22 maart 2007 11:30

Cobit, voor een betere IT-afdeling

Uw IT-afdeling ontwikkelt software, ondersteunt de users, onderhoudt de servers, het netwerk en de databases, en zorgt voor beveiliging. Binnen de afdeling heeft elke cel haar eigen werkwijze en normen. Kan Cobit u helpen om hier vat op te krijgen? Hoe gebruikt u dit raamwerk?

‘Cobit, Control Objectives for Information and related Technology, is een model voor IT governance, voor het goede bestuur van een IT-afdeling, waarbij de afstemming met de business zeer belangrijk is. Dit model geniet wereldwijd meer en meer erkenning; zowel de regels van de Sarbanes-Oxley Act als de regels van SAS70 verwijzen naar Cobit,’ aldus Greet Volders, managing consultant van Voquals. Zij is vice-voorzitter van Isaca Belux, en lid van verschillende werkgroepen rond de verdere ontwikkeling van Cobit.

HET RAAMWERK COBIT
Cobit vertelt de IT-managers waaraan zij allemaal moeten denken. Zo baseert een IT-afdeling zich niet enkel op de ervaring van de eigen mensen, maar maakt ze ook gebruik van de ervaringen van vele IT-managers en consultants, die in het raamwerk verwerkt werden. Cobit kan men gebruiken als checklist, om te zien hoe goed of slecht het gesteld is met de werking van de IT-afdeling, om te bepalen op welke punten actie vereist is, en om prioriteiten te bepalen. Het Engelse woord ‘control’ betekent hier niet ‘controle achteraf’, het gaat om ‘onder controle krijgen, beheersbaar maken’. Zegt Cobit ook hoe je dat moet doen? Greet Volders: ‘Nee, dat is niet de bedoeling. Daar zijn andere raamwerken voor, zoals Itil voor service management, CMMI voor ontwikkeling, PMBOK voor projectbeheer, en ISO17799 voor beveiliging.’

Om vat te krijgen op de vele activiteiten die op een IT-afdeling gebeuren, adviseert Cobit om de IT-processen als invalshoek te nemen. Cobit werkt met 34 IT-processen; ze worden gegroepeerd in vier domeinen (Plan and Organise, Acquire and Implement, Deliver and Support, Monitor and Evaluate). Versie 3 van Cobit bestond uit zes zware documenten en schrikte door haar omslachtigheid vele potentiële gebruikers af. Cobit versie 4, verschenen in december 2005, is veel gemakkelijker te hanteren. Mocht u in het verleden besloten hebben dat Cobit niets voor u is, dan loont het de moeite een blik te werpen op de nieuwe versie.

EEN PROCESBESCHRIJVING IN COBIT
Het handboek van Cobit bevat 34 procesbeschrijvingen. Voor elk proces vinden we hier achtereenvolgens de high-level control objectives, de detailed control objectives, de management guidelines en het maturity model.

HIGH-LEVEL CONTROL OBJECTIVES
In het eerste deel van de procesbeschrijving vinden we – de naam van het proces
– de betekenis van dit proces voor de business
– de IT-doelstellingen van dit proces
maar ook: – de objectieven van dit proces
– hoe men kan meten of men de objectieven bereikt heeft
Bijvoorbeeld, voor het IT-proces AI2 ‘Acquire and Maintain Application Software’, in het domein ‘Acquire and Implement’, wordt dat:

This process covers the design of the applications, the proper inclusion of application controls and security requirements, and the actual development and configuration according to standards.

Control over the IT process of: Acquire and maintain application software that satisfies the business requirement for IT of making available applications in line with business requirements, and doing so in time and at a reasonable cost by focusing on ensuring there is a timely and cost-effective development process is achieved by

– Translating business requirements into design specifications
– Adhering to development standards for all modifications
– Separating development, testing and operational activities and is measured by
– Number of production problems per application causing visible down time
– Percentage of users satisfied with functionality delivered

DETAILED CONTROL OBJECTIVES
In het tweede deel van de procesbeschrijving vinden we een gedetailleerde lijst van de objectieven van het proces. Bijvoorbeeld, voor het IT-proces AI2 zijn de detailed control objectives: AI2.1 High-level Design
AI2.2 Detailed Design
AI2.3 Application Control and Auditability
AI2.4 Application Security and Availability
AI2.5 Configuration and Implementation of Acquired Application Software
AI2.6 Major Upgrades to Existing Systems
AI2.7 Development of Application Software
AI2.8 Software Quality Assurance
AI2.9 Applications Requirements Management
AI2.10 Application Software Maintenance

AI2.1 HIGH-LEVEL DESIGN
Translate business requirements into a high-level design specification for software development, taking into account the organisation’s technological directions and information architecture, and have the design specifications approved to ensure that the high-level design responds to the requirements.

MANAGEMENT GUIDELINES
Het derde deel van de procesbeschrijving bevat richtlijnen voor de process owner. Hier vinden we achtereenvolgens de link van dit proces met andere processen, een overzicht van de betrokken personen en hun verantwoordelijkheid, en de doelstellingen en metrieken. Een proces gebruikt input die afkomstig is van processen x, y en z, en levert output die gebruikt wordt door processen a, b en c. Dat is de link van dit proces met andere processen. Verder bestaat een IT-proces uit meerdere acties of processtappen.

Een voorbeeld. Bij het IT-proces AI2 vinden we onder meer de volgende acties: – Translate business requirements into high-level design specification.
– Prepare detailed design and technical software application requirements.
– Customise and implement acquired automated functionality.
– Track and manage application requirements.

Bij een proces zijn ook meerdere functies betrokken, bijvoorbeeld de CEO, de CFO, de CIO, de ‘Head of Operations’ en de ‘Head of Development’. Verschillende personen hebben een verschillende verantwoordelijkheid: iemand is verantwoordelijk voor de uitvoering, ‘responsible’, één persoon is aansprakelijk ‘accountable’, verschillende personen/functies worden geraadpleegd, ‘consulted’ of enkel op de hoogte gehouden, ‘informed’. De project manager is bijvoorbeeld ‘responsible’, zijn baas, het ‘Head of Development’, is ‘accountable’. Dan komen de ‘goals and metrics’, de doelstellingen en metrieken.

Cobit onderscheidt ‘Activity Goals’, doelstellingen van hoog niveau, ‘Process Goals’, doelstellingen op niveau van het proces, en ‘IT Goals’, doelstellingen op niveau van IT. Bij elk van deze doelstellingen horen metrieken. Activity Goals worden gemeten door Key Performance Indicators, Process Goals worden gemeten door Process Key Goal Indicators, enzovoort.

MATURITY MODEL
In het vierde deel van de procesbeschrijving vinden we een gedetailleerde uitleg over de niveaus van maturiteit voor dit proces. Cobit werkt met vijf niveaus van maturiteit. In een IT-proces van niveau 1, initial, is de manier van werken niet goed vastgelegd, succes hangt af van de aanpak van de personen die het proces uitvoeren. Een proces van niveau 2 is repeatable: er zijn al enkele afspraken over de manier van werken. Een proces van niveau 3 is defined: het bedrijf beschikt over standaarden, procesbeschrijvingen en procedures, die telkens weer toegepast worden. Een proces van niveau 4 is managed: de resultaten worden gemeten en verbeterd. In een proces van niveau 5 doet men aan optimizing : men werkt continu aan de verbetering ervan.

‘Als u Cobit voor de eerste maal gaat gebruiken, is het niet aan te raden om dit raamwerk van voor naar achter te lezen,’ meent Greet Volders, ‘U kan het eerder zien als een ‘werkboek’, waarmee u aan de slag gaat om uw eigen IT-processen beter te begrijpen en te verbeteren, om meer controle op uw IT-processen te krijgen. Mijn advies: neem één bepaald proces, en tracht dan alle onderdelen die Cobit aanbiedt in verband met dit proces te vertalen naar de situatie binnen uw bedrijf. Op die manier zal u
de betekenis van de onderdelen van Cobit op een praktische manier leren begrijpen.’

Christiane Vandepitte is zelfstandig consultant.