Cobit staat voor 'control objectives for information and related technology', en werd als framework ontwikkeld door ISACA, de wereldwijde vereniging van auditors en securityspecialisten. Het doel was meer inzicht en greep op ict-diensten, zeg maar die zo gewenste maar o-zo-moeilijke "afstemming van bedrijfsdoelstellingen op it-doelstellingen en it-processen." Na een eerste versie in 1996, werd in 2012 al de versie Cobit 5 voorgesteld, waar heel wat Belgen aan hebben meegewerkt. Het hoeft dan ook niet te verwonderen dat ook in ons land implementaties van Cobit 5 werden aangevat, zoals bij de FOD Financiën.
...

Cobit staat voor 'control objectives for information and related technology', en werd als framework ontwikkeld door ISACA, de wereldwijde vereniging van auditors en securityspecialisten. Het doel was meer inzicht en greep op ict-diensten, zeg maar die zo gewenste maar o-zo-moeilijke "afstemming van bedrijfsdoelstellingen op it-doelstellingen en it-processen." Na een eerste versie in 1996, werd in 2012 al de versie Cobit 5 voorgesteld, waar heel wat Belgen aan hebben meegewerkt. Het hoeft dan ook niet te verwonderen dat ook in ons land implementaties van Cobit 5 werden aangevat, zoals bij de FOD Financiën. Van bij de aanvang was de doelstelling niet min: "een Cobit 5 project voor alle 37 Cobit processen," met zowel een doorlichting van de it-processen, een kennis-transfer naar de FOD Financiën, een doorlichting van de it governance praktijk, bepalen in welke domeinen te focussen op verbeteringen, it-processen beschrijven volgens Cobit 5 en het opstellen van actieplannen om onder meer beheeractiviteiten te verbeteren en de bestaande praktijk te aligneren met de Cobit 5 standaard. Kortom, een fikse en bijzonder ambitieuze boterham. "Het initiatief hiervoor ging uit van de cio en zijn directe 'reports'," stelt Frank Baelus (vandaag verantwoordelijk voor het opstarten van een enterprise architecture functie bij de FOD Financiën), "maar het werd snel opgenomen door de ceo. Alle departementen waren erbij betrokken, van development tot operations." Na een begin met cursussen voor zowel betrokken ict'ers als personen uit de 'business', het bepalen van de prioriteiten, een clustering oefening, evenals het opstellen van een roadmap, werd gestart met het documenteren van de processen. "Het voordeel hierbij was dat een aantal van deze processen er al waren en gemeenschappelijk zijn", klinkt het. Alles werd besproken met de actoren ten velde en vervolgens gemodelleerd. Belangrijk hierbij was dat alles in begrijpbare taal werd gesteld (bijvoorbeeld 'een up-to-date inventaris van applicaties' in plaats van 'configuration management'), om het 'abstracte' van de Cobit process-beschrijvingen verteerbaar te maken. Daarna was ook de rol van de 'validators' uiterst belangrijk, want zij voerden immers de kwaliteitscontrole op de betrokken processen uit! Een hulp was tevens dat er met transversale werkgroepen werd gewerkt, waarin verschillende expertises en verantwoordelijken samenwerkten. "Zo werd in de configuratie management groep de vraag gesteld wie verantwoordelijk was voor elke toepassing die er draait? Dat bracht duidelijkheid en vervolgens werd dat proces geïnstitutionaliseerd. En dat begint nu te rollen." En "als ze de toegevoegde waarde zien, is de oorlog gewonnen..." Overigens werd ook voor de Cobit-expertise zelf een beroep gedaan op externe experten, in het bijzonder Deloitte, met onder meer Johan Van Grieken, Deloitte-partner voor governance, continuity & compliance bij Deloitte Enterprise Risk Services. Cruciaal bij Cobit is het besef dat dit een traject is naar meer financiële transparantie, bijvoorbeeld met het oog op kostenallocatie. Het doel bij de FOD Financiën is een 'cost based accounting', waarbij tegenover een 'service level agreement' ook een 'voor wat, hoort wat' staat. Tegelijk stijgt ook de transparantie wat de geleverde ict-diensten betreft. Van groot belang is het besef dat Cobit een enabler is, geen doel op zichzelf, en tijd vergt. "37 processen doen op twee jaar tijd was veel te ambitieus," geeft Baelus toe. Voorts moet je de juiste personen in de organisatie vinden om alles in goede banen te leiden. Zo vergt het heel wat geduld van de projectleider, stelt Baelus, want "Cobit is als de Hokusai-golf: fractaal in zijn details waar de golf neerkomt!" Guy Kindermans"Cobit is als de Hokusai-golf: fractaal in zijn details waar de golf neerkomt!"