COBIT 5

Cobit is een raamwerk waarmee je een IT-organisatie effectief en efficiënt mee kan inrichten of een bestaande IT-organisatie kan doorlichten. Cobit is gericht op de strategie, besturing en beheersing van de IT-processen. Met behulp van COBIT kun je bepalen of de IT-organisatie 'in control' is. COBIT voorziet het management en auditors van een lijst met maatregelen op basis waarvan ze sturing aan de IT-organisatie kunnen geven. Waarbij Cobit de kloof overbrugd tussen de business, informatiemanagement en de IT-organisatie. 
 

Wat is COBIT 5?

Cobit staat voor Control Objectives for Information and related Technology. Cobit is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). De Nederlandse samenvatting op deze site is gebaseerd op de informatie die u kunt vinden op de website van Cobit zelf (www.ISACA.org).  
 
  • Belang COBIT; Cobit 5 staat momenteel vooral in de belangstelling doordat Cobit 5 bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden voorgeschreven.
  • Integraal Raamwerk; Cobit 5 omvat alle aspecten van een IT-organisatie. Van alignment met de business, tot software- en systeemontwikkeling tot het dagelijks beheer van soft- en hardware. Maar ook het managen van grote IT-projecten maakt onderdeel uit van het raamwerk. 
  • Beheersing; Cobit 5 is gericht op de beheersing van de IT-processen zodat sturing kan plaatsvinden. Cobit is minder gericht op een gedetailleerde inrichting van deze IT-processen. Daarvoor zijn methodieken als ITIL,ASL en PRINCE2 beter toegerust. Cobit is daarmee een overkoepelend raamwerk waarbinnen je, indien gewenst, andere methodieken ook kan gebruiken voor de inrichting van processen.  
  • Cobit 5 als Managementmodel; Cobit 5 is dus in feite een beheermodel. Daarmee vormt Cobit 5, meer dan andere methodieken, een goed podium voor de business- én IT-manager om samen op te trekken. Zo is het ook voor de business manager mogelijk om de effectiviteit en doelmatigheid van de IT-organisatie te monitoren en ervoor te zorgen dat de inspanningen van de IT-organisatie voortvloeien uit de organisatiedoelstellingen. 
  • Maturity model; Cobit 5 is ook een organisatie-volwassenheidsmodel. Cobit 5 onderscheidt 3 niveaus van volwassenheid voor een IT-organisatie. Omdat Cobit per niveau aangeeft wat de criteria zijn is geeft Cobit  zich kan bevinden. Omdat Cobit per niveau aangeeft wat de criteria zijn is Cobit 5 naast een beheermodel ook een procesverbeterraamwerk. 
 

Cobit Principes

Het Cobit raamwerk is gebaseerd op 5 principes. Cobit 5 redeneert vanuit de behoeften van “stakeholders” naar prioriteiten in bedrijfs- en IT-processen naar beheersing op procesniveau. Daarmee stel je als organisatie zeker dat ook de beheersprocessen bijdragen aan de realisatie van organisatiedoelstellingen. 
 
  1. Stakeholders; het eerste principe van Cobit is dat de IT-organisatie moet bijdragen aan de waardecreatie van de organisatie. Cobit geeft een raamwerk waarmee het management de juiste balans kan vinden tussen het realiseren van doelen, de inzet van bedrijfsmiddelen en het beheersen van de risico's. Zodat de waardecreatie van de IT-organisatie zo groot mogelijk is. 
  2. Business en IT zijn verweven; het tweede principe van Cobit is dat IT en de business zodanig zijn verweven dat een goede beheersing van de IT-organisatie alleen mogelijk is als deze wordt geïntegreerd in de aansturing van de gehele business. Oftewel, een IT-organisatie kan alleen waarde creëren als de IT-organisatie een afgeleide is (aligned) van de bedrijfsdoelstellingen. 
  3. Gebruik één raamwerk; het derde principe van Cobit is dat voor een goede aansturing van de IT-organisatie het noodzakelijk is dat je gebruik maakt van één standaard (raamwerk). Uiteraard hoopt Cobit natuurlijk dat u Cobit als standaard zal gebruiken. Voordeel daarvan is wel dat Cobit, in tegenstelling tot andere standaarden zoals ITIL, ASL en BiSL, de gehele IT-organisatie bestrijkt. Cobit is in feite een standaard die de best-practises van andere standaarden gebruikt en heeft verwerkt in een overkoepelend (standaard) raamwerk. 
  4. Holistische benadering; het vierde principe van Cobit stelt dat voor een goede aansturing van de IT-organisatie een holistische benadering moet worden gekozen. Een organisatie is een samenspel van mensen, beleid, processen, organisatiestructuur en -cultuur. Cobit stelt dat je niet alleen op processen moet sturen (zoals waar bij ITIL en ASL de nadruk ligt) maar op alle facetten wil je succesvol zijn in de aansturing van je IT-organisatie.  
  5. Governance versus Management; het vijfde principe van Cobit is dat voor een goede aansturing van de IT-organisatie er een onderscheid moet worden gemaakt tussen “Governance” en “Management”. Waarbij  "Governance" zich richt op de inrichting van de beheersing van de ICT-organisatie terwijl het "management" over de uitvoering van de beheersing gaat.  
 
Het raamwerk van Cobit is gebaseerd op de vijf bovenstaande principes. Dit maakt dat Cobit 5 als raamwerk organisaties ondersteunt om hun IT-organisatie efficiënt en effectief in te richten. En dat de IT-organisatie is afgestemd op de bedrijfsdoelstellingen en als zodanig waarde creëert voor de organisatie. 
 

Implementatieaspecten

Om dit raamwerk ook daadwerkelijk in een organisatie te implementeren maakt Cobit gebruik van zogenaamde "Enablers". Letterlijk betekent 'enabler' een 'instaatsteller'. Cobit 5 bedoelt hiermee dat om het raamwerk met succes te implementeren een organisatie moet sturen op de volgende 7 aspecten:
 
  1. Missie, visie en strategie: de basis voor elke vorm van sturing vormt de strategie van een organisatie. Hiervan wordt het organisatiebeleid afgeleid wat vervolgens weer kaderstellend is voor het management om de overige 6 enablers (zoals mensen, processen, structuren etc) in te richten. 
  2. Processen: de bedrijfsprocessen moeten zo worden ingericht dat de processen zo optimaal mogelijk een bijdrage leveren aan de doelstellingen zoals vastgelegd in het organisatiebeleid. Een organisatie die 100% kwaliteit wil leveren stelt andere eisen aan haar bedrijfsprocessen dan een organisatie die een foutmarge van 10% accepteert.  
  3. Organisatiestructuur: het organisatiebeleid, de grote van de organisatie, de relatie tussen de business en de IT-organisatie, de mate van specialisatie en de span of control bepaalt hoe de ideale organisatievorm van de IT-organisatie eruit ziet. 
  4. Organisatiecultuur: onze ervaring is dat organisatiecultuur vaak een bepalende factor is voor het succes van een organisatie. Maar in de praktijk blijkt ook dat deze 'enabler' het meest lastig is te beïnvloeden. En dat dit veelal een kwestie is van de lange adem. Waarbij het voorbeeld gedrag van het topmanagement veelal succes bepalend is. 
  5. Informatievoorziening: op basis van het organisatiebeleid wordt vastgesteld op welke (kritische) factoren de organisatie wil sturen. Om vervolgens de informatievoorziening in te richten zodat het management de verschillende processen kan aansturen (Plan-Do-Chek-Act Cirkel).  
  6. Hardware & software: services, infrastructuur en applicaties inclusief de techniek die nodig is om de informatie te verwerken en aan te bieden.
  7. Kennis en vaardigheden: beschikken de medewerkers over de juiste kennis en vaardigheden die passen bij de doelstelling van de IT-organisatie? Zo niet dan is het raadzaam een strategisch personeelsplan op te stellen met daarin de stappen die de organisatie wil ondernemen om tot de gewenste personeelssamenstelling te komen. 
 
Cobit stelt vervolgens dat per implementatieaspect er een eigenaar moet zijn. En dat duidelijk moet zijn wat de doelstellingen per implementatieaspect zijn en dat er per aspect een soort van planning & control moet bestaan zodat gemonitord kan worden of doelstellingen gerealiseerd gaan worden.
 

Procesreferentieraamwerk

In het procesreferentieraamwerk wordt de tweede enabler (processen) uitgewerkt. De kracht van Cobit is dat het als raamwerk niet blijft steken bij algemene principes en implementatie issues. Cobit werkt namelijk op detailniveau de IT-processen uit die je binnen een IT-organisatie kunt aantreffen. Cobit onderscheid daarbij conform principe 5 governance- en managementprocessen.
 
  • Governance processen; hier gaat het om die IT-processen die moeten zorgdragen dat de wensen c.q. eisen van de business in de IT-processen worden verankerd en op een gestructureerde wijze gemonitord kunnen worden. Het gaat dan onder andere om processen zoals risicomanagement, resourcemanagement, batenmanagement en stakeholdermanagement.
  • Managementprocessen; het managen van de IT-organisatie door het plannen, uitvoeren van de IT-activiteiten en het monitoren van de voortgang zodat zeker wordt gesteld dat de uitkomsten van die activiteiten in lijn liggen met de doelen die uit de governance processen zijn bepaald. In de management processen onderscheidt Cobit vervolgens vier hoofdprocessen: 
    • Plannen & Organiseren; het gaat hier dus om de inrichting van de processen die de sturing en beheersing van de IT-organisatie moet borgen. Processen als portfoliomanagement, financieel management, human resourcemanagement (op niveau van de IT-organisatie), Kwaliteitsmanagement, Enterprise Architectuur en leveranciersmanagement.
    • Software- & systeemontwikkeling; hier gaat het dus om de processen die een goede softwareontwikkeling moet veilig stellen. Denk daarbij aan processen als programma- en projectmanagement, specificatiemanagement, change- en configuratiemanagement, testmanagement en capaciteitsmanagement. 
    • Beheerprocessen; zijn processen die de continuïteit van de soft- en hardware moeten borgen. Denk daarbij aan processen als problem- en incidentmanagement, veiligheidsmanagement, dienstenmanagement en continuïteitsmanagement. 
    • Evaluatie; Cobit stelt dat naast de drie hier boven genoemde processen het ook van belang is om de inrichting van diezelfde processen te evalueren. Dus evalueer met enige regelmaat het performancemanagement en de hele set aan software- en beheerprocessen om vast te stellen of deze nog steeds in lijn liggen met de wensen van de business. 
 
Het raamwerk geeft niet alleen handvatten voor het inrichten van deze processen, het raamwerk voorziet ook in kritische succesfactoren waarmee u de prestaties van uw IT-organisatie kunt meten. Let wel Cobit schrijft niks voor. Cobit geeft alleen handvatten op basis van best practises. Een organisatie moet zelf op basis van de eigen situatie de IT-organisatie inrichten. 
 

Cobit gebruiken of niet?

Het grote voordeel van COBIT 5 is dat het een raamwerk aanreikt dat uw hele IT-organisatie omvat. En dat het raamwerk ervoor zorgt dat uw IT-organisatie niet alleen 'in control' is maar ook direct bijdraagt aan de realisatie van de organisatiedoelstellingen. Dit doordat Cobit 5 sterk inzet op de inrichting van governance en managementprocessen. Cobit is goed bruikbaar wanneer u:
 
  • prestaties van de IT-organisatie wil verbeteren
  • overname of fusie waardoor processen gestandaardiseerd moeten worden
  • voldoen aan wet- en regelgeving
 
Of u Cobit moet invoeren en in welke mate is onder andere afhankelijk van de grote en volwassenheid van uw IT-organisatie. Gezond verstand is hierbij doorslaggevend! Waarbij u niet moet vergeten dat Cobit processen niet in detail uitwerkt. Waardoor de implementatie van Cobit vaak samengaat met implementatie van ITIL en/of projectmanagement zoals PRINCE2. 
 

Deel House of Control via Social Media