top of page

IT-beheersing

Cobit

COBIT: het kompas voor IT-governance, risk en control

Je herkent het vast. De IT-omgeving van je organisatie wordt elk jaar complexer. Er zijn legacy-systemen, cloudplatformen, ketens met leveranciers, security-eisen, privacywetgeving, DORA, AI-experimenten… En ondertussen verwacht de directie één simpel antwoord: “Zijn we in control?”

Voor internal auditors, riskmanagers en controllers is dat geen makkelijke vraag meer. Excel-lijstjes en losse IT-audits zijn een goede basis maar niet voldoende. Je hebt een gemeenschappelijke taal nodig tussen business, IT en bestuur. Precies daar komt COBIT in beeld.

In deze blog nemen we COBIT onder de loep. Wat is het, waarom is COBIT 2019 zo belangrijk, en hoe helpt het jou concreet in je audit- en risicopraktijk?

 

Wat is COBIT?

COBIT staat voor Control Objectives for Information and Related Technologies en is een internationaal erkend raamwerk van ISACA (de beroepsvereniging van IT-auditors) voor de governance en het management van informatie en technologie. Het is geen technisch handboek voor IT, maar een overkoepelend raamwerk dat helpt om IT-activiteiten te verbinden met organisatiedoelen, risico’s en compliance-eisen.

Sinds de eerste versie in de jaren ’90 is COBIT flink geëvolueerd. De huidige versie, COBIT 2019, bouwt voort op COBIT 5 en scherpt de focus op enterprise governance of information & technology (EGIT). Waar COBIT 5 vijf kernprincipes en 37 processen kende, werkt COBIT 2019 met zes governanceprincipes en een model van 40 governance- en managementdoelstellingen, verdeeld over vijf domeinen.

Belangrijk om te benadrukken: COBIT is niet bedoeld als “IT-trucje” dat je bij de ICT-afdeling parkeert. Het framework richt zich nadrukkelijk op het speelveld tussen bestuur, business en IT. Het helpt bestuurders, lijnmanagement, IT, risk, security én internal audit om vanuit hetzelfde referentiekader naar IT-risico’s, prestaties en controls te kijken.

 

COBIT als fundament voor IT-governance

De gedachte achter COBIT is simpel en tegelijk krachtig: organisaties zijn steeds afhankelijker van informatie en technologie, dus moet de governance van IT integraal onderdeel zijn van corporate governance.

In plaats van “IT beheert IT en de rest kijkt toe” zegt COBIT: informatie en technologie worden bestuurd vanuit dezelfde principes als de rest van de organisatie. Denk aan helder eigenaarschap, duidelijke doelen, risicobereidheid, prestatiemeting en continue verbetering.

COBIT 2019 maakt dit concreet via een core model met 40 governance- en managementdoelstellingen. Deze zijn ondergebracht in vijf domeinen met elk een eigen focus:

  • Evaluate, Direct and Monitor (EDM) voor governance door bestuur en directie.

  • Align, Plan and Organize (APO) voor strategie, architectuur en organisatie van IT.

  • Build, Acquire and Implement (BAI) voor veranderingen en projecten.

  • Deliver, Service and Support (DSS) voor de dagelijkse dienstverlening en security.

  • Monitor, Evaluate and Assess (MEA) voor monitoring, compliance en assurance.

Elke doelstelling is verder uitgewerkt in processen, rollen, informatie­stromen, benodigde vaardigheden, policies en onderliggende services en applicaties. Met andere woorden: COBIT beschrijft niet alleen wat er moet gebeuren, maar ook hoe je het governance­systeem kunt vormgeven.

 

Waarom COBIT zo relevant is voor auditors en risk professionals

Voor de doelgroep van Ferocia; internal auditors, risk managers, controllers en compliance officers is COBIT in feite een rijk gevulde gereedschapskist. Je krijgt een gestructureerde manier om naar IT-risico’s en beheersing te kijken, die je direct kunt aansluiten aan organisatiedoelen en enterprise risk management.

In de praktijk zie je vaak drie problemen terugkomen: IT-risico’s worden versnipperd behandeld, business en IT spreken een andere taal, en auditplannen zijn wel risicogebaseerd, maar niet verankerd in een consistent IT-governancemodel. COBIT helpt op alle drie de punten.

 

Ten eerste biedt het een gemeenschappelijke taal. Als jij het over DSS02 of BAI06 hebt, weet de IT-organisatie precies welke processen en activiteiten je bedoelt. Tegelijk kun je de koppeling leggen met enterprise goals, risk appetite en compliance-eisen, waardoor bestuurders zich herkennen in de taal.

 

Ten tweede ondersteunt COBIT risicogebaseerde prioritering. Via de zogenaamde goals cascade vertaal je organisatiedoelen en risico’s naar alignment goals en vervolgens naar relevante governance- en managementdoelstellingen. Dat maakt het veel eenvoudiger om te onderbouwen waarom je bepaalde IT-processen wél en andere (nog) niet onderzoekt.

 

En ten derde sluit COBIT goed aan bij de rol van de audit- en riskmanager als “schaap met vijf poten”: je combineert kennis van processen, risico’s, IT, governance én gedrag om het lerend vermogen van de organisatie te versterken.

 

De kern van COBIT 2019: principes, doelen en design factors

COBIT 2019 introduceert zes governanceprincipes voor een goed ingericht IT-governancesysteem. Dat zijn waardecreatie, risicobeheersing, transparante verantwoordelijkheid, integratie in corporate governance, een holistische aanpak en flexibiliteit.

Die principes zijn geen theorie voor op de muur, maar concrete toetsstenen. Als jij een onderzoek doet op IT-outsourcing, cloudgebruik of cyberbeveiliging, kun je de vraag stellen: dragen deze keuzes bij aan waardecreatie, zijn de risico’s aantoonbaar in beeld en past de inrichting bij de rol van IT in onze organisatie?

Een belangrijk nieuw element in COBIT 2019 zijn de design factors. Dat zijn factoren als ondernemingsstrategie, risicoprofiel, compliance-eisen, de rol van IT, sourcingmodel en dreigingslandschap, die bepalen hoe je governance-systeem er in jouw context uit moet zien.

 

Voor auditors en riskmanagers is dit herkenbaar: een systeembeheerclub van 20 mensen bij een middelgroot bedrijf vraagt een andere invulling van IT-governance dan een internationaal opererende bank. Met de design factors voorkom je dat COBIT wordt gebruikt als “one size fits all”-checklist. Je ontwerpt een governance­systeem dat proportioneel is én toch stevig genoeg om de risico’s te dragen.

 

COBIT in de audit- en riskpraktijk: van theorie naar veldwerk

Hoe ziet dit er nu uit als je met je team bij een organisatie binnenstapt? In grote lijnen kun je drie gebruiksscenario’s onderscheiden.

 

Allereerst kun je COBIT gebruiken als referentiemodel voor specifieke IT-onderzoek. Stel, je voert een onderzoek uit op change management of op de beveiliging van een kritieke applicatie. Via de relevante BAI- of DSS-processen zie je welke activiteiten, rollen, informatie­stromen en controls “normaal” zijn om te verwachten. Dat helpt je om je normenkader scherp te krijgen en bevindingen beter te onderbouwen.

 

Ten tweede kun je COBIT inzetten voor een brede beoordeling van IT-governance. Je kijkt dan niet naar één proces, maar naar de samenhang tussen processen. Hoe worden IT-doelen afgeleid van organisatiedoelen? Hoe lopen rapportagelijnen? Welke KPI’s en KRI’s worden gebruikt? Hoe wordt de performance van IT-leveranciers gemonitord? Je bouwt een integraal beeld op van de “besturing van IT”.

Het derde scenario is dat je COBIT gebruikt als verbeterraamwerk. Daar komt de performance- en maturiteitscomponent van COBIT 2019 in beeld. Processen kunnen beoordeeld worden op een capabilityniveau van 0 tot 5. In plaats van alleen te concluderen dat iets “onvoldoende” is, kun je laten zien waar een proces nu staat, waar het minimaal zou moeten zitten gegeven het risicoprofiel, en welke concrete verbeterstappen nodig zijn om daar te komen.

Die manier van werken past goed bij de rol van de moderne internal auditor en riskmanager: niet alleen controleren of een vinkje gezet kan worden, maar vooral organisaties helpen om doelgericht te groeien in volwassenheid.

 

Koppeling met andere kaders: DORA, ISO, NIST en AI

Een veelgehoorde vraag is: “Maar we doen al iets met ISO 27001, NIST CSF of we zijn bezig met DORA. Hebben we COBIT dan echt nog nodig?”

Het korte antwoord: COBIT is geen concurrent van deze kaders, maar een paraplu. Waar ISO- en NIST-standaarden diep de inhoud in gaan op bijvoorbeeld informatiebeveiliging, geeft COBIT je het overkoepelende raamwerk waarin al die standaarden een plek krijgen.

Ook richting nieuwe thema’s, zoals AI-governance, blijkt COBIT goed bruikbaar. ISACA laat in recente publicaties zien hoe je COBIT-principes en -doelstellingen kunt gebruiken voor het inrichten van verantwoord AI-gebruik, zonder dat je meteen alles opnieuw hoeft uit te vinden.

Voor auditors en riskmanagers is dat prettig: je kunt bestaande frameworks, richtlijnen en wetgeving (zoals DORA voor financiële instellingen) koppelen aan concrete COBIT-doelstellingen en zo een geïntegreerd beeld vormen van risico’s en beheersing.

 

Veelgemaakte fouten bij het werken met COBIT

Toch gaat het in de praktijk regelmatig mis. Een paar valkuilen komen steeds terug.

Een eerste valkuil is dat COBIT wordt behandeld als een starre checklist. Organisaties plakken procesnamen op bestaande activiteiten en verklaren zichzelf vervolgens “COBIT-compliant”. De essentie, namelijk of IT-governance echt bijdraagt aan waardecreatie, risicobeheersing en transparantie blijft dan onderbelicht.

Een tweede valkuil is dat COBIT te technisch wordt ingestoken. De discussie belandt dan in de sfeer van tooling en detailprocessen, terwijl bestuurders en lijnmanagers juist behoefte hebben aan inzicht in risico’s, afhankelijkheden, verantwoordelijkheden en impact op organisatiedoelen.

 

Derde valkuil: er wordt wel een prachtig governance-model op papier gezet, maar cultuur en gedrag blijven buiten beschouwing. Meldt men incidenten echt? Neemt het management eigenaarschap voor IT-risico’s? Worden auditbevindingen gebruikt om te leren of alleen om het dossier op orde te krijgen? Als je alleen naar hard controls kijkt, mis je een groot deel van het verhaal, iets wat in de opleidingen en trainingen van Ferocia wel duidelijk naar voren komt.

 

Hoe begin je als organisatie met COBIT?

De kracht van COBIT zit niet in dikke rapporten, maar in gesprekken die je ermee kunt voeren. Begin klein. Breng met bestuur, IT en risk een paar vragen in kaart: welke organisatiedoelen leunen het zwaarst op informatie en technologie? Welke risico’s houden jullie wakker? Waar zitten de grootste afhankelijkheden in de keten?

Leg daar vervolgens het COBIT-model naast. Welke governance- en managementdoelstellingen zijn in jullie context echt cruciaal? Hoe zijn die nu ingericht? Welke hiaten zie je? Zo wordt COBIT geen theoretisch boekwerk, maar een praktische bril om anders naar je IT-landschap, risico’s en controls te kijken.

Voor internal auditors en riskmanagers is COBIT daarmee een manier om je rol te verbreden. Je bent niet alleen meer de specialist die individuele processen controleert, maar ook de sparringpartner die de samenhang ziet tussen strategie, risico’s, IT-governance en gedrag.

 

Tot slot

COBIT 2019 is veel meer dan een IT-framework. Het is een kompas voor organisaties die serieus werk willen maken van digitale governance, risicobeheersing en verantwoording. Het helpt je om de taal van bestuurders, lijnmanagement en IT met elkaar te verbinden, risico’s scherp te krijgen en gericht te werken aan volwassenheid.

Voor professionals in audit, risk, control en compliance biedt COBIT een stevige basis om je werk naar een hoger niveau te tillen. Of je nu een eerste IT-governance-scan doet of een meerjarig verbeterprogramma begeleidt: met COBIT heb je een internationaal erkend referentiekader in handen dat meegroeit met de veranderende digitale werkelijkheid.

De vraag is dus niet zozeer of je iets met COBIT gaat doen, maar hoe je het gaat gebruiken: als vinklijstje, of als strategisch instrument om jouw organisatie écht in control te brengen over informatie en technologie.

 

Neem contact met ons op

Meer weten? Neem dan contact met ons op. Wij helpen je graag verder!

©NFP-250028-378_edited.jpg
©NFP-250028-399_edited.jpg
Foto Guus achtergrond 2_edited_edited_ed
bottom of page