Es gab eine Zeit, in der IT-Governance vor allem aus gut sortierten Ordnern bestand: Strategiepapiere, Richtlinien, Prozesslandkarten – sauber nummeriert, formal genehmigt, in Jahresabständen aktualisiert. Prüfungen folgten demselben Takt. Man bereitete eine Woche lang Dokumente auf, führte Interviews, hakte Checklisten ab und ging zur Tagesordnung über. Diese Zeit ist vorbei. Heute wird IT-Governance an ihrer Betriebswirkung gemessen: an Zahlen, Reaktionszeiten, Nachweisen aus echten Systemen, an der Kohärenz zwischen Risiko, Kontrolle, Vorfallbearbeitung und Lieferkette. BAIT ist nicht länger das „Policy-Regelwerk für die IT“, sondern ein Wirksamkeitsrahmen für die gesamte Organisation – von der Geschäftsleitung bis zum letzten Dienstleister. Die Latte liegt höher, weil die Erwartung klarer ist: führen, steuern, belegen. Und zwar jederzeit.

Von der Papierlage zur Betriebswirkung: der Paradigmenwechsel

Früher reichte der Nachweis, dass es eine Strategie, ein Risikokonzept, ein Notfallhandbuch gibt. Heute zählt, wie diese Bausteine in den Alltag greifen. Eine IT-Strategie ohne messbare Zielgrößen, ein Risiko-Prozess ohne eskalierende Schwellenwerte, ein Notfallhandbuch ohne geprobte Wiederherstellung – all das gilt nicht mehr als „ausreichend“. BAIT wird zu einem Messsystem: Es fragt nach Zusammenhängen, nach Taktung, nach der Fähigkeit, aus Kennzahlen Entscheidungen abzuleiten und diese Entscheidungen wiederum zu belegen. Governance ist damit kein Sammlungspunkt von Dokumenten mehr, sondern ein Betriebsmodell mit Evidenzen.

Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.

Der COBIT 2019 Design Guide ist weit mehr als ein Handbuch zum Ausfüllen von Tabellen. Er ist das fehlende Bindeglied zwischen allgemeiner „Good Practice“ und den sehr konkreten Realitäten Ihrer Organisation: Zielen, Risiken, Kultur, Technologien, regulatorischen Zwängen, Ressourcen und Ambitionen. Sein Anspruch ist nicht, ein starres Korsett zu liefern, sondern ein Bau- und Vermessungsplan für ein Governance-System, das zu Ihrem Unternehmen passt – heute, morgen und in zwei Reorganisationen.

Im Kern beantwortet der Design Guide vier Fragen:

Die Integration von COBIT (Control Objectives for Information and Related Technology) in die unternehmerischen Abläufe hat sich als Meilenstein in der IT-Governance und -Steuerung erwiesen. COBIT ist kein starres Regelwerk, sondern ein flexibles Führungs- und Managementsystem für Information & Technology (I&T), das die Brücke zwischen geschäftlicher Strategie, regulatorischen Anforderungen und operativer Umsetzung schlägt. In Zeiten rascher Digitalisierung, verteilter Wertschöpfungsketten, Cloud-First-Strategien und zunehmender Regulierung (u. a. DSGVO, NIS2, DORA) liefert COBIT die Architektur, um IT-Investitionen messbar auf Unternehmensziele auszurichten, Risiken zu steuern und Leistung transparent zu machen. Das Framework adressiert damit die große Herausforderung moderner Unternehmen: Geschwindigkeit und Innovationskraft mit Stabilität, Sicherheit und Compliance zu verbinden.

Von der Prüfperspektive zur Unternehmenssteuerung: Die Entwicklung von COBIT

Historisch startete COBIT in den 1990er-Jahren als Hilfsmittel für Revisor:innen, um IT-Kontrollen zu prüfen. Mit COBIT 4.1 verschob sich der Fokus von reinen Kontrollen hin zur Steuerung von IT-Prozessen. COBIT 5 (2012) integrierte erstmals Governance-Prinzipien, Prozessmodelle, Rollen, Informationsflüsse und Messsysteme in ein ganzheitliches Framework. COBIT 2019 modernisierte diesen Ansatz grundlegend: Designfaktoren erlauben das organisationsspezifische Zuschneiden; Fokusbereiche (z. B. Cloud, DevOps, Security, Data) vertiefen Spezialthemen; ein ausgereiftes Performance-Modell knüpft Metriken direkt an Entscheidungen. Heute wird COBIT fortlaufend gepflegt, um neue Technologien (KI/GenAI, containerisierte Plattformen, Zero-Trust-Netze), Sourcing-Modelle (Multi-Cloud, Managed Services, Plattformökonomien) und Regulatorik abzubilden.