COBIT Schulung & Zertifizierung in München

COBIT Schulung & Zertifizierung

COBIT ist ein international anerkanntes Framework zur IT-Governance, das die Aufgaben der IT in Prozesse und Control Objectives gliedert. COBIT setzt den Schwerpunkt hierbei nicht auf die Umsetzung von Anforderungen, sondern auf das, was umgesetzt werden soll.


Die COBIT 5 Ausbildung beim mITSM gliedert sich in drei Phasen:

Ein zusätzliches Angebot des mITSM ist der eintägige Kurs

 

Auf dieser Seite finden Sie Informationen zu den Kosten und allen  COBIT Schulungsterminen sowie eine Reihe von Fragen und Antworten zur COBIT Zertifizierung.

mITSM SCHEMA Schulung COBIT

COBIT 5 Schulung - Foundation, Implementation und Assessor

Die COBIT Schulungen des mITSM richten sich nach den offiziellen Lehrplänen bzw. Akkreditierungs-Vorschriften der APMG. Die Trainer und Schulungsunterlagen sind entsprechend geprüft und akkreditiert.

COBIT for SOX - ISAE 3402 bzw. SSAE 16

Der Kurs COBIT for SOX ist eine reine Schulung - ohne Prüfung. Der Kurs basiert auf dem Buch der ISACA IT Control Objectives for Sarbanes-Oxley 2nd Edition und bringt Verantwortlichen, die vor einem Report nach ISAE 3402 oder SSAE 16 bzw. PS 951 stehen, die entsprechenden notwendigen Punkte näher.

Alle COBIT-Kurse gibt es auch als Firmen-Inhouse-Schulungen. Wir machen Ihnen gerne ein unverbindliches Angebot. Zum Anfrage-Formular ...

COBIT Schulung - Kosten

Die Preisinformationen zu den COBIT-Kursen finden Sie bei den einzelnen Angeboten:

- COBIT Foundation
- COBIT Implementation
- COBIT Assessor
- COBIT for SOX - ISAE 3402

Es gibt keine versteckten Kosten für Prüfungsvorbereitung, denn das mITSM stellt die Schulungspreise und Prüfungsgebühren so transparent wie nur möglich dar. Beim mITSM ist in jeder Schulung eine Prüfungsvorbereitung mit Musterprüfung sowie eine Vorbereitung mit Braindumps enthalten. Dafür erheben wir im Gegensatz zu manch anderen Markt-Mitbewerbern keine zusätzliche Gebühr für die Prüfungsvorbereitung.

COBIT Zertifizierung & Prüfung

Die COBIT Foundation Prüfung ist eine Multiple Choice Prüfung mit Single Answer, es ist also nur eine der vier vorgegebenen Antwortmöglichkeiten richtig. Insgesamt werden 50 Fragen in Deutsch oder Englisch gestellt, für deren Beantwortung 40 Minuten zur Verfügung stehen. Mindestens die Hälfte der Fragen, also 25, sind richtig zu beantworten. Es sind keine Hilfsmittel erlaubt.

Die COBIT Implementation Prüfung basiert auf einem Szenario mit 4 komplexen Fragen, die jeweils mit maximal 20 Punkten bewertet werden. Insgesamt sind also 80 Punkte erreichbar. Für die Beantwortung der Fragen hat man 2,5 Stunden Zeit. Für das Bestehen der Prüfung müssen mindestens 40 Punkte erreicht werden. Derzeit wird die Prüfung nur in Englisch angeboten. Bei dieser Prüfung sind Hilfsmittel erlaubt. Diese werden vom mITSM gestellt.

COBIT Assessor Prüfung basiert ebenfalls auf einem Szenario mit 4 komplexen Fragen, die jeweils mit maximal 20 Punkten bewertet werden. Insgesamt sind 80 Punkte erreichbar. Für die Beantwortung der Fragen stehen 2,5 Stunden zur Verfügung. Um die Prüfung zu bestehen, müssen mindestens 40 Punkte erreicht werden. Auch diese Prüfung wird derzeit nur in Englisch angeboten. Hilfsmittel sind erlaubt. Sie werden vom mITSM gestellt.



Fragen und Antworten zur COBIT Ausbildung

Wie lange ist mein COBIT Zertifikat gültig?

Das Zertifikat ist unbegrenzt gültig.

Wieso COBIT und ITIL?

COBIT als IT Governance Steuerungs-Framework stellt eine Anleitung bereit, wie man einen definierten Level an Conformance und Performance von IT Prozessen erreicht (vgl. ISO 38500), um damit die Business-Bedürfnisse optimal zu erfüllen. ITIL beschreibt mit Best Practices, wie effektive Service Management Fähigkeiten geplant, konzeptioniert und implementiert werden. COBIT und ITIL zusammen ermöglichen einen Top-Down Ansatz, um im Sinne der IT Governance ein erfolgreiches IT Service Management zu betreiben.

Wie hilft die COBIT Foundation Schulung im IT Service Management?

Die Qualifikation COBIT Foundation hilft Ihnen, das COBIT Framework als Überwachungs- und Steuerungsinstrument einzusetzen, um die Ausrichtung der IT an das Business zu gewährleisten. Wir stellen Ihnen im Rahmen der COBIT Foundation Schulung direkte Bezüge (Mappings) zu anderen IT Service Management Frameworks und Standards vor, beispielsweise ITIL, ISO 20000, ISO 27001.

Welche Alternativen und Ergänzungen gibt es zu COBIT?

Als sinnvolle Ergänzung gibt es die folgenden Schulungen und Zertifizierungen:

Weitere Informationen finden Sie im ITIL Zertifizierungsschema.

Weitere Informationen finden Sie im ISO 20000 Zertifizierungsschema.

Weitere Informationen finden Sie im ISO 27001 Qualifizierungsschema.

Wieso COBIT Foundation und keinen Practitioner?

Die Trainingserfahrung hat gezeigt, dass unsere Kunden eine international anerkannte Zertifizierung wertschätzen. Die COBIT 5 Foundation Schulung mit anschließender Zertifizierungsprüfung durch die APMG in Zusammenarbeit mit der ISACA International bietet eine Basisschulung zum COBIT Framework mit international gültigem Zertifikat. Wir bieten keine COBIT Practitioner Schulung des ISACA Germany Chapters mehr an.

Gibt es Literatur, mit der ich mich auf den COBIT Foundation Kurs vorbereiten kann?

Ja, Sie finden Grundlegendes zu COBIT unter www.isaca.org/COBIT/Pages/COBIT-5-german.aspx und www.markus-gaulke.de/index.php/cobit-verstehen.

Wie geht es weiter?

Wir zeigen Ihnen den optimalen Einsatz für COBIT in bestehenden Umsetzungsprojekten: COBIT Foundation Schulung. Für Ihre Fragen und weitere Informationen stehen wir Ihnen unter: 089/ 55 27 55 70 oder gerne zur Verfügung.

Gibt es für COBIT for SOX eine offizielle Prüfung?

Zur Zeit wird für diesen Kurs keine offizielle Prüfung angeboten. Wenn jedoch das Audit einer SOX Compliance im Mittelpunkt des Interesses steht, kann eine CISA (Certified Information System Auditor) Prüfung abgelegt werden, die von der ISACA (Information Systems Auditor and Control Association) USA angeboten wird.

Es gibt deutsche und englische Bücher. Welche soll ich bestellen?

Das bleibt generell Ihnen überlassen. Auch wenn wir mit der Übersetzung nicht hundertprozentig einverstanden sind, empfehlen wir die deutschen Bücher, da unsere Schulungsunterlagen auf Deutsch sind, wir in den Seminaren auf Deutsch unterrichten und auch die deutsche Prüfung anbieten. Sollten Sie jedoch noch die englische Prüfung schreiben wollen, ist es eventuell sinnvoll, auch die englischen Bücher dazu zu bestellen.

Wie ist der Ablauf der Foundation Prüfung?

Die COBIT Foundation Prüfung ist eine Multiple Choice Prüfung mit Single Answer. Es ist also nur eine der vier vorgegebenen Antwortmöglichkeiten richtig. Insgesamt werden 50 Fragen in Deutsch oder Englisch gestellt, für deren Beantwortung 40 Minuten zur Verfügung stehen. Mindestens die Hälfte der Fragen, also 25, sind richtig zu beantworten. Es sind keine Hilfsmittel erlaubt.


Cobit & ISAE 3402 Wissen - Fragen & Antworten

mITSM COBIT ISAE 3402 Wissen

Für viele Unternehmen sind aktuelle Schlagwörter aus dem Bereich Compliance wie etwa „Sarbanes Oxley Act (SOX)“, „EuroSox“, „ISAE 3402-Bericht“ nach wie vor mit Unsicherheiten bezüglich der Auswirkungen und Konsequenzen für das eigene Geschäft verbunden. Die Erfüllung gesetzlicher Anforderungen gilt neben den Risiken der Nichtbeachtung als teuer und aufwändig. mITSM zeigt Ihnen Wege, wie Sie den gesetzlich verankerten Anforderungen strukturiert und kosteneffizient durch die Implementierung ITIL konformer Prozesse begegnen können.

mITSM wissen cobit oxley act

Auf diese Weise können wir Ihnen helfen, die Vorzüge ITIL konformer Verfahren um die Vorteile gesetzlicher Qualitäts- und Nachweispflichten zu ergänzen.

Damit machen Sie einen weiteren Schritt in Richtung Optimierung der IT-Organisation und Senkung der Kosten dieser Organisation durch die Industrialisierung der IT-Prozesse.

Im Folgenden geben wir Ihnen die Antworten auf die wichtigsten Fragen dazu:

Inhalt (COBIT FAQs)

  1. Was ist der „Sarbanes Oxley Act (SOX)“?
  2. Welche Anforderungen haben europäische IT-Dienstleister in Zusammenhang mit SOX?
  3. Was ist ein ISAE 3402 Bericht?
  4. Was ist "Euro-Sox"?
  5. Kann ITIL/Cobit 4.1 als Basis zur Erreichung der SOX bzw. Euro-SOX-Compliance dienen?
  6. Worin liegen die Auswirkungen von SOX auf die IT?
  7. Was unterscheidet SOX von anderen Gesetzen, die für die IT gelten?
  8. Warum ist SOX bedeutend und welche Auswirkungen hat es auf deutsche Unternehmen?
  9. Welche Gesetze und Richtlinien sind für die IT noch relevant?
  10. Was hilft es mir, SOX-Compliant zu sein, wenn ich nicht SOX-pflichtig bin?
  11. Welche Rolle spielen ITIL und Cobit 4.1 in diesem Zusammenhang?
  12. Was ist mit COBIT 5 - Welche Version ist aktuell?
  13. Was ist der Inhalt von COBIT 5?
  14. Was ist Cobit 4.1?
  15. Was sind Control Objectives und wie kann ich diese auf Gesetze bzw. auf die IT mappen?
  16. Was ist das Grundprinzip des Cobit 4.1 Frameworks?
  17. Wo kann ich Cobit 4.1 herunterladen?
  18. Was ist das Maturity Modell von Cobit 4.1?
  19. Was sind die Kernbereiche der IT Governance?
  20. Was ist COSO?
  21. Was ist der Unterschied zwischen einer Policy und einer Guideline?
  22. Welche Domänen gibt es in Cobit 4.1?
  23. Welche Prozesse gibt es in „Plan & Organize“?
  24. Welche Prozesse gibt es in „Acquire & Implement“?
  25. Welche Prozesse gibt es in „Deliver & Support“?
  26. Welche Prozeduren gibt es in „Monitor & Evaluate“?
  27. Welche "IT Ressourcen" kennt Cobit 4.1?
  28. Welche "Information Criteria" kennt Cobit 4.1?
  29. Welche "COSO Komponenten" kennt Cobit 4.1?
  30. Welche "Cobit 4.1 Produkte" gibt es?
  31. Welche "Stufen des generischen Reifegradmodells" kennt Cobit 4.1?
  32. Welche "Attribute der Reife" kennt Cobit 4.1?
  33. Was sind die "Kernbereiche der IT-Governance" bei Cobit 4.1?
  34. Was sind die "Grundlegenden Prinzipien" bei Cobit 4.1?

COBIT Schulung und Zertfizierung

COBIT Schulung und Zertifizierung in München

  • - COBIT Grundlagen (Foundation)
  • - COBIT Implementation
  • - COBIT Assessor
  • - APMG Zertifizierung
 Alle COBIT Termine

1. Was ist der „Sarbanes Oxley Act (SOX)“?

Der Sarbanes Oxley Act von 2002 zählt zu den tiefgreifendsten US-amerikanischen Gesetzen zum Anlegerschutz seit den 30er Jahren. Erlassen in Folge der gravierenden Kursverluste durch den Zusammenbruch einstiger Börsenstars wie Enron oder Worldcom, verankert das Gesetz weitreichende Haftungsbestimmungen für das MCCobit 4.1anagement in Bezug auf die Einrichtung und Prüfung interner Kontrollsysteme zur Sicherstellung der Richtigkeit der Finanzberichterstattung. Darüberhinaus werden die Haftungsbestimmungen auf den unabhängigen Wirtschaftsprüfer ausgedehnt und wirken bis in verbundene Unternehmensteile und genutzte Service-Provider hinein. Der Sarbanes Oxley Act gilt für alle Unternehmen, die an US amerikanischen Handelsplätzen notiert sind.

2. Welche Anforderungen haben europäische IT-Dienstleister in Zusammenhang mit SOX?

Die Gültigkeit des Sarbanes Oxley Acts erstreckt sich auch auf europäische IT Unternehmen, wenn diese entweder selbst an US Börsenplätzen notiert sind oder Dienstleistungen als Service Provider für Unternehmen erbringen, die dieses Kriterium erfüllen. In letzterem Fall gelten die Anforderungen nur für die erbrachten Leistungen und nicht für den Dienstleister als solchen. In der Regel können Dienstleister in diesen Fällen von ihren Kunden dazu aufgefordert werden, die SOX Konformität der von ihnen verantworteten Prozesse nachzuweisen, oder ein diesbezügliches Audit im Auftrag der Kunden zuzulassen. SOX-konform sind Prozesse und Dienstleistungen dabei genau dann, wenn finanzberichterstattungsrelevante Risiken (Falschaussagen, Unvollständigkeit, etc) durch die Dokumentation und Implementierung geeigneter Kontrollen minimiert werden, und deren Effektivität durch Tests in Bezug auf Kontrolldesign und operative Durchführung belegt werden kann. Der Prüfungsbericht ISAE 3402- Typ II eines externen Wirtschaftsprüfers wird als geeigneter Nachweis der SOX-Konformität eines IT-Dienstleisters angesehen, dessen Dienste von US-börsennotierten Unternehmen in Anspruch genommen werden.

3. Was ist ein ISAE 3402 Bericht?

Der Statement on Auditing Standard (ISAE 3402-) ist ein vom PCAOB (Public Company Accounting Oversight Board) herausgegebener Prüfungsstandard, dessen praktische Bedeutung vor allem darin liegt, dass ein entsprechender Prüfungsbericht als geeigneter Nachweis für die SOX-konforme Leistungserbringung eines IT Service Providers angesehen wird. Man unterscheidet dabei den Typ-I und den Typ-II Nachweis, wobei nur der letzt genannte als ausreichend in Bezug auf SOX angesehen wird. Denn ein ISAE 3402- Typ II "Zertifikat" beschränkt sich nicht auf die Dokumentation bestimmter Verfahrenskontrollen durch den Dienstleister selbst (Typ-I), sondern schließt auch eine Bestätigung über deren Effektivität durch einen externen Wirtschaftsprüfer ein, dessen Bericht auf einem Testing derselben basiert.

4. Was ist "Euro-Sox"?

Auch in Europa haben die Auswirkungen der Börsenturbulenzen des Jahres 2001 und entsprechende Gesetzesinitiativen in den USA zu ähnlich gelagerten Gesetzesvorhaben geführt. Im Zuge der EU-weiten Rechtsharmonisierung wurde dazu die EU Richtlinie zum Thema "Abschlussprüfungen von Jahresabschlüssen" ´(2006/43/EG bzw. 2008/30/EG "Änderung der Richtlinie 2006/43/EG") verabschiedet, die die bisherigen Vorgaben zur Vereinheitlichung der Wirtschaftsprüfungsverfahren von europäischen Unternehmen und zur verbindlichen Etablierung von Kontroll- und Risikomanagementsystemen weiter präzisiert. Diese auch „Euro-SOX“ genannte Richtlinie muss allerdings im Sinne der EU-weiten Gesetzgebung erst in nationales Recht umgewandelt und dort weiter präzisiert werden, bevor sie eine bindende Wirkung entfalten kann. In Deutschland ist zur Umsetzung eine große Reform des Handelsbilanzrechts, das sogenannte Bilanzrechtsmodernisierungsgesetz (BilMoG) in Arbeit. Es wird jedoch nicht wie geplant bereits für Wirtschaftsjahre gelten, die nach dem 31.12.2008 beginnen. Es soll damit auch eine Annäherung an die internationalen Rechnungslegungsstandards (IFRS) erreicht werden. Der Bundestagsrechtsausschuss hatte den Termin für die Durchführung der öffentlichen Expertenanhörung zum BilMoG auf den 17.12.2008 festgelegt. Wann das Gesetz Gültigkeit haben wird, ist derzeit nicht klar.


COBIT Schulung und Zertfizierung

COBIT Schulung und Zertifizierung in München

  • - COBIT Grundlagen (Foundation)
  • - COBIT Implementation
  • - COBIT Assessor
  • - APMG Zertifizierung
 Alle COBIT Termine

5. Kann ITIL/Cobit 4.1 als Basis zur Erreichung der SOX bzw. Euro-SOX-Compliance dienen?

Die offen verfügbaren und auf Standards basierenden Prozesse der ITIL oder Cobit 4.1 Rahmenwerke bilden eine hervorragende Basis zur Abdeckung der Dokumentations- und Kontrollanforderungen, da durch sie der Großteil der IT Leistungsprozesse bereits beschrieben vorliegt. Ein Rückgriff auf sie empfielt sich daher nicht nur wegen ihrer unmittelbaren freien Verfügbarkeit, sondern auch aus Kostengesichtspunkten, da nötige Anpassungsaufwände deutlich kleiner ausfallen als die Kosten einer individuellen Dokumentation der Leistungsabläufe. ITIL und Cobit 4.1 sind darüberhinaus Gegenstand kontinuierlicher Aktualisierungen, so dass deren Nutzung nicht nur eine vollständige Abdeckung relevanter Dokumentationsteile sondern auch deren Zeitgemäßigkeit sicherstellt. Letztere Vorzüge empfehlen sie auch für die Qualitätssicherungsnormen ISO 20000, ehemals BS 15000. Die verfügbare Dokumentation gelebter Prozesse und ihrer Kontrollen ist eine wesentliche Grundlage für die Beurteilung der SOX Konformität von Prozessen und Leistungen und daher zwingend erforderlich.

6. Worin liegen die Auswirkungen von SOX auf die IT?

Gemäß SOX sind Unternehmen nicht nur dazu verpflichtet eine ordnungsgemäße Bilanzierung und Finanzberichterstattung zu leisten, sondern sie müssen diese auch über interne Kontrollsysteme sicherstellen, deren Effektivität von unabhängiger Seite bestätigt werden muss. Aus dieser Anforderung folgen eine Reihe von Dokumentationspflichten bezüglich der eingesetzten Prozesse und Verfahren einerseits, wie auch der durchgeführten Kontrollen andererseits. Nachdem die IT die Grundlage für einen Großteil des internen Rechnungswesens bereitstellt, liegen entsprechende Verfahren ebenso im Fokus.

7. Was unterscheidet SOX von anderen Gesetzen, die für die IT gelten?

SOX ist vielleicht der erste prominente Vertreter einer neuen Rechtsauffassung, nach der eine ordnungsgemäße Bilanzierung nicht nur allein durch das angewendete kaufmännische Handwerk bestimmt wird (z.B.: 4-Augen-Prinzip). Neben der manuellen Tätigkeit müssen verstärkt auch die IT-Systeme betrachtet werden, mit deren Hilfe die Bilanzierung erfolgt. Dabei erweisen sich vor allem „gewachsene“ Verfahrensstrukturen als tückisch, weil bei ihnen einerseits häufig diverse Systembrüche und Schnittstellenproblematiken bei der Datenverarbeitung auftreten können und andererseits die Serviceprozesse für die Bereitstellung der Dienste inhomogen ausgeprägt sein könnten. In solchen IT-Landschaften sind Nachweispflichten zur ordnungsgemäßen Datenverarbeitung üblicherweise schwierig, entsprechende Kosten zur Beweissicherung und Auditierung unverhältnismäßig hoch.

8. Warum ist SOX bedeutend und welche Auswirkungen hat es auf deutsche Unternehmen?

Aus Sicht des Managements machen insbesondere die persönlichen Risiken, die mit den Haftungsbestimmungen von SOX einhergehen, den Unterschied zu den meisten anderen Bestimmungen aus. Unternehmen, die an der US-Börse notiert sind, unterwerfen sich dabei nicht nur der Aufsicht der SEC, sondern auch der US-amerikanischen Rechtsprechung, welche entsprechende Gesetzesverstöße mit empfindlichen Geld- und Haftstrafen gegen das Unternehmen sowie Mitglieder des Managements ahnden kann. Maßgeblich ist dabei nicht das persönliche Verschulden allein, sondern auch die Verantwortung für Versäumnisse anderer im Unternehmen.

9. Welche Gesetze und Richtlinien sind für die IT noch relevant?

Die einfache, wenn auch nicht ganz präzise Antwort lautet „erst mal alle“. Natürlich gelten für Unternehmen in Deutschland andere Gesetze als für ein amerikanisches Unternehmen. Komplex wird die Sache z.B. beim Datenschutz. Welches Gesetz gilt, wenn ein deutsches Unternehmen Teile seiner Prozesse an ein amerikanisches Unternehmen ausgliedert, welches wiederum seine europäischen Kunden über eine angemietete Serverfarm von Frankreich aus betreut? Die Antwort ist leider zu komplex, um hier dargestellt werden zu können.
Für deutsche Unternehmen sind unter anderem folgende Gesetze und Richtlinien zu berücksichtigen.

  • Sarbanes-Oxley Act
  • 8.EU-Richtlinie ("EuoroSOX")
  • Basel II
  • KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  • IFRS - International Financial Reporting Standards
  • BSI GsHb - Bundesamt für Sicherheit in der Informationstechnik - Grundschutzhandbuch
  • BS 7799 / ISO 17799 / ISO/IEC 20X - ISO Security Standard
  • GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
  • GoBS - Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
  • BDSG - Bundesdatenschutzgesetz
Eine kurze Beschreibung finden Sie unter IT-relevante Gesetze und Richtlinien

10. Was hilft es mir, SOX-Compliant zu sein, wenn ich nicht SOX-pflichtig bin?

SOX-Compliance ist vor allem für externe Dienstleister zwingend, die ihre Leistungen für Firmen erbringen, die selbst SOX unterliegen. Dabei ist es nicht maßgeblich, ob der IT-Dienstleister selbst den SOX Anforderungen genügen muss – er muss lediglich sicherstellen, dass seine Leistungen für den Kunden den Anforderungen genügen. Aber auch in anderen Fällen erscheint die Bestrebung nach SOX-Compliance sinnvoll, da sich ein entsprechendes Zertifikat auch als Qualitätsmerkmal der gebotenen Leistungen interpretieren lässt – und derartig eingeführte Standards gleichzeitig eine Grundlage für zukünftige Gesetzesinitiativen sind (EuroSOX).

11. Welche Rolle spielen ITIL und Cobit 4.1 in diesem Zusammenhang?

Ebenso wie alle anderen Prüfungshandlungen eines Wirtschaftsprüfers, erfolgt auch die Prüfung von IT Verfahren auf Basis fester Prüfungsstandards. Einer der wesentlichen Grundlagen dabei ist das Cobit 4.1 Rahmenwerk, das generisch jene Zielsetzungen definiert, welche eine bestimmte IT-Organisation umsetzen muss. Der Best Practice Ansatz von ITIL beschäftigt sich mit dem "Wie?" der Umsetzung dieser Ziele. Cobit 4.1 und ITIL sind anerkannte Standards, deren konsequente Anwendung eine wichtige Grundlage für Compliance in der IT ist.

12. Was ist mit COBIT 5 - Welche Version ist aktuell?

COBIT 5 ist die aktuelle Version, des Best Practice IT Governance Frameworks, und wird durch das mITSM als APMG akkreditiertes Schulungsunternehmen (ISACA) im Rahmen eines Zertifizierungsseminares angeboten Auch weiterhin sind viele Unternehmen und Personen mit dem Framework COBIT 4.1 beschäftig, so dass die ISACA sich dazu entschieden hat die COBIT Foundation 4.1 bis auf Weiteres anzubieten. Unsere akkreditierte COBIT 4 Foundation Schulung basiert auf dem COBIT 4.1 Framework basiert darauf.


COBIT Schulung und Zertfizierung

COBIT Schulung und Zertifizierung in München

  • - COBIT Grundlagen (Foundation)
  • - COBIT Implementation
  • - COBIT Assessor
  • - APMG Zertifizierung
 Alle COBIT Termine

13. Was ist der Inhalt von COBIT 5?

  • Unterscheidung zwischen Governance und Management im Rahmen der IT
  • Erläuterung der Ziel-Kaskade (Stakeholder Bedürfnisse, Unternehmensziele, IT bezogene Ziele, Enabler-Ziele)
  • Die fünf Grundprinzipien der Governance of Enterprise IT (GEIT)
  • Die sieben Governance und Management Enablers
  • Das Prozess Referenzmodell (37 COBIT Governance und Management Prozesse)
  • Einführung in die Implementierung von COBIT 5 (Implementierungsleitfaden)
COBIT basiert auf fünf Prinzipien für die IT:
  1. Erfüllung der Anforderungen der Interessensgruppen
  2. Abdeckung des gesamten Unternehmens
  3. Anwendung eines einheitlichen, integrierten Rahmenwerks
  4. Ermöglichung eines ganzheitlichen Ansatzes
  5. Unterscheiden zwischen Governance und Management
COBIT 5 ist stärker ausgerichtet auf die IT Governance im Vergleich um die vier Kriterien aus COBIT 4.1: Fokussierung auf das Business, Prozessorientierung, basierend auf Kontrollzielen (Control Objectives), getrieben durch Messungen. COBIT definiert sieben IT-Governance Elemente: Diese Enabler sind Faktoren, die Einfluss auf den Erfolg der Governance und das Management der IT haben:
  • Prinzipien, Richtlinien und Rahmenwerke sorgen für die Umsetzung des erwünschten Verhaltens in einen Leitfaden für das operative Management.
  • Prozesse definieren einen koordinierten Satz an Aktivitäten zur Erreichung bestimmter Ziele.
  • Organisationsstrukturen sind die Entscheidungsfinder einer Unternehmung.
  • Kultur, Ethik und Verhalten sind die Erfolgsfaktoren für Management- und Governancebestrebungen.
  • Information ist notwendig für das Management des Betriebs und der ordnungsgemäßen Governance, da unerlässlich für das Business selbst.
  • Services, Infrastruktur und Anwendungen stellen für das Unternehmen die IT-Services bereit.
  • Mitarbeiter, Fähigkeiten und Kompetenzen sind unerlässlich für die erfolgreiche Erfüllung aller Aufgaben und der optimalen Entscheidungsfindung.
COBIT beschreibt fünf Prozessdomänen:
  • EDM (Evaluate, Direct, Monitor) - "Evaluierung, Vorgeben und Überwachung"
  • APO (Align, Plan, Organise) - „Anpassen, Planen und Organisieren“
  • BAI (Build, Acquire, Implement) - Aufbauen, Beschaffen und Implementieren
  • DSS (Deliver, Service, Support) - „Bereitstellen, Betreiben und Unterstützen“
  • MEA (Monitor, Evaluate, Assess) - „Überwachen, Evaluieren und Beurteilen“
Diese decken sich zwar nicht eins-zu-eins mit der ITIL Lebenszyklusbeschreibung aber lassen sich zum Großteil zu den ITIL Prozesse in Beziehung bringen. Dadurch wird der Best-Practice-Ansatz von COBIT anwendbar auf die meist schon umgesetzten ITIL Prozesse erreicht.

Cobit 4.1

14. Was ist Cobit 4.1?

Cobit 4.1 steht für Control Objectives for Information and related Technology. Es ist ein Rahmenwerk und ein Best Practice Ansatz für die IT Governance. Cobit 4.1 stellt Beschreibungen der Steuerungswerkzeuge für IT-Prozesse zur Verfügung und liefert Vorlagen zur Ermittlung von Prozessreifegraden. Cobit 4.1 unterstützt beim Aufbau eines IT-internen Kontrollsystems, das externe Compliance Vorgaben an die IT erfüllt und dies kontinuierlich nachweist.

15. Was sind Control Objectives und wie kann ich diese auf Gesetze bzw. auf die IT mappen?

„Control Objectives“ – auch: Kontrollziele – definieren, was die IT bezüglich bestimmter Risiken sicherstellen muss, um diese zu minimieren. In Summe definiert das Cobit 4.1-Framework 34 IT-Prozesse, denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

16. Was ist das Grundprinzip des Cobit 4.1 Frameworks?

Um IT-Ziele zu erreichen, die auf Unternehmensanforderungen ausgerichtet sind, ist es notwendig, IT-Ressourcen durch IT-Prozesse zu managen. Dieses Grundprinzip des Cobit 4.1 Frameworks ist im Cobit 4.1-Würfel dargestellt.
Cobit 4.1_cube

17. Wo kann ich Cobit 4.1 herunterladen?

Auf der Seite des IT Governance Institutes (http://www.isaca.org) steht die neueste Version des Cobit 4.1 Frameworks (aktuelle Version 4.1) als PDF zum Download zur Verfügung. Eine deutsche Version des Cobit 4.1 Frameworks gibt es akutell "nur" in 4.0.

18. Was ist das Maturity Modell von Cobit 4.1?

Das Maturity Modell von Cobit 4.1 basiert auf dem Capability Maturity Modell, das von der SEI (Software Engineering Institute) entwickelt wurde. Cobit 4.1 liefert für jeden der 34 Cobit 4.1-Prozesse präzise Zustandsbeschreibungen für die 6 möglichen Reifegrade, in denen sich ein Prozess befinden kann.

19. Was sind die Kernbereiche der IT Governance?

Strategische Ausrichtung (Strategic Alignment)
Wertbeitrag (Value Delivery)
Ressourcen Management (Resource Management)
Risiko Management (Risk Management)
Leistungsmessung (Performance Measurement).

20. Was ist COSO?

COSO ist ein Rahmenwerk, das Vorgaben zur Corporate Governance macht. Es wurde vom „Commitee of Sponsoring of the Treadway Commission“ erstellt und fokussiert stark auf die Finanzberichterstattung. Vorgaben an die Finanzberichterstattung und das Umgehen mit Risiken werden im COSO Modell formuliert und werden im Bereich der IT von Cobit 4.1 realisiert.


COBIT Schulung und Zertfizierung

COBIT Schulung und Zertifizierung in München

  • - COBIT Grundlagen (Foundation)
  • - COBIT Implementation
  • - COBIT Assessor
  • - APMG Zertifizierung
 Alle COBIT Termine

21. Was ist der Unterschied zwischen einer Policy und einer Guideline?

Der Unterschied zwischen Policy und Guideline ist schwimmend. Am einfachsten kann man es sich folgendermaßen merken: Eine Policy ist eine Vorschrift, die eingehalten werden muss und entsprechend vom Management oder Vorgesetzen „erlassen“ wird. Eine Guideline hingegen ist ein Vorschlag, wie eine Policy, also eine Vorschrift einzuhalten ist bzw. welche Tätigkeit zu erledigen ist, um die Policy einzuhalten. Als Beispiel: Die Vorschrift lautet „Das Passwort muss hinreichend komplex sein“, so dass es nicht leicht erraten werden kann. Der Hintergrund dieser Vorschrift ist natürlich klar: Einfache Passwörter können auch schnell geknackt werden, also müssen Passwörter komplex sein. Je nach Autorisierungssystem ist dies natürlich unterschiedlich technisch realisierbar. Eventuell ist ein Durchsetzen der Vorschrift durch ein technisches System sogar gar nicht möglich. Dieser Umstand wird hier aber außen vor gelassen. Zudem gibt es eine zweite Vorschrift: „Passwörter dürfen nicht aufgeschrieben und Dritten nicht zugänglich gemacht werden“. In einer Guideline (Vorschlag) beschreibt man dann, wie es einem normalen Benutzer möglich ist, die Vorschrift einzuhalten. Dies geht bei der Passwort-Bildung los. Man definiert also, was „ausreichend komplex“ ist. Dies kann man eventuell schon in der Vorschrift tun, dann würde die Vorschrift aber einen technischen Touch bekommen.Das Passwort muss mindestens 8 Zeichen lang sein und drei der folgenden vier Bedingungen erfüllen:

  • mindestens einen Großbuchstabe
  • ein Kleinbuchstaben
  • ein Sonderzeichen
  • eine Ziffer
An den Vorschlag sollte man zum bessern Verständnis ein Beispiel zur einfachen Passwortbildung anhängen, das den Vorgaben genügt.
  • Man denkt sich einen Satz aus, in dem eine Zahl vorkommt: „Mein Adler ist gestern 259 km geflogen“
  • Löscht alle Leerzeichen - „MeinAdleristgestern259kmgeflogen“
  • Löscht alle Vokale - „Mndlrstgstrn259kmgflgen“
  • Ersetzt die letzte Ziffer durch das entsprechende Sonderzeichen -„Mndlrstgstrn25)kmgflgen“
Eine Diskussion zum Thema finden Sie unter IT-Audit.de

22. Welche Domänen gibt es in Cobit 4.1?

Cobit 4.1 ist in vier Domänen gegliedert:

  • Plan & Organize (PO) - plane und organisiere
  • Acquire & Implement (AI)- beschaffe und implementiere
  • Deliver & Support (DS)- erbringe und unterstütze
  • Monitor & Evaluate (ME) - überwache und beurteile
Die Abfolge dieser Domänen wird auch als Management Kreislauf bezeichnet und wurde von den Herren Hopstaken und Kranendonk entworfen.

23. Welche Prozesse gibt es in „Plan & Organize“?

  • PO01 Define a strategic IT plan - Definiere einen strategischen IT-Plan
  • PO02 Define the information architecture - Definiere die Informationsarchitektur
  • PO03 Determine technological direction - Bestimme die technologische Richtung
  • PO04 Define the IT processes, organization and relationships - Definiere die IT-Prozesse, Organisation und Beziehungen der IT
  • PO05 Manage the IT Investment - Manage IT-Investitionen
  • PO06 Communicate management aims and direction - Kommuniziere Ziele und Richtung des Managements
  • PO07 Manage IT human resources - Manage die IT-Human-Ressources
  • PO08 Manage quality - Manage Qualität
  • PO09 assess and manage IT risks - Beurteile und Manage IT-Risiken
  • PO10 Manage projects - Manage Projekte

24. Welche Prozesse gibt es in „Acquire & Implement“?

  • AI01 Identify automated solutions - Identifiziere automatisierte Lösungen
  • AI02 Acquire and maintain application software - Beschaffe und warte Anwendungssoftware
  • AI03 Acquire and maintain technology infrastructure - Beschaffe und warte technologische Infrastruktur
  • AI04 Enable operation and use - Ermögliche Betrieb und Verwendung
  • AI05 procure IT resources - Beschaffe IT-Ressourcen
  • AI06 Manage changes - Manage Veränderungen
  • AI07 Install and accredit solutions and changes - Installiere und akkreditiere Lösungen und Change

25. Welche Prozesse gibt es in „Deliver & Support“?

  • DS01 Define and manage service levels - Definiere und manage Service Levels
  • DS02 Manage third party services - Manage Leistungen von Dritten
  • DS03 Manage performance and capacity - Manage Performance und Kapazität
  • DS04 Ensure continuous service - Stelle den kontinuierlichen Betrieb sicher
  • DS05 Ensure systems security - Stelle Security von Systemen sicher
  • DS06 Identify and allocate costs - Identifiziere und verrechne Kosten
  • DS07 Educate and train users - Schule und trainiere User
  • DS08 Manage service desk and incidents - Manage den Service Desk und Incidents
  • DS09 Manage the configuration - Manage die Konfiguration
  • DS10 Manage problems - Manage Probleme
  • DS11 Manage data - Manage Daten
  • DS12 Manage the physical environment - Manage die physische Umgebung
  • DS13 Manage operations - Manage den Betrieb

26. Welche Prozeduren gibt es in „Monitor & Evaluate“?

  • ME01 Monitor and evaluate IT performance - Monitore und evaluiere IT-Performance
  • ME02 Monitor and evaluate internal control - Monitore und evaluiere Internal Controls
  • ME03 Ensure compliance with external requirements - Stelle Compliance mit Vorgaben sicher
  • ME04 Provide IT governance - Sorge für IT-Governance

27. Welche "IT Ressourcen" kennt Cobit 4.1?

  • Anwendungssysteme
  • Informationen
  • Infrastruktur
  • Personen

28. Welche "Information Criteria" kennt Cobit 4.1?

  • Wirksamkeit
  • Wirtschaftlichkeit
  • Vertraulichkeit
  • Verfügbarkeit
  • Ordnungsmäßigkeit
  • Verlässlichkeit
  • Integrität

29. Welche "COSO Komponenten" kennt Cobit 4.1?

  • Internes Umfeld
  • Zielfestlegung
  • Ereignisidentifikation
  • Risikobeurteilung
  • Risikosteuerung
  • Kontrollaktivitäten
  • Information & Kommunikation
  • Überwachung

30. Welche "Cobit 4.1 Produkte" gibt es?

  • Board Briefing on IT Governance
  • Cobit 4.1 Online
  • Cobit 4.1 Control Practices
  • IT Assurance Guide
  • IT Control Objectives for Sarbanes-Oxley
  • IT Governance Implementation Guide
  • Cobit 4.1 Quickstart
  • Cobit 4.1 Security Baseline
  • Cobit 4.1 Mappings
  • Information Security Governance


COBIT Schulung und Zertfizierung

COBIT Schulung und Zertifizierung in München

  • - COBIT Grundlagen (Foundation)
  • - COBIT Implementation
  • - COBIT Assessor
  • - APMG Zertifizierung
 Alle COBIT Termine

31. Welche "Stufen des generischen Reifegradmodells" kennt Cobit 4.1?

  • 0 Non-existent (nicht existent)
  • 1 Initial (initial)
  • 2 Repeatable (wiederholbar)
  • 3 Defined (definiert)
  • 4 Managed (gemanagt)
  • 5 Optimised (optimiert)

32. Welche "Attribute der Reife" kennt Cobit 4.1?

  • Bewusstsein und Kommunikation
  • Policies, Standarts und Verfahren
  • Werkzeuge und Automatisierung
  • Skills und Expertise
  • Zielsetzung und Messung

33. Was sind die "Kernbereiche der IT-Governance" bei Cobit 4.1?

  • Strategische Ausrichtung
  • Schaffen von Werten
  • Ressourcenmanagement
  • Risikomanagement
  • Messen von Performance

34. Was sind die "Grundlegenden Prinzipien" bei Cobit 4.1?

  • Fokussiert auf das Geschäft
  • Orientiert an Prozessen
  • Basierend auf Anforderungen
  • Gesteuert durch Messungen

 Typische COBIT Prüfungsfragen