Vaktechniek | Projecten | CobiT
Control Objectives for Information and Related Technology (CobiT)

(zie ook het eindrapport vande werkgroep CobiT)

1. Inleiding
CobiT staat voor Control Objectives for Information and Related Technology en isontwikkeld door de Information Systems Audit and Control Foundation (ISACF), het researchinstituut van de Information Systems Audit and Control Association (ISACA). De eersteversie van CobiT stamt uit 1996; de tweede versie bestaat sinds 1998 en de derde versie isuitgebracht in 2000; verdere ontwikkelingen zullen aanvullingen op versie 3 zijn.

CobiT is het de facto IT Governance instrument dat het werk van IT-professionalsbeïnvloedt. In CobiT worden de relaties gelegd tussen de informatie technologie en debeheersingsvraagstukken. CobiT consolideert en harmoniseert wereldwijde 41 IT-standaardenin een integraal IT-model voor gebruik door management, adviseurs, auditors en andere IT-en business professionals, die zich bezighouden met aan de IT gerelateerdebeheersingsvraagstukken van organisaties. CobiT is gebaseerd op de gedachte dat deIT-resources moeten worden beheerst en beheerd op basis van een set van op een natuurlijkewijze gegroepeerde processen. Hierdoor krijgt een organisatie de beschikking over meetbareen betrouwbare informatie voor het realiseren van haar doelstellingen en de ondersteunendeen meetbare IT-dienstverlening.

2. Het doel
Het doel van CobiT is om het management en de proceseigenaren middels een InformationTechnology (IT) Governance model te ondersteunen bij het begrijpen en beheersen van de aanIT gerelateerde risico’s. CobiT helpt bij het overbruggen van de verschillen tussenbusiness risico’s, de daaruit voortvloeiende behoefte aan de beheersing van debedrijfsprocessen en de ondersteunende IT-dienstverlening en - infrastructuur. Hetvoorziet in een behoefte om te komen tot IT Governance en het waarborgen vanbetrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen.

3. Het model
Het CobiT Framework is gebaseerd op het principe dat organisaties worden voorzien van deinformatie die noodzakelijk is voor het realiseren van hun doelstellingen. De informatiewordt op haar beurt voortgebracht door IT-processen en het samenstel van IT-resources:data, applicatiesystemen, technologie, faciliteiten en mensen. De IT-resources wordenbeheerst middels de 34 IT-processen, die zijn ingedeeld in 4 domeinen:

  1. Planning & Organisation;
  2. Acquisition & Implementation;
  3. Delivery & Support;
  4. Monitoring.

Voor de realisatie van de bedrijfs- / organisatiedoelstellingen dient de informatievoor het aansturen van de organisatie en haar bedrijfsprocessen te voldoen aan eenzevental kwaliteitscriteria: effectiveness, efficiency, confidentiality, integrity,availability, compliance en reliability. Het IT Governance framework is er op gericht deorganisatie een redelijke zekerheid te bieden dat de ondersteunende IT-processen eenbijdrage leveren aan de realisatie van de overkoepelende bedrijfs- /organisatie-doelstellingen. Onderstaande figuur geeft inzicht in de onderlinge samenhangtussen de bedrijfs- / organisatie-doelstellingen en de informatievoorziening vanuit de deCobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en IT-resources.

COBIT

Bij elk van de 34 IT-processen kent CobiT een aantal managementinstrumenten zoals:

  • Control objectives, in feite de beheerdoelstelling per IT-proces. Bij elk van de 34 processen horen meerdere, in totaal 318, detailed control objectives.
  • Key Goal Indicators (KGI’s), Key Performance Indicators (KPI’s) en Critical Success Factors (CSF’s).
  • Volwassenheidsniveaus op een schaal van 0 tot en met 5, waarbij 0 staat voor ‘non-existence’ en 5 staat voor ‘best practices’.
  • Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd.

Het gebruik van CobiT wordt ondersteund door een aantal handleidingen, een diskette eneen CD-ROM met daarop een drietal presentaties en de handleidingen. Er is een ExecutiveSummary beschikbaar waarin de basis concepten voor het senior management wordentoegelicht. In het Framework worden de relaties toegelicht tussen de IT-processen, dekwaliteitscriteria en de IT-resources. In de Control Objectives worden de relatiesbeschreven tussen de 34 high-level control objectives en de 318 gedetailleerde controlobjectives. De handleiding voor de Audit objectives ondersteunt bij het opstellen vanauditplannen op basis van de control objectives. In de Implementation Tool Set wordenverschillende aanpakken gepresenteerd die tot een snelle en adequate implementatie vanCobiT kunnen leiden. In de ‘Management Guidelines’ worden de richtlijnen voorhet bepalen van de mate van volwassenheid van de organisatie in het beheersen van de IT-processen beschreven. Ook worden hierin de mogelijk te gebruiken Key Goal Indicators,Critical Success Factors en Key Performance Indicators beschreven. Inmiddels is deCobiT-set uitgebreid met de volgende producten:

  • Board Briefing on IT Governance (2001)
  • Information Security Governance: Guidance for Board of Directors and Executive Management (2001)
  • IT Governance Executive Summary (2002)
  • IT Strategy Committee (2002)

COBIT Family of Products

Naast deze specifieke CobiT-producten wordt binnen ISACA hard gewerkt aan detotstandkoming van IT Control Practices Statements (alleen vrij te downloaden voor leden).De volgende processen zijn beschreven:

- PO9 Assess Risks
- AI1 Identify Automated Solutions
- AI2 Acquiring and Maintain Application Software
- AI3 Acquiring and Maintain Technology Infrastructure
- AI4 Develop and Maintain Procedures
- AI6 Manage changes
- DS5 Ensure Systems Security

4. Fasering
De opzet van CobiT is gebaseerd op de toepassing van het waterval principe:

  • The control of IT-processes;
  • Which satisfy Business Requirements;
  • Is enabled by Control Statements;
  • And considers Control Practices.

In onderstaande figuur wordt dit principe schematisch weergegeven, aangevuld met desamenhang tussen de IT-processen, de kwaliteitscriteria en de IT-resources.

COBIT's Waterfa;;

5. Toepassingsmogelijkheden
CobiT kan op verschillende manieren worden toegepast. CobiT kan het management behulpzaamzijn bij het afstemmen van de beheersing van de IT-processen op een voor hen aanvaardbaargeacht risiconiveau. CobiT kan door gebruikers als referentiekader worden gebruikt bij hetmaken van afspraken, zoals veelal vastgelegd in de zogenaamde Service Level Agreements,over de gewenste kwaliteit van IT-diensten. Auditors kunnen CobiT gebruiken voor hetopstellen van het audit plan, de onderbouwing van hun oordeel en bij het formuleren vanhun aanbevelingen.

6. Gebruik binnen de rijksoverheid
CobiT kan zowel door profit als not for profit organisaties worden toegepast.Vermeldingwaard is dat Philips op basis van CobiT een tool heeft ontwikkeld voor het metenvan de maturity van de IT-processen binnen het kwaliteitsverbeteringsprogramma BusinessExcellence through Speed and Teamwork ( BEST). Daarnaast wordt CobiT toegepast binnen deauditafdelingen van o.a. het UWV, Fortis Bank en de Gasunie. Voor verdere informatie overandere bedrijven die CobiT actief gebruiken verwijzen wij naar de web-site van ISACA (www.isaca.org). Hier zijn ook meerderecase studies beschreven.

7. Overige opmerkingen
CobiT is een open de facto standaard, hetgeen betekent dat de informatie met uitzonderingvan de Audit Guidelines publiekelijk toegankelijk is. Op de website van ISACA (www.isaca.org) en het IT GovernanceInstitute (www.itgi.org) is veelinformatie aanwezig over CobiT. Als onderdeel van de onderhanden projecten zal binnenCobiT-project 4 in de nabije toekomst zal een verkorte versie van CobiT verschijnen voorkleine IT-omgevingen het zogenaamde ‘CobiT-lite’. Verdere ontwikkelingen omtrentCobiT zullen te volgen zijn via de bovenvermelde web-sites en via ISACA-research.
Jaarlijks presenteert ISACA op de ISACA International Conference een dag als IT GovernanceForum. De presentaties van die dag zijn beschikbaar op de web-site van het IT GovernanceInstitute.

# KENMERKEN Weging MODEL: CobiT versie 3
1. TOEPASSINGSKENMERKEN    
a. Toepassingsgebied    
  Typologie van processen
  • primaire processen
    • beleidsprocessen
    • operationale processen
  • ondersteunende processen
    • personeel
    • informatievoorziening
    • organisatie
    • financien
    • administratie
    • huisvesting
  


Zie opm
Zie opm

--
++
--
--
--
--

 CobiT is een algemeen aanvaard normenkader voor de beheersing van IT zodanig dat IT een bijdrage levert voor het realiseren van de bedrijfsdoelstellingen. Voor een rekencentrum heeft CobiT ook betrekking op (een deel van) de primaire processen.
Middels het in CobiT opgenomen maturity model is de toepasbaarheid vergroot. De maturity tool kan worden gebruikt als een methode voor:
  • self-assessment;
  • bepalen  toekomstig niveau van volwassenheid;
  • planning toekomstige inspanning ter overbrugging van huidig en gewenste niveau van volwassenheid.
b. Project-, organisatie-, proces- of systeemgericht    
 
  • Projectgericht (veranderingsproces)
  • Organisatiegericht (organisatie, organisatieonderdeel, afdeling)
  • Procesgericht (proces of deelproces)
  • Systeemgericht (informatiesysteem)
 -/+
+

++
+

 CobiT is opgebouwd uit een raamwerk van domeinen, processen, kwaliteitscriteria, IT-resources en de concepten van het raamwerk. De kern wordt gevormd door de 34 processen waarvoor beheersdoelstellingen zijn gedefinieerd op het niveau van het bedrijfsdomein en een meer gedetailleerd IT-niveau.
c. Toepassingsniveau    
  Op welk niveau kan het worden toegepast:
  • strategisch,
  • tactisch of
  • operationeel?
  

+
++
+

 CobiT omvat domeinen waarin de verschillende niveau’s tot uitdrukking komen. CobiT gaat daarbij uit van een top-down benadering.
d. Doel    
  Wat kan er met het model worden bereikt? Is het:
  • normatief,
  • inventariserend, beschrijvend,
  • analyserend,
  • groeimodel?
 


++
+
++
++

 CobiT is vooral normatief. Het verenigt in zich een 41-tal wereldwijd verspreide bronnen.
CobiT is bruikbaar voor het vaststellen van normen in het kader van een attestopdracht, zolang de grenzen en de beperkingen van CobiT in acht worden genomen.
De uitbreiding met de op CMM gebaseerde maturity levels maakt dat CobiT kan worden toegepast om een gewenste verandering aan te geven tussen het huidige en gewenste niveau van volwassenheid.
e. Aard    
  Wat is de insteek van het model?
  • kwantitatief;
  • kwalitatief
  

-
++

 CobiT is een kwalitatief model.
2. OPLEIDINGSKENMERKEN    
a. Beschikbaarheid van geautomatiseerde ondersteunende hulpmiddelen en/of modellen + Door Methodware wordt een Advisor tool op de markt gebracht. Bij CobiT wordt een implementation tool set geleverd.
b. Beschikbaarheid van opleidingen -/+ Er bestaan in Nederland geen reguliere CobiT-opleidingen. Met een zekere regelmaat worden door ISACA NL Chapter workshops georganiseerd rondom het CobiT-raamwerk. Daarnaast  geven Hendrik Ceulemans en Harry Boonen regelmatig presentaties en workshops over CobiT.
PWC past CobiT toe in haar controle praktijk en zij zullen als dienstverlener wellicht bereid zijn om cursussen te verzorgen.
c. Beschikbaarheid van documentatie + CobiT-omvat een aantal publicaties:
  • executive summary;
  • framework;
  • control objectives;
  • audit guidelines;
  • implementation tool set;
  • management guidelines
  • Board Briefing on IT Governance
  • Information Security Governance: Guidance for Boards of Directors and Executive Management
  • IT Governance Executive Summary
  • IT Strategy Committee.

Op de websites van ISACA (www.isaca.org) en IT Governance Institute (www.itgi.org) is veel informatie aanwezig over CobiT en daaraan gerelateerde initiatieven.

3. Hanteerbaarheid en flexibiliteit    
a. Eenduidigheid van het model    
  In welke mate leidt het bij gebruik door verschillende personen tot vergelijkbare uitkomsten. + Er is sprake van een raamwerk met bepaalde grenzen en beperkingen in termen van:
  • reikwijdte;
  • eenduidigheid;
  • gradering;
  • toekomstvast.

De mate van deskundigheid van de gebruikers is deels bepalend voor de uitkomsten van het framework.

b. Vrijheidsgraden    
  In welke mate kan het model op specifieke situaties worden toegesneden. + Er worden beheersdoelstellingen geformuleerd voor een ambitieniveau. Met behulp van de maturity levels kan de gebruiker voor zich zelf bepalen welk ambitieniveau voor een proces wenselijk is (kosten / baten-analyse).
c. Hanteerbaarheid    
  Belasting en complexiteit: is het makkelijk te leren, toe te passen en heeft het korte doorlooptijden. - Er wordt een bepaalde kennis op het (aan) IT (gerelateerde) gebied verondersteld. Kennis van bijvoorbeeld meer gedetailleerde IT-normen is gewenst. IT-deskundigheid is vereist om te beoordelen op welke wijze de Management Guidelines dienen te worden gecompleteerd en hoe verstrekkend de gevolgen zijn van bepaalde keuzes.
d. Doelgroep    
  Wie kunnen het in de praktijk hanteren: management, gebruikers, analisten, adviseurs, auditors, accountants ++ CobiT is ontwikkeld voor:
  • management ;
  • (eind-)gebruikers;
  • IT-auditors
  • Management- en IT-adviseurs.
e. Werkvormen    
  Voor welke werkvormen is het geschikt, interview, vragenlijst, self-assessment ++ CobiT voorziet in een IT-Governance self-assessment (zie implementation tool set)
4. OVERIGE KENMERKEN    
a. Toepasbaarheid binnen de Rijksoverheid    
  Geen geld/goederenbeweging, aandacht voor beleids­processen en wordt het al toegepast binnen de rijksoverheid. + CobiT is zeer zeker goed toepasbaar binnen de Rijksoverheid.
b. Overige opmerkingen    
  Best practices, voor en nadelen, valkuilen, aandachtspunten etc. + Sterk punt van CobiT is dat het gebaseerd is op een groot aantal internationaal aanvaarde normen en standaarden. Het framework bezit een herkenbare structuur voor het management en de (IT-)auditor. Dit vloeit ondermeer voort uit de doeltreffendheid waarmee de beheersdoelstellingen voor de IT-beheers­processen zijn geformuleerd. Aan de hand van de onderscheidende maturity levels kan een organisatie haar ambitieniveau bepalen.

De samenhang tussen IT-beheersprocessen (uitwisseling van informatie tussen de processen) wordt in CobiT niet uitgewerkt. De processen worden op een bepaald abstractieniveau behandeld.

Het toepassen van CobiT vereist nogal de nodige ervaring en kennis van zowel CobiT zelf als de bedrijfs- en IT-processen.


-Terug-
Zoeken naar:
Gebruiker:
Wachtwoord:
Presentaties IIA Jaarcongres beschikbaar
ISACA Round Table 6 september 2010
IIA Response to IFAC Draft Standards 610 and 315
Nieuwe Wet op het accountantsberoep
BWise – IIA workshops 2010
Synergievoordelen kunnen rechtvaardigen dat de externe accountant bij zijn klant ook de rol van internal auditor heeft.
1. Geheel eens
2. Deels eens
3. Geheel oneens
4. Geen mening