Die digitale Transformation beschleunigt sich, Technologien und Geschäftsmodelle ändern sich im Jahrestakt, regulatorische Erwartungen steigen – und damit wächst der Druck, IT-Governance nicht nur formal, sondern wirksam zu gestalten. COBIT (Control Objectives for Information and Related Technology) ist seit Jahrzehnten eines der wichtigsten Referenzwerke dafür. Zwischen COBIT 5 (2012) und COBIT 2019 liegt dabei kein bloßes Update, sondern eine inhaltliche Weiterentwicklung, die Governance von „Prozesse einführen und reifen lassen“ hin zu „ein System gestalten, messen und kontinuierlich anpassen“ verschiebt. Dieser Beitrag erklärt, was sich verändert hat, warum das relevant ist – und wie sich die Unterschiede in der Praxis auswirken.

Kontinuität in den Grundsätzen – plus mehr Anpassungsfähigkeit

COBIT 5 formulierte fünf Leitprinzipien: Stakeholder-Nutzen sichern, Unternehmen Ende-zu-Ende abdecken, ein integriertes Rahmenwerk nutzen, ganzheitlich vorgehen und Governance von Management trennen. COBIT 2019 hält diese Prinzipien fest, schärft sie aber an zwei Stellen:

Der Effekt: COBIT bleibt stabil in der Logik, wird aber beweglicher in der Anwendung.

Vom Prozesskatalog zum Governance- und Managementziel: 37 → 40, präziser gefasst

COBIT 5 strukturierte Governance über 37 Prozesse in den Domänen EDM (Evaluate, Direct and Monitor), APO (Align, Plan and Organize), BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) und MEA (Monitor, Evaluate and Assess). COBIT 2019 belässt die Domänen, ersetzt aber die reine Prozesssprache durch „Governance and Management Objectives“ (G&MO) und erweitert auf 40 Ziele (5 Governance-, 35 Managementziele).

Jedes Ziel enthält jetzt:

Das macht Anforderungen greifbarer und erleichtert die Messbarkeit.

Designfaktoren: Das Herz der maßgeschneiderten Governance

Der sichtbarste Fortschritt in COBIT 2019 sind die Design Factors. Sie bilden die „Schieberegler“, mit denen Organisationen ihr Governance-System bewusst konfigurieren. Typische Faktoren sind u. a.:

Aus der Kombination ergibt sich ein Governance-Design, das z. B. Security-Ziele höher priorisiert, zusätzliche Kontrollen für Lieferketten (Third-Party Risk) einbaut oder DevOps-Schnittstellen stärker adressiert. Damit wird COBIT von einem „best practice“-Katalog zu einem Design-Framework.

Fokusbereiche: Vertiefungen dort, wo es zählt

Neben der allgemeinen Ausgestaltung kennt COBIT 2019 Focus Areas – thematische Vertiefungen, die Speziallagen abdecken. Beispiele:

Focus Areas verbinden die generischen Ziele mit spezifischen Praktiken und Metriken – etwa anderen Deployment-Kontrollen im DevOps-Kontext oder erweiterten Prüfpflichten bei Cloud-Sourcing. So bleibt das Rahmenwerk kohärent, ohne Spezialanforderungen zu ignorieren.

Das Komponentenmodell: Governance ist mehr als Prozesse

COBIT 5 betonte Prozesse. COBIT 2019 fasst Governance als System aus Komponenten auf. Zu den Komponenten zählen:

Erst das Zusammenspiel dieser Bausteine erzeugt wirksame Governance. Beispiel: Ein hervorragender Patch-Prozess (Prozess-Komponente) bleibt wirkungsschwach, wenn Rollen unklar (Strukturen), Kommunikation stockt (Information) oder Skills fehlen (Menschen).

Performance-Management: Von Reifegradkurven zu wirkungsorientierter Steuerung

COBIT 5 nutzte ein Reifegradmodell (ISO/IEC 15504-basiert) zur Bewertung von Prozessen. COBIT 2019 differenziert:

Statt „Prozess ist auf Level 3“ fragt COBIT 2019 stärker: „Erreichen wir unsere Outcome-Ziele?“ – z. B. Time-to-Market, OTIF, Incident-Reduktion, Audit-Findings, Third-Party-KPI-Erfüllung. Das verlagert die Diskussion von „Formal erfüllt?“ zu „Wirkt es?“.

Risikomanagement neu justiert: Szenarien, Profile, Kennzahlen

Risikomanagement bleibt Kern. Neu ist die Einbindung in Designfaktoren (Risikoprofil, Risikobereitschaft) und die szenariogestützte Sicht:

Damit kann Governance Risiken vor die Welle bringen, statt nur zu berichten.

Kommunikation & Informationsfluss: Sichtbarkeit statt Silodenken

COBIT 2019 verankert Kommunikation als Governance-Komponente: Wer braucht welche Information, in welcher Qualität, wann und über welchen Kanal? Beispiele:

Transparenz ist hier kein Selbstzweck, sondern Steuerungsgrundlage.

Schnittstellen zu anderen Rahmenwerken: Harmonisierung statt Konkurrenz

COBIT war immer integrativ – COBIT 2019 verstärkt die Mappings:

So entsteht eine „Landkarte“: COBIT definiert das Governance-„Was“ und „Warum“, andere Frameworks liefern das „Wie“ im Operativen.

Was die Unterschiede in der Praxis bedeuten

Für Boards & Geschäftsführung: Berichte werden kürzer und aussagekräftiger. Statt Tool-Details sehen Gremien zielorientierte Metriken und Risiken – mit Entscheidungsoptionen. Governance-Gremien (z. B. IT-Steuerkreis) agieren proaktiv.

Für CIO/CISO/CTO: COBIT 2019 erlaubt, DevOps, Cloud, Data & AI in ein Governance-System einzubetten – inklusive klarer Schnittstellen, Metriken und Ownership. Eine Public-Cloud-Strategie wird so governance-fähig, nicht nur technologisch.

Für Risk/Compliance: Risiken aus Lieferketten und Cloud-Sourcing werden systematisch erfasst, KRI greifen früher, Audit-Feststellungen nehmen ab, weil Komponenten (Policies, Skills, Strukturen) mitgedacht werden.

Für Fachbereiche/Produktteams: Governance wird spürbar, aber nicht hinderlich: klare Policies, eindeutige Rollen, Decision-Rights, leichte Messung der Outcomes – z. B. „Security by Design“ als Gegenmaßnahme mit Kennzahl statt reiner Checkliste.

Beispielhafte Anwendung: Mittelständische Bank mit Cloud-Schwerpunkt

Beispielhafte Anwendung: Öffentliche Verwaltung mit Fokus auf Verfügbarkeit

Rollen und Verantwortlichkeiten: Trennung von Governance und Management

COBIT 2019 bekräftigt die Trennung:

Die RACI-Logik wird expliziter formuliert; das erleichtert Ownership für G&MO-Ziele und minimiert „graue Zonen“.

Metriken, die zählen: Outcome vor Aktivität

Beispiele für Lagging/Leading in COBIT 2019-Logik:

Der Wechsel: Von „Aktivität (Checkliste) erfüllt“ zu „Wirkung nachweislich erreicht“.

Kultur, Verhalten und Fähigkeiten: Die weichen Faktoren hart adressieren

COBIT 2019 nennt Kultur/Ethik/Verhalten und Kompetenzen ausdrücklich. Praktisch heißt das:

Ohne diese Komponenten bleibt Governance formal, aber wirkungsschwach.

Häufige Missverständnisse und wie COBIT 2019 sie ausräumt

Was bleibt gleich – und was ist wirklich neu?

Gleich geblieben sind: die Domänenlogik (EDM/APO/BAI/DSS/MEA), die Zielkaskade (Enterprise → Alignment → Governance/Management Objectives), die Trennung von Governance und Management, der ganzheitliche Anspruch.

Neu bzw. deutlich weiterentwickelt sind: Designfaktoren, Focus Areas, das Komponentenmodell, wirkungsorientiertes Performance-Management, stärkere Mappings zu anderen Standards, explizite Kommunikationsanforderungen sowie die konsequente Ausrichtung auf Tailoring.

Ausblick: COBIT als Anker in Zeiten von Cloud, KI und Regulatorik

Mit Cloud-Sourcing, plattformgetriebenen Geschäftsmodellen, KI/GenAI, Zero-Trust-Architekturen und wachsenden Anforderungen (von DORA bis NIS2 und Privacy) steigt die Notwendigkeit, Governance-Fähigkeit herzustellen – über Teams, Technologien und Lieferketten hinweg. COBIT 2019 liefert dafür den Anker: Es hilft, Richtung zu geben, Entscheidungen zu verdichten, Risiken zu balancieren und Wirkung nachzuweisen.

Zusammenfassung: Von der Prozessreife zur wirkungsorientierten, maßgeschneiderten Governance

Der Sprung von COBIT 5 zu COBIT 2019 markiert den Übergang von einem prozesszentrierten Reife-Fokus zu einer systemischen, ergebnisorientierten und adaptiven IT-Governance. Mit Designfaktoren, Focus Areas, einem Komponentenmodell und konkreten Metriken ermöglicht COBIT 2019, Governance passgenau zu entwerfen, messbar zu machen und laufend zu verbessern. Für Unternehmen bedeutet das: mehr Klarheit, bessere Steuerbarkeit, höhere Resilienz – und eine Governance, die mit der Geschwindigkeit des Geschäfts mithalten kann.