Een "doorslaand" succes...

Vandaag dus het vervolg van mijn Cobit maiden voyage. Een verder invulling van Cobit zou aan bod komen en ook nog wat aanvullende producten zoals ValIT. Daarover later meer.

Ik zal u niet lastig vallen met de details van Cobit zelf. Wat voor mij veel interessanter is, is de toepasbaarheid ervan.

Ik moet zeggen dat Cobit op zichzelf goed in elkaar zit. In Cobit zitten processen, met deelprocessen, verbanden, en modellen van verantwoordelijkheden en stakeholders. Het geeft derhalve een goed inzicht van een mogelijke organisatie van de IT processen waarbij getracht wordt om een volledige IT dienstverlening te realiseren, afgestemd op de business needs. Ik zeg bewust getracht omdat het overzicht dat Cobit geeft niet volledig is. Het geeft een richting aan, een filosofie. U zult zelf de inrichting van de processen en de afstemming van deze processen op elkaar moeten uitbreiden en optimaliseren. Dit maakt Cobit ook een beetje lastig. Als je de lijsten en de templates ziet die binnen de documentatie van Cobit gebruikt worden lijkt het een uitputtende opsomming van de deelprocessen, verbanden etc. te geven maar dit is geenszins het geval. Het dient gebruikt te worden als een denkpatroon, een opstap tot een realistische invulling, afgestemd op uw organisatie. En vooral: maak het meetbaar middels de Maturity levels.

Een ander gevaar wat ik zie is de mogelijkheid tot verzanding in formele processen en procedures. Ik zal proberen uit te leggen wat ik bedoel aan de hand van ValIT.

ValIT is een product wat naast Cobit is ontwikkeld en wat moet waarborgen dat IT een toegevoegde waarde heeft voor de business. Een soort aanvulling op twee processen binnen Cobit, de Strategische (IT) planning en het managen van IT investeringen. Cobit zelf bestaat uit 34 processen met per proces gemiddeld 5 a 6 subprocessen. Een aanzienlijke hoeveelheid processen dus die elk een toegevoegde waarde hebben voor de organisatie. ValIT, de toevoeging op 2 van deze processen bestaat echter weer uit 22 processen met weer elk 5 a 6 subprocessen. Deze 22 processen zijn er alleen maar voor om te borgen dat de IT dienstverlening waarde oplevert voor de business. Afstemming dus tussen business doelen en IT dienstverlening. Om voor zo iets basaals zoveel processen in het leven te roepen lijkt mij een kind met een waterhoofd. De vraag die bij mij dan ook direct naar boven komt is wat de toegevoegde waarde is die de business krijgt voor de kosten die het moet maken om deze processen te ontwerpen, implementeren, uit te voeren en te onderhouden. In de praktijk is een succesvolle implementatie van ValIT nog niet bekend en dat verbaasd mij niet echt.

Men is ooknog bezig om andere supplementen te ontwikkelen, er werd ons verteld dat er nog één onderweg is waarin een bepaald aspect van de IT dienstverlening ook weer nader wordt uitgewerkt. Hierbij lijkt het dat er weer minimaal 9 processen worden toegevoegd.

Rekent u even mee? 34 processen van Cobit, 22 processen van ValIT, 9 van de volgende toevoeging brengt ons totaal (voorlopig) op 65 processen. Elk met zo'n 5 a 6 subprocessen, dat brengt het totaal op 325 a 380 subprocessen. Voor elk van die subprocessen moet de input en de output bepaald worden, moeten de accountability en de responsability belegd worden, moeten de stakeholders worden vastgelegd, moeten procesbeschrijvingen worden opgesteld, procedures worden ontwikkeld etc. etc.

Wat mij betreft lijkt het er daarmee op dat Cobit, onder de invloed van het succes, aan het doorslaan is met aanvullende producten.

Is het daarmee slecht? Nee is mijn antwoord. Het principe en de doelen van Cobit zijn goed. Gebruik Cobit en zijn processen maar overweeg welke van deze processen een bijdrage kunnen leveren binnen uw organisatie om de organisatiedoelen te bereiken. Gebruik Cobit daarbij als een controle mechanisme om te kijken of u volledig bent, of u geen belangrijke zaken vergeten bent. Zorg er voor dat u de effectiviteit van de inrichting blijft beoordelen en daar bijstuurt waar nodig maar gebruik Cobit nooit als "de" waarheid.

Als u Cobit zo gebruikt kunt u er veel plezier en profijt van hebben en zal de IT dienstverlening
beter afgestemd zijn op de business needs en kan er een een verbetering optreden op het gebied van effectiviteit en efficiëncy.

Open deuren...

Diegenen die mij kennen weten dat ik een "Cobit Analfabeet" ben. Ik weet het nodige van allerlei best practices maar Cobit ken ik alleen zijdelings.

Mijn verwachtingen vanmorgen waren dan ook hoog gespannen.

De verkeerschaos rond Utrecht trotserend toog ik naar Breukelen om daar meer over Cobit 4.1 te horen.

De training werd gegeven door twee heren van de Universiteit van Antwerpen. Prof. dr. W. van Grembergen en dr. S. de Haes. Beiden zijn betrokken bij de ontwikkelingen rondom Cobit.

In de eerste ochtendsessie werd het belang van IT allignment met business processen benadrukt. Een open deur hoor ik u denken. Dat dacht ik ook. IT is niets als het geen businesswaarde genereerd. Ik weet niet hoe het met u zit maar mijn awareness voor de klantfocus die van belang is voor IT dateert al van jaren terug.
Het feit dat de CIO aan de CEO hoort te rapporteren en niet aan de CFO was ook één van de best practices die de revue passeerden. Als de CIO aan de CFO rapporteerd wordt het kostenaspect te overheersend in plaats van de value van IT voor de business.
Het feit dat de CIO nu vaak aan de CFO rapporteerd is historisch zo gegroeid aangezien de eerste geautomatiseerde systemen in gebruik werden genomen ten behoeve van de financiële huishouding.
De IT governance wordt gevormd door structuren, processen en relationele mechanismen. De structuren worden gezien als organisatie structuren en rapportage lijnen waarbij de IT organisatie is vertegenwoordigd in de hogere management lagen van de business. De processen kunnen vanuit de best practices worden ingevuld en de relationele mechanismen zijn de samenwerkingsverbanden die er binnen IT zelf, tussen IT en derde partijen en tussen IT en de business bestaan.

Al met al heb ik persoonlijk in deze ochtendsessie weinig nieuws onder de zon gehoord.
Wat wel leuk is is dat ik op een aantal onderzoeken werd gewezen van onafhankelijke onderzoeksinstituten waarbij gewoon glashard was aangetoond dat de IT organisatie waarbij de IT governance goed is geregeld, en daarmee ook de allignment met de business, de business substantieel lagere kosten en een grotere return on investment opleverde. Iets wat ik gevoelsmatig uiteraard allang wist maar wat ik nu door onderzoek gestaafd zag.

De middag sessie zouden we beginnen met het Cobit 4.1 framework. Er werd ons al snel verteld dat we waarschijnlijk niets nieuws zouden horen omdat Cobit uit gaat van een verzameling best practices. Eigenlijk is het dus op papier gezet wat we met zijn allen allang weten en doen. Cobit is echter wel een vrij complete verzameling. Cobit verhaald WAT de IT organisatie moet doen en niet het HOE. Voor het HOE kun je de overige best practices als uitgangspunt nemen. Een voorbeeld: Een grote Nederlandse dienstverlener heeft geprobeerd een mapping te maken tussen Cobit en andere best practices. De conclusie was dat als je 9 (!) best practices zou implementeren (ITIL, ASL, ISO2700x, Prince 2, CMM(i) etc. etc.) dat je dan de invulling zou hebben van Cobit. Een grote paraplu dus voor allerlei andere best practices?

Als Cobit dan een verzameling is van controls die al in andere best practices worden vermeld, heeft het dan nog wel toegevoegde waarde?

Ik moet morgen nog afwachten maar ik heb vooralsnog de neiging om Cobit toch het voordeel van de twijfel te gunnen. Cobit geeft in ieder geval aan welke verbanden er zijn tussen de processen. Deze samenhang is een groot goed. Zo kun je de procesbenadering optimaliseren. Cobit ademt de Demming cylcle uit van Plan Do Check Act. Als je de processen van Cobit op elkaar kunt laten aansluiten is het mogelijk om te waarborgen dat er geen hiaten of doublures in de IT dienstverlening zitten. Oké, ITIL gaat ook al uit van deze filosofie maar dan alleen voor IT beheer. Als Cobit een goede en evenwichtige integratie bied van controls voor de hele IT organisatie (dus niet alleen beheer of alleen ontwikkeling) en de IT governance in stelling kan brengen waarmee de IT organisatie, samen met de business, pro-actief op zoek kan gaan naar de businessvalue die zij kan genereren is dat een grote winst. Cobit neemt namelijk vanaf versie 4.1 de business als primaire uitgangspunt zodat de doelen van de business optimaal ondersteund worden door de IT organisatie.
In dat geval heeft Cobit het voordeel dat we een totaalpakket aan controls, met een maturiteitsprincipe meetbaar kan maken. De governance kan bewerkstelligen dat IT weer gaat doen waar zij voor op aarde is: namelijk niet een alleen IT organisatie zijn, maar partner van de business.

Ik ben benieuwd naar morgen...