De beloftes van Cobit moeten cio’s als muziek in de oren klinken: betere prestaties en lagere kosten, minder risico’s en fouten, beter gedeelde kennis, verbetering van de kwaliteit, verhoogde transparantie en dus een efficiëntere controle en beheer, afstemming tussen ‘business’ en it, enz. Er zijn talloze ‘frameworks’ en andere ‘best practices’ op de markt die kunnen helpen om die doelen te bereiken. “Heel wat projecten werden tot nu met Itil verwezenlijkt”, zegt Paul Deprez, business development manager bij it-dienstverlener Contraste Europe/Amsit, met tien jaar ervaring op het vlak van Itil/Cobit-implementaties. “Het is nu tijd om een nieuwe stap te zetten.”
Overkoepeling
Cobit komt uit de auditwereld en Paul Deprez legt uit uit dat it-governance kan worden opgesplitst in vijf domeinen. Ten eerste, de onderlinge afstemming van business en it, niet enkel op het niveau van de planning (strategisch), maar ook van de activiteiten in het verlengde van duidelijk vastgelegde doelstellingen en verantwoordelijkheden. Ten tweede, de ‘value delivery’ die moet garanderen dat de it zijn beloftes waarmaakt, met metingen en controles om een maximale transparantie te garanderen. Ten derde, het beheer van de middelen, niet enkel de it-middelen, maar ook de human resources. Ten vierde, het risicobeheer, dat onderzocht en vervolgens geëvalueerd moet worden, met in het zog daarvan de verantwoordelijkheidsstructuren. En ten slotte, de meting en controle van de prestaties (met ‘key performance indicators’ (KPI’s) en ‘balanced scorecards’). “Cobit is een verzameling middelen die alle informatie bevat waarmee een organisatie een it-governancekader kan invoeren”, gaat Paul Deprez verder. “Het gaat om goede praktijken voor een bepaald domein of proces, met een logische, beheersbare structuur.” Naast het ‘framework’ omvat Cobit dus een beschrijving van 34 it-processen, controledoelstellingen, richtlijnen inzake beheer en maturiteitsmodellen. “In vergelijking met Itil dat erg omvangrijk is, past Cobit in één enkel pakket.”
Praktijk
In de praktijk werpt Cobit een licht op drie invalshoeken. In de eerste plaats op de bedrijfsbehoeften inzake efficiëntie, rendement, vertrouwelijkheid, integriteit, beschikbaarheid, conformiteit en betrouwbaarheid. Daarnaast ook op de it-middelen in de brede zin van het woord, of het nu gaat om applicaties, data, infrastructuur of personeel. En ten slotte op de it-processen die volgens een hiërarchische structuur worden verdeeld in domeinen, processen en activiteiten. Cobit wordt geleverd met verschillende tools, waaronder een Navigation Grid. Cobit begint altijd, zoals de naam aangeeft, met een controlefase die processen evalueert op het vlak van hun doelstellingen, het ‘process ownership’, het repetitieve karakter van het proces, de rollen en verantwoordelijkheden, het beleid, het plan en de procedures, en de mogelijke verbetering van het proces.
Cobit versus Itil
Hoewel de neiging bestaat om Cobit tegenover Itil te plaatsen, is Paul Deprez van oordeel dat “Cobit veeleer ‘top-down’ is. Met het framework kunnen delicate vragen worden behandeld, vooral als it en business niet op elkaar afgestemd zijn. Itil heeft veel meer oog voor ‘day-to-day’-processen. Met Cobit kan men heel snel problemen en ‘quick wins’ aanwijzen.” Er bestaat trouwens een Cobit ‘light’ of Cobit Quickstart, een formule die zich beperkt tot 32 controlepunten en 59 controledoelstellingen, terwijl de volledige versie 34 controlepunten en 318 controledoelstellingen telt. In een poging om de verschillen in de benadering te vinden, voegt hij eraan toe dat “Cobit veeleer gericht is op het resultaat van een proces, en zich afvraagt waar de organisatie staat en waar ze naartoe wil, terwijl Itil de manier uitlegt waarop een proces moet worden benaderd via automatisering.” En verwijzend naar de origines van Cobit in de auditwereld: “Cobit is een echte checklist.” Hoe dan ook overlappen versie 4 van Cobit en versie 3 van Itil elkaar nu grotendeels, nadat ze lange tijd parallel naast elkaar bleven bestaan.
En ISO/20000? “Zowel Cobit als ISO 20000 komen uit de auditwereld en helpen te achterhalen of een proces correct werd geïmplementeerd. Waarom niet het beste van twee werelden nemen, wetende dat we Cobit noch ISO ooit volledig kunnen implementeren? Het is inderdaad zo dat we slechts 30 à 40 procent van Cobit gebruiken.”
Paul Deprez moet met spijt vaststellen dat “cio’s vandaag te veel bezig zijn met dagdagelijkse beslommeringen. Zij zouden zich meer over strategie moeten buigen, vanuit een vogelperspectief op de organisatie.”
Marc Husquinet
Fout opgemerkt of meer nieuws? Meld het hier