CobiT

Definition:

CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). CobiT definiert hierbei nicht, wie die Anforderungen umzusetzen sind, sondern nur was umzusetzen ist.

CobiT wurde ursprünglich (im Jahr 1993) vom internationalen Verband der EDV-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt, seit 2000 obliegt dem IT Governance Institute, einer Schwesterorganisation der ISACA, CobiT zu entwickeln und fortzuschreiben. CobiT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt. CobiT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten.

Der Steuerungsansatz von CobiT ist grundsätzlich in einer Top-Down-Logik strukturiert. Ausgehend von Unternehmenszielen werden IT-Ziele festgelegt, die wiederum die Architektur der IT beeinflussen. Hierbei gewährleisten angemessen definierte und betriebene IT-Prozesse die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) und die Erbringung von Services. Für diese Ebenen (Unternehmensweit, IT, Prozess und Aktivitäten) sind jeweils Mess- und Zielgrößen zur Beurteilung der Ergebnisse und der Performance-Driver festgelegt. Die Messung der Zielerreichung erfolgt Bottom-Up und ergibt so einen vorgegebenen Steuerungs-Zyklus.

So definiert beispielsweise PO9 im CobiT-Framework den Prozess der Risikobeurteilung (Assess and Manage IT Risks). CobiT fordert, dass ein Risikomanagement-Framework ein allgemeines und vereinbartes Niveau von IT-Risiken sowie Strategien zur Risikoreduktion dokumentiert. Alle potenziellen Einflüsse auf die Ziele der Organisation, die durch ein ungeplantes Ereignis hervorgerufen werden, sollten identifiziert, analysiert und bewertet werden. Strategien der Risikoreduktion sollten umgesetzt werden, um das Restrisiko auf ein akzeptiertes Niveau zu reduzieren. Das Ergebnis der Bewertung sollte für die Stakeholder verständlich sein und in finanzbezogenen Kennzahlen kommuniziert werden, um den Stakeholdern zu ermöglichen, das Risiko auf ein akzeptables Toleranzniveau zu bringen.

Im Detail definiert CobiT im Block PO9 insgesamt sechs Steuerungsziele (Control Objectives):

 

  • PO9.1: IT and Business Risk Management Alignment: Integration und Koordinierung des unternehmensweiten Risikomanagements mit dem IT-Risikomanagement. Dies beinhaltet auch die strategische Ausrichtung des Unternehmens bezüglich Risikoappetit und Risikotragfähigkeit.
  • PO9.2: Establishment of Risk Context: Hier soll der gesamte Kontext für den Risikomanagement-Prozess definiert werden. Dies umfasst die Bestimmung der internen und externen Rahmenbedingungen für jede Risikobewertung, die Ziele der Bewertung und die Kriterien, nach denen Risiken evaluiert werden. Das CobiT-Framework stellt keine weiteren Werkzeuge und Methoden zur Identifikation und Bewertung von Risiken zur Verfügung.
  • PO9.3: Event Identification (Ereignisidentifikation): Bei diesem Steuerungsziel sollen sämtliche Ereignisse (Bedrohungen oder Verletzbarkeiten) mit einer potenziellen Auswirkung auf die Ziele oder den Betrieb des Unternehmens (einschließlich der folgenden Aspekte: Geschäftstätigkeit, Verordnungen, Recht, Technologie, Handelspartner, Personal und Betrieb) identifiziert werden. In diesem Kontext sollen insbesondere die positiven oder negativen Auswirkungen erfasst und dokumentiert werden.
  • PO9.4: Risk Assessment (Bewertung von Risiken): Unter Anwendung qualitativer und quantitativer Methoden sollen regelmäßig alle identifizierten Risiken hinsichtlich Wahrscheinlichkeit und Auswirkungen bewertet werden. Die Wahrscheinlichkeit und Auswirkungen, die mit inhärenten und Restrisiken verbunden sind, sollten einzeln, pro Kategorie und auf Basis eines Portfolios bestimmt werden.
  • PO9.5: Risk Response (Maßnahmen zur Risikobehandlung): CobiT verlangt in der Prozessphase der Risikosteuerung eine klare Definition von Risiko- und Prozessverantwortlichen. So soll sichergestellt werden, dass effiziente Controls und Steuerungsmaßnahmen die Risiken kontinuierlich reduzieren. Die Risikoreaktion sollte allgemein bekannte Risikostrategien, wie Vermeidung, Reduzierung, Transfer/Finanzierung oder Akzeptanz umfassen. In diesem Zusammenhang wiest CobiT auch darauf hin, dass die Maßnahmen unter Wirtschaftlichkeitsaspekten umgesetzt werden sollen.
  • PO9.6: Maintenance and Monitoring of a Risk Action Plan (Erhalt und Monitoring eines Plans zur Risikosteuerng): CobiT fordert als Steuerungsziel eine klare Priorisierung der Kontrollaktivitäten auf allen Ebenen, um die Maßnahmen umzusetzen. Hierzu gehört insbesondere auch eine effizientes Monitoring und Controlling der definierten Maßnahmen. Evtl. Abweichungen von den definierten Maßnahmen müssen dem Vorstand/Geschäftsleitung gemeldet werden.

 

RiskNET Intensiv-Seminare

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement. Die Seminare sind modular aufgebaut und bauen inhaltlich aufeinander auf (Basis, Fortgeschrittene, Vertiefung).

Neues aus der RiskNET Mediathek
By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Rückblick RiskNET Summit 2022

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Professor em. Dr. Günther Schmid

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Profi-Bergsteiger David Göttler

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Dr. Alexander Fink (ScMI)

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Oberstleutnant Thorsten Kodalle (Führungsakademie der Bundeswehr)

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Rückblick und Impressionen RiskNET Summit 2021

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Tom Theisejans, IT-Notfallbeauftragter, Deutsche Bahn Konzern

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Prof. Schmid: Globaler Ordnungsanspruch, made in China

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Dr. Christian Glaser: Wirecard & Co.: Warum sich große Betrugsfälle immer wieder ereignen

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Prof. Dr. Michael Huth zu Risiken in der Supply Chain

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Rückblick und Impressionen RiskNET Summit 2020

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Prof. Dr. Jürgen Döllner, Hasso-Plattner-Institut (HPI), Universität Potsdam

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Prof. Dr. Günther Schmid, vormals Bundesnachrichtendienst

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Dialog zwischen Harald Philipp, Mountainbike Abenteurer und Frank Romeike, Gründer des Kompetenzportals RiskNET

By accessing the video, you agree that your data (e.g. your IP address) is transmitted to Vimeo. For more information, please see our privacy policy.Always load vimeo videos

Interview mit Tamara Lunger über die Gratwanderung auf den höchsten Bergen der Welt

Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.