Wat is IT governance

Inleiding

Deze bijdrage geeft een beschrijving van IT governance. IT governance zorgt ervoor dat de IT goed aansluit op de bedrijfsprocessen en bedrijfsdoelstellingen en goed wordt georganiseerd en beheerst. IT governance maakt daarbij gebruik van diverse bronnen, onder andere:

  • COSO Enterprise Risk Management, een methodiek voor het beheersen van bedrijfsrisico’s
  • Control Objectives for Information and related technologies, methodiek voor IT-beheersing
  • Code of practice for information Security Management (richtlijnen voor informatiebeveiliging)
  • ITIL, IT Infrastructure Library (richtlijnen voor IT service management)
  • Kwaliteitsmodellen als INK, Deming circle, ISO voor het beheersen van de kwaliteit
  • Capability Maturity Model Integration (model voor de kwaliteit van software ontwikkeling)

Wat is IT governance?

IT Governance kan op diverse manieren gedefinieerd worden. Een ruime definitie van IT Governance is: het systeem waarbinnen de IT van een organisatie wordt (aan)gestuurd en beheerst. Het gaat daarbij dan onder meer om de verdeling van taken, bevoegdheden en verantwoordelijkheden met betrekking tot IT-aspecten over de diverse belanghebbenden binnen de organisatie. Hierbij kun je denken aan de Raad van bestuur, de CEO, CFO en CIO en de relatie tussen ‘business’ managers aan de ene kant en IT managers aan de andere kant. Ook betreft IT governance dan de spelregels en de procedures voor besluitvorming over investeringen in IT en over de beheersing in termen van kosten en prestaties. Meer in het bijzonder zijn de volgende aspecten van belang:

  • doelstellingen voor IT
  • aansluiting IT op bedrijfsdoelstellingen (‘alignment’)
  • kennismanagement
  • IT strategie en planning
  • inhuur IT deskundigheid en implementatie
  • IT risicomanagement
  • IT beheer
  • beheer van IT infrastructuur.

Gelet op deze aspecten kan worden gesteld dat bij IT governance vooral het prestatieniveau van IT voorop staat en niet zo zeer het voldoen aan de gestelde regels (conformance en accountability), zoals dat bijvoorbeeld geldt voor corporate governance.

IT governance volgens Cobit

Wanneer we uit gaan van de ruime definitie van IT governance, biedt Cobit goede mogelijkheden om de belangrijkste processen die bij IT governance komen kijken, op hoofdlijnen te duiden. Cobit is een model voor de beheersing van een IT omgeving en maakt daarbij gebruik van diverse bronnen (zoals deze in de inleiding bijvoorbeeld zijn genoemd) Cobit is goed gedocumenteerd en zeer toegankelijk, niet alleen voor doorgewinterde ICT-ers, maar ook voor managers. Cobit zorgt zo voor een framework aan de hand waarvan “business” managers en IT managers elkaar goed verstaanbaar kunnen maken. Cobit laat duidelijk zien welke maatregelen getroffen moeten worden om te kunnen spreken van IT governance.

Cobit onderscheid vier domeinen en dekt zo een belangrijk deel af van de bestuurlijke informatievoorziening:

  • Planning en Organisatie (PO)
  • Acquisitie en Implementatie (AI)
  • Delivery en Support (DS)
  • Monitoring

Per domein kent Cobit een aantal hoofddoelstellingen. Deze worden hier onder genoemd. Het gaat in het kader van dit artikel te ver om de doelstellingen één voor één door te nemen, maar de aanduiding geeft al een goed beeld van de maatregelen die getroffen moeten worden. Bedenk hierbij wel dat de relatie met de bedrijfsdoelstellingen goed in de gaten gehouden moeten worden. De bedrijfsdoelstellingen en bedrijfsprocessen bepalen immers de benodigde IT.

Planning en Organisatie PO1 Definiëren van een strategisch IT plan PO2 Definiëren van een Informatie Architecture PO3 Vaststellen van de te gebruiken technologie PO4 Definiëren van de IT organisatie en relaties PO5 Managen van de IT investering PO6 Communicatie van management doelstellingen en richting PO7 HRM management PO8 Overeenstemming met externe eisen (compliance) PO9 Vaststellen en managen van risico’s PO10 Project Management PO11 Kwaliteitsmanagement

Acquisitie en Implementatie AI1 Identificeer geautomatiseerde oplossingen AI2 Verkrijgen en onderhouden van applicaties AI3 Verkrijgen en onderhoud technologische infrastructuur AI4 Ontwikkelen en onderhoud procedures AI5 Installeren van accreditatie systemen AI6 Verandermanagement

Delivery en Support DS1 Definieer en manage service levels DS2 Manage diensten van derden DS3 Manage prestaties en capaciteit DS4 Draag zorg voor continuïteit DS5 Draag zorg voor systeembeveiliging DS6 Identificeer en alloceer kosten DS7 Train gebruikers DS8 Assisteer en adviseer de klanten DS9 Manage de IT-configuratie DS10 Afhandelen problemen en incidenten DS11 Datamanagement DS12 Facilitymanagement DS13 Managen processen

Monitoring M1 Monitor de processen M2 Vaststellen werking interne controle maatregelen M3 Verkrijg onafhankelijke zekerheid (assurance) M4 Voorzie in onafhankelijke audit

Voor al deze hoofddoelstellingen zijn subdoelstellingen uitgewerkt en uitgebreide richtlijnen opgesteld voor het management en ook voor IT auditors.

Aandachtspunten voor IT governance

Cobit biedt voor IT governance een goed uitgewerkt en internationaal erkend raamwerk. Verwacht van de beschrijvingen van de richtlijnen niet al te veel. Het gaat hierbij vooral om ‘common sense’ uitwerkingen. Voor inhoudelijke invulling van het raamwerk zul je een beroep moeten doen om andere bronnen. Voor informatiebeveiliging bijvoorbeeld de code voor informatiebeveiliging, ITIL voor IT service management, voor meer algemene kwaliteitsmodellen op bijvoorbeeld de ISO uitwerkingen of INK enzovoorts. Desalniettemin biedt Cobit een goed toegankelijk kader en zie je dat er aan heel veel aspecten aandacht moet worden besteed om van IT governance te kunnen spreken.