In der schnelllebigen Welt der Informationstechnologie entscheidet eine wirksame Governance darüber, ob Technologie Wert schafft – oder Risiken und Kosten produziert. COBIT (Control Objectives for Information and Related Technologies) hat sich in den letzten Jahrzehnten vom Prüfkatalog für Finanzaudits zu einem ganzheitlichen Governance-System entwickelt, das Unternehmen aller Größen und Branchen bei der Steuerung von Information & Technology (I&T) unterstützt. COBIT liefert eine gemeinsame Sprache für Vorstand, Management, IT, Risiko, Compliance und Audit, verbindet strategische Ziele mit operativen Praktiken und stellt sicher, dass Investitionen in Technologien nachweisbar Nutzen stiften – kontrolliert, messbar und auditierbar.

COBIT wird weltweit eingesetzt – von börsennotierten Konzernen über Behörden bis zu mittelständischen Unternehmen. Die moderne Generation, COBIT 2019 (mit fortlaufenden Ergänzungen), integriert aktuelle Geschäfts- und Technologietrends: Cloud, DevOps, Agile, Cybersecurity, Data & Analytics, Sourcing-Modelle, Regulierung. Das Framework ist modular, anpassbar und skalierbar – gerade deshalb so verbreitet. Zahlreiche Organisationen nutzen COBIT als Leitplanke für IT-Strategie, Risikomanagement, Service Management, Informationssicherheit, Projekt- und Portfoliosteuerung und als Brücke zu Standards wie ISO/IEC 27001, ISO/IEC 20000, ITIL, ISO/IEC 38500 oder dem NIST CSF.

COBIT wird gern als „Framework der Frameworks“ bezeichnet – ein Bezugsrahmen, der Ordnung in die Vielfalt von Standards, Methoden und Gesetzen rund um Information & Technology (I&T) bringt. Doch genau dieses breite Anspruchsprofil verführt zu Missverständnissen: COBIT ist kein Schalter, den man umlegt, und auch keine starre Checkliste, die man Zeile für Zeile abhakt. Es ist ein Governance-System, das sich auf die konkrete Strategie, das Risikoprofil und die Organisationsrealität zuschneiden lässt und zugeschnitten werden muss. Der COBIT Implementation Guide (von ISACA bereitgestellt) ist dafür das entscheidende Arbeitsmittel: Er übersetzt das Framework in umsetzbare Entscheidungen – von der Zieldefinition über die Auswahl relevanter Governance- und Management-Ziele bis zur Verankerung im täglichen Betrieb.

Vom „Warum“ zum „Wie“: Governance ist ein strategischer Auftrag

Jede tragfähige COBIT-Einführung beginnt mit einem klaren „Warum“. IT-Governance ist kein Selbstzweck, sondern die Art und Weise, wie Unternehmensleitung und Management sicherstellen, dass I&T Wert stiftet, Risiken beherrscht und Ressourcen wirksam eingesetzt werden. Der Implementation Guide lenkt die Aufmerksamkeit deshalb zuerst auf das Geschäftsmodell, die Unternehmensziele und die Voice of the Business: Welche Wertströme sind kritisch? Wo entstehen heute Reibungsverluste, Risiken, Compliance-Exponierung oder Opportunitätskosten? Dieses Top-Down-Denken verhindert, dass Governance zu Bürokratie verkommt – sie wird stattdessen zum Strategie-Werkzeug.

Die "Control Objectives for Information and related Technology" (COBIT) repräsentieren ein profundes und präzise entwickeltes Framework, das darauf abzielt, eine strukturierte und systematische Herangehensweise an das Management der Informationstechnologie (IT) zu bieten. Seit seiner Einführung im Jahr 1996 durch die Information Systems Audit and Control Association (ISACA) sowie das IT Governance Institute (ITGI) hat es sich kontinuierlich weiterentwickelt, um mit den rasanten Veränderungen innerhalb der IT-Branche Schritt zu halten.

Der Zweck von COBIT liegt in der Bereitstellung eines integrativen Werkzeugsets, das Managern, Rechnungsprüfern und IT-Nutzern nicht nur ermöglicht, IT-Prozesse zu bewerten und zu überwachen, sondern auch, sie so zu gestalten, dass sie die geschäftlichen Anforderungen effektiv erfüllen. Dieses Framework ist auf der Prämisse aufgebaut, dass IT nicht als isolierter Bestandteil einer Organisation betrachtet werden sollte, sondern als integraler Treiber, der den gesamten Unternehmenswert steigert.

Führungskräfte in Unternehmen und öffentlichen Einrichtungen werden zunehmend aufgefordert, sich Gedanken darüber zu machen, wie gut die IT gemanagt wird. Als Reaktion darauf müssen Business Cases zur Verbesserung entwickelt und die entsprechende Ebene der Verwaltung und Kontrolle über die Informationsinfrastruktur erreicht werden. Auch wenn nur wenige argumentieren würden, dass dies keine gute Sache ist, so müssen sie doch das Kosten-Nutzen-Verhältnis und diese damit verbundenen Fragen berücksichtigen:

• Was tun unsere Branchenkollegen, und wie werden wir in Beziehung zu ihnen gesetzt?
• Was ist eine akzeptable gute Praxis in der Industrie, und wie werden wir in Bezug auf diese Praktiken platziert?
• Kann man auf der Grundlage dieser Vergleiche sagen, dass wir genug tun?
• Wie können wir feststellen, was getan werden muss, um ein angemessenes Management- und Kontrollniveau für unsere IT-Prozesse zu erreichen?

Es kann schwierig sein, aussagekräftige Antworten auf diese Fragen zu geben. Das IT-Management ist ständig auf der Suche nach Benchmarking- und Selbstbewertungsinstrumenten, da es wissen muss, was effizient zu tun ist. Ausgehend von den COBIT-Prozessen sollte der Prozessverantwortliche in der Lage sein, inkrementelle Benchmarks anhand dieses Kontrollziels durchzuführen. Dies entspricht drei Bedürfnissen:

Das COBIT-Rahmenwerk basiert auf folgendem Prinzip: Um die Informationen bereitzustellen, die das Unternehmen zur Erreichung seiner Ziele benötigt, muss das Unternehmen in IT-Ressourcen investieren und diese verwalten und steuern. Dazu muss es einen strukturierten Satz von Prozessen verwenden, um die Dienste bereitzustellen, die die erforderlichen Unternehmensinformationen liefern. Die Verwaltung und Kontrolle von Informationen sind das Herzstück des COBIT-Frameworks und tragen dazu bei, die Anpassung an die Geschäftsanforderungen sicherzustellen.

Die Verwaltung und Kontrolle von Informationen sind das Herzstück des COBIT-Frameworks und tragen dazu bei, die Anpassung an die Geschäftsanforderungen sicherzustellen. COBIT definiert IT-Aktivitäten in einem generischen Prozessmodell innerhalb von vier Domänen. Diese Domänen sind Planen und Organisieren (PO), Akquirieren und Implementieren (AI), Bereitstellen und Unterstützen (DS) sowie Überwachen und Bewerten (ME). Die Domänen entsprechen den traditionellen Verantwortungsbereichen der IT: Planen, Erstellen, Ausführen und Überwachen.
Um die IT effektiv zu verwalten, ist es wichtig, die Aktivitäten und Risiken innerhalb der IT zu kennen, die verwaltet werden müssen. Sie sind in der Regel den Zuständigkeitsbereichen Planen, Bauen, Betreiben und Überwachen zugeordnet. Innerhalb des COBIT-Rahmens werden diese Bereiche genannt: