COBIT (für " Kontrollziele für Information und verwandte Technologien " oder "Informationskontrollziele und zugehörige Technologien" auf Französisch) ist eine Sammlung von Best Practices für die Prüfung und Corporate Governance von IKT mit amerikanischem Ursprung . Im Laufe der aufeinanderfolgenden Versionen, neigt sie durch die schrittweise Integration der Beiträge von anderen Standards wie ein verbindendes Werkzeug für die Verwaltung von Informationssystemen zu werden ISO 9000 , ITIL , usw.
Die Governance von Informationssystemen (Information Technology (IT) Governance) hat sich in Unternehmen in einem Kontext verbreitet, in dem einerseits die Automatisierung von Geschäftsfunktionen zu einem wesentlichen Bestandteil des Unternehmens geworden ist und Führungskräfte andererseits nicht sehen, wie IS Wert bringen kann und Leistung in der Organisation. Wir können also von IS-Governance und damit von Standards und Zertifizierungen sprechen, die Letzteres ermöglichen. Aus Gründen der Informationstransparenz haben sich Informationssysteme entwickelt und ihre Kontrolle ist unabdingbar geworden. Das Haupt-Repository für IS-Governance und -Prüfung ist COBIT. Zusammenfassend ist COBIT ein Referenzrahmen für die Kontrolle der IS-Governance im Zeitverlauf. Es basiert auf einer Reihe bewährter Verfahren, die von IS-Experten gesammelt wurden.
COBIT wurde 1994 von der Information Systems Audit and Control Association ( ISACA ) entwickelt (und 1996 veröffentlicht ). ISACA wurde 1967 gegründet und ist seit 1982 in Frankreich durch die AFAI ( Französische Vereinigung für IT-Audit und -Beratung ) vertreten. Es ist ein Kontrollrahmen, der das Management beim Management von Risiken (Sicherheit, Zuverlässigkeit, Compliance) und Investitionen unterstützen soll. COBIT hat sich weiterentwickelt, Version 4 erschien 2007 in Frankreich.
COBIT ist ein prozessorientierter Ansatz, der in vier Bereiche unterteilt wird (Planung, Konstruktion, Ausführung und Messtechnik, analog zum Deming Wheel ), 34 separate Prozesse, die insgesamt 215 Aktivitäten und eine noch größere Anzahl von „Praktiken“ umfassen. . Kontrolle ". Eine unter dem Namen Val IT bekannte Komponente zur Bewertung von Informationssystemen versucht, diesen Ansatz zu vervollständigen.
COBIT Version 5 ist seitdem verfügbar April 2012. COBIT 5 ist bis heute das einzige Repository, das geschäftsorientiert für die Governance und das Management von Unternehmensinformationssystemen ist. Es stellt eine wichtige Weiterentwicklung des Standards dar.
COBIT 5 kann für alle Arten von Geschäftsmodellen, Technologieumgebungen, allen Branchen, Regionen und Unternehmenskulturen angepasst werden. Es kann angewendet werden auf:
Das COBIT 5-Repository vereinfacht Governance-Herausforderungen mit nur fünf Prinzipien und sieben Enablern. Es ermöglicht die Integration mit anderen Ansätzen und Standards, einschließlich TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley und Basel III .
Im November 2018, ISACA kündigte die schrittweise Freigabe der 2019 Version von COBIT.
COBIT bietet Managern, Auditoren und Benutzern der Informations- und Kommunikationstechnologie (IKT) Indikatoren, Prozesse und Best Practices, mit denen sie die Vorteile des Einsatzes von IT-Techniken und -Entwicklung maximieren können. Governance und Kontrolle eines Unternehmens. Es hilft ihnen, ihre IT-Systeme zu verstehen und das Sicherheits- und Kontrollniveau zu bestimmen, das zum Schutz ihres Geschäfts erforderlich ist, indem ein Governance-Modell für Informationssysteme wie COBIT entwickelt wird. Daher liefert COBIT für jeden seiner Prozesse wichtige Zielindikatoren, wichtige Leistungsindikatoren und wichtige Erfolgsfaktoren. Das COBIT-Modell konzentriert sich darauf, was das Unternehmen tun muss, nicht darauf, wie es es tun muss.
Das COBIT-Repository bildet eine Struktur von Beziehungen und Prozessen (Referenzrahmen oder -rahmen ), die auf das Management und die Kontrolle von IT-Techniken durch das Management des Unternehmens abzielen, um seine Ziele zu erreichen, wobei diese Techniken als Mittel zur Verbesserung der Aktivität und zur Erfüllung der Geschäftsanforderungen verwendet werden , Bedürfnisse im strategischen Plan des Unternehmens konsolidiert. Es basiert auf 5 Hauptschlüsseln für Governance und IT-Management:
Eine der wichtigsten Neuerungen von COBIT 5 ist die Annäherung an das Informationssystem über die bereits von COBIT 4.1 vorgeschlagenen Prozesse hinaus durch andere ergänzende Themen als Teil eines globalen (oder systemischen) Ansatzes. Alle diese Themen tragen in gegenseitiger Abhängigkeit zur Kontrolle der Governance und des Managements des IS bei.
COBIT 5 definiert 37 Prozesse, die in fünf Bereiche unterteilt sind.
An dieser Version wurden Anpassungen vorgenommen, um eine bessere Konvergenz mit anderen Standards wie ITIL und CMMI sicherzustellen . Somit wird COBIT 5, noch mehr als COBIT 4.1, CIOs dabei helfen, einen homogenen und koordinierten Gesamtverbesserungsansatz für den CIO zu implementieren, der sich nicht nur auf Prozesse konzentriert.
COBIT 4.1 definiert 34 Prozesse, die in vier Bereiche unterteilt sind.
COBIT besteht aus der Aufteilung eines Computersystems in:
COBIT richtet sich an verschiedene Benutzer:
Es enthält sechs Veröffentlichungen:
Ziel ist es, eine dauerhafte Übereinstimmung zwischen Technologien, Geschäftsprozessen und Unternehmensstrategie sicherzustellen.
Dieser Abschnitt ist für das allgemeine Management von Interesse, indem angegeben wird, welche Auswirkungen die Implementierung eines bestimmten Prozesses auf die Informationen hat (z. B. auf Informationen zur Entscheidungsfindung). Diese Kriterien sind:
Durch die Verbesserung der Informationen nach diesen Kriterien kann die Organisation ihre Ziele leichter erreichen, neue Möglichkeiten eröffnen und die Rentabilität verbessern.
Dieser Teil betrifft eher den Direktor für Informationssysteme ( DSI ) oder den Verantwortlichen für Informationssysteme (RSI), um ihn über die Ressourcen zu informieren, die von dem Prozess betroffen sein werden. Die verschiedenen Ressourcen sind:
Für die Aufmerksamkeit des Prozessmanagers bestimmt, definieren sie die Struktur von Bereichen, Prozessen und Aufgaben. Sie sollten wissen, dass ein Prozess als eine Reihe von Aufgaben definiert ist. Beispielsweise greift der Prozess „Buchhaltung“ in den Bereich „Verwaltung und Finanzen“ ein und ist in Aktivitäten wie „Rechnungen eingeben, Saldo bearbeiten…“ unterteilt. CobiT bietet für jeden Prozess ein Reifegradmodell an, um es in Bezug auf die besten Marktpraktiken zu positionieren. Das Modell hat 6 Ebenen (0 bis 5).
Die wichtigsten Erfolgsfaktoren definieren die wichtigsten Maßnahmen zur Steuerung der Prozesse. Die wichtigsten Zielindikatoren ermöglichen es, nachträglich festzustellen, ob ein Prozess die Ziele erreicht hat (in Bezug auf die Informationskriterien). Schließlich bestimmen wichtige Leistungsindikatoren die Betriebsqualität eines Prozesses (Fähigkeit, Ziele zu erreichen).
Diese vereinfachte Version von CobiT richtet sich hauptsächlich an KMU, für die IT-Techniken kein strategisches Problem darstellen, sondern lediglich einen Hebel in ihrer Wachstumsstrategie darstellen. Es basiert auf folgenden Annahmen:
Diese Version von COBIT behält 30 der 34 Prozesse und 62 der 318 Kontrollziele bei.
Die Schnellstart-Implementierung besteht aus sechs Schritten:
Laut Georges Épinette, Administrator von CIGREF , muss der Ansatz zur Erfassung dieses Repositorys intelligent erfolgen, insbesondere im Hinblick auf den Lebenszyklus der Kunden-Lieferanten-Beziehung. In der Tat zeigt CobiT relative Armut in Bezug auf:
Insbesondere basiert CobiT auf einem sehr funktionalen Ansatz für die Organisation. Bei diesem Modell arbeitet das Informationssystem parallel zur realen Organisation - und in gewisser Weise von dieser getrennt -, da es auf der nominalen Anordnung der Funktionen basiert. In diesem Zusammenhang besteht die Ausrichtung des Informationssystems darin, die Realität des Betriebs häufig ad hoc mit einer idealisierten Vision der Organisation in Einklang zu bringen. Andere Ansätze, die Informationssystem und Organisation dynamisch nach Modellen kombinieren , die das Funktionsmodell erweitern, vermeiden diese Gefahr: Dies ist beispielsweise bei der Entscheidungsanalyse komplexer Systeme der Fall, die von der Arbeit der sozio-technischen Schule und der Gesellschaft inspiriert wurde aktuelle Kybernetik .
Im Jahr 2006 veröffentlichte eine Arbeitsgruppe des Clubs der Eigentümer von Informationssystemen eine Studie zu CobiT, in der eine Reihe von Anmerkungen zu den Beiträgen und Einschränkungen von CobiT enthalten sind.