Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet von: Martin Bernhard Partner - ECG Management Consulting GmbH, Berlin Auszug Berlin, den 13. Mai 2004 E C G - 1 -
Gliederung 1 1. CobiT in wenigen Worten 2 2. Abgrenzung zu anderen Referenzmodellen 10 3. Welchen Nutzen hat das Modell i.h. auf IT-Governance? 15 4. Die 34 CobiT-Prozesse im Überblick 20 5. Prozessbeschreib.: KEFs und Kennzahlen 27 6. Reifegradmessung von Prozessen 33 7. Effektivitäts- und Effizienzkriterien 37 8. Verbreitungs- u. Einführungsaufwand i.d. Praxis 42 9. Für welche Organisationen ist CobiT geeignet? 44 A. Literatur und Internet-Quellen 46 E C G - 2 -
CobiT in wenigen Worten (1) CobiT = Control Objectives for Information and Related Technology ist ein international anerkannter Standard für IT Governance 1 IT Governance i. S. von CobiT bedeutet, dass best practices genutzt werden, um die Geschäftsziele durch die IT umzusetzen und zu überwachen (IT-Ressourcen und Risiken) CobiT besteht aus insgesamt über 40 Standards (CMM, etc.) aus den Bereichen Kontrolle, Sicherheit, Qualitätssicherung und IT und aus gängigen, generell akzeptierten Praktiken (best practices) CobiT ist ein durchgängiges Modell für sämtliche IT-Ressourcen (Daten, Anwendungen, Technologien, Anlagen und Personal) CobiT umfasst alle Phasen, wie Planung, Beschaffung der Entwicklung, Betrieb und Unterstützung bis hin zur Überwachung CobiT enthält seit der 3 rd Edition (2001) neben Management Guidelines - kritische Erfolgsfaktoren - Kernziele und Leistungsindikatoren Das erste CobiT Framework erschien erstmals im Sommer 1996 durch die ISACA 1) Quelle: www.isaca.org CobiT Executive Summary E C G - 3 -
1 Das CobiT Referenzmodell für das Steuern von IT-Prozessen CobiT in wenigen Worten (2) Das CobiT Framework definiert nur das - WAS, gibt jedoch keine Strukturen oder Inhalte vor, - die das WIE charakterisieren Die 34 CobiT-Prozesse werden lediglich durch einen kurzen Text beschrieben, eine Prozess- oder Aufgabenstruktur wie bei ITIL wird jedoch nicht vorgegeben Es werden keine Aussagen gemacht oder Beispiele gegeben, wie bspw. eine IT Strategie in Form eines Vorgehensmodells inkl. Ergebnistypen oder eines inhaltlichen Gliederungsvorschlages aussehen sollte ISACA ist heute eine weltweite Verbindung von Berufsgruppen, die sich mit Revision, Kontrolle und Sicherheit von IT-Systemen befassen ISACA hat mehr als 30.000 Mitglieder, u. a. in den USA, Asien, Australien, Kanada, Afrika, Süd- und Mittelamerika und Europa Über die ISACA ist eine Prüfung zum Certified Information Auditor ( CiSA ) möglich CISA ist ein weltweit anerkanntes Zertifikat für die Bereiche Revision, Kontrolle und Sicherheit von Informationssystemen Ein Hauptschwerpunkt der CISA Prüfung ist u. a. das CobiT Framework 1) Die ISACA (= Information Systems Audit and Control Association) wurde 1969 gegründet E C G - 4 -
CobiT in wenigen Worten (3) - IT Governance Toolkit 1 Activities WHO HOW Subjects of attention IT & Business Objectives Core IT competencies Best Practices V A R P 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 Business & Technology Developments Measurement Results Critical Success Factors Measurement Performance V = IT Value Delivery A = IT Strategic Alignment R = Risk Management P = Performance Measurement E C G - 5 -
1 Das CobiT Referenzmodell für das Steuern von IT-Prozessen CobiT in wenigen Worten (4) Die visualisierte Grundidee Rein applikationsabhängige Betrachtung Eingabe Verarbeitung Ausgabe Geschäftsprozesse IT-Prozesse IT-Ressourcen Einbeziehung applikationsunabhängiger Themen E C G - 6 -
1 Das CobiT Referenzmodell für das Steuern von IT-Prozessen CobiT in wenigen Worten (4) Die verschiedenen Sichtweisen CobiT hat drei Sichtweisen: - IT-Prozesse - Informationskriterien - Ressourcen CobiT Kontrollziele Werden die Geschäftsprozesse auch optimal durch IT-Ressourcen unterstützt? E C G - 7 -
CobiT umfasst in den vier Domains 34 Prozesse 1 Planning & Organisation ( PO ) PO 1 Definition des strategischen IT-Plans PO 2 Definition der Informationsarchitektur PO 3 Bestimmung der technologischen Richtung PO 4 Definition der IT-Organisation und Drittparteien ihrer Beziehungen PO 5 Verwaltung der IT-Investitionen PO 6 Kommunikation von Unternehmens- Dienstleistung zielen und richtung PO 7 Human Ressource Management PO 8 Sicherstellung der Einhaltung externer Anforderungen PO 9 Risikobeurteilung PO 10 Projektmanagement PO 11 Qualitätsmanagement Acquisition & Implementation ( AI ) AI 1 Identifikation von Lösungen AI 2 Beschaffung und Unterhalt von Anwendungssoftware AI 3 Beschaffung und Unterhalt der technischen Architektur AI 4 Entwicklung und Unterhalt von IT-Verfahren AI 5 Installation und Akkreditierung von Systemen AI 6 Änderungswesen Quelle: ISACA Delivery & Support ( DS ) DS 1 Definition von Dienstleistungsgraden (SLAs) DS 2 Handhabung der Leistungen von Drittparteien DS 3 Leistungs- und Kapazitätsmanagement DS 4 Sicherstellung der kontinuierlichen Dienstleistungen DS 5 Sicherstellung der Systemsicherheit DS 6 Identifikation und Zuordnung von Kosten DS 7 Aus- und Weiterbildung der Benutzer DS 8 Unterstützung und Beratung von IT-Kunden DS 9 Konfigurationsmanagement DS 10 Umgang mit Problemen und Vorfällen DS 11 Verwaltung von Daten DS 12 Verwaltung von Einrichtungen DS 13 Management des Operating Monitoring ( MO ) MO 1 Überwachung der Prozesse MO 2 Beurteilung der Angemessenheit MO 3 Einholen einer unabhängigen Bestätigung MO 4 Für unabhängige Revision sorgen E C G - 8 -
Bestandteile von CobiT 1 EXECUTUVE SUMMARY FRAMEWORK mit High-Level Kontrollzielen IMPLEMENTATION TOOL SET MANGMENT GUIDELINES CONTROL OBJECTIVES AUDIT GUIDELINES Executive Overview Case Studies FAQs Präsentationen Implementierungsleitfaden Mgmt.-Awareness Diagnostics IT Controll-Diagnostic KEY PERFOR- MANCE INDICATOR CRITICAL SUCESS FACTORS KEY GOAL INDICATORS MATURITY MODELS Quelle: ISACA E C G - 9 -
Gliederung 2 1. CobiT in wenigen Worten 2 2. Abgrenzung zu anderen Referenzmodellen 10 3. Welchen Nutzen hat das Modell i.h. auf IT-Governance? 15 4. Die 34 CobiT-Prozesse im Überblick 20 5. Prozessbeschreib.: KEFs und Kennzahlen 27 6. Reifegradmessung von Prozessen 33 7. Effektivitäts- und Effizienzkriterien 37 8. Verbreitungs- u. Einführungsaufwand i.d. Praxis 42 9. Für welche Organisationen ist CobiT geeignet? 44 A. Literatur und Internet-Quellen 46 E C G - 10 -