Business

COBIT QUICKSTART
Uw informatica onder controle krijgen:

het raamwerk COBIT

Uw informatici ontwikkelen toepassingen voor uw IT-infrastructuur en onderhouden ze. Dit alles kost u handenvol geld. Maar is uw IT-afdeling wel met de juiste dingen bezig? Hoe zit het met de risicos en de beveiliging van de IT-infrastructuur waarvan u afhankelijk bent? En hoe krijgt u hier vat op? Het IT Governance Institute creerde hiervoor het raamwerk COBIT, een lijst van goede praktijken in het beheer en de controle en beveiliging van informatietechnologie, georganiseerd rond 34 IT-processen. We geven u een woordje uitleg. // CHRISTIANE VANDEPITTE (CHRISTIANE.VANDEPITTE@SKYNET.BE)

IT-PROCESSEN
Uw informatici voeren heel wat taken uit. Sommige taken duren maanden, andere duren slechts uren of minuten. Sommige taken zijn dringend, andere niet. Soms gaat het om grote bedragen, soms niet. Hoe krijgt u hier zicht op? COBIT adviseert als invalshoek de IT-processen te nemen. Voorbeelden: een pakkettoepassing selecteren en aanschaffen hardware en telecominfrastructuur selecteren en aanschaffen de backupprocedure vastleggen een bepaalde toepassing veranderen samenwerken met een IT-leverancier de servers en het netwerk in de gaten houden de beveiliging van het systeem onderhouden de problemen van de gebruikers oplossen

IT-PROCESSEN EVALUEREN EN VERBETEREN

Wilt u greep krijgen op uw IT-processen, en weet u niet waar beginnen, dan kan COBIT u helpen. Het raamwerk bevat een lijst van aandachtspunten die te maken hebben met de processen. Hebt u de hele lijst overlopen, en weet u voor elk aspect hoe goed uw bedrijf is op dat punt, dan bent u al halfweg. Rest u nog voor elk punt te bepalen hoe goed u wilt zijn, en actie te nemen. COBIT is dus bedoeld als leidraad bij de eerste stappen naar een verbeteringsprogramma.

De 34 IT-processen van COBIT.

30

februari 2006 SMART BUSINESS STRATEGIES

www.smartbiz.be

DE IT-PROCESSEN EN DE DOMEINEN VAN COBIT

COBIT telt 34 IT-processen; ze worden gegroepeerd in vier domeinen.
ENGELS
Plan and Organise Acquire and Implement Deliver and Support Monitor and Evaluate

DE MEETPUNTEN - METRICS
Hoe meet u de performantie en de effectiviteit van een proces? Voor elk proces vermeldt COBIT zogenaamde metrics, dingen die men kan meten en tellen om te bepalen hoe goed de aanpak is van dit proces in uw bedrijf. Voorbeeld:
PROCES PO10 Projecten beheren METRICS

NEDERLANDS
planning en organisatie aankoop en implementatie levering en onderhoud opvolging en evaluatie

DE AANDACHTSPUNTEN CONTROL OBJECTIVES

De aandachtspunten heten in het COBIT-jargon control objectives. Het Engelse woord control betekent hier niet controle achteraf, het gaat om onder controle krijgen, beheersbaar maken. Bij elk proces horen n of meer control objectives. Die geven het antwoord op de vraag, Hoe kunnen we zien of we goed bezig zijn? Voorbeeld:
AI1 Geautomatiseerde oplossingen identificeren DS10 Problemen en incidenten beheren

Aantal projecten binnen de tijd en het budget Accuraat projectplan en budgetinformatie Graad van betrokkenheid van de mensen van de businesskant Aantal of percentage projecten die werden herstart of geherorinteerd Achterstand in onbehandelde problemen Tijd tussen de identificatie en de oplossing van een probleem Aantal en impact van de functionele veranderingen na de implementatie Snelle reactie bij problemen of incidenten

DOMEIN
Planning en organisatie

PROCES
PO10Projecten beheren

DOEL VAN HET PROCES

Projecten worden beheerd om de levering van vooropgestelde functionalteit op tijd en binnen het budget rond te krijgen.

COBIT QUICKSTART AANDACHTSPUNTEN

Definieer en beslis duidelijk wat bereikt moet worden, door wie, wanneer en tegen welke prijs (support, training enzovoort inbegrepen). Wees u bewust van wat fout kan gaan, voorkom waar mogelijk en leg de verantwoordelijkheid voor bepaalde risicos contractueel vast. Controleer project deliverables, kosten, projectplan en risicos op voortdurende basis. Wees helder en expliciet over de uiteindelijke levering (acceptance). Wees duidelijk over hoe de oplossing de bedrijfs- en ondersteunende processen zal veranderen. Zorg ervoor dat de functionele en operationele vereisten van de oplossing gespecifieerd zijn, inclusief onderhoudbaarheid, performance, betrouwbaarheid, veiligheid en compatibiliteit met de huidige systemen. Overweeg zorgvuldig of u koopt of zelf bouwt. Bekijk alternatieve oplossingen en hun uitvoerbaarheid zonder daarbij het upgraden van bestaande systemen, niks doen of manuele verwerking uit te sluiten. Als u geen goed idee heeft over hoe u uw businessprocessen kan verbeteren, breng dan geen technologie in. Als u IT-producten of diensten selecteert, doe dan meer dan n request for proposal (RFP).

Aankoop en implementatie

AI1Geautomatiseerde oplossingen identificeren

Identificatie van geautomatiseerde oplossingen verzekert effectieve, efficinte en zuinige ondersteuning voor het bedrijf, en de impact ervan wordt duidelijk begrepen.

Levering en onderhoud

DS10Problemen en incidenten beheren

Alle IT-onregelmatigheden zijn gekend.

Registreer alle significante incidenten en problemen, volg ze, en zorg ervoor dat ze tijdig opgelost worden.

www.smartbiz.be

SMART BUSINESS STRATEGIES februari 2006

31

Business
COBIT QUICKSTART
DE KRITIEKE SUCCESFACTOREN CRITICAL SUCCESS FACTORS
De kritieke succesfactoren zijn de factoren die het meest kritiek zijn voor het bereiken van de objectieven. Als u deze dingen niet doet, is de goede uitvoering van het proces in gevaar. Voorbeeld:
PROCES PO10Projecten beheren CRITICAL SUCCESS FACTORS

Ervaren/bekwame project managers Het management beschikt over een plan met duidelijk omschreven taken, voldoende accurate schattingen, een overzicht van op te volgen aandachtspunten en vereiste vaardigheden. Een duidelijk veranderingsproces/ stappenplan

AI1Geautomatiseerde oplossingen identificeren

Afweging van manuele en technologische alternatieven, hun haalbaarheid en de eventuele risicos Hou rekening met de bruikbaarheid en de onderhoudbaarheid Bewustzijn van de total cost of ownership Betrokkenheid van de gebruiker

DS10Problemen en incidenten beheren

Efficinte middelen om problemen en oplossingen te communiceren

Voor elk IT-proces vindt u de volgende elementen. 1) doelstelling van het IT-proces 2) control objectives 3) verwijzing naar de overeenkomstige control objectives in de full COBIT Is er n control objective waar u meer over wil weten, dan kunt u het overeenkomstige deel van de volledige COBIT raadplegen. 4) evaluatie Voor elke control objective geeft u aan hoe goed u bent, en hoe goed uw bedrijf wil zijn. 5) kritieke succesfactoren voor het proces 6) meetpunten voor het proces

DE VOLLEDIGE COBIT EN DE LIGHT VERSIE

De volledige theorie van COBIT versie 3 is nogal overweldigend - ze telt niet minder dan 318 control objectives. Maar er bestaat ook een light versie. Ze heet COBIT Quickstart en is vooral bedoeld voor KMOs en voor bedrijven die pas beginnen met IT governance. In december 2005 verscheen een nieuwe versie van COBIT, versie 4, maar hiervan bestaat nog geen Quickstart, dus bleven we in dit artikel bij versie 3. De light versie kent dezelfde vier domeinen, maar ze beperkt zich tot dertig processen en slechts 62 control objectives. Wilt u alle aandachtspunten voor uw bedrijf bespreken op n dag, dan kan dat met COBIT Quickstart; met de volledige COBIT lukt dat niet. In het vervolg van dit artikel hebben we het over COBIT Quickstart.

IN VIJF STAPPEN NAAR EEN VERBETERINGSPROGRAMMA

Stap 1. De bestaande situatie evalueren U gebruikt de COBIT Quickstart baseline charts om te bepalen hoe goed de IT-processen binnen uw bedrijf worden uitgevoerd. Het management stelt zich op als klant van de IT-afdeling. Is de IT-afdeling volgens u met de juiste dingen bezig? Misschien doet u hiervoor een beroep op een externe consultant. De consultant verzamelt informatie, spreekt met de personeelsleden die verantwoordelijk zijn voor de genoemde processen, bestudeert de performantie van de IT-processen en eventueel aanwezige auditverslagen. Een andere werkwijze is ook mogelijk: u stelt een werkgroep samen van mensen die goed op de hoogte zijn van de IT-processen, en zij doen de evaluatie. In beide gevallen bespreekt u de resultaten van de evaluatie in een vergadering. Werkt u met een externe consultant, dan hoeft u de theorie van COBIT Quickstart niet vooraf te bestuderen; u leert het vanzelf door de aandachtspunten n voor n te overlopen. Wie betrekt u hierbij? Zeker niet enkel uw IT-mensen. Natuurlijk is de IT-manager erbij. In een groot bedrijf is er een manager voor IT-ontwikkeling en n voor IT-operations; die

DE TABEL MET DOMEINEN, PROCESSEN EN CONTROL OBJECTIVES

De vier domeinen, dertig processen, 62 control objectives worden voorgesteld in een overzichtelijke tabel, de COBIT Quickstart baseline charts. (zie kader rechtsboven)

32

februari 2006 SMART BUSINESS STRATEGIES

www.smartbiz.be

horen er natuurlijk ook bij. Maar ook business managers, maar niet allemaal. Een belangrijke manager voor deze vergadering is degene die de IT-budgetten goedkeurt. Daarnaast nodigt u alle betrokken managers uit, degenen die de gevolgen voelen als de IT-organisatie niet goed functioneert. Indien sommige afdelingen van uw bedrijf enkel gebruik maken van kantoorsoftware en van het netwerk, dan hoeven die niet absoluut vertegenwoordigd te zijn. Maar de afdelingen die toepassingen gebruiken zeker wel. Stap 2. Doelstellingen bepalen Hoe goed wilt u zijn? Dat moet het management beslissen, eventueel met behulp van een externe consultant. Werkt u met vertrouwelijke informatie? Valt uw bedrijf stil als uw IT stilvalt? Wat zegt de wet? Wat doen de andere bedrijven in uw sector? De antwoorden op die vragen bepalen hoe belangrijk elk van de IT-processen is voor uw bedrijf. Stap 3. De af te leggen weg bepalen De elementen van de tabel vertellen u concreet wat u kan doen om beter te werken. Aan u om te bepalen welke van die adviezen u wil opvolgen. Stap 4. Verbeteringsprojecten uitvoeren U weet waar u heen wil? Organiseer n of meer projecten om er te geraken. Deze projecten worden natuurlijk uitgevoerd door personeel van de businesskant en personeel van de IT-kant samen, niet alleen door IT-mensen. Stap 5. Een verbeteringsprogramma uitvoeren Een groep projecten die hetzelfde doel nastreven noemt men een programma (in de theorie van project management). Het management bespreekt de verschillende projecten van een programma in n keer. De projecten moeten elkaar aanvullen, ze mogen elkaar (en de andere projecten van het bedrijf)

PRAKTISCHE TIPS
Interessante theorie, maar hoe loopt dit in de praktijk ? We peilden naar de ervaring Greet Volders, consultant en lid verschillende werkgroepen van rond de verdere ontwikkeling van COBIT. Ze gaf ons de volgende adviezen mee:

Het is belangrijk om niet enkel het IT-management, maar ook het top management bij dit initiatief te betrekken. Bij het bepalen van de doelstellingen (stap 2) is het belangrijk om vast te leggen of het gaat om kortetermijn- of langetermijndoelstellingen. Eventueel kunnen beide worden aangeduid in het schema. Het verbeteringsplan is gericht op de kortetermijndoelstellingen. Wees realistisch bij het bepalen van uw doelstellingen, en het uitwerken van het verbeteringsplan. Indien dit project nog moet verkocht worden aan de business, selecteer dan als eerste reeks verbeteringsacties, acties die niet te veel tijd vragen en een directe toegevoegde waarde bieden aan de business. Blijf concreet, dit vergemakkelijkt de communicatie, zowel intern binnen de IT-afdeling als naar de Business Units. Weet dat dit geen nmalig initiatief is, maar dat u via een jaarlijkse herhaling van de evaluatie, telkens een nieuw verbeteringsplan kan opstellen, om zo te komen tot een goed doordachte en systematische aanpak.

niet hinderen. Daarom moeten ze van bij het begin op elkaar afgestemd worden. Greep krijgen op de informaticaorganisatie van een bedrijf is niet gemakkelijk. Maar met het raamwerk COBIT Quickstart weet u alvast hoe eraan te beginnen.
Dit artikel kwam tot stand met de medewerking van Greet Volders, ISACA Belux Chapter vice-president, en managing consultant van de rma Voquals (www.voquals.be).

VERDERE INFORMATIE
ORGANISATIES De Information Systems Audit and Control Association (ISACA) is een wereldwijde vereniging van IT-auditors, IT-managers en security managers. Binnen deze vereniging werd begin jaren 90 een internationale werkgroep gevormd, met ook verschillende Belgen, onder andere Erik Guldentops, vroeger verantwoordelijk voor de beveiliging bij SWIFT. Deze werkgroep creerde COBIT versie 1. Websites: www.isaca.org en, voor Belgi, www.isaca.be . Sinds 1998 wordt COBIT verder ontwikkeld door het ITGI, het IT Governance Institute (www.itgi.org). DOCUMENTATIE De documentatie van de volledige COBIT bestaat uit zes documenten : Executive Summary, Framework, Control Objectives, Audit Guidelines, Implementation Tool Set en Management Guidelines. U kunt ze gratis downloaden vanaf www.isaca.org. Daar vindt u ook een online cursus. De boeken kunt u aanschaffen via de ISACA Bookstore. COBIT Quickstart wordt beschreven in een boekje van 48 paginas, met CD-ROM. U kunt het bestellen op dezelfde website. Isaca organiseert ook regelmatig een COBIT user convention en COBIT Implementation Trainings. CURSUSSEN Solvay Business Schools Executive Programme/Executive Master in IT Governance http://www.solvay.edu/EN/Programmes/ITGovernance/ UAMS

IT Governance en de nieuwe COBIT - 18jan. 2006 Masters in Computer Auditing

http://www.uams.be
I.T. Works (www.itworks.be) organiseert regelmatig seminars rond themas als IT governance en business IT alignment, onder andere over COBIT.

www.smartbiz.be

SMART BUSINESS STRATEGIES februari 2006

35