Für viele Unternehmen stellen Informationen und die Technologie, die sie unterstützt, ihr wertvollstes, aber oft am wenigsten verstandenes Kapital dar. Erfolgreiche Unternehmen erkennen die Vorteile der Informationstechnologie und nutzen sie, um den Wert ihrer Stakeholder zu steigern. Diese Unternehmen verstehen und managen auch die damit verbundenen Risiken, wie die zunehmende Einhaltung gesetzlicher Vorschriften und die kritische Abhängigkeit vieler Geschäftsprozesse von der Informationstechnologie (IT).
Die Gewissheit über den Wert der IT, das Management von IT-bezogenen Risiken und erhöhte Anforderungen an die Kontrolle über Informationen werden heute als Schlüsselelemente der Unternehmensführung verstanden. Wert, Risiko und Kontrolle bilden den Kern der IT-Governance.
Die IT-Governance liegt in der Verantwortung der Führungskräfte und des Vorstands und besteht aus der Führung, den Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT des Unternehmens die Strategien und Ziele der Organisation aufrechterhält und erweitert.
Um die Geschäftsziele zu erfüllen, müssen Informationen bestimmten Kontrollkriterien entsprechen, die COBIT als Geschäftsanforderungen an Informationen bezeichnet. Ausgehend von den umfassenderen Qualitäts-, Treuhand- und Sicherheitsanforderungen werden sieben verschiedene, sich sicherlich überlappende Informationskriterien wie folgt definiert:
- Effektivität befasst sich damit, dass Informationen relevant und relevant für den Geschäftsprozess sind sowie rechtzeitig, korrekt, konsistent und brauchbar geliefert werden.
- Effizienz bezieht sich auf die Bereitstellung von Informationen durch die optimale (produktivste und sparsamste) Nutzung von Ressourcen.
- Vertraulichkeit betrifft den Schutz sensibler Informationen vor unbefugter Offenlegung.
- Integrität bezieht sich auf die Genauigkeit und Vollständigkeit von Informationen sowie auf deren Gültigkeit in Übereinstimmung mit den Unternehmenswerten und -erwartungen.
- Verfügbarkeit bezieht sich darauf, dass Informationen zur Verfügung stehen, wenn sie vom Geschäftsprozess jetzt und in Zukunft benötigt werden. Sie bezieht sich auch auf den Schutz der notwendigen Ressourcen und der damit verbundenen Fähigkeiten.
- Compliance bezieht sich auf die Einhaltung der Gesetze, Vorschriften und vertraglichen Vereinbarungen, denen der Geschäftsprozess unterliegt, d.h. sowohl extern auferlegte Geschäftskriterien als auch interne Richtlinien
- Zuverlässigkeit bezieht sich auf die Bereitstellung angemessener Informationen für das Management, um die Einheit zu betreiben und seine treuhänderischen und Führungsverantwortlichkeiten auszuüben. Darüber hinaus integriert und institutionalisiert die IT-Governance gute Praktiken, um sicherzustellen, dass die IT des Unternehmens die Geschäftsziele unterstützt. Die IT-Governance ermöglicht es dem Unternehmen, seine Informationen in vollem Umfang zu nutzen und dadurch den Nutzen zu maximieren, Chancen zu nutzen und Wettbewerbsvorteile zu erlangen. Diese Ergebnisse erfordern ein Rahmenwerk für die Kontrolle über die IT, das mit den internen Richtlinien des Committee of Sponsoring Organizations of the Treadway Commission (COSO) übereinstimmt und diese unterstützt
Organisationen sollten die Qualitäts-, Shareholder- und Sicherheitsanforderungen für ihre Informationen, wie für alle Vermögenswerte, erfüllen.
Das Management sollte auch die Nutzung der verfügbaren IT-Ressourcen, einschließlich Anwendungen, Informationen, Infrastruktur und Mitarbeiter, optimieren. Um diesen Verantwortlichkeiten gerecht zu werden und um ihre Ziele zu erreichen, sollte die Leitung den Status ihrer Unternehmensarchitektur für die IT verstehen und entscheiden, welche Governance und Kontrolle sie bieten sollte. Control Objectives for Information and related Technology (COBIT®) bietet gute Praktiken über einen Domänen- und Prozessrahmen und stellt Aktivitäten in einer überschaubaren und logischen Struktur dar. Die guten Praktiken von COBIT® stellen den Konsens der Experten dar. Sie sind stark mehr auf Kontrolle und weniger auf Ausführung ausgerichtet. Diese Praktiken tragen dazu bei, IT-gestützte Investitionen zu optimieren, die Bereitstellung von Dienstleistungen sicherzustellen und ein Maß zu liefern, anhand dessen man beurteilen kann, wann etwas schief läuft.
COBIT konzentriert sich auf das, was erforderlich ist, um eine angemessene Verwaltung und Kontrolle der IT zu erreichen, und ist auf einem hohen Niveau positioniert. COBIT wurde mit anderen, detaillierteren IT-Standards und guten Praktiken abgestimmt und harmonisiert.
COBIT fungiert als Integrator dieser verschiedenen Leitfäden und fasst die wichtigsten Ziele unter einem übergreifenden Rahmenwerk zusammen, das auch eine Verbindung zu Governance und Geschäftsanforderungen herstellt. Alle Komponenten von COBIT stehen in Wechselbeziehung zueinander und bieten Unterstützung für die Bedürfnisse der verschiedenen Zielgruppen in den Bereichen Governance, Management, Kontrolle und Sicherheit.
COBIT ist ein FRamework und unterstützender Werkzeugsatz, der es Managern ermöglicht, die Lücke in Bezug auf Kontrollanforderungen, technische Fragen und Geschäftsrisiken zu überbrücken und dieses Kontrollniveau den Interessengruppen zu vermitteln. COBIT ermöglicht die Entwicklung klarer Richtlinien und bewährter Verfahren für die IT-Kontrolle im gesamten Unternehmen. COBIT wird kontinuierlich auf dem neuesten Stand gehalten und mit anderen Standards und Richtlinien harmonisiert.