CobiT 2019 ist ein IT-Governance-Framework, entwickelt von der ISACA, das Organisationen dabei unterstützt, ihre IT-Prozesse effizient zu steuern, zu überwachen und abzusichern. Als Weiterentwicklung von CobiT 5 bietet CobiT 2019 eine flexiblere Struktur, die den wachsenden Anforderungen moderner IT-Systeme und digitaler Transformation gerecht wird. Das Framework legt besonderen Wert auf Themen wie Agilität, Cybersicherheit, Datenschutz und Risikomanagement. Es bietet klare Richtlinien zur Risikobewertung, Einhaltung von Vorschriften und Ausrichtung der IT an den strategischen Zielen des Unternehmens.
Im COBIT 2019-Framework sind KPIs (Key Performance Indicators) nach den verschiedenen Prozessen und Managementzielen strukturiert und nummeriert. Einige der relevanten KPIs innerhalb des Frameworks sind nach Bereichen wie „Align, Plan and Organize“ (APO) und „Build, Acquire and Implement“ (BAI) kategorisiert. Hier ist eine Übersicht über die Hauptnummern und Bereiche:
APO (Align, Plan and Organize):
APO01: Verwaltung des IT-Managementrahmens
APO02: IT-Strategie-Management
APO07: Personalmanagement, z. B. APO07.03 für die Entwicklung von IT-Fähigkeiten und Kompetenzen
APO10: Verwaltung von Anbietern und Dienstleistern
APO12: Risiko-Management
BAI (Build, Acquire and Implement):
BAI01: Programm- und Projektmanagement
BAI02: Definition und Management von IT-Projekten, z. B. BAI02.01 für die Planung und Priorisierung von Projekten
BAI05: System-Entwicklung und -Wartung
BAI09: Verwaltung von Asset-Lebenszyklen
DSS (Deliver, Service and Support):
DSS01: Serviceabwicklung und Support
DSS03: Verwaltung von IT-Problemen und Vorfällen
DSS05: Verwaltung der IT-Sicherheit
MEA (Monitor, Evaluate and Assess):
MEA01: Überwachung und Beurteilung der IT-Leistung und -Konformität
MEA03: Überwachung und Beurteilung des internen Kontrollsystems
Diese 40 Hauptziele werden weiter in detaillierte Unterprozesse und -aktivitäten unterteilt, die spezifische Aspekte des IT-Managements und der Governance abdecken. Insgesamt enthält das COBIT 2019-Framework 94 Unterprozesse. Jeder dieser Unterprozesse beschreibt bestimmte Aktivitäten und Praktiken, die zur Erreichung der Management- und Governance-Ziele erforderlich sind
Complementary User Entity Controls (CUECs) sind ergänzende Kontrollen, die von den Kunden eines
Dienstleisters implementiert werden müssen, um die Effektivität der internen Kontrollsysteme (IKS)
des Dienstleisters zu gewährleisten. Diese Kontrollen sind ein wesentlicher Bestandteil der ISAE 3402
Zertifizierung, da sie sicherstellen, dass potenzielle Lücken durch die Zusammenarbeit von
Dienstleister und Kunde geschlossen werden. Ohne die Implementierung der CUECs durch die „User
Entities“ könnten die internen Kontrollen des Dienstleisters in ihrer Wirksamkeit eingeschränkt sein.
Das COSO Framework ist ein weltweit anerkanntes Modell für die Gestaltung und Bewertung interner Kontrollsysteme. Entwickelt von der Committee of Sponsoring Organizations of the Treadway Commission (COSO), besteht es aus fünf zentralen Komponenten: Kontrollumfeld, Risikobewertung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung. Diese Komponenten helfen Unternehmen, Risiken effizient zu identifizieren, zu managen und betriebliche Abläufe zu optimieren. Besonders im Bereich der Finanzberichterstattung und des Risikomanagements spielt das COSO Framework eine zentrale Rolle zur Einhaltung von Standards und zur Stärkung des Vertrauens der Stakeholder.
In der ISAE 3402 Berichterstattung beziehen sich Kriterien auf spezifische Standards und
Rahmenwerke, anhand derer die internen Kontrollsysteme (IKS) eines Dienstleisters geprüft werden.
Diese dienen als Grundlage für die Definition, Dokumentation und Bewertung der Kontrollziele. Zu
den gängigen Kriterien zählen internationale Normen wie COSO und COBIT, die Anforderungen an
Struktur, Prozesse und Wirksamkeit der Kontrollen festlegen. Die Auswahl der Kriterien ist
entscheidend für die Tiefe der Prüfung und stellt sicher, dass die Kontrollen den gesetzlichen und
branchenspezifischen Anforderungen entsprechen.
Dieser Unterprozess fokussiert sich auf die Überwachung der Governance-Anforderungen, die von den Stakeholdern eines Unternehmens gestellt werden. Es geht darum, sicherzustellen, dass die Bedürfnisse und Erwartungen der Stakeholder, wie z. B. Investoren, Kunden und Regulierungsbehörden, berücksichtigt und erfüllt werden. Die Überwachung umfasst die Bewertung der Wirksamkeit der Governance-Richtlinien und -Prozesse sowie die Berichterstattung über den Fortschritt und die Einhaltung dieser Richtlinien.
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die seit Mai 2018 den Umgang mit personenbezogenen Daten regelt. Sie gilt für alle Unternehmen und Organisationen, die Daten von EU-Bürgern verarbeiten, unabhängig vom Standort. Die DSGVO legt fest, wie personenbezogene Daten rechtmäßig erhoben, verarbeitet und gespeichert werden müssen, und schützt die Rechte der Betroffenen, einschließlich des Rechts auf Auskunft, Löschung und Datenübertragbarkeit. Verstöße können zu hohen Geldstrafen führen, bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes eines Unternehmens.
DSS01.01 bezieht sich auf die Einrichtung und den Betrieb eines IT-Service-Desks, der als zentrale Anlaufstelle für alle IT-bezogenen Anfragen, Vorfälle und Supportanforderungen dient. Dieser Prozess stellt sicher, dass Benutzer schnell und effizient Unterstützung erhalten und IT-Probleme zeitnah gelöst werden. Ein gut funktionierender IT-Service-Desk trägt dazu bei, die IT-Betriebszeit zu maximieren und die Benutzerzufriedenheit zu verbessern.
Dieser Unterprozess konzentriert sich auf das Management von Service-Anfragen, die beim IT-Service-Desk eingehen. DSS01.02 stellt sicher, dass alle Anfragen ordnungsgemäß erfasst, priorisiert und bearbeitet werden. Durch die effiziente Bearbeitung von Anfragen wird die IT-Abteilung in die Lage versetzt, Probleme schnell zu lösen und den Benutzern die Unterstützung zu bieten, die sie benötigen, um produktiv zu arbeiten.
DSS01.03 bezieht sich auf die regelmäßige Berichterstattung über die Leistung der IT-Dienstleistungen. Dieser Prozess stellt sicher, dass alle relevanten Kennzahlen, wie z. B. Reaktionszeiten, Lösungsgeschwindigkeiten und Kundenzufriedenheit, überwacht und dokumentiert werden. Durch die Berichterstattung können Verbesserungsbereiche identifiziert und Maßnahmen zur Steigerung der Servicequalität ergriffen werden.
