Lade Inhalt...

Die Prozesse des CobiT Frameworks

Akademische Arbeit 2006 23 Seiten

BWL - Unternehmensführung, Management, Organisation

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

CobiT 4.0

1 Vorstellung des Berufsverbands ISACA

2 CobiT Framework

3 Detailbetrachtung der 34 kritischen IT-Prozesse
3.1 High-Level Control Objectives und Detailed Control Objectives
3.2 Management Guidelines
3.3 CobiT Maturity Model

4 Zusammenfassung CobiT

Literaturverzeichnis (inklusive weiterführender Literatur)

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

CobiT 4.0

Heute stellen Informationen für Unternehmen einen elementaren Bestandteil dar, um auf zunehmend internationalisierten Märkten erfolgreich agieren zu können. Um notwendige Informationen verfügbar zu machen und zum richtigen Zeitpunkt, am richtigen Ort und in ausreichender Qualität bereitzustellen, wird in nahezu allen Unternehmen IT-Technologie eingesetzt. Viele Geschäftsprozesse sind daher elementar von der IT abhängig und beinhalten hierdurch auch IT spezifische Risiken. Zudem nehmen die Anforderungen an die IT-Technologie bezüglich regulatorischer Compliance und gesetzlicher Anforderungen, wie sie beispielsweise der Sarbanes-Oxley Act auferlegt, stetig zu.[1]

Im Folgenden wird anhand des CobiT Frameworks eine Möglichkeit aufgezeigt, wie sichergestellt werden kann, dass die Unternehmens-IT dazu beiträgt, die Unternehmensstrategie umzusetzen und vorgegebene Unternehmensziele zu erreichen. Hierzu bedarf es einer guten IT-Governance, welche innerhalb CobiT wie folgt definiert wird:

"IT-Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern."[2]

CobiT unterstützt IT-Governance konkret dadurch, dass es folgende Bereiche abdeckt:

- IT ist auf das Kerngeschäft ausgerichtet
- IT unterstützt das Geschäft und maximiert den Gewinn
- Mit IT-Ressourcen wird verantwortungsbewusst umgegangen
- IT-Risiken werden angemessen gemanagt[3]

Damit wird der verstärkten Abhängigkeit der Geschäftsprozesse von der IT Rechnung getragen.

1 Vorstellung des Berufsverbands ISACA

ISACA ist ein weltweiter Berufsverband für Spezialisten der IT-Sicherheit, der IT-Revision und der IT-Kontrolle. Die Organisation wurde 1969 unter dem Namen EDP Auditors Association (EDPAA) gegründet, um der zunehmenden Einflussnahme der Computertechnik als Hilfsmittel für Revisionstätigkeiten innerhalb von Unternehmen Rechnung zu tragen.

1994 wurde die EDPAA in ISACA umbenannt, womit gleichzeitig eine Ausweitung der Tätigkeiten auf Management und Sicherheit von IT-Systemen einherging. Seither setzt sich ISACA als Non-Profit-Organisation mit allen Entwicklungen in der Informationstechnologie und ihren Auswirkungen auf deren Sicherheit und Kontrolle auseinander und veröffentlicht gewonnene Erkenntnisse.[4] Die Organisation verfolgt nach eigener Aussage folgende Mission:

"ISACA Mission Statement:

Our Mission is to support enterprise objectives through the development, provision and promotion of research, standards, competencies and practices for the effective governance, control and assurance of information, systems and technology."[5]

1994 wurde das CobiT Framework von der ISACA veröffentlicht. Weitere überarbeitete Versionen erschienen in den Jahren 1998 (CobiT 2nd edition) und 2000 (3rd edition). Die Aktuellste Ausgabe (CobiT 4.0) wurde 2005 herausgegeben.[6] Auf dieser aktuellsten Version basieren auch die Ausarbeitungen der vorliegenden Arbeit.

Durch die ständige Aktualisierung der Ausführungen, Standards und Praktiken erlangte die ISACA, wie auch das erstellte CobiT Framework, auf internationaler Ebene eine hohe Akzeptanz.

2 CobiT Framework

Es wird zunehmend deutlicher, dass Informationen einen bedeutenden Einfluss auf den Unternehmenserfolg besitzen.[7] Weiterhin sind in Unternehmen zentrale Geschäftsprozesse in zunehmendem Maße von der IT abhängig. Folglich muss auch das Management verstärktes Augenmerk auf die internen IT-Strukturen des Unternehmens legen. Leitende Gremien verlangen immer häufiger Auskunft darüber, ob Informationen in der Art und Weise gehandhabt werden, dass folgende Punkte sichergestellt sind:

- werden vorgegebene Unternehmensziele erreicht
- besteht die Fähigkeit zu lernen und sich flexibel an Veränderungen anzupassen
- wird adäquat mit vorhandenen Risiken umgegangen
- Sicherstellung des Erkennens und Ergreifens von sich bietenden Chancen[8]

Diese Tatsache liefert vor allem eine Begründung dafür, weshalb es sinnvoll und auch notwendig ist ein funktionierendes IT Governance Framework in einem Unternehmen zu implementieren, da ansonsten die Gefahr besteht internen und externen Erfordernissen nicht gerecht werden zu können.[9]

Diese Erfordernisse bestehen also nicht ausschließlich aus der Erreichung der Geschäftsziele eines Unternehmens, sondern gleichermaßen aus dem Schutz der Vermögenswerte, der Sicherung der Zuverlässigkeit notwendiger Informationen und der Einhaltung von Gesetzen und Verordnungen.

Mit CobiT veröffentlichte die ISACA ein Modell, welches international anerkannte und generell anwendbare Kontrollziele für IT beinhaltet, die in einem Unternehmen implementiert werden sollten. Das Framework wurde insbesondere erstellt, um als Anleitung für Management und Prozessverantwortliche im Kerngeschäft zu dienen indem generische Unternehmens- und IT-Ziele definiert werden, die eine Basis darstellen, um allgemeine Unternehmensanforderungen festzulegen.

Um die Erreichung der Unternehmensziele und der IT-Ziele zu gewährleisten, müssen erforderliche Informationen verfügbar sein. Die erforderlichen Informationen sind in verschiedenen Unternehmen nur selten identisch. Gleich ist ihnen jedoch immer, dass Informationen gemäß CobiT bestimmten Kriterien und Anforderungen entsprechen sollten, die als Information Criteria bezeichnet werden.[10] Die 7 in CobiT definierten Information Criteria lauten wie folgt:

- Effektivität
- Effizienz
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- Zuverlässigkeit
- Konformität

Abbildung in dieser Leseprobe nicht enthalten

Abb.1 : Zuordnung der Information Criteria

Quelle: ISACA Switzerland Chapter, Zertifizierung als CISA oder CISM, 2006

Diese 7 Informationskriterien werden den drei übergeordneten Kategorien Qualität, Sicherheit und Ordnungsmäßigkeit der Rechnungslegung zugeordnet, wie in Abb. 1 ersichtlich.

Die Qualität der IT wird in den Kriterien Effektivität und Effizienz abgebildet, wodurch bekannte Qualitätsziele wie Fehlerfreiheit und Robustheit abgedeckt werden. Die Kriterien zur Sicherheit werden als Vertraulichkeit, Integrität und Verfügbarkeit abgebildet. Um die finanzielle Berichterstattung gemäß Rechnungs-legungsvorschriften sicherzustellen, ist im CobiT Framework die Zuverlässigkeit als Information Criteria definiert. Mit Konformität soll die Einhaltung interner und externer Normen, sowie rechtlicher Erfordernisse bezeichnet werden.[11]

[...]


[1] Vgl. ITGI, CobiT 4.0, 2005, S. 6.

[2] ITGI, CobiT 4.0, 2005, S. 6.

[3] Vgl. ITGI, CobiT 4.0, 2005, S. 7.

[4] Vgl. ISACA-CH / Switzerland Chapter, CobiT 3rd edition, 2001, S. A-1.

[5] ISACA-CH / Switzerland Chapter, CobiT 3rd edition, 2001, S. A-1.

[6] Vgl. ISACA-CH / Switzerland Chapter, CobiT 3rd edition, 2001, S. A-1.

[7] Vgl. ITGI, CobiT 4.0, 2005, S. 12.

[8] Vgl. ITGI, CobiT 4.0, 2005, S. 12.

[9] Vgl. ITGI, CobiT 4.0, 2005, S. 12.

[10] Vgl. ITGI, CobiT 4.0, 2005, S. 14.

[11] Vgl. ISACA-CH/Switzerland Chapter, Zertifizierung als CISA oder CISM, 2006, S. 37.

Details

Seiten
23
Jahr
2006
ISBN (eBook)
9783656743507
ISBN (Buch)
9783668137721
Dateigröße
1.1 MB
Sprache
Deutsch
Katalognummer
v280978
Note
1,3
Schlagworte
prozesse cobit frameworks

Autor

Zurück

Titel: Die Prozesse des CobiT Frameworks