Bildquelle: Pexels / https://www.pexels.com/photo/man-s-fist-with-watch-on-blueprint-7190383/
COBIT Foundation bleibt ohne Designfaktoren nur Prüfungswissen
COBIT ist ein Governance- und Management-Framework von ISACA für Unternehmens-IT. Es soll Organisationen helfen, Technologieziele sauber mit Geschäftszielen, Risiken, Ressourcen und Verantwortlichkeiten zu verbinden. Die Foundation-Zertifizierung prüft genau diese Grundlagen – also Begriffe, Prinzipien, Komponenten, Ziele und die Logik, wie aus einem generischen Rahmen ein wirksames Governance-System wird.
Gerade deshalb wirkt die COBIT-Foundation-Zertifizierung auf viele IT-Leitungen attraktiv. Sie verspricht eine gemeinsame Sprache für Governance, Risiko, Compliance, Priorisierung und Wertbeitrag. In Organisationen, in denen Audit, Security, Service Management, Architektur, Finanzen und Delivery noch aneinander vorbeireden, ist das ein echter Fortschritt. Aber genau an dieser Stelle beginnt auch die typische Überschätzung: Wer die Prüfung besteht, hat noch kein belastbares Governance-Modell im Betrieb.
Das Problem liegt nicht in der Zertifizierung selbst. Die Foundation ist sinnvoll, weil sie die Denklogik von COBIT verständlich macht. Sie erklärt, warum Governance und Management nicht dasselbe sind, wie Ziele zusammenhängen und weshalb ein Unternehmen nicht einfach irgendeinen Best-Practice-Katalog kopieren sollte. Doch zwischen Prüfungswissen und betrieblicher Wirkung liegt die eigentliche Arbeit: Prioritäten festlegen, Zielkonflikte auflösen, Verantwortlichkeiten definieren und den Rahmen auf die eigene Organisation zuschneiden.
Warum die Foundation für viele Teams trotzdem ein guter Start ist
ISACA beschreibt die Foundation als Nachweis, dass jemand Konzepte, Prinzipien und Methoden von COBIT versteht, um ein System für wirksame Governance und Management von Unternehmens-IT aufzubauen, zu verbessern und zu erhalten. Genau das ist in vielen Häusern wertvoller, als es zunächst klingt. Denn dort fehlt oft nicht nur ein Prozessdetail, sondern schon das gemeinsame Verständnis darüber, was gesteuert werden soll und nach welchen Kriterien.
Die Foundation hilft vor allem in drei Situationen. Erstens dann, wenn Governance bislang fast nur als Audit- oder Kontrollthema gesehen wurde. Zweitens dann, wenn strategische Ziele zwar formuliert sind, aber nicht sauber bis zu IT-Entscheidungen, Services und Verantwortlichkeiten durchgereicht werden. Drittens dann, wenn verschiedene Rollen – etwa Service Owner, Risk Manager, Informationssicherheit, Enterprise Architecture und IT-Leitung – zwar alle mitreden, aber unterschiedliche Modelle im Kopf haben.
Genau hier schafft die Zertifizierung eine nützliche Landkarte. Wer COBIT-Grundlagen verstanden hat, erkennt schneller, dass Technologie-Steuerung nicht nur aus Kontrollen besteht. Sie besteht auch aus Priorisierung, Zielklarheit, Ressourcennutzung, Risikoverständnis und der Frage, welche Governance-Mechanismen für das eigene Unternehmen wirklich erforderlich sind.
Die eigentliche Grenze liegt im generischen Rahmen
COBIT 2019 ist absichtlich generisch aufgebaut. ISACA betont ausdrücklich, dass es kein One-size-fits-all-Governance-System geben kann. Unternehmen unterscheiden sich in Größe, Branche, Bedrohungslage, Regulatorik, Risikoprofil, Technologieeinsatz und strategischer Rolle der IT. Genau deshalb reicht reines Foundation-Wissen im Alltag nicht aus. Es vermittelt den Rahmen, aber noch nicht die zugeschnittene Entscheidung darüber, was im eigenen Haus zuerst wichtig ist.
Das ist keine Schwäche von COBIT, sondern seine zentrale Einsicht. Der Rahmen soll eben nicht blind kopiert werden. Wer aus der Zertifizierung nur mitnimmt, dass es 40 Governance- und Management-Ziele gibt, hat zwar eine Zahl gelernt, aber noch keine Steuerungsfähigkeit gewonnen. Entscheidend ist die Übersetzung: Welche Ziele sind für die Organisation aktuell prioritätskritisch? Wo liegen echte Risiken? Welche Themen sind regulatorisch getrieben? Welche Fähigkeiten fehlen operativ? Und wo wäre zu viel Governance nur zusätzlicher Verwaltungsaufwand?
Viele Unternehmen scheitern genau an dieser Übersetzung. Dann wird COBIT entweder überladen eingeführt und im Alltag ignoriert oder so oberflächlich behandelt, dass nur schöne Folien bleiben. Beides passiert besonders schnell, wenn Schulung als Ersatz für Priorisierung missverstanden wird.
Designfaktoren sind der Unterschied zwischen Prüfungswissen und Steuerbarkeit
Besonders wichtig ist deshalb der Blick auf die Designfaktoren. ISACA beschreibt sie als die Einflussgrößen, mit denen ein Unternehmen sein Governance-System auf den eigenen Kontext zuschneidet. Dazu gehören unter anderem Strategie, Unternehmensziele, Risikoprofil, Compliance-Anforderungen, Bedrohungslage, Rolle der IT, Größe der Organisation sowie taktische Entscheidungen wie Cloud-Nutzung, Outsourcing, Agile oder DevOps.
Praktisch ist das der Moment, in dem COBIT betriebsrelevant wird. Erst wenn diese Faktoren sichtbar gemacht werden, lässt sich entscheiden, welche Governance- und Management-Ziele zuerst Gewicht bekommen, welche Zielkonflikte bestehen und welches Fähigkeitsniveau überhaupt sinnvoll ist. Ein stark reguliertes Unternehmen mit kritischer Infrastruktur braucht andere Schwerpunkte als ein mittelständischer SaaS-Anbieter. Ein Konzern mit vielen Lieferanten- und Plattformabhängigkeiten priorisiert anders als eine Organisation mit überschaubarer interner IT.
Genau deshalb bringt die Foundation allein noch keine Wirkung. Sie befähigt dazu, diese Fragen besser zu stellen. Beantworten muss sie die Organisation trotzdem selbst. Wer diesen Schritt überspringt, landet schnell in einer Situation, in der Governance nachweisbar gelernt, aber nicht wirksam gestaltet wurde.
Im Betrieb zählen Entscheidungspfade, nicht nur Begriffe
Ein weiterer Engpass zeigt sich oft im Service- und Portfoliobetrieb. Viele Führungsteams können nach einer Foundation-Schulung sauber über Ziele, Komponenten und Governance sprechen. Schwieriger wird es, wenn konkrete Entscheidungen anstehen: Wer priorisiert technische Schulden gegen regulatorische Nachweise? Wer stoppt ein riskantes Vorhaben trotz Fachbereichsdruck? Wer verbindet Sicherheitsanforderungen mit Service-Leveln, Architekturstandards und Budgetlogik? Und wer besitzt die Sicht auf Abhängigkeiten zwischen Plattform, Service und Risiko?
Genau hier muss COBIT in konkrete Entscheidungswege übersetzt werden. Ein Governance-Modell ist erst dann brauchbar, wenn Rollen, Eskalationen, Priorisierungsregeln und Management-Rhythmen sichtbar funktionieren. Sonst bleibt die Zertifizierung ein Kompetenzsignal für Einzelpersonen, aber kein Hebel für die Organisation.
Für IT-Service-Management-Umfelder ist das besonders relevant. Serviceportfolios, Major-Incident-Entscheidungen, Lieferantensteuerung, Risikoakzeptanz und Change-Priorisierung brauchen klare Governance-Anschlüsse. Wenn COBIT dort nur als abstraktes Governance-Vokabular vorhanden ist, fehlt genau die betriebliche Verbindung, für die das Framework eigentlich gedacht ist.
Wie Unternehmen die Foundation sinnvoll in Wirkung übersetzen
Die belastbarste Nutzung beginnt deshalb nicht mit einem großen Rollout, sondern mit einer fokussierten Design- und Umsetzungsarbeit. Sinnvoll ist meist ein enger Startpunkt: etwa ein regulierungsnaher Service, ein kritischer Plattformbereich oder ein Feld mit sichtbaren Reibungen zwischen Risiko, Delivery und Betrieb. Dort lässt sich prüfen, welche Ziele wirklich Priorität haben und welche Management-Mechanismen fehlen.
- Kontext zuerst klären: Strategie, Risiken, Regulatorik und aktuelle Schmerzpunkte müssen sichtbar sein, bevor Ziele priorisiert werden.
- Governance-Ziele gewichten: Nicht alle 40 Ziele sind gleichzeitig gleich wichtig. Priorisierung ist ein Managementakt, kein Lehrbuchschritt.
- Entscheidungswege festziehen: Rollen, Eskalationsrechte, Portfoliogremien und Serviceverantwortung müssen konkret verankert werden.
- Bestehende Praktiken einbinden: COBIT soll ITSM, Security, Audit, Architektur, Agile oder DevOps nicht verdrängen, sondern verbinden.
- Reife iterativ erhöhen: ISACA betont die kontinuierliche Verbesserung. Ein Governance-System wird angepasst, nicht einmalig abgeschlossen.
So wird die Foundation produktiv genutzt: nicht als Endpunkt, sondern als gemeinsamer Start für zugeschnittene Steuerung. Dann hilft die Zertifizierung tatsächlich dabei, dass aus Governance-Diskussionen belastbare Managemententscheidungen werden.
Für wen sich die Zertifizierung besonders lohnt
Am meisten profitiert nicht zwingend der klassische Auditor allein. Stark ist die Foundation vor allem dort, wo mehrere Steuerungsrollen zusammenarbeiten müssen: IT-Leitung, Service- und Portfolio-Verantwortliche, Informationssicherheit, Risk Management, Enterprise Architecture, interne Revision und Provider-Management. Wenn diese Gruppen denselben Rahmen verstehen, sinkt der Übersetzungsverlust in Projekten und Gremien deutlich.
Weniger wirksam ist die Zertifizierung dort, wo ein Unternehmen eigentlich ein Umsetzungsproblem hat, aber nur in Schulungen investiert. Fehlen Ownership, Datenbasis, Gremiendisziplin oder klare Priorisierung, ersetzt COBIT Foundation keine Führungsarbeit. Sie kann diese Arbeit besser strukturieren – mehr aber auch nicht.
Fazit
COBIT Foundation ist eine sinnvolle Zertifizierung, wenn Unternehmen eine gemeinsame Sprache für Governance und Management von IT aufbauen wollen. Ihr Wert entsteht aber nicht durch das Bestehen der Prüfung, sondern durch die anschließende Übersetzung in Designfaktoren, Prioritäten, Rollen und echte Entscheidungswege. Erst dann wird aus Framework-Wissen ein Governance-Modell, das im Betrieb trägt.
Wer COBIT nur lernt, verbessert das Vokabular. Wer COBIT über Designfaktoren sauber zuschneidet und in Services, Gremien und Priorisierungen verankert, verbessert die Steuerbarkeit. Genau dort liegt der praktische Unterschied zwischen Zertifizierung und Wirkung.
