Control Objectives for Information and related Technology (COBIT) is een - in 1992 ontwikkeld - instrument voor het analyseren van een IT-organisatie. Met behulp van COBIT kan worden vastgesteld in hoeverre een organisatie voorziet in de uitvoering van een seriebeheersdoelstellingen ('control objectives') waaraan een goed functionerende IT-organisatie aan moet voldoen: welke praktische zaken moeten geregeld zijn om als organisatie 'in control' te zijn qua IT.
COBIT is een instrument voor wordt in de praktijk veelvuldig toegepast als hulpmiddel bij het inrichten van een IT-beheeromgeving én het uitvoeren van een kwaliteitstoets. Het wordt gebruikt door organisaties die moeten voldoen aan strenge compliance-eisen en die de kwaliteit en toegevoegde waarde van hun informatievoorziening willen verbeteren. COBIT helpt bij het begrijpen en beheersen van de aan IT gerelateerde risico's. Het voorziet in een behoefte om te komen tot IT-Governance en het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen.
Het doel van COBIT is het management en proceseigenaren door middel van een 'Information Technology (IT) Governance'-model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico's. COBIT is gebaseerd op het principe dat organisaties worden voorzien van de informatie die noodzakelijk is om hun doelstellingen te realiseren. De informatie wordt voortgebracht door IT-processen en het samenstel van IT-resources: data, applicaties, technologie, faciliteiten en mensen.
De IT-resources worden beheerst door middel van 34 IT-processen die verdeeld zijn over vier domeinen:
-
Planning en Organisatie (PO)
-
Acquisitie en Implementatie (AI)
-
Delivery en Support (DS)
-
Monitoring
COBIT is gebaseerd op de gedachte dat de IT-resources moeten worden beheerst en beheerd op basis van een set processen die op natuurlijke wijze zijn gegroepeerd. Hierdoor krijgt een organisatie de beschikking over meetbare en betrouwbare informatie voor het realiseren van haar doelstellingen en krijgt zij een ondersteunende en meetbare IT-dienstverlening. Om de organisatiedoelstellingen te realiseren dient de informatie voor het aansturen van de organisatie en haar bedrijfsprocessen te voldoen aan zeven kwaliteitscriteria:
-
Effectiveness
-
Efficiency
-
Confidentiality
-
Integrity
-
Availability
-
Compliance
-
Reliability
Per domein kent Cobit een aantal hoofddoelstellingen. Deze worden hier onder genoemd. Het gaat in het kader van dit artikel te ver om de doelstellingen één voor één door te nemen, maar de aanduiding geeft al een goed beeld van de maatregelen die getroffen moeten worden. Bedenk hierbij wel dat de relatie met de bedrijfsdoelstellingen goed in de gaten gehouden moeten worden. De bedrijfsdoelstellingen en bedrijfsprocessen bepalen immers de benodigde IT.
Ad (1) Planning en Organisatie
- PO1 Definiëren van een strategisch IT plan
- PO2 Definiëren van een Informatie Architecture
- PO3 Vaststellen van de te gebruiken technologie
- PO4 Definiëren van de IT organisatie en relaties
- PO5 Managen van de IT investering
- PO6 Communicatie van management doelstellingen en richting
- PO7 HRM management
- PO8 Overeenstemming met externe eisen (compliance)
- PO9 Vaststellen en managen van risico’s
- PO10 Project Management
- PO11 Kwaliteitsmanagement
Ad (2) Acquisitie en Implementatie
- AI1 Identificeer geautomatiseerde oplossingen
- AI2 Verkrijgen en onderhouden van applicaties
- AI3 Verkrijgen en onderhoud technologische infrastructuur
- AI4 Ontwikkelen en onderhoud procedures
- AI5 Installeren van accreditatie systemen
- AI6 Verandermanagement
Ad (3) Delivery en Support
- DS1 Definieer en manage service levels
- DS2 Manage diensten van derden
- DS3 Manage prestaties en capaciteit
- DS4 Draag zorg voor continuïteit
- DS5 Draag zorg voor systeembeveiliging
- DS6 Identificeer en alloceer kosten
- DS7 Train gebruikers
- DS8 Assisteer en adviseer de klanten
- DS9 Manage de IT-configuratie
- DS10 Afhandelen problemen en incidenten
- DS11 Datamanagement
- DS12 Facilitymanagement
- DS13 Managen processen
Ad (4) Monitoring
- M1 Monitor de processen
- M2 Vaststellen werking interne controle maatregelen
- M3 Verkrijgen onafhankelijke zekerheid (assurance)
- M4 Voorzien in onafhankelijke audit
Voor alle bovengenoemde hoofddoelstellingen zijn subdoelstellingen uitgewerkt en uitgebreide richtlijnen opgesteld voor het management en ook voor IT auditors.
COBIT en IT-governance
COBIT biedt voor IT governance een goed uitgewerkt en internationaal erkend raamwerk. Governance raakt de gehele informatievoorziening. Ook informatiemanagement moet een antwoord kunnen geven op de governance vraag "Op welke wijze besturen en beheersen we de informatievoorziening, hoe kunnen we ons verantwoorden over de betrouwbaarheid en beveiliging van de informatievoorzienig en op welke wijze hebben we het (externe) toezicht daarop georganiseerd?". De governance vraag raakt zowel de dagelijkse informatieverwerking voor de uitvoering van de primaire processen, de management rapportages voor de besturing van de processen en de strategische beleidsinformatie en de externe verslaglegging. Maar het raakt evenzeer het functioneel beheer van de informatievoorziening en de (al dan niet uitbestede) ICT dienstverlening.
Verwacht van de beschrijvingen van de richtlijnen niet al te veel. Het gaat hierbij vooral om ‘common sense’ uitwerkingen. Voor inhoudelijke invulling van het raamwerk zul je een beroep moeten doen om andere bronnen. Voor informatiebeveiliging bijvoorbeeld de code voor informatiebeveiliging, ITIL voor IT service management, voor meer algemene kwaliteitsmodellen op bijvoorbeeld de ISO uitwerkingen of INK enzovoorts. Desalniettemin biedt Cobit een goed toegankelijk kader en zie je dat er aan heel veel aspecten aandacht moet worden besteed om van IT governance te kunnen spreken.
COBIT en BiSL
CobiT is sterk in het definiëren van beheersdoelstellingen voor functioneel beheer. Het is echter minder sterk in het definiëren van de functioneel beheerprocessen en de daarbinnen uit te voeren taken en activiteiten. Het BISL framework biedt juist op deze gebieden goede aangrijpingspunten, maar is minder sterk in het definiëren van beheersdoelstellingen voor de processen.
COBIT is gericht op alle aspecten van IT en raakt daarmee aan onder meer CMM, ITIL en BiSL. Belangrijk is dat COBIT vooral gericht is op beheersing van processen, strategie en besturing. COBIT kan dan ook worden gezien als een model voor IT-governance.
Bron: Modellen die werken (2008), Barry Derksen en Peter Noordam
Reacties