Information Technology Reference
In-Depth Information
ME1 Monitor and evaluate IT performance
ME2 Monitor and evaluate internal control
ME3 Ensure compliance with external requirements
ME4 Provide IT governance
6.2.2.3■Basierend auf Kontrollen (Controls)
Controls dienen der Prüfung, ob eingesetzte Verfahren und vorhandene Organisationsstruk-
turen ausreichend Sicherheit geben, dass die Unternehmensziele erreicht werden und nicht
erwünschte Ereignisse verhindert werden. Ein Control Objective (Steuerungsvorgabe) liefert
also ein Set an Anforderungen, die durch einen Prozess erfüllt werden müssen. Im Betrieb
werden die Ergebnisse der betrachteten Prozesse regelmäßig mit den Vorgaben aus den
Control Objectives oder auch aus Standards und Normen verglichen und bei Abweichungen
werden konkrete Korrekturmaßnahmen eingeleitet.
Jedes Unternehmen sollte ein internes Kontrollsystem (IKS) etablieren, das eine angemessene
Sicherung der Zielerreichung in den Kategorien „Efektivität und Eizienz des Betriebes“,
„Zuverlässigkeit des Financial Reporting“ und „Compliance“ gewährleisten soll.
Jeder der in COBIT beschrieben Prozesse verfügt neben der Prozessbeschreibung über ein Set
aus Steuerungsvorgaben (control objectives) und kann so mittels dieser Controls gesteuert
werden. Zusätzlich zu diesen prozessspeziischen Control Objectives wird in COBIT ein Satz
generischer Steuerungsvorgaben deiniert, die für jeden vorhandenen Prozess Gültigkeit
haben. Im Folgenden sind die generischen Steuerungsvorgaben aufgeführt, die mit dem
Kürzel „PC“ für „Process Control“ gekennzeichnet werden.
PC1 Process Goals and Objectives: Jeder COBIT-Prozess sollte klare Ziele und Richtwerte
haben, damit eine efektive Prozessausführung möglich ist.
PC2 Process Ownership: Jeder COBIT-Prozess sollte einen Owner haben.
PC2 Process Repeatability: Jeder COBIT-Prozess sollte so deiniert sein, dass er wieder-
holbar ist.
PC4 Roles and Responsibilities: Für jeden COBIT-Prozess sollten unmissverständliche
Rollen, Aktivitäten und Verantwortlichkeiten deiniert werden.
PC5 Policy, Plans and Procedures: Für jeden COBIT-Prozess sollten Richtlinien, Pläne und
Verfahren dokumentiert, überprüt, aktuell gehalten, genehmigt und allen Betrofenen
kommuniziert werden.
PC6 Process Performance Improvement: Für jeden COBIT-Prozess sollte die Performance
anhand der Ziele gemessen werden.
Weitere Typen von Control Objectives sind IT General Controls (auch anwendungsunabhän-
gige Controls) und Application Controls (AC), bei denen es sich um automatisierte Controls
handelt. Die Verantwortung für die Application Controls liegt nicht in der IT, sondern bei
den Verantwortlichen für die jeweils von der Applikation unterstützten Geschätsprozesse,
also z. B. die Fachbereichsleiter des Kunden.
