Die grundlegenden COBIT-Prinzipien

COBIT Prinzipien

Das COBIT-Rahmenwerk basiert auf folgendem Prinzip: Um die Informationen bereitzustellen, die das Unternehmen zur Erreichung seiner Ziele benötigt, muss das Unternehmen in IT-Ressourcen investieren und diese verwalten und steuern. Dazu muss es einen strukturierten Satz von Prozessen verwenden, um die Dienste bereitzustellen, die die erforderlichen Unternehmensinformationen liefern. Die Verwaltung und Kontrolle von Informationen sind das Herzstück des COBIT-Frameworks und tragen dazu bei, die Anpassung an die Geschäftsanforderungen sicherzustellen.

Die Verwaltung und Kontrolle von Informationen sind das Herzstück des COBIT-Frameworks und tragen dazu bei, die Anpassung an die Geschäftsanforderungen sicherzustellen. COBIT definiert IT-Aktivitäten in einem generischen Prozessmodell innerhalb von vier Domänen. Diese Domänen sind Planen und Organisieren (PO), Akquirieren und Implementieren (AI), Bereitstellen und Unterstützen (DS) sowie Überwachen und Bewerten (ME). Die Domänen entsprechen den traditionellen Verantwortungsbereichen der IT: Planen, Erstellen, Ausführen und Überwachen.
Um die IT effektiv zu verwalten, ist es wichtig, die Aktivitäten und Risiken innerhalb der IT zu kennen, die verwaltet werden müssen. Sie sind in der Regel den Zuständigkeitsbereichen Planen, Bauen, Betreiben und Überwachen zugeordnet. Innerhalb des COBIT-Rahmens werden diese Bereiche genannt:

• Plan and Organize (PO) - Bietet die Richtung für die Lösungsbereitstellung (AI) und Servicebereitstellung (DS)
• Acquire and Implement (AI) - Stellt die Lösungen bereit und übergibt sie zur Umwandlung in Dienstleistungen
• Deliver and Support (DS) - Empfängt die Lösungen und macht sie für Endbenutzer nutzbar
• Monitor and Evaluate (ME) - Überwacht alle Prozesse, um sicherzustellen, dass die vorgegebene Richtung eingehalten wird.

PLAN AND ORGANISE (PO)

Dieser Bereich umfasst Strategie und Taktik und betrifft die Ermittlung der Art und Weise, wie die IT am besten zur Erreichung der Geschäftsziele beitragen kann. Dieser Bereich befasst sich in der Regel mit den folgenden Managementfragen:
- Sind die IT und die Geschäftsstrategie aufeinander abgestimmt?

- Erreicht das Unternehmen eine optimale Nutzung seiner Ressourcen?

- Versteht jeder in der Organisation die IT-Ziele?

- Werden die IT-Risiken verstanden und gemanagt?

- Ist die Qualität der IT-Systeme den Geschäftsanforderungen angemessen?

ACQUIRE AND IMPLEMENT (AI)

Zur Umsetzung der IT-Strategie müssen IT-Lösungen identifiziert, entwickelt oder beschafft, sowie implementiert und in den Geschäftsprozess integriert werden. Darüber hinaus fallen Änderungen und Wartung bestehender Systeme in diesen Bereich, um sicherzustellen, dass die Lösungen weiterhin den Geschäftszielen entsprechen. Dieser Bereich befasst sich in der Regel mit den folgenden Managementfragen:

- Sind neue Projekte geeignet, Lösungen zu liefern, die den Geschäftsanforderungen entsprechen?

- Werden neue Projekte wahrscheinlich pünktlich und innerhalb des Budgets geliefert?

- Werden die neuen Systeme nach der Implementierung ordnungsgemäß funktionieren?

- Werden Änderungen vorgenommen, ohne den laufenden Geschäftsbetrieb zu stören?

DELIVER AND SUPPORT (DS)

In diesem Bereich geht es um die tatsächliche Bereitstellung der erforderlichen Dienste, wozu die Bereitstellung von Diensten, das Management von Sicherheit und Kontinuität, die Unterstützung der Nutzer und die Verwaltung von Daten und Betriebseinrichtungen gehören. Er befasst sich in der Regel mit den folgenden Managementfragen:
- Werden die IT-Dienstleistungen in Übereinstimmung mit den Geschäftsfachleuten erbracht?

- Werden die IT-Kosten optimiert?

- Sind die Mitarbeiter in der Lage, die IT-Systeme produktiv und sicher zu nutzen?

- Sind angemessene Vertraulichkeit, Integrität und Verfügbarkeit für die Informationssicherheit gewährleistet?

MONITOR AND EVALUATE (ME)

Alle IT-Prozesse müssen im Laufe der Zeit regelmäßig auf ihre Qualität und die Einhaltung der Kontrollanforderungen hin überprüft werden. In diesem Bereich geht es um Leistungsmanagement, Überwachung der internen Kontrolle, Einhaltung von Vorschriften und Governance. Er befasst sich in der Regel mit den folgenden Managementfragen:
- Wird die Leistung der IT gemessen, um Probleme zu erkennen, bevor es zu spät ist?

- Stellt das Management sicher, dass die internen Kontrollen effektiv und effizient sind?

- Kann die IT-Leistung wieder mit den Geschäftszielen verknüpft werden?

- Sind angemessene Vertraulichkeits-, Integritäts- und Verfügbarkeitskontrollen für die Informationssicherheit vorhanden?