IT-Compliance
So lässt sich das Konzept der COBIT-5-Enabler nutzen
Die Prozesse
Um die regulatorische Compliance sicherzustellen, sind die dafür nötigen Prozesse einzurichten. Zudem muss das Unternehmen in der Lage sein, die Einhaltung der relevanten Bestimmungen auch zu überwachen sowie gegenüber internen und externen Interessengruppen nachzuweisen.
Rund ein Drittel der COBIT-Prozesse sind in diesem Zusammenhang relevant. Vor allem der Prozess MEA03 ("Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen") sorgt dafür, dass die Compliance-Anforderungen identifiziert und eingehalten werden und die IT- in die Unternehmens-Compliance integriert ist.
Die Organisationsstrukturen
Als verantwortlich für die Einhaltung von regulatorischen Vorschriften sieht COBIT 5 vor allem die Compliance-Gruppe, die Geschäftsprozessverantwortlichen, die Führungskräfte, die Revision und den Architekturausschuss. Die Organisationsstrukturen müssen im Lebenszyklus gesteuert werden. Bewährte Praktiken für den Architekturausschuss sind unter anderen dessen ausgewogene Zusammensetzung und definierte Eskalationsverfahren.
Kultur, Ethik und Verhalten
Für die Aufrechterhaltung der Compliance sind unter anderem Risikobewusstsein und Eigenverantwortung wichtig. Bewährte Praktiken, die solche Verhaltensweisen fördern, sind beispielsweise die Definition von Regeln zur Übernahme von Verantwortung oder die Kommunikation von Risikobewusstsein als Unternehmenswert durch das Management.
Information
Eine wirksame regulatorische Compliance benötigt Informationen über gesetzliche und regulatorische Compliance-Anforderungen, Berichte über die Einhaltung der Compliance und ein Register der Compliance-Anforderungen. Für jedes dieser Informationselemente gibt es bewährte Praktiken, die COBIT 5 in einem Sechsschichtenmodell mit Informationsattributen darstellt:
1. Schicht der physischen Welt: Informationsträger/Medium;
2. Empirische Schicht: Informationszugriffs-Kanal;
3. Syntaktische Schicht: Code/Sprache;
4. Semantische Schicht: Informationstyp, Informationsaktualität und Informationsebene;
5. Pragmatische Schicht: Aufbewahrungszeitraum, Informationsstatus, Neuheit und Abhängigkeit/Kontingenz;
6. Schicht der sozialen Welt: Kontext.
Für jede dieser sechs Schichten und jedes relevante Informationselement lassen sich bewährte Praktiken definieren.