IT-Compliance

So lässt sich das Konzept der COBIT-5-Enabler nutzen

07.07.2014 von Markus Gaulke
Richtig angewendet, kann der IT-Governance-Standard COBIT Unternehmen helfen, ihre Compliance-Aufgaben zu lösen. Als Leitplanken bewähren sich vor allem die in COBIT 5 definierten "Enabler" und die zugehörigen "Dimensionen".

Als anerkanntes Rahmenwerk für die Governance und das Management der Unternehmens-IT umfasst COBIT 5 Methoden, Prinzipien, gute Praktiken und Leitfäden für eine optimale Wertschöpfung durch den IT-Einsatz. Der Begriff "Compliance" schließt alle Richtlinien und Prozesse ein, die dazu dienen, den relevanten Gesetzen, Vorschriften und Regulierungen zu genügen. Im COBIT-Rahmen wird Compliance als Bestandteil der Governance-Aufgaben von Aufsichtsorganen und Geschäftsleitungen verstanden. Diese Gremien sollen ja sicherstellen, dass sich Unternehmensziele und Risiko-Management-Strategien mit den Compliance-Anforderungen im Einklang befinden.

Um dieses Ziel zu fördern, werden in COBIT 5 "Enabler" definiert. Dabei handelt es sich um Schlüsselkomponenten mit wesentlichem Einfluss auf das Erreichen der Unternehmensziele beziehungsweise kritischer Erfolgsfaktoren hinsichtlich der definierten IT-Ziele.

Was leisten die sieben Enabler?

Jedes geschäftliche Problem, auch die IT-Compliance, lässt sich über eine Kombination der folgenden sieben miteinander in Beziehung stehenden Enabler lösen:

Diese Enabler umfassen alle Elemente, die für IT-Governance und IT-Management relevant sind. Sie beeinflussen sich dabei gegenseitig. Die Basis für alle Enabler bilden die "Prinzipien, Richtlinien und Rahmenwerke". Mit ihrer Hilfe werden die Vorgaben für die anderen Enabler definiert.

Zehn Wahrheiten zu COBIT 5
Seit kurzem ist die Version 5 des IT-Governance-Frameworks COBIT veröffentlicht. Es kursieren einige Un- und Halbwahrheiten, die schleunigst korrigiert werdne sollten.
COBIT 5 wird GEIT
"Governance of Enterprise IT", kurz GEIT, so bezeichnen die COBIT-Protagonisten bei der Information Systems Audit and Control Association (Isaca) das neue Framework. Es hat bis zur heutigen Ausgestaltung einen erstaunlichen Wandel durchgemacht. Bis zur vierten Version war CoBIT aber auf die IT-Umgebung begrenzt. Erst in der aktuellen Version 5 hat es alle Informationen des Unternehmens und damit auch die Business-Prozesse sowie -Rollen auf dem Schirm.
Business Value im Fokus
Aus der Business-Perspektive soll CoBIT dafür sorgen, dass die IT die geschäftlichen Anforderungen unterstützt; sie muss einen Wertbeitrag erbringen und dabei ökonomisch sowie risikobewusst agieren. Deshalb wurde in Version 5 darauf geachtet, dass sich die Prozesse des Rahmenwerks und die IT-Ziele aus den Geschäftszielen ableiten lassen. Das neue Informationsmodell stellt die Verbindung zwischen geschäftlichen Informationen und IT-Funktionen her. Das erweiterte Rollenmodell deckt die Aktivitäten und Verantwortlichkeiten der IT- und der Business-Funktionen ab.
BMP-Frameworks integriert
Integration bedeutet hier, dass CoBIT 5 den Rahmen setzt, wie die etablierten Frameworks aus der Perspektive der Geschäftsanforderungen zusammenspielen müssen. Für eine Umsetzung liefert es aber nicht den nötigen Detailliserungsgrad. Dafür eignen sich Frameworks wie ITIL deutlich besser. Beide Frameworks behalten also ihre Relevanz und Schwerpunkte.
ITIL hat seine Berechtigung
Kann COBIT 5 auch den Bereich des IT-Service-Managements abdecken? Nein! COBIT 5 und ITIL sind von Ihrer Ausrichtung und ihrem Stellenwert her klar abgegrenzt. COBIT 5 fokussiert stärker auf die Verantwortung der Unternehmensführung beziehungsweise der Enterprise Governance. ITIL geht dafür tiefer ins Detail; dadurch ist das Framework auch komplexer als CoBIT 5.
Klare Abgrenzungen
COBIT 5 unterscheidet eindeutig zwischen Governance und Management. Die Governance stellt sicher, dass die Stakeholder sowie deren Bedürfnisse, Bedingungen und Optionen Maßstab der Bewertung sind und umgesetzt werden. Das Management ist dafür zuständig, die notwendigen Aktivitäten zu planen, zu betreiben und zu überwachen, um die Direktiven und Ziele zu erfüllen. Während die Governance-Prozesse den Grundrahmen, die Eckpfeiler und die Prinzipien definieren, stellen die Management-Prozesse die Prozess-Strukturen zur Verfügung. Das Ganze wird durch einen COBIT-5-spezifischen Lifecycle zusammengeführt.
Mit ISO/IEC 38500 abgestimmt
Der Standard ISO/IEC 38500 mit dem Namen "Corporate Governance in Information Technology" entstand 2008 auf Basis des australischen Standards AS8015:2005. Dieses Referenzmodell richtet sich vor allem an die obere Führungsebene und Entscheidungsträger, die ihre Verantwortung für eine effektive, effiziente und rechtskonforme Nutzung der IT wahrnehmen wollen. Zentrale Rollen spielen dabei die systematische Bewertung des IT-Einsatzes sowie die ständige Überwachung der Planumsetzung. COBIT 5 basiert direkt auf dem aus ISO/IEC 38500 stammenden "Model for Corporate Governance of IT".
Integration dank Zielhierarchien
Die Unternehmensziele sind in COBIT 5 auf der Grundlage einer Balanced Scorecard definiert - als Basismenge an generischen Unternehmenszielen. Um sie zu erreichen, ist es notwendig, eine bestimmte Anzahl von IT-bezogenen Ergebnissen vorweisen zu können, dargestellt durch "IT-related Goals". Die IT Ziele sind in einer "IT Balanced Scorecard" festgehalten.
Control Objectives sind passé
In CoBIT 5 ersetzen die Governance- und Management-Praktiken die in den Vorgängerversionen definierten "Control Objectives". Mit diesem Begriff bezeichnete CoBIT 4.1 wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozessziel sowie über das IT-Ziel letztlich das Unternehmensziel zu erreichen. Die "Control Practices" wurden umstrukturiert und gehen nun als Aktivitäten der Management-Praktiken in der neuen Struktur auf. Eine auf der Vorgängerversion aufgesetzten Framework-Struktur für die Einordnung dieser "Control Objectives" wird ebenfalls neu definiert.
Ein Guide für die Umsetzung
Ein Grund, warum in der Vergangenheit viele Ansätze zur GEIT-Implementierung gescheitert sind, war der, dass es dafür keine strukturiertern Programme mit klarer Zielsetzung, definiertem Umfang und ausdrücklicher Management Attention gab. Zudem fehlten Grundlagenansätze und Methoden zum Steuern des organisatorischen Wandels (Management of Change).
Standardisierte Beschreibung
Prozessmodelle müssen für die Mitarbeiter eines Unternehmens nachvollziehbar, lesbar und verständlich strukturiert sein. Darüber hinaus dürfen die operativen Handlungsspielräume nicht eingeengt werden. Die Prozesse in COBIT 5 umspannen aus einer Ende-zu-Ende-Sichtweise heraus die Business- und die IT-Aktivitäten. Das Framework umfasst 37 Prozesse. Dabei sind die Prozessmodelle und -beschreibungen alle nach demselben Standard aufgebaut. Input und Output werden nicht nur auf der Ebene der Einzelprozesse beschrieben, sondern auch mit dem Fokus auf übergeordnete Management- oder Governance-Praktiken.

Zum Steuern und Messen der Leistung

Darüber hinaus beschreibt COBIT 5 vier für alle Enabler einheitliche Dimensionen, mit denen sich deren Leistung steuern und messen lässt:

Die ersten beiden Dimensionen stellen sicher, dass die Anforderungen der jeweiligen Anspruchsgruppen erfüllt und die Ziele des Unternehmens erreicht werden. Ein aktiv gemanagter Lebenszyklus und die Anwendung von bewährten Verfahren machen die Zielerreichung noch wahrscheinlicher. Um den Zustand der einzelnen Dimensionen zu überwachen, sind Metriken notwendig. Die können entweder "vorlaufend" (also eher zur Steuerung) eingesetzt oder auch "nachlaufend" verwendet werden (beispielsweise um die Zielerreichung zu überwachen).

Prinzipien, Richtlinien und Rahmenwerke

Die Richtlinien definieren die Vorgaben des jeweiligen Unternehmens in Bezug auf die Einhaltung regulatorischer Vorschriften. Die Planungsdokumente und Konzepte helfen bei der Organisation der Compliance-Aufgaben. Die Kontrolldokumentation protokolliert das interne Kontrollsystem.

Bewährt hat sich in diesem Zusammenhang die Verwendung von Standardarbeitsanweisungen (Standard Operating Procedures = SOP). Sie helfen, die Prozessausführung wiederholbar zu machen sowie die interne Kon-trolldokumentation und Berichterstattung knapp zu halten. In Bezug auf die Lebenszyklus-Steuerung ist wichtig, dass jedes der für die Einhaltung regulatorischer Vorschriften beschriebenenen internen Kontrolldokumente formal überprüft und genehmigt wird.

Die Prozesse

Um die regulatorische Compliance sicherzustellen, sind die dafür nötigen Prozesse einzurichten. Zudem muss das Unternehmen in der Lage sein, die Einhaltung der relevanten Bestimmungen auch zu überwachen sowie gegenüber internen und externen Interessengruppen nachzuweisen.

Rund ein Drittel der COBIT-Prozesse sind in diesem Zusammenhang relevant. Vor allem der Prozess MEA03 ("Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen") sorgt dafür, dass die Compliance-Anforderungen identifiziert und eingehalten werden und die IT- in die Unternehmens-Compliance integriert ist.

Die Organisationsstrukturen

Als verantwortlich für die Einhaltung von regulatorischen Vorschriften sieht COBIT 5 vor allem die Compliance-Gruppe, die Geschäftsprozessverantwortlichen, die Führungskräfte, die Revision und den Architekturausschuss. Die Organisationsstrukturen müssen im Lebenszyklus gesteuert werden. Bewährte Praktiken für den Architekturausschuss sind unter anderen dessen ausgewogene Zusammensetzung und definierte Eskalationsverfahren.

Kultur, Ethik und Verhalten

Für die Aufrechterhaltung der Compliance sind unter anderem Risikobewusstsein und Eigenverantwortung wichtig. Bewährte Praktiken, die solche Verhaltensweisen fördern, sind beispielsweise die Definition von Regeln zur Übernahme von Verantwortung oder die Kommunikation von Risikobewusstsein als Unternehmenswert durch das Management.

Information

Eine wirksame regulatorische Compliance benötigt Informationen über gesetzliche und regulatorische Compliance-Anforderungen, Berichte über die Einhaltung der Compliance und ein Register der Compliance-Anforderungen. Für jedes dieser Informationselemente gibt es bewährte Praktiken, die COBIT 5 in einem Sechsschichtenmodell mit Informationsattributen darstellt:

1. Schicht der physischen Welt: Informationsträger/Medium;

2. Empirische Schicht: Informationszugriffs-Kanal;

3. Syntaktische Schicht: Code/Sprache;

4. Semantische Schicht: Informationstyp, Informationsaktualität und Informationsebene;

5. Pragmatische Schicht: Aufbewahrungszeitraum, Informationsstatus, Neuheit und Abhängigkeit/Kontingenz;

6. Schicht der sozialen Welt: Kontext.

Für jede dieser sechs Schichten und jedes relevante Informationselement lassen sich bewährte Praktiken definieren.

Services, Infrastruktur und Anwendungen

Als relevante Services für die Einhaltung von regulatorischen Vorschriften nennt COBIT 5 unter anderen Sicherheits-Management-Systeme sowie Test und Validierung. Relevante Anwendungen hingegen können GRC-Applikationen (Governance, Risk, Compliance) oder Reporting-Werkzeuge sein. Eine bewährte Praxis ist in diesem Zusammenhang die Definition von Dienstvereinbarungen, die vom Serviceanbieter erreicht werden müssen.

Mitarbeiter, Fähigkeiten und Kompetenzen

Die Compliance-Kernfähigkeiten umfassen ein weites Spektrum an Fähigkeiten wie Risikobewertung oder Wissen über das interne Kontrollsystem und den Inhalt von regulatorischen Vorschriften. Bewährt hat sich darüber hinaus, objektive Fähigkeitsanforderungen zu definieren.

Wichtige Elemente im Lebenszyklus bestehen darin, die dafür benötigten Fähigkeiten zu entwickeln (durch Schulungsmaßnahmen etc.) oder zu erwerben (beispielsweise durch Rekrutierung). Anschließend müssen sie über die verschiedenen Rollen innerhalb der Organisation zur Verfügung gestellt werden.