce und IT-Hersteller.

3.4 Zielgruppe

Neben dem oben genannten Top Management – zum Abgleich von Risiken und Kontroll-Investitionen in einer häufig nicht vorhersagbaren IT-Umwelt – ist CobiT ebenso für Anwender und Wirtschaftsprüfer geeignet.

Anwender erlangen mittels CobiT, anhand der Kontrollziele und anderer Hilfsmittel^[11], Gewissheit über die Sicherheit und Kontrolle der IT-Dienstleistungen. Diese Gewissheit wird garantiert durch innerbetriebliche Zuständige oder externe Dritte. Wirtschafts- und Bilanzprüfer bekräftigen mit CobiT ihre Meinungen und/oder erteilen dem Management Ratschläge für die internen Kontrollen. Für die Gruppe der Prüfer wurden daher zusätz-lich die Audit Guidelines geschaffen [ISACA01].

[...]

---

^[1] Die Begriffe Geschäftsziel bzw. Geschäftsanforderung sollen im Verlauf synonym verwendet werden, da dies auch in der Literatur so gehandhabt wird.

^[2] Winter,A.; Becker,K.; Bott,O. et.al.: „Referenzmodelle für die Unterstützung des Managements von Krankenhausinformationssystemen. Informatik, Biometrie und Epidemiologien in Medizin und Biologie“, Band 30, Heft 4/1999, Urban und Fischer , 1999

^[3] Quaterman,Wilhelm: "Unix,POSIX, Open Systems", Addison Wesley 1993 (FH PR que 95/86)

^[4] In der Literatur wird häufig nur von der ISACA/ISACF oder dem ITGI als Institution hinter CobiT gesprochen.

^[5] Committee of Sponsoring Organisations of the Treadway Commission, nähere Informationen auf http://www.coso.org/

^[6] Statements on Auditing Standards, nähere Informationen auf http://www.sas70.com/

^[7] Sarbanes and Oxley Act von 2002, nähere Informationen auf http://www.sarbanes-oxley.com/

^[8] Begriff wird in Kapitel 4.5 genauer erläutert.

^[9] Begriff wird in Kapitel 4.3 genauer erläutert

^[10] Aufgrund der Komplexität des Referenzmodells wurde während der Arbeit überwiegend der Teil Framework berücksichtigt und hier verwendet.

^[11] Kontrollziele, Hilfsmittel, Dokumente, etc. für die Sicherheit und Kontrolle der IT sind in den jeweiligen Bestandteilen der CobiT-Produktfamilie enthalten