COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Inhalt (im Vergleich alt – neu) Geschichte und was neu ist COBIT-Elemente (Bücher)
(IT-) Prozesse RACI Input-Output
fehlende Inhalte und offene Fragen
COBIT5 – alter Wein in neuen Schläuchen?
ALT
NEU
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Disclaimer
Diese Präsentation ist weder von ISACA International noch vom ISACA Switzerland Chapter in irgendeiner Weise beauftragt oder genehmigt.
Peter R. Bitterli, CISA, CISM, CGEIT http://www.bitterli-consulting.ch [email protected] Bitte beachten Sie das Urheberrecht: Jegliche Verwendung von Folien oder Folienausschnitten aus dieser Präsentation im Rahmen von kommerziellen Veranstaltungen ist strikt verboten. Sie dürfen diese Folien ausschliesslich zusammen mit diesem Copyright-Vermerk an Dritte weitergeben. Wenn Sie Teile daraus in eigenen Referaten oder Darstellungen verwenden, bitte ich Sie um einen entsprechenden Quellenhinweis – so wie auch ich bei allen von anderen Personen oder Stellen übernommenen Darstellungen einen entsprechenden Hinweis aufführe.
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Die COBIT-Geschichte
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/7 2000 1998
Evo
lutio
n of
sco
pe
1996 2012
Val IT 2.0 (2008)
Risk IT (2009)
NEU
ALT
ALT
ALT
ALT
basierend auf Quelle: “COBIT 5 Introduction Presentation” © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT Zusatzprodukte
•Control Objectives for SOX• Control Objectives for Basel II• COBIT Security Baseline
COBIT 4.1Eigentliches Framework
COBIT 4.1Spezielle Komponenten
COBIT 4.1Zusätzliche Komponenten
COBIT 4.1 Produkt-Familie Stand August 2011
Kontrollziele• High-Level• Detaillierte Kontrollziele
Management Guidelines• Prozess Input-Output• RACI Chart• Ziele und Messgrössen
Maturitäts-Modelle• generisch• spezifisch
COBITOnline
IT Assurance Guide
IT Governance Implementation Guide
Control Practices
in COBIT 5 geplant/enthalten in COBIT 5 stark geändert
ALT
COBITQuickstart
in COBIT 5 nicht auffindbar
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 5 Produkt-Familie
bereits veröffentlicht
NEU
Principles
Process Details
Management Guidelines
Maturity Models
THE RISK IT FRAMEWORKTHE RISK IT FRAMEWORK
Need for IT Governance and Assurance
The COBIT® Framework
IT Assurance Approaches
How COBIT Supports IT Assurance Activities
USING COBIT®AN INFORMATION SECURITY
SURVIVAL KIT
Current Security Risks
44 Steps Towards Security
Information Security Survival Kits
2NDEDITION
ENTERPRISE VALUE:GOVERNANCE
OF IT INVESTMENTS
ENTERPRISE VALUE:GOVERNANCE
OF IT INVESTMENTS
The Val IT Framework 2.0
B A S E D O N C O B I T ®
wahrscheinlich verwendet
bereits verwendet
basierend auf Quelle: “COBIT 5 Framework” Fig. 1 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Wert-Schöpfung
Ressourcen-
Verwaltung
Strategische
Ausrichtung
Risiko-
ManagementLeistungs-
messung
Governance mit COBIT 4Fünf Faktoren (Ausprägungen) von Governance
ALT
Risk Optimization
Resource Optimization
in COBIT 5 direkt auffindbar in COBIT 5 indirekt auffindbar
(als Benefits Realization)
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
NEU Governance mit COBIT 5Stakeholder Needs prägen das Vorgehen
Quelle: “COBIT 5 Framework”, Fig. 3+5 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4 Life CycleALT
in COBIT 5 direkt auffindbar ? in COBIT 5 schwer auffindbar
?
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 5 Life CycleNEU
Quelle: “COBIT 5 Framework”, Fig. 15 © 2012 ISACA
Quelle: “CGEIT Review Manual 2011”
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 Prozess-Modell
in COBIT 5 enthalten
in COBIT 5 fehlend
Deliver & Support
Monitor
Acquire & Implement
Plan & Organise
Define Strategic IT Plan
Define IT Organization
& Relationships
Manage IT Investment
Determine Technological
Direction
Communicate Aims &
Direction
Manage Human
Resource
Ensure Compliance
With External Standards
Assess Risks
Manage Projects
Manage Quality
Identify Automated Solutions
Acquire & Maintain
Application Software
Acquire & Maintain
Technology Infrastructure
Develop & Maintain
IT Procedures
Install & Accredit Systems
Manage Change
Manage Performance & Capacity
Ensure Continuous
Service
Ensure System Security
Identify & Allocate
Costs
Manage Third-Party Services
Define & Manage Service Levels
Educate &
Train Users
Assist & Advise
IT Customers
Manage Configuration
Manage Problems & Incidents
Manage Data
Manage Facilities
Manage Operations
Monitor The
Process
Assess Internal Control
Adequacy
Obtain Independent Assurance
Provide Independent
Audit
Define Information
Architecture
ALT
basierend auf Quelle: Urs Fischer”
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli 14
COBIT 5 Prozess-ModellNEU
in COBIT4.1 enthalten
in COBIT 5 “neu” ?
basierend auf Quelle: “COBIT 5 Framework” Fig. 16 © 2012 ISACA Analyse © 2012 Peter R. Bitterli
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
In COBIT 4 integrierte Quellen nationale und internationale Standards
Technische Standards von ISO, EDIFACT, usw.
Codes of conduct herausgegeben durch EU, OECD, ISACA, usw.
Qualifikationskriterien für IT-Systeme und -Prozesse: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, ITIL, Common Criteria, usw.
Berufsstandards in interner Kontrolle und Revision: COSO Report, IFAC, AICPA, IIA, ISACA, PCIE, GAO Standards, usw.
Industrie-Praktiken und Anforderungen von Industrie-gremien (ESF, I4) und staatlich-gesponsorten Plattformen (IBAG, NIST, DTI), usw.
Neue industrie-spezifische Anforderungen aus den Umfeld Banken, Electronic Commerce und IT-Herstellern
ALT
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
In COBIT 5 integrierte Quellen nationale und internationale StandardsNEU
basierend auf Quelle: “COBIT 5 Framework”, Fig. 25 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 5 Prozess-ModellNEU
Quelle: “COBIT 5 Framework” Fig. 16 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 5 Prozess-ModellNEU
basierend auf Quelle: “COBIT 5 Framework” Fig. 16 © 2012 ISACA Analyse 2012 © Peter R. Bitterli
in Standards enthalten
nicht in Standard
ISO/IEC 20000
ITIL V3
ISO/IEC 27002
NIST SP800
BS 25999
Prince2 PMBOK
TOGAF
ISO/IEC 31000
ISO/IEC 27001
ISO/IEC 38500
ISO/IEC 9001
SFIA
COSO
King III OECD –
Corporate Governance Principle
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Neue und deutlich veränderte Prozesse
There are several new and modified processes that reflect current thinking, in particular:
APO03 Manage enterprise architecture
APO04 Manage innovation
APO05 Manage portfolio
APO06 Manage budget and costs
APO08 Manage relationships
APO13 Manage security
BAI05 Manage organisational change enablement
BAI08 Manage knowledge BAI09 Manage assets
DSS05 Manage security service
DSS06 Manage business process controls
Quelle: “Comparing COBIT 4.1 and COBIT 5 Presentation” © 2012 ISACA
NEU
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Hierarchische Struktur COBIT 4 Ermöglicht gezielte Auswahl von COBIT-Elementen
IT-Prozess mit High Level IT-Kontrollziel
Mehrere detaillierte IT-Kontrollziele
Input/Output-Chart
RACI-Chart pro Aktivität
Goals & Metrics
Maturitätsmodell
ALT
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Hierarchische Struktur COBIT 5 Ermöglicht gezielte Auswahl von COBIT-Elementen
Prozess mit: Purpose statement
IT-related goals and related metrics
Process goals and related metrics RACI-Chart
pro key management practice
Key governance/management practices
Input/Output-Chart
NEU
Quelle: “COBIT 5 Enabling Processes” EDM01 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 Input-Output Chart AI6 aus COBIT Management Guidelines
ALT
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO1
0A
I1A
I2A
I3A
I4A
I5A
I6A
I7D
S1
DS
2D
S3
DS
4D
S5
DS
6D
S7
DS
8D
S9
DS
10
DS
11
DS
12
DS
13
ME
1M
E2
ME
3M
E4
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO1
0A
I1A
I2A
I3A
I4A
I5A
I6A
I7D
S1
DS
2D
S3
DS
4D
S5
DS
6D
S7
DS
8D
S9
DS
10
DS
11
DS
12
DS
13
ME
1M
E2
ME
3M
E4
X X X X X X PO1 X X X X X X X X X X X X XX X X X X PO2 X X X X X X XX X X X PO3 X X X X X XX X X X X X X X PO4 o o o o o o X o o o o o o o o o X o o o o o o o o o o o o o o o o XX X X X X X X X PO5 X X X X X X XX X X PO6 o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o
X X PO7 o o o X o o o o o X o o o o o o o o o o o o o X o o o o o o o o o oX X X PO8 o o o X o o o o o X X X X o X X X o X o o o o o o o o o o o o o o oX X X X X X X PO9 X X X X X X X XX X X X X PO10 X X X X X X X X X X X X XX X X X X X X AI1 X X X X X X X
X X X X X X X AI2 X X X X X XX X X X X X AI3 X X X X X X X
X X X X X X AI4 X X X X X X XX X X X X X X AI5 X XX X X X X X X X X AI6 X X X X X X X
X X X X X X X X AI7 X X X X X X XX X X X X X X DS1 X X X X X X X X X X X XX X X X X DS2 X X X
X X X DS3 X X X X X X XX X X X X DS4 X X X X X X X XX X X X X DS5 X X X X X
X X X X DS6 X XX X X X X DS7 X X
X X X X X X X X X DS8 X X X XX X X DS9 X X X X X
X X X X DS10 X X XX X X X DS11 X XX X X DS12 X
X X X X X X DS13 X X XX X X X X X X X X X X X X X X X X X X ME1 X X X X X X X
X ME2 X X X XME3 X X X
X X X X X ME4 X X X X X
INPUT OUTPUT
Detailliertes Mapping Input-Output © Bitterli Consulting AG
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 5 Input-Output Chart BAI06 aus COBIT Management Guidelines
NEU
Quelle: “COBIT 5 Enabling Processes” BAI06 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 + 5 RACI Chart
NEU
ALT
Quelle: “Comparing COBIT 4.1 and COBIT 5 Presentation” © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 Maturitätsmodell generisches Maturitätsmodell mit 6 Ausprägungen
. Generell Bewusstsein und Kommunikation
Policies, Standards und Verfahren
Werkzeuge und Automatisierung
Skills und Expertise Zuständigkeit und Verantwortlichkeit
Zielsetzung und Messung
0 Non-existent (nicht existent)
Es ist kein Prozess erkennbar. Das Unternehmen hat nicht einmal den Bedarf erkannt, dass das Thema in Angriff genommen werden soll.
1 Initial (initial)
Es bestehen Anzeichen, dass das Unternehmen den Bedarf erkannt hat, das Thema zu behandeln. Es existieren jedoch keine standardisierten Prozesse, es ist vielmehr ein ad-hoc-Ansatz in Verwendung, der individuell und situationsbezogen angewandt wird. Der gesamthafte Managementansatz ist nicht organisiert.
Kenntnis über den Bedarf für den Prozess entsteht. Die Themen werden sporadisch kommuniziert.
Es sind ad-hoc Ansätze für Pro-zesse und Verfahren im Einsatz. Prozesse und Policies sind nicht definiert.
Einige Werkzeuge existieren; Nutzung basiert auf Desktop-Tools. Es existiert keine geplante Herangehensweise für den Tool-Einsatz.
Für den Prozess notwendige Skills sind nicht festgehalten. Ein Schulungsplan existiert nicht und formales Training ist nicht in Ver-wendung.
Zuständigkeiten und Verantwort-lichkeiten sind nicht festgelegt. Übernahme von Themen basiert auf Eigeninitiative und reaktiv.
Ziele sind nicht klar und werden nicht gemessen.
2 Repeatable (wiederholbar)
Prozesse wurden soweit entwickelt, dass gleich-artige Verfahren von unterschiedlichen Personen angewandt werden, die dieselbe Aufgabe übernehmen. Es besteht kein formales Training oder eine Kommunikation der Standardverfahren und die Verantwortung ist Einzelpersonen überlassen. Es wird stark auf das Wissen von Einzelpersonen vertraut, demzufolge sind Fehler wahrscheinlich.
Bewusstsein für Handlungsbedarf besteht. Das Management kommuniziert den Gesamtbedarf.
Ähnliche allgemeine Prozesse entwickeln sich, aber basieren auf Intuition und individueller Exper-tise. Teile des Prozesses sind auf Grund individueller Expertise wiederholbar; etwas Dokumen-tation und informelle Kenntnis über Policies und Verfahren existiert.
Allgemeine Ansatze für den Tool-einsatz sind erkennbar, aber Lö-sungen wurden durch Einzelper-sonen entwickelt. Werkzeuge von Herstellern wurden beschafft, aber werden unter Umständen nicht angewandt und sind even-tuell nur Staubfänger (engl. shelf-ware)
Minimalerfordernisse von Skills wurden für kritische Bereiche fest-gelegt. Trainings werden eher bedarfsgesteuert als geplant durchgeführt und informelles Training-on-the-Job wird eingesetzt.
Einzelpersonen vermuten deren Zuständigkeit und werden übli-cherweise verantwortlich ge-macht, obwohl dies nicht formell festgelegt wurde. Es besteht Unklarheit über die Zuständigkeit, wenn Probleme auftreten und eine Kultur von Schuldzuweisung ist verbreitet.
Einige Ziele werden gesetzt; finanzbezogene Messungen wurden entwickelt aber sind nur der Geschäftsführung bekannt. Monitoring ist inkonsistent und auf Einzelbereiche konzentriert.
3 Defined (definiert)
Verfahren wurden standardisiert und dokumentiert und durch Trainings kommuniziert. Die Einhaltung der Prozesse ist jedoch der Einzelperson überlassen und die Erkennung von Abweichungen ist unwahrscheinlich. Die Verfahren sind nicht ausgereift und sind ein formalisiertes Abbild bestehender Praktiken.
Verständnis für Handlungsbedarf besteht. Das Management kommuniziert formeller und strukturierter.
Verwendung von Good Practices entwickelt sich. Prozesse, Policies und Verfahren sind für wesent-liche Aktivitäten definiert und dokumentiert.
Ein Plan zur Verwendung und Standardisierung von Werkzeu-gen zur Automatisierung von Pro-zessen wurde entwickelt. Werk-zeuge werden in deren Hauptein-satzbereichen angewandt, aber nicht immer in Abstimmung mit dem Plan und sind nicht integriert.
Erfordernisse für Skills sind für alle Bereiche definiert und doku-mentiert. Ein formeller Schulungs-plan wurde entwickelt, aber for-malisiertes Training erfolgt nach wie vor auf Basis von Eigen-initiative.
Prozesszuständigkeiten und -ver-antwortlichkeiten sind definiert und Prozesseigner wurden fest-gelegt. Der Prozesseigner hat oft nicht die volle Autorität, die Zu-ständigkeiten zuzuweisen.
Einige Ziele und Messgrössen der Wirksamkeit sind definiert, aber nicht kommuniziert und es besteht eine Verbindung zu den Unter-nehmenszielen. Messprozesse sind in Entwicklung, werden aber nicht durchgängig angewandt. Ideen der IT-Balanced-Scorecard werden umgesetzt und Ursachen für Abweichungen (engl. root-cause) analysiert.
4 Managed (gemanagt)
Es ist möglich, die Einhaltung von Verfahren zu überwachen und zu messen und Aktionen dort zu ergreifen, wo Prozesse nicht wirksam funktionieren. Prozesse werden laufend verbessert und stellen bewährte Praktiken dar. Automatisierung und Werkzeugunterstützung findet eingeschränkt und nicht integriert statt.
Die Anforderungen werden um-fassend verstanden. Reife Kommunikationstechniken werden angewandt und standardisierte Kommunikationswerkzeuge sind im Einsatz.
Der Prozess ist rund und vollstän-dig; interne Best Practices werden angewandt. Sämtliche Aspekte des Prozesses sind dokumentiert und wiederholbar. Policies wurden vom Management freigegeben. Standards zur Weiterentwicklung des Prozesses existieren und werden befolgt.
Werkzeuge werden entsprechend einem standardisierten Plan um-gesetzt und einige sind mit ande-ren Werkzeugen integriert. Werk-zeuge werden in wichtigen Be-reichen eingesetzt, um das Pro-zessmanagement zu automati-sieren und wichtige Aktivitäten und Controls zu überwachen.
Erfordernisse für Skills werden routinemässig für alle Bereiche aktualisiert, notwendige Kennt-nisse werden sichergestellt und Zertifizierungen werden unter-stützt. Reife Schulungstechniken werden entsprechend dem Plan angewandt und Knowledge-Sharing wird gefördert. Interne Experten werden einbezogen und die Wirksamkeit des Schulungs-plans wird beurteilt.
Prozesszuständigkeiten und -ver-antwortlichkeit sind anerkannt und arbeiten so, dass der Prozess-eigner seine/ihre Verantwortung erfüllen kann. Eine Belohnungs-kultur ist verbreitet, die zu Ver-besserungen motiviert.
Effizienz und Effektivität wird ge-messen und kommuniziert und ist mit Unternehmenszielen und dem strategischen IT-Plan verbunden. Die IT-Balanced-Scorecard ist in erkannten Problembereichen um-gesetzt und Root-Cause-Analysen sind standardisiert. Laufende Verbesserung ist in Entwicklung.
5 Optimised (optimiert)
Prozesse wurden, basierend auf laufender Verbesserung und Vergleichen mit anderen Unter-nehmen, auf ein Best-Practice-Niveau verbessert. IT wird integriert für die Workflow-Automatisierung verwendet, stellt Werkzeuge für die Verbesserung der Qualität und Wirksamkeit zur Verfügung und macht das Unternehmen flexibel, sich Änderungen anzupassen.
Zukunftsgerichtetes und fortge-schrittenes Verständnis für die Anforderungen. Proaktive Kom-munikation der Themen auf Basis von Trends, die Kommunikations-technik ist ausgereift und inte-grierte Kommunikationswerk-zeuge sind im Einsatz.
Externe Best Practices und Stan-dards werden angewandt. Die Prozessdokumentation wurde zu automatisierten Workflows ent-wickelt. Prozesse, Policies und Verfahren sind festgelegt und integriert und ermöglichen ein vollständiges, durchgängiges Management und Verbesserung.
Standardisierte Werkzeug-Sets werden im gesamten Unterneh-men angewandt. Werkzeuge sind vollständig mit anderen Werkzeu-gen integriert und ermöglichen eine durchgängige Unterstützung des Prozesses. Werkzeuge wer-den eingesetzt, um die Prozess-verbesserung zu unterstützten und Abweichungen werden auto-matisch erkannt.
Die Organisation unterstützt formell die laufende Entwicklung von Skills, die auf klar definierten persönlichen und organisations-weiten Zielen fundieren. Schulung und Bildung unterstützt externe Best Practices und die Verwen-dung von Konzepten und Techni-ken der Spitzenklasse. Know-ledge-Sharing gehört zur Unter-nehmenskultur und wissens-basierte Systeme werden ent-wickelt. Externe und Branchen-experten werden konsultiert.
Prozesseigner sind befähigt, Ent-scheidungen zu treffen und Mass-nahmen zu ergreifen. Verantwort-lichkeiten sind akzeptiert und wurden über die gesamte Organisation gleichartig herunter gebrochen.
Es besteht ein integriertes System zur Performancemessung, welches IT-Performance mit Unternehmenszielen durch eine umfassende IT-Balanced-Score-card verbindet.
Abweichungen werden gesamt-haft und durchgängig ausgewertet und Ursachen analysiert. Konti-nuierliche Verbesserung gehört zum Alltag.
ALT
Quelle: “COBIT 5 Framework” Fig. 18 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 5 Maturitätsmodell generisches Maturitätsmodell mit 6 Ausprägungen
NEU
Quelle: “COBIT 5 Framework” Fig. 19 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1–5 Maturitätsmodell neues, beschränkt vergleichbares Modell auf Basis ISO15504
NEU ALT
Quelle: “COBIT 5 Framework” Fig. 20 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Verknüpfung Business mit IT Ermittlung der IT-Ziele basieren auf Geschäftszielen mit COBIT 4.1
ALT
Quelle: IT Governance Institute
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Verknüpfung Business mit IT Ermittlung der IT-Ziele basieren auf Geschäftszielen mit COBIT 4.1
PO5, DS6
PO2, PO4, PO7, AI3
1. Verknüpfung von Geschäfts- mit IT-Zielen
2. Verknüpfung der IT-Ziele mit IT-Prozessen
ALT
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Verknüpfung Business mit IT Ermittlung der IT-Ziele basieren auf Geschäftszielen mit COBIT 5
NEU
Quelle: “COBIT 5 Framework” Fig. 9 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Verknüpfung Business mit IT Ermittlung der IT-Ziele basieren auf Geschäftszielen mit COBIT 5
NEU
basierend auf Quelle: “COBIT 5 Framework” Fig.22+23 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Implementation IT-Governance Vorgehen gemäss COBIT 4.1 IT Governance Implementation Guide
ALT
Quelle: “IT Governance Implementation Guide, 2nd ed Fig 4”
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Implementation IT-Governance Vorgehen gemäss COBIT 5
NEU
Quelle: “COBIT 5 Framework” Fig. 17 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Implementation IT-Governance Vorgehen gemäss COBIT 5 Implementation Guide
NEU
Quelle: “COBIT 5 Implementation” Fig. 16+17+18 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Vermisst werden … Prozesskontrollen PC1 … PC6 Anwendungskontrollen AC1 … AC6
7 Informationskriterien …
COBIT4.1 – wohin sind sie verschwunden?
NEU ALT
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 Prozess-Kontrollen
COBIT 4.1 Prozess-Kontrollen
PC1 Process Goals and Objectives
PC2 Process Ownership
PC3 Process Repeatability
PC4 Roles and Responsibilities
PC5 Policy, Plans and Procedures
PC6 Process Performance Improvement
COBIT 5 Prozess-Kontrollen
NEU
X ALT
basierend auf Quelle: “COBIT 5 Framework” Fig. 19 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 Anwendungs-Kontrollen
COBIT 4.1 Anwendungs-Kontrollen
AC1 Source Data Preparation and Authorisation
AC2 Source Data Collection and Entry
AC3 Accuracy, Completeness and Authenticity Checks
AC4 Processing Integrity and Validity
AC5 Output Review, Reconciliation and Error Handling
AC6 Transaction Authentication and Integrity
COBIT 5 Anwendungs-Kontrollen
DSS06 BAI03
NEU
X ALT
basierend auf Quelle: “COBIT 5 Framework” Fig. 16 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
COBIT 4.1 Informations-Kriterien
Qualität Effizienz
Effektivität
Sicherheit Vertraulichkeit
Verfügbarkeit
Integrität
Rechnungslegung Zuverlässigkeit
Konformität
COBIT 5 Informations-Kriterien
NEU
X ALT
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Inhalt (im Vergleich alt – neu) konsequente Ausrichtung auf GEIT
Trennung Governance-Management
Kaskadierung der Ziele
COBIT Prinzipien COBIT Enabler
Neu aufgestellter COBIT Implementation Guide
COBIT5 – was ist wirklich neu?NEU ALT
Quelle: “CGEIT Review Manual 2011”
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
“COBIT 5 Fig. 5
Goals Cascade“COBIT 5 Fig. 24 1c
“COBIT 5 Fig. 4 1a 2a
2b
2c
1b
NEU
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Verknüpfung Business mit IT Ermittlung der IT-Ziele basieren auf Geschäftszielen mit COBIT 5
NEU
3 4a 4b
5a 5b
basierend auf Quelle: “COBIT 5 Framework” Fig.22+23 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
NEU
Quelle: “COBIT 5 Framework” Fig.2 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
NEU
Quelle: “COBIT 5 Framework” Fig.12 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
NEU
Quelle: “COBIT 5 Framework” Fig. 13 © 2012 ISACA
COBIT 4.1 <-> COBIT 5 ISACA After Hours Seminar 29.5. & 30.5.2012 © Peter R. Bitterli
Introduction Positioning GEIT
Taking the First Steps Towards GEIT Identifying Implementation Challenges and Success Factors
Enabling Change Implementation Life Cycle Tasks, Roles and Responsibilities
Using the COBIT 5 Components
NEU
Quelle: “COBIT 5 Implementation” TOC © 2012 ISACA
Implementation