COBIT

COBIT (für "  Kontrollziele für Information und verwandte Technologien  " oder "Informationskontrollziele und zugehörige Technologien" auf Französisch) ist eine Sammlung von Best Practices für die Prüfung und Corporate Governance von IKT mit amerikanischem Ursprung . Im Laufe der aufeinanderfolgenden Versionen, neigt sie durch die schrittweise Integration der Beiträge von anderen Standards wie ein verbindendes Werkzeug für die Verwaltung von Informationssystemen zu werden ISO 9000 , ITIL ,  usw.

Historisch

Die Governance von Informationssystemen (Information Technology (IT) Governance) hat sich in Unternehmen in einem Kontext verbreitet, in dem einerseits die Automatisierung von Geschäftsfunktionen zu einem wesentlichen Bestandteil des Unternehmens geworden ist und Führungskräfte andererseits nicht sehen, wie IS Wert bringen kann und Leistung in der Organisation. Wir können also von IS-Governance und damit von Standards und Zertifizierungen sprechen, die Letzteres ermöglichen. Aus Gründen der Informationstransparenz haben sich Informationssysteme entwickelt und ihre Kontrolle ist unabdingbar geworden. Das Haupt-Repository für IS-Governance und -Prüfung ist COBIT. Zusammenfassend ist COBIT ein Referenzrahmen für die Kontrolle der IS-Governance im Zeitverlauf. Es basiert auf einer Reihe bewährter Verfahren, die von IS-Experten gesammelt wurden.

COBIT wurde 1994 von der Information Systems Audit and Control Association ( ISACA ) entwickelt (und 1996 veröffentlicht ). ISACA wurde 1967 gegründet und ist seit 1982 in Frankreich durch die AFAI ( Französische Vereinigung für IT-Audit und -Beratung ) vertreten. Es ist ein Kontrollrahmen, der das Management beim Management von Risiken (Sicherheit, Zuverlässigkeit, Compliance) und Investitionen unterstützen soll. COBIT hat sich weiterentwickelt, Version 4 erschien 2007 in Frankreich.

COBIT ist ein prozessorientierter Ansatz, der in vier Bereiche unterteilt wird (Planung, Konstruktion, Ausführung und Messtechnik, analog zum Deming Wheel ), 34 separate Prozesse, die insgesamt 215 Aktivitäten und eine noch größere Anzahl von „Praktiken“ umfassen. . Kontrolle ". Eine unter dem Namen Val IT bekannte Komponente zur Bewertung von Informationssystemen versucht, diesen Ansatz zu vervollständigen.

COBIT Version 5 ist seitdem verfügbar April 2012. COBIT 5 ist bis heute das einzige Repository, das geschäftsorientiert für die Governance und das Management von Unternehmensinformationssystemen ist. Es stellt eine wichtige Weiterentwicklung des Standards dar.

COBIT 5 kann für alle Arten von Geschäftsmodellen, Technologieumgebungen, allen Branchen, Regionen und Unternehmenskulturen angepasst werden. Es kann angewendet werden auf:

• Informationssicherheit;
• Risikomanagement;
• Steuerung und Management des Informationssystems des Unternehmens;
• Prüfungsaktivitäten;
• Einhaltung von Gesetzen und Vorschriften;
• Finanztransaktionen oder Berichte zur sozialen Verantwortung von Unternehmen.

Das COBIT 5-Repository vereinfacht Governance-Herausforderungen mit nur fünf Prinzipien und sieben Enablern. Es ermöglicht die Integration mit anderen Ansätzen und Standards, einschließlich TOGAF , PMBOK , PRINCE2 , COSO , ISO / IEC 20000 , ISO / IEC 27001 , ITIL , PCI DSS , Sarbanes-Oxley und Basel III .

Im November 2018, ISACA kündigte die schrittweise Freigabe der 2019 Version von COBIT.

COBIT-Prinzipien

COBIT bietet Managern, Auditoren und Benutzern der Informations- und Kommunikationstechnologie (IKT) Indikatoren, Prozesse und Best Practices, mit denen sie die Vorteile des Einsatzes von IT-Techniken und -Entwicklung maximieren können. Governance und Kontrolle eines Unternehmens. Es hilft ihnen, ihre IT-Systeme zu verstehen und das Sicherheits- und Kontrollniveau zu bestimmen, das zum Schutz ihres Geschäfts erforderlich ist, indem ein Governance-Modell für Informationssysteme wie COBIT entwickelt wird. Daher liefert COBIT für jeden seiner Prozesse wichtige Zielindikatoren, wichtige Leistungsindikatoren und wichtige Erfolgsfaktoren. Das COBIT-Modell konzentriert sich darauf, was das Unternehmen tun muss, nicht darauf, wie es es tun muss.

Das COBIT-Repository bildet eine Struktur von Beziehungen und Prozessen (Referenzrahmen oder -rahmen ), die auf das Management und die Kontrolle von IT-Techniken durch das Management des Unternehmens abzielen, um seine Ziele zu erreichen, wobei diese Techniken als Mittel zur Verbesserung der Aktivität und zur Erfüllung der Geschäftsanforderungen verwendet werden , Bedürfnisse im strategischen Plan des Unternehmens konsolidiert. Es basiert auf 5 Hauptschlüsseln für Governance und IT-Management:

• Die Bedürfnisse der Stakeholder erfüllen;
• Decken Sie das Geschäft von Anfang bis Ende ab.
• Wenden Sie einen einzelnen Referenzrahmen an.
• Separate Governance und Management;
• Förderung eines ganzheitlichen Ansatzes.

COBIT 5 Grundlagen

Eine der wichtigsten Neuerungen von COBIT 5 ist die Annäherung an das Informationssystem über die bereits von COBIT 4.1 vorgeschlagenen Prozesse hinaus durch andere ergänzende Themen als Teil eines globalen (oder systemischen) Ansatzes. Alle diese Themen tragen in gegenseitiger Abhängigkeit zur Kontrolle der Governance und des Managements des IS bei. 

COBIT 5 definiert 37 Prozesse, die in fünf Bereiche unterteilt sind.

1. Bewerten, leiten und überwachen:
   1. Stellen Sie die Definition und Aufrechterhaltung eines Governance-Rahmens sicher
   2. Stellen Sie sicher, dass die Leistungen erbracht werden
   3. Stellen Sie die Risikooptimierung sicher
   4. Sorgen Sie für ein gutes Preis-Leistungs-Verhältnis
   5. Gewährleistung der Transparenz für die Stakeholder
2. Ausrichten, planen und organisieren:
   1. Verwalten Sie das IT-Management-Framework
   2. Strategie verwalten
   3. Verwalten Sie die Geschäftsarchitektur
   4. Innovation verwalten
   5. Verwalten Sie das Portfolio
   6. Verwalten Sie Budget und Kosten
   7. Verwalten Sie die menschlichen Beziehungen
   8. Beziehungen verwalten
   9. Serviceverträge verwalten
   10. Lieferanten verwalten
   11. Qualität verwalten
   12. Manage das Risiko
   13. Sicherheit verwalten
3. Erstellen, erwerben und implementieren:
   1. Verwalten Sie Programme und Projekte
   2. Verwalten Sie die Definition von Anforderungen
   3. Verwalten Sie die Identifizierung und Konstruktion von Lösungen
   4. Verwalten Sie Verfügbarkeit und Kapazität
   5. Organisatorische Änderungen verwalten
   6. Änderungen verwalten
   7. Verwalten Sie die Akzeptanz von Veränderungen und Übergängen
   8. Wissen verwalten
   9. Assets verwalten
   10. Konfiguration verwalten
4. Liefern, dienen und unterstützen:
   1. Operationen verwalten
   2. Verwalten Sie Serviceanfragen und Vorfälle
   3. Probleme verwalten
   4. Kontinuität verwalten
   5. Sicherheitsdienste verwalten
   6. Verwalten von Geschäftsprozesskontrollen
5. Überwachen, bewerten und messen:
   1. Überwachen, bewerten und messen Sie Leistung und Compliance
   2. Überwachung, Bewertung und Messung des internen Kontrollsystems
   3. Überwachung, Bewertung und Messung der Einhaltung externer Anforderungen

An dieser Version wurden Anpassungen vorgenommen, um eine bessere Konvergenz mit anderen Standards wie ITIL und CMMI sicherzustellen . Somit wird COBIT 5, noch mehr als COBIT 4.1, CIOs dabei helfen, einen homogenen und koordinierten Gesamtverbesserungsansatz für den CIO zu implementieren, der sich nicht nur auf Prozesse konzentriert.

CobiT 4.1 Grundlagen

COBIT 4.1 definiert 34 Prozesse, die in vier Bereiche unterteilt sind.

COBIT besteht aus der Aufteilung eines Computersystems in:

1. Planung und Organisation  : In diesem Bereich möchten wir wissen, wie IT-Techniken eingesetzt werden, damit das Unternehmen seine Ziele erreicht.
   1. Definition des IT-Strategieplans
   2. Definition der Informationsarchitektur
   3. Definition der technologischen Richtung
   4. Organisation der IT-Abteilung
   5. Investitionsmanagement
   6. Kommunikation der Managementziele
   7. Personalmanagement
   8. Einhaltung der gesetzlichen Anforderungen
   9. Risikoabschätzung
   10. Projektmanagement
   11. Qualitätsmanagement
2. Akquisition und Installation  : Hier versucht COBIT, Technologien zu definieren, zu erwerben und zu implementieren, indem sie an den Geschäftsprozessen des Unternehmens ausgerichtet werden.
   1. Identifizierung automatischer Lösungen
   2. Erwerb und Wartung von Computeranwendungen
   3. Erwerb und Wartung der technischen Infrastruktur
   4. Entwicklung und Pflege von Verfahren
   5. Installation und Zertifizierung von Systemen
   6. Änderungsmanagement
3. Lieferung und Support  : Ziel ist es, die Effektivität und Effizienz der in Aktion befindlichen technologischen Systeme zu gewährleisten.
   1. Definition von Service Levels
   2. Verwaltung von Diensten Dritter
   3. Leistungs- und Kapazitätsmanagement
   4. Garantie für die Fortsetzung der Behandlung
   5. Gewährleistung der Systemsicherheit
   6. Identifizierung und Aufteilung der Kosten
   7. Benutzerschulung
   8. Benutzer-Support
   9. Konfigurationsmanagement
   10. Incident Management
   11. Daten- und Anwendungsmanagement
   12. Physische Sicherheit des Systems
   13. Betriebsführung
4. Überwachung  : Hier muss überprüft werden, ob die implementierte Lösung den Anforderungen des Unternehmens in einer strategischen Vision entspricht.
   1. Prozessüberwachung
   2. Bewertung der internen Kontrolle
   3. Zertifizierung durch eine unabhängige Stelle
   4. Prüfung durch eine unabhängige Stelle

COBIT richtet sich an verschiedene Benutzer:

• Management, für das es ein Mittel zur Entscheidungsunterstützung bietet;
• Direkte Benutzer, für die Garantien für die Sicherheit und Kontrolle von IT-Diensten bereitgestellt werden;
• Wirtschaftsprüfer und Berater, denen es international anerkannte Interventionsmöglichkeiten bietet.

Das COBIT 4.1-Paket

Es enthält sechs Veröffentlichungen:

• Zusammenfassung (Zusammenfassung der Übersicht über die CobiT-Methodik für Manager in Eile);
• Framework (erläuterndes Referenz-Framework für Methode, Bereiche und Prozesse);
• Kontrollziele (215 Kontrollziele: Diese Ziele richten sich direkt an das Management und die für IT-Services verantwortlichen Teams);
• Prüfungsrichtlinien : Dies beinhaltet das Erkennen, Analysieren und Erklären der Fehler in einem System und der daraus resultierenden Risiken sowie das Bereitstellen von Lösungen.
• Implementation Tool Set (die Tools für die Implementierung des CobiT);
• Management-Richtlinien . Dies hat ein Reifegradmodell, um auf einer Skala von fünf Grad den Entwicklungsstand jedes Prozesses zu bewerten. Dieses Handbuch enthält eine Scorecard zur Steuerung des Framework-Typs ( Balanced Scorecard ).

Ziel ist es, eine dauerhafte Übereinstimmung zwischen Technologien, Geschäftsprozessen und Unternehmensstrategie sicherzustellen.

Informationskriterien

Dieser Abschnitt ist für das allgemeine Management von Interesse, indem angegeben wird, welche Auswirkungen die Implementierung eines bestimmten Prozesses auf die Informationen hat (z. B. auf Informationen zur Entscheidungsfindung). Diese Kriterien sind:

• Effizienz: Qualität und Relevanz der Informationen, konsistente Verteilung;
• Effizienz: Liefergeschwindigkeit;
• Vertraulichkeit: Schutz vor Offenlegung;
• Integrität: Richtigkeit der Informationen;
• Verfügbarkeit: Zugänglichkeit bei Bedarf und Schutz (Backup);
• Einhaltung: Einhaltung von Regeln und Gesetzen;
• Zuverlässigkeit: Genauigkeit der vom Management übermittelten Informationen.

Durch die Verbesserung der Informationen nach diesen Kriterien kann die Organisation ihre Ziele leichter erreichen, neue Möglichkeiten eröffnen und die Rentabilität verbessern.

Die Ressourcen

Dieser Teil betrifft eher den Direktor für Informationssysteme ( DSI ) oder den Verantwortlichen für Informationssysteme (RSI), um ihn über die Ressourcen zu informieren, die von dem Prozess betroffen sein werden. Die verschiedenen Ressourcen sind:

• Fähigkeiten: Personal, Effizienz der Mitarbeiter (intern und extern);
• Anwendungen: alle Verarbeitungsverfahren;
• Infrastruktur: alle Installationen, Rechenzentrum usw.;
• Daten: Informationen im globalen Sinne (Format, Struktur usw.);
• Techniken: Ausrüstung, Software, Datenbanken, Netzwerke usw.

Der Prozess

Für die Aufmerksamkeit des Prozessmanagers bestimmt, definieren sie die Struktur von Bereichen, Prozessen und Aufgaben. Sie sollten wissen, dass ein Prozess als eine Reihe von Aufgaben definiert ist. Beispielsweise greift der Prozess „Buchhaltung“ in den Bereich „Verwaltung und Finanzen“ ein und ist in Aktivitäten wie „Rechnungen eingeben, Saldo bearbeiten…“ unterteilt. CobiT bietet für jeden Prozess ein Reifegradmodell an, um es in Bezug auf die besten Marktpraktiken zu positionieren. Das Modell hat 6 Ebenen (0 bis 5).

Die wichtigsten Erfolgsfaktoren definieren die wichtigsten Maßnahmen zur Steuerung der Prozesse. Die wichtigsten Zielindikatoren ermöglichen es, nachträglich festzustellen, ob ein Prozess die Ziele erreicht hat (in Bezug auf die Informationskriterien). Schließlich bestimmen wichtige Leistungsindikatoren die Betriebsqualität eines Prozesses (Fähigkeit, Ziele zu erreichen).

CobiT Schnellstart

Diese vereinfachte Version von CobiT richtet sich hauptsächlich an KMU, für die IT-Techniken kein strategisches Problem darstellen, sondern lediglich einen Hebel in ihrer Wachstumsstrategie darstellen. Es basiert auf folgenden Annahmen:

• Die IT-Infrastruktur ist nicht komplex.
• Aufgrund der Größe des Unternehmens sind das Informationssystem und die Aktivität gut aufeinander abgestimmt.
• Die komplexesten Aufgaben werden ausgelagert.
• Risikotoleranz ist relativ hoch;
• Der Kontrollbereich ist klein.
• Die Befehlsstruktur ist einfach.

Diese Version von COBIT behält 30 der 34 Prozesse und 62 der 318 Kontrollziele bei.

Die Schnellstart-Implementierung besteht aus sechs Schritten:

• Bewerten Sie die Vorzüge, d. H. Bestimmen Sie, ob diese Version für das Unternehmen geeignet ist.
• Bewertung der aktuellen Situation auf der Grundlage von Informationen, die von Schlüsselpersonen gesammelt wurden, und von Prüfungsberichten;
• Bestimmen Sie das Ziel anhand der Definition der Aktivität, der rechtlichen Einschränkungen und der Abhängigkeit des Unternehmens von der Technologie.
• Analysieren Sie Abweichungen, indem Sie Kontrollpraktiken und wichtige Erfolgsfaktoren untersuchen.
• Definieren Sie Projekte zur Prozessverbesserung
• Entwicklung eines integrierten Governance-Implementierungsprogramms unter Berücksichtigung der unmittelbaren Bedürfnisse des Unternehmens, der gegenseitigen Abhängigkeiten zwischen den Projekten und der verfügbaren Ressourcen.

Grenzen

Laut Georges Épinette, Administrator von CIGREF , muss der Ansatz zur Erfassung dieses Repositorys intelligent erfolgen, insbesondere im Hinblick auf den Lebenszyklus der Kunden-Lieferanten-Beziehung. In der Tat zeigt CobiT relative Armut in Bezug auf:

• der Ausrichtung des Informationssystems  ;
• des Risikomanagements und der Sicherheit .

Insbesondere basiert CobiT auf einem sehr funktionalen Ansatz für die Organisation. Bei diesem Modell arbeitet das Informationssystem parallel zur realen Organisation - und in gewisser Weise von dieser getrennt -, da es auf der nominalen Anordnung der Funktionen basiert. In diesem Zusammenhang besteht die Ausrichtung des Informationssystems darin, die Realität des Betriebs häufig ad hoc mit einer idealisierten Vision der Organisation in Einklang zu bringen. Andere Ansätze, die Informationssystem und Organisation dynamisch nach Modellen kombinieren , die das Funktionsmodell erweitern, vermeiden diese Gefahr: Dies ist beispielsweise bei der Entscheidungsanalyse komplexer Systeme der Fall, die von der Arbeit der sozio-technischen Schule und der Gesellschaft inspiriert wurde aktuelle Kybernetik .

Im Jahr 2006 veröffentlichte eine Arbeitsgruppe des Clubs der Eigentümer von Informationssystemen eine Studie zu CobiT, in der eine Reihe von Anmerkungen zu den Beiträgen und Einschränkungen von CobiT enthalten sind.

Anmerkungen und Referenzen

1. ISACA veröffentlicht das COBIT 5 Governance Framework - Isaca.org, 10. April 2012
2. "  ISACA aktualisiert das COBIT-Framework, um die neuesten Trends und Standards der Geschäftstechnologie zu berücksichtigen  " , unter www.isaca.org (abgerufen am 7. Dezember 2018 )
3. ISACA: „Ein geschäftsorientiertes Repository für Corporate Governance und IT-Management“ und „Prozesse ermöglichen“.
4. Ahmed Bounfour, Immaterielles Kapital, Wissen und Leistung , Harmattan, 2006 ( ISBN  978-2-2960-1128-1 ) p.  127
5. Informationssystem: prospektive Analyse - Philippe Gautier, IGD
6. COBIT (Kontrollziele für Informationen und verwandte Technologien), Version 4.0, 2005 - Club der Eigentümer von Informationssystemen, Volle.com, 31. Dezember 2006

Anhänge

Zum Thema passende Artikel

• Governance der Informationstechnologie
• Entscheidungsanalyse komplexer Systeme
• Governance, Risikomanagement und Compliance

Literaturverzeichnis

• Frédéric Georgel, IT Governance: Strategisches Management eines Informationssystems , Paris, Dunod, 2009 ( ISBN  978-2100525744 )
• D. Moisand und F. Garnier de Labareyre, CobiT: Zur besseren Steuerung von Informationssystemen , Paris, Eyrolles, 2009 ( ISBN  978-2212124279 )

Externe Links

• (de) Was ist COBIT 5 - Isaca.org
• (de) Cobit 5 Checkliste - Minimarisk.com, 2013 [PDF] (siehe Archiv)