cobit 4.1

Open deuren...

Diegenen die mij kennen weten dat ik een "Cobit Analfabeet" ben. Ik weet het nodige van allerlei best practices maar Cobit ken ik alleen zijdelings.

Mijn verwachtingen vanmorgen waren dan ook hoog gespannen.

De verkeerschaos rond Utrecht trotserend toog ik naar Breukelen om daar meer over Cobit 4.1 te horen.

De training werd gegeven door twee heren van de Universiteit van Antwerpen. Prof. dr. W. van Grembergen en dr. S. de Haes. Beiden zijn betrokken bij de ontwikkelingen rondom Cobit.

In de eerste ochtendsessie werd het belang van IT allignment met business processen benadrukt. Een open deur hoor ik u denken. Dat dacht ik ook. IT is niets als het geen businesswaarde genereerd. Ik weet niet hoe het met u zit maar mijn awareness voor de klantfocus die van belang is voor IT dateert al van jaren terug.
Het feit dat de CIO aan de CEO hoort te rapporteren en niet aan de CFO was ook één van de best practices die de revue passeerden. Als de CIO aan de CFO rapporteerd wordt het kostenaspect te overheersend in plaats van de value van IT voor de business.
Het feit dat de CIO nu vaak aan de CFO rapporteerd is historisch zo gegroeid aangezien de eerste geautomatiseerde systemen in gebruik werden genomen ten behoeve van de financiële huishouding.
De IT governance wordt gevormd door structuren, processen en relationele mechanismen. De structuren worden gezien als organisatie structuren en rapportage lijnen waarbij de IT organisatie is vertegenwoordigd in de hogere management lagen van de business. De processen kunnen vanuit de best practices worden ingevuld en de relationele mechanismen zijn de samenwerkingsverbanden die er binnen IT zelf, tussen IT en derde partijen en tussen IT en de business bestaan.

Al met al heb ik persoonlijk in deze ochtendsessie weinig nieuws onder de zon gehoord.
Wat wel leuk is is dat ik op een aantal onderzoeken werd gewezen van onafhankelijke onderzoeksinstituten waarbij gewoon glashard was aangetoond dat de IT organisatie waarbij de IT governance goed is geregeld, en daarmee ook de allignment met de business, de business substantieel lagere kosten en een grotere return on investment opleverde. Iets wat ik gevoelsmatig uiteraard allang wist maar wat ik nu door onderzoek gestaafd zag.

De middag sessie zouden we beginnen met het Cobit 4.1 framework. Er werd ons al snel verteld dat we waarschijnlijk niets nieuws zouden horen omdat Cobit uit gaat van een verzameling best practices. Eigenlijk is het dus op papier gezet wat we met zijn allen allang weten en doen. Cobit is echter wel een vrij complete verzameling. Cobit verhaald WAT de IT organisatie moet doen en niet het HOE. Voor het HOE kun je de overige best practices als uitgangspunt nemen. Een voorbeeld: Een grote Nederlandse dienstverlener heeft geprobeerd een mapping te maken tussen Cobit en andere best practices. De conclusie was dat als je 9 (!) best practices zou implementeren (ITIL, ASL, ISO2700x, Prince 2, CMM(i) etc. etc.) dat je dan de invulling zou hebben van Cobit. Een grote paraplu dus voor allerlei andere best practices?

Als Cobit dan een verzameling is van controls die al in andere best practices worden vermeld, heeft het dan nog wel toegevoegde waarde?

Ik moet morgen nog afwachten maar ik heb vooralsnog de neiging om Cobit toch het voordeel van de twijfel te gunnen. Cobit geeft in ieder geval aan welke verbanden er zijn tussen de processen. Deze samenhang is een groot goed. Zo kun je de procesbenadering optimaliseren. Cobit ademt de Demming cylcle uit van Plan Do Check Act. Als je de processen van Cobit op elkaar kunt laten aansluiten is het mogelijk om te waarborgen dat er geen hiaten of doublures in de IT dienstverlening zitten. Oké, ITIL gaat ook al uit van deze filosofie maar dan alleen voor IT beheer. Als Cobit een goede en evenwichtige integratie bied van controls voor de hele IT organisatie (dus niet alleen beheer of alleen ontwikkeling) en de IT governance in stelling kan brengen waarmee de IT organisatie, samen met de business, pro-actief op zoek kan gaan naar de businessvalue die zij kan genereren is dat een grote winst. Cobit neemt namelijk vanaf versie 4.1 de business als primaire uitgangspunt zodat de doelen van de business optimaal ondersteund worden door de IT organisatie.
In dat geval heeft Cobit het voordeel dat we een totaalpakket aan controls, met een maturiteitsprincipe meetbaar kan maken. De governance kan bewerkstelligen dat IT weer gaat doen waar zij voor op aarde is: namelijk niet een alleen IT organisatie zijn, maar partner van de business.

Ik ben benieuwd naar morgen...