Veel organisaties gebruiken COBIT om hun IT-omgeving te beheersen. Eind 2018 kwam de nieuwste versie uit, COBIT 2019©. Dirk Steuperaert is universitair docent in Antwerpen en Gent én IT Risk & Governance Consultant. Hij geeft inzicht in de nieuwe punten van COBIT als ITGovernance model.
Wat maakt deze tijd van digitalisering zo rumoerig?
“De laatste jaren zijn er veel stappen gezet in de IT. Het is nu vooral de snelheid waarmee zaken evolueren die velen verrast. En de mate waarin alles wat te maken heeft met informatie en informatieverwerking enigszins aan de controle van de klassieke IT-afdelingen lijkt te ontsnappen. Organisaties lijken het overzicht over het geheel van IT kwijt te zijn.”
Met dit in het achterhoofd, wat is dan uw visie op IT governance?
“Mijn interpretatie van IT governance is dat het gaat om mechanismen die een organisatie gebruikt om richting te geven aan het gebruik van IT en te volgen of die richting wordt gevolgd en de nodige resultaten geeft. Het moet waarde toevoegen. In COBIT wordt de waarde gedefinieerd als een evenwicht van benefits realisation, het beheersen van risico’s (risk optimisation) en dat alles met verantwoordelijk gebruik van resources (resource optimisation) gebeurt. Dat gaat ver voorbij het klassieke GRC-verhaal.”
Wat is de belangrijkste reden om een governance raamwerk als COBIT te gebruiken?
“Veel organisaties hebben hulp nodig om dit goed te organiseren en in de praktijk te brengen. Ze weten: IT moet waarde leveren, maar hoe te beginnen? Een beschrijving van alle processen, structuren, relationele mechanismen enzovoort zijn te vinden in COBIT. COBIT is gegroeid als een procesmodel, een beschrijving van een aantal processen. Dat is nog altijd een belangrijk deel, maar er is nu ook meer aandacht voor andere componenten van een governance systeem. In de praktijk gebruiken mensen COBIT om structuur en overzicht te krijgen in hun governance inspanningen.”
Is COBIT ook te begrijpen en gebruiken voor iemand zonder IT-achtergrond?
“Zeker. Dat moet, omdat ook mensen in het management en bestuur zonder een IT-functie een belangrijke rol spelen in de governance van IT. En het is begrijpelijk: er staat in COBIT geen enkel technisch woord. Het is geschreven op een technologieneutraal niveau.”
Wat was de aanleiding om verbeteringen aan te brengen en COBIT 2019© uit te brengen?
“De vorige versie was alweer zeven jaar oud (COBIT5© 2012), en de eerdere versie dateerde van vijf jaar daarvoor (2007 COBIT4.1©). COBIT heeft zich altijd willen aligneren met alle andere standaarden die governance ondersteuning mogelijk maken (ITIL©, Prince2© etc.) Die positionering wil COBIT blijven houden, als overkoepelend raamwerk. Alle andere standaarden zijn geëvolueerd en dan moet COBIT simpelweg mee. Daarnaast zijn inzichten over IT governance in die zeven jaar veranderd. We hebben te maken met de cloud, er zijn nieuwe ontwikkelingsmodellen, agile en devops waar ontwikkelingen en operations samengevoegd worden. Allemaal trends waar we, als makers, de relevantie van COBIT moeten onderzoeken en eventueel aanpassen. Verder zijn wat specifieke zaken aangepast, zoals het process capability model. De vorige versies van COBIT werden geschreven door ingenieurs en zagen er dientengevolge complex uit. Dat is nu sterk verbeterd, inclusief andere verbeteringen.”
Hoe kunnen kleine en grote organisaties de nieuwe COBIT 2019© gebruiken?
“In COBIT 2019© is het begrip Focus Area gedefinieerd. Zo kun je als gebruiker het voor jou relevante materiaal selecteren en wordt het desgewenst verder toegelicht. Er is bijvoorbeeld een focus area voor ‘small and medium enterprise’, waarvan de guide echter nog niet is uitgebracht. Er is ook een design guide waarmee je je eigen governance systeem kunt designen. Tevens is een Risk Focus Area in ontwikkeling met templates. En een lijst met generieke riskscenario’s helpt gebruikers om risico’s in IT goed te managen. Het zijn voorbeelden. Belangrijk is dat deze COBIT duidelijk is gericht op niet-IT-mensen, zoals de RvB, die wél met IT governance te maken hebben.”