Vijf vragen over het COBIT® 5.0 Framework

Vijf vragen over het COBIT® 5.0 Framework

Vijf vragen over COBIT®

Wat is COBIT® ?

COBIT® 5.0 biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende IT organisatie en IT architectuur. COBIT® bestaat uit een aantal Best Practices op het gebied van IT Governance. Deze zijn verdeeld over vijf principes die voor elke IT organisatie herkenbaar zijn. Binnen deze principes staan beheersdoelstellingen en bijbehorende maatregelen, prestatie-indicatoren en volwassenheidsniveaus (maturity levels) centraal. COBIT® is met name gericht op beheersingsaspecten en minder op de gedetailleerde inrichting van IT processen, zoals dat bijvoorbeeld bij ITIL® het geval is. COBIT® maakt een aansluiting tussen de bedrijfsvoering (business requirements) en hoe IT kan worden ingezet om de bedrijfsdoelstellingen te bereiken. COBIT® richt zich meer op de wat-vraag dan de hoe-vraag. Dit betekent dat aanvullingen nodig zijn om invulling te geven aan de uit te voeren activiteiten (hoe). Hierbij is voor COBIT® aansluiting gezocht bij reeds aanwezige standaarden, zoals: COSO, ITIL®, ISO 17799, PRINCE2® en CMMI. Deze standaarden hebben zich reeds bewezen op het operationele vlak en daarom is het niet meer nodig om ook COBIT® hiermee te gaan uitbreiden. Door de aansluiting met verschillende operationele standaarden (ITIL®, et cetera) kan worden volstaan met één standaard, wat leidt tot transparantie en overzichtelijkheid.

Wie heeft COBIT® ontwikkeld?

COBIT® staat voor Control Objectives for Information and R elated Technologies. In december 2012 werd met versie 5.0 een belangrijke stap gezet met het introduceren van vijf strategische principes. Voor de verschillende aspecten op het gebied van informatiebeveiliging werd aansluiting gevonden bij de Code voor Informatiebeveiliging. Versie 5.0, gepubliceerd in 2012, is de meest recente versie. Naast diverse detailwijzigingen (onder meer samenvoeging van verschillende Control Objectives) zijn daarin de onderdelen businessdoelen en IT doelstellingen in appendix 1 aangepast. Het IT Governance Institute (ITGI) heeft samen met Information Systems Audit and Control Association (ISACA) aan de wieg gestaan van deze norm.

ISACA is een wereldwijde organisatie voor IT auditors. Het doel van ISACA is het onderzoeken, ontwikkelen, publiceren en promoten van een up-to-date internationaal aanvaard IT Governance raamwerk dat managers en auditors kunnen gebruiken in hun dagelijkse werkzaamheden met betrekking tot IT controls en -objectives. Hierbij worden
het management en de proceseigenaren door middel van dit IT Governance model ondersteund bij het begrijpen en beheersen van IT.

Voor wie is COBIT® bedoeld?

COBIT® biedt zowel de businessmanagers alsmede de ict-manager een podium om samen op trekken. Het voorziet manager, auditor en gebruikers van een set algemeen geaccepteerde meetinstrumenten, indicatoren, processen en Best Practices die hen kunnen helpen bij het maximaliseren van de voordelen die informatietechnologie met zich meebrengt door middel van het implementeren van een geschikte mate van IT Governance en control binnen een organisatie. Voor het management beschrijft COBIT® waar rekening mee moet worden gehouden wanneer beslissingen over IT genomen worden en investeringen in IT worden gedaan; het helpt een balans te vinden tussen risico en investeren in controle. Het management heeft een raamwerk nodig om deze controle uit te voeren: zodat business requirements kunnen worden uitgedrukt als informatiecriteria. Dit moet dan wel een raamwerk zijn dat ict organiseert als een set van processen en dat IT neerzet als een set van middelen. De internationaal geaccepteerde standaard als COBIT® 5.0 is zo’n raamwerk. Voor auditors levert het een lijst van control objectives en minimum controls op en daarnaast een handvat voor het benchmarken van een groep; voor de gebruikers van IT geeft het een zekerheid van de beheersing van de beveiliging van de systemen.

Waarom COBIT® 5.0 gebruiken?

In de beginjaren van COBIT® is deze norm vooral ingezet als normenkader en te weinig als leidraad voor het implementeren van bijvoorbeeld IT Governance. Door de toenemende aandacht voor compliancy is de aandacht voor COBIT® toegenomen. Zo hebben de nodige organisaties gebruik gemaakt van COBIT® om te kunnen voldoen aan de Sarbanes Oxleywetgeving (SOX). Op grond van deze wetgeving zijn de ondernemingen verplicht om een control statement af te geven voor alle significante processen inclusief de algemene IT beheerprocessen. Meer in zijn algemeenheid zijn redenen om COBIT® te implementeren:

  • behoefte om IT Governance te implementeren of te verbeteren;
  • IT dienstverlening verder laten aansluiten bij de organisatiedoelstellingen;
  • overnames en fusies, noodzaak tot uniformering van processen;
  • standaardiseren en automatiseren van IT processen;
  • voldoen aan wet- en regelgeving (SOX, WFT, WBP, MIFID, Basel II);
  • outsourcing;
  • beheersbaar krijgen van IT kosten;
  • implementeren van IT control framework.

In alle gevallen dient gestart te worden met aansluiting te zoeken bij de organisatiedoelstellingen. Een IT afdeling hoeft zich bijvoorbeeld niet autonoom te verantwoorden over wet- en regelgeving. Het beheersbaar krijgen van IT kosten dient plaats te vinden in relatie tot de overall organisatiedoelstellingen.

cobit principes

Hoe lang duurt een implementatie?

Het implementeren is een traject dat meestal enkele jaren kan duren, afhankelijk van de grootte van de organisatie en het gekozen startpunt. In gevallen dat COBIT® voor structuur moet zorgen in een bestaande organisatie, zal het project sneller zijn afgerond dan wanneer van scratch gestart wordt met het inrichten van een IT organisatie. Verder moet rekening gehouden worden met het ambitieniveau (maturity level) dat wordt nagestreefd. De betrokkenheid van alle stakeholders is noodzakelijk bij een implementatie van COBIT®. Gelet op de structuur van COBIT® is dit zeker het geval bij de aanvang van het project waarbij organisatiedoelstellingen worden vertaald naar IT doelstellingen. Zodra de implementatie van COBIT® 5.0 wordt gekwalificeerd als een typisch IT project, dan is succes niet langer gegarandeerd.

Gerelateerde artikelen