Während die Stärke von ITIL bzw. der ISO 20000 in der Definition von Best Practice für das IT Service Management liegt, ist deren Auditierbarkeit und Revision in der Dokumentation nur rudimentär beschrieben. Hier liefert COBIT eine sinnvolle Ergänzung zu ITIL und ISO 20000, indem Control Objectives („Steuerungsziele“) des IT Service Managements auf Basis der COBIT Best Practice definiert werden können.
Zielsetzung
COBIT (Control Objectives for Information and Related Technology) ist ein internationales Modell von Best Practice IT-Prozessen. Dieses Modell wurde ursprünglich von der Information Systems Audit and Control Foundation (ISACF) entwickelt, dem Forschungsinstitut der Information Systems Audit and Control Association (ISACA). Ursprünglich war COBIT für den Einsatz bei Wirtschaftsprüfern und Auditoren vorgesehen. Das COBIT-Framework besteht aus gängigen, generell akzeptierten Praktiken (Best Practice), welche sicherstellen, dass die IT(-Prozesse) die Geschäftsziele abdeckt, dass die Ressourcen verantwortungsvoll eingesetzt und die Risiken angemessen überwacht werden – was mit dem Begriff „IT Governance“ bezeichnet wird.
COBIT unterstützt das IT Governance durch die Bereitstellung einer umfassenden Beschreibung der Control Objectives (Anforderungen, Steuerungsziele) für IT-Prozesse und bietet die Möglichkeit den Reifegrad dieser Prozesse zu messen.
Als Bindeglied zwischen IT und dem Prüfungswesen/Auditierung, verbindet und vereinheitlicht COBIT Standards von 18 unterschiedlichen Quellen aus aller Welt zu einer wesentlichen Informationsquelle für das Management und für IT-Revisoren.
Bei einer näheren Betrachtung von COBIT lässt sich feststellen, dass es Schnittsellen zum IT Service Management von ITIL bzw. ISO 20000. Die Stärken von ITIL bzw. der ISO 20000 liegen in den dokumentierten Best Practice für die IT Prozesse (Prozessabläufe, Schnittstellen, etc.) und zugrunde liegender . Dokumente (SLA, Servicekatalog, Serviceportfolio). Die Anforderungen an die Auditierung dieser Prozesse und wirksamer Kennzahlen zur Messung der Effektivität und Effizienz sind dagegen nur rudimentär vorhanden, zum Teil nicht durchgängig und konzentrieren sich häufig auf die Prozessperformance (KPI bzw. Performance Indicator). Die Überwachung des Prozess-Outputs (Outcome Measure) wird häufig in der Betrachtung vernachlässigt. Anders verhält es sich dagegen bei COBIT. Hier sind Prozesse auf einer hohen Ebene beschrieben, aber es fehlt an einer detailliert Prozessbeschreibung. Die Control Objectives und Kennzahlen sind dafür gegenüber ITIL, ISO 20000 besser herausgearbeitet und dokumentiert.
Daher bietet sich eine Kombination beider Ansätze an: Auf Basis von ITIL bzw. ISO 20000 können die Prozesse entwickelt bzw. optimiert werden sowie mithilfe von COBIT die notwendigen Control Objectives und Messbarkeit genutzt werden.
Eine ausführliche Beschreibung zu COBIT können Sie unserem Download Bereich entnehmen.