COBIT® 5 in der IT-Revision – wie mache ich das ohne die «Control Objectives»?

«Control Objectives for IT and related Technologies»: Dafür stand COBIT® früher als Abkürzung. Mit COBIT® 5 hat sich dies geändert: Anstelle der Controls findet man nun «Enablers». Früher hatten wir einen statischen Satz von Kontrollpunkten für einen Prozess. Dieser wurde ersetzt durch einen flexiblen Ansatz der Prüfung von Elementen der Kontrolle, wie z.B. Prozesse, Organisationsstrukturen, Richtlinien, Infrastrukturen oder Mitarbeiter und deren Skills. Man hat heute also viel flexiblere Wege, die Compliance und Governance einer IT-Organisation zu prüfen und der Dynamik einer Organisation auch in der Prüfung gerecht zu werden. Mehr Flexibilität bei der Auswahl der Prüfziele bedeutet aber auch mehr Aufwand.

Ich hatte die Gelegenheit, eine Organisation der öffentlichen Verwaltung bei der Einführung einer IT-Revisionsfunktion auf Basis von COBIT® 5 zu unterstützen und möchte in diesem Blog ein paar Erfahrungen teilen.

Zunächst müssen wir klären, was ein Control ist. Folgende Darstellung aus COBIT® 4 illustriert dies sehr schön:

Ein Control erlaubt demnach den stetigen Vergleich eines Kontrollziels (Prozess, Service etc.) gegenüber einer Norm oder einem Ziel. Dies impliziert jedoch auch, dass wir die Ziele und die Steuermessgrössen dynamisch anpassen können. Mit vordefinierten Controls ist dies nicht möglich.

Betrachten wir dazu ein Control Objective aus COBIT® 4.1. Hier ist ein Beispiel für den Change-Management-Prozess:

«AI6.1 Change Standards and Procedures (Standards und Verfahren für Changes) Erstelle formelle Change-Management-Verfahren, um in geregelter Weise alle Anfragen (inklusive Wartung und Patches) für Changes an Anwendungen, Verfahren, Prozessen, System- oder Serviceparametern sowie an Basisplattformen zu behandeln.»

Eine solch starre Vorgabe kann nur der oberflächlichen Prüfung des Prozesses dienen, liefert aber wenig spezifische Informationen zur spezifischen Situation einer Organisation.

Die 7 Enabler in COBIT® 5

COBIT® 5 schlägt deswegen die 7 «Enablers» (siehe Abbildung 2) vor, die in vier Dimensionen messbar gemacht werden können: Stakeholders, Ziele, Lebenszyklus und bewährte Verfahren. Damit haben wir eine flexible Grundlage, um alle Enabler der Governance als Prüfziele einsetzen zu können. Wir können damit die Prüfung der spezifischen Situation z.B. des Prozesses oder der Mitarbeiter oder der Organisation anpassen und auch die Ziele und Dynamik der Organisation mit sich entwickelnden Prüfzielen abbilden.

Darin liegt nun aber auch die Schwierigkeit: Wie bestimmen wir, welche Prüfziele in welcher Situation sinnvoll sind? Diese Selektion kann zu Beginn aufwändig sein. Mit wachsender Erfahrung lässt sich aber ein flexibles Gerüst für die IT-Revision und darüber hinaus für strategische Governance (COBIT® 5 spricht von der «Governance of Enterprise IT») entwickeln.

Im Falle unseres Kunden haben wir über mehrere Workshops die Ziele der Revision, die Methodik und dann die konkreten Prüfziele entwickelt und diese schliesslich mit einem Testaudit überprüft. Die nachfolgende Tabelle zeigt die Prüfziele für den Change-Management-Prozess auf zwei Ebenen: allgemeine Prozess-Eigenschaften und spezifische Prozess-Eigenschaften, die verschiedene Enabler und Prüfdimensionen verknüpfen:

Fazit

Im Testaudit hat sich gezeigt, dass die Prüfung mit dieser Methodik sehr aufwändig ist und viel Fachwissen benötigt – sowohl beim Auditor als auch bei der interviewten Person. Die erste vollständige IT-Revision wird nur einen Teil der entwickelten Prüfziele nutzen. Es wurde jedoch klar, dass die Methodik das Potenzial hat, eine einheitliche und trotzdem flexible IT-Revision zu ermöglichen. Zudem kann sie durch das Beifügen von Messzielen (Indikatoren) fliessend in Richtung Governance ausgebaut werden.