BiSL en COBIT, een mapping van twee frameworks

BiSL en COBIT, een mapping van twee frameworks
Voor veel organisaties is de sturing op de informatievoorziening lastig. Stakeholders stellen steeds duidelijker kritische vragen over de besturing en beheersing van de informatievoorziening. Organisaties moeten kunnen aantonen ‘in control’ te zijn over hun informatievoorziening. Dit artikel geeft aan hoe BiSL en COBIT 5 elkaar kunnen aanvullen en versterken bij het professionaliseren van de besturing en beheersing van de informatievoorziening.
Machteld Meijer, Wim van ’t Einde, Tom Heisterkamp, Joep Janssen en Peter Philipsen
Succes of falen van de inzet van IT in organisaties blijkt vooral bepaald te worden door een goede besturing en beheersing van de informatievoorzieningsactiviteiten. Het BiSL-framework is een belangrijk hulpmiddel voor het op een overzichtelijke wijze inrichten van functioneelbeheer- en informatiemanagementprocessen. Het COBIT 5-framework biedt wereldwijd geaccepteerde governance en management practices voor de beheersing van de informatievoorziening. Dit framework wordt vaak gebruikt door auditors om te toetsen in hoeverre organisaties daadwerkelijk genoemde activiteiten beheersen.
In dit artikel gaan wij na op welke wijze het BiSLen het COBIT 5-framework bij kunnen dragen aan een verdere professionalisering van besturen en beheersen van de informatie-voorziening in een organisatie. De in 2014 uitgevoerde parlementaire enquête naar IT-projecten bij de overheid geeft aan dat de kennis over het aansturen van IT-projecten vaak ontbreekt en het lerend vermogen tekortschiet. Besluitvormings- en verantwoordingsstructuren zijn onvoldoende ingericht om afdoende controle te kunnen uitvoeren op IT-projecten. De parlementaire enquête concludeert dat centrale sturing ontbreekt. Zij constateert dat er te weinig overkoepelend gezag en centrale sturing is en dat het ontbreekt aan een goede IT-governance. Portfoliomanagement als middel om effectief te sturen op samenhang tussen projecten is nauwelijks ontwikkeld.
De beelden die de parlementaire commissie schetst over de gebrekkige besturing en beheersing van de IT zijn volgens ons niet beperkt tot de overheid. Ook in het bedrijfsleven blijft de besturing en beheersing van informatievoorziening achter bij het strategische belang van betrouwbare informatievoorziening voor de bedrijfsvoering. Het gestructureerd inzetten van de best practices uit de BiSL- en COBIT-frameworks kan een belangrijke bijdrage leveren aan het oplossen van dit besturingsprobleem; BiSL door aan te geven welke processen en activiteiten belangrijk zijn bij het inrichten van de informatie-voorzieningsprocessen aan de opdrachtgeverskant; COBIT bij het aangeven welke activiteiten een organisatie moet uitvoeren om aantoonbaar ‘in control’ te zijn. In dit artikel geven wij aan hoe de beide frameworks zich tot elkaar verhouden, en elkaar dus kunnen versterken. Alvorens in te gaan op de verbanden tussen de beide frameworks geven we een korte uitleg van beide.
 
BiSL
BiSL, Business Information Services Library, is een publieke standaard die richtlijnen geeft voor het inrichten van het business-informatiemanagement(BIM)-domein (operationeel functioneel beheer plus informatie-management).
BiSL beschrijft processen en activiteiten die nodig zijn voor het sturen van de informatievoorziening, vanuit business- en gebruikersperspectief. Binnen een organisatie slaat BiSL een brug tussen de verschillende besturingsniveaus aan de vraagkant: richtinggevend, sturend en uitvoerend. Ook beoogt het een brug te slaan tussen business en IT en heeft het aandacht voor de informatie-uitwisseling tussen organisaties die deel uitmaken van een informatieketen.
Standaardisatie door middel van BiSL draagt bij aan het professionaliseren van de vraagorganisa-tie en maakt hierdoor een efficiëntere en effectie vere werkwijze mogelijk. Eén van de belangrijkste voordelen van BiSL is dat het een gemeenschappelijke terminologie en een referentiekader biedt aan de markt waardoor een betere samenwerking tussen de betrokken partijen mogelijk wordt.
Procesclusters
Het BiSL-framework (figuur 1) is opgebouwd uit zeven procesclusters die nader zijn onderverdeeld in 23 procesgebieden, meestal kortweg processen genoemd. Binnen deze processen worden honderden activiteiten onderkend van uitvoerende tot richtinggevende.
De activiteiten die door BiSL worden gedefinieerd hebben een belangrijke rol in de sturing van de informatievoorziening. Het betreft zowel sturing op de eigen activiteiten als op die van de IT-leveranciers. Maar ook organisatiebeleid, informatiebeleid en informatieplanning spelen een belangrijke rol. Het heeft daarom een grote overlap met het terrein waar COBIT 5 zich op beweegt.
Figuur 1. Het BiSL-framework
 
COBIT
COBIT is een uitgebreid en gedetailleerd framework voor de interne beheersing van informatie-gerelateerde processen. Het is vanaf 1992 ontwikkeld door ISACA (Information Systems Audit and control Association) en ITGI (IT Governance Institute) en komt daarmee uit de beveiligings- en IT-auditinghoek. COBIT staat vooral in de belang stelling doordat het bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen dat voldaan wordt aan de regelgeving zoals die door bijvoorbeeld Sarbanes-Oxley (SOX) of De Nederlandsche Bank worden gevraagd. In de latere versies van COBIT werd daarom ook steeds meer aangesloten bij control- en managementbehoeften, waardoor het framework steeds geschikter werd voor het aansturen van IT-organisaties.
Vier domeinen
De doelstelling van COBIT is om belangrijke IT-gerelateerde processen globaal te beschrijven en de belangrijkste beheersmaatregelen weer te geven. COBIT beperkt zich daarbij nadrukkelijk tot ‘wat’ de organisatie zou kunnen regelen en laat ‘hoe’ dat geregeld wordt over aan de keuze van de organisatie zelf. Frameworks als ASL, BiSL, ITIL, CMMI, en vele andere kunnen een nadere gedetailleerde invulling geven aan deze beheersmaatregelen. Voor het business-informatiemanagement-domein kan COBIT aandachtspunten bevatten, waarmee vanuit andere modellen die in de organisatie worden gebruikt wellicht geen rekening wordt gehouden. Het is overigens bij COBIT niet de bedoeling om alle processen die in het framework worden beschreven klakkeloos over te nemen. De organisatie kan het zodanig aanpassen dat het nauw aansluit bij de doelen van de betreffende organisatie. Risicomanagement kan hierbij een belangrijke rol spelen.
Figuur 2. Het COBIT-framework
 
COBIT 5 onderscheidt vier domeinen, die zijn onderverdeeld in 37 processen (figuur 2) die nader worden gedetailleerd in 210 governance en management practices.
Totstandkoming mapping
COBIT en BiSL vertonen zowel overeenkomsten als verschillen. Om die voor de gebruikers van de beide modellen in kaart te brengen is door een werkgroep van de ASL BiSL Foundation een mapping gemaakt. Een soortgelijke mapping is eerder uitgevoerd voor ASL, een framework voor applicatiemanagement, toen met COBIT 4. In deze BiSL-COBIT mapping is onderzocht in hoeverre een BiSL-proces een bepaalde COBIT management practice afdekt. Daarbij is ook aangegeven welke activiteit dat binnen dat BiSL-proces betreft. Op basis van de bevindingen uit deze mapping is voor alle management practices van COBIT aangegeven in welk(e) BiSL-proces(sen) deze management practices kunnen worden ingericht. Bij het uitvoeren van de mapping is de vraag ook andersom gesteld. Welke COBIT management practices dekken welke activiteiten binnen BiSL af. Op deze wijze ontstond een ‘cross reference’-matrix tussen BiSL en COBIT. Een gedetailleerde versie hiervan is te vinden op de website van de ASL BiSL Foundation. Zowel BiSL als COBIT worden ondersteund door een ‘maturity-framework’. Deze zijn anders van aard en daarom in het onderzoek verder niet met elkaar vergeleken.
 
 
 
 
Figuur 3 Voorbeeld van çross reference'COBIT-practices en BiSL-processen en -activiteiten
 
 
Globale analyse
Met COBIT 5 is een zeer bruikbaar kader voor governance en management van IT-organisaties neergezet. COBIT gaat niet alleen in op het managen van de informatievoorziening binnen IT, maar ook nadrukkelijk op de governance vanuit de opdrachtgeversorganisatie. Met dit laatste bestrijkt het net als BiSL de vraagkant van de informatievoorziening. COBIT geeft onder andere door middel van management practices aan wat een organisatie moet inregelen om ‘in control’ te zijn. BiSL geeft aan welke processen en activiteiten geregeld moeten zijn aan de vraagkant van de informatievoorziening, onder andere voor strategiebepaling en sturing, en wordt veelvuldig gebruikt voor de procesinrichting.
BiSL en COBIT hebben dus duidelijke raakvlakken. De belangrijkste raakvlakken, die in dit artikel nader worden uitgewerkt, zijn te vinden bij de gemeenschappelijke onderdelen ten aanzien van het opstellen van een informatie- en organisatiestrategie, het sturen op tijd en geld, het managen van projecten, het managen van het opstellen van eisen en het sturen op de afhandeling van service requests en incidenten.
Figuur 3 toont een gedeelte van de gedetailleerde uitwerking van de mapping zoals die te vinden is op de website van de ASL BiSL Foundation.6
Figuur 4 geeft de ‘cross reference’ op een hoger abstractieniveau. Hierin zijn alle BiSL-processen gerelateerd aan alle COBIT-processen. Hoe donkerder de kleur is van het vakje waar ze elkaar kruisen, hoe meer raakvlakken er zijn zoals terug te vinden is in de detailuitwerking.
 
Figuur 4. ‘Cross reference’ COBIT- en BiSL-processen
 
Relaties
In het algemeen zijn de processen van BiSL minder breed en hebben deze minder diepgang dan de management practices van COBIT 5. Inzoomend op de verschillende procesclusters of processen die BiSL onderkent in haar framework, zijn de nodigde raakvlakken te ontdekken.
Evaluate, Direct and Monitor (EDM)
Het COBIT-gebied EDM gaat onder andere over het evalueren, aansturen en monitoren van IT-oplossingen. Er zijn niet veel directe raakvlakken
tussen EDM en BiSL. In, Ensure Benefits Delivery, (EDM02) gaat het om de baten van IT-investeringen, hetgeen ook onderwerp is van het BiSL-proces ‘Financieel management’. Optimaliseren van de inzet van resources (EDM04) is ook een belangrijk aandachtspunt voor de BiSL-processen ‘Informatie-portfoliomanagement’ en ‘Planning en control’. Het gaat dan respectievelijk om resources op het gebied van IT-middelen en menskracht.
Align, Plan and Organize (APO)
APO gaat over het plannen van de informatievoorziening, een belangrijke doelstelling van BiSL. Het is dus niet verwonderlijk dat er slechts één proces is uit APO dat helemaal geen relatie heeft met BiSL: APO013, ‘Manage security’. In BiSL is beveiliging dusdanig verweven met alle processen dat het niet apart herkenbaar is. Alle andere APO-processen hebben op tenminste één management practice een overlap met BiSL. Ten aanzien van het bepalen van een strategie geldt dat het sterkst voor ‘Manage strategy’ (APO02) met de BiSL-procescluster ‘Opstellen Informatiestrategie’ en ‘Ensure stakeholder transparency’ (APO01) met de procescluster ‘Opstellen IV-Organisatiestrategie’. Zowel COBIT als BiSL richten zich zowel op de toekomst van de informatievoorziening als de sturing erop. Beide frameworks kijken naar in hoeverre de huidige informatievoorziening aansluit op de bedrijfsprocessen, ontwikkelen een visie op de gewenste informatievoorziening op basis van een interne en externe analyse, en beschrijven hoe de gap tussen huidige en gewenste situatie gedicht kan worden. 
Op sturend niveau is er sprake van een sterke overlap ten aanzien van onderwerpen als sturen op investeringen, budgetten en kosten (APO05 en APO06 met BiSL’s ‘Financieel management’), sturen op human resources (APO07 met ‘Planning en control’) en sturen op dienstenovereenkomsten en leveranciers (APO09 en APO10 met ‘Contractmanagement’).
Build, Acquire and Implement (BAI)
Het COBIT-gebied BAI gaat over het bouwen, verkrijgen en implementeren van IT-oplossingen. Projecten moeten worden aangestuurd (BAI01), dit wordt door BiSL behandeld in de ‘Sturende processen’. Het definiëren van de eisen (BAI02), bepalen van oplossingen, bouwen en testen (BAI03) behandelt onder meer onderdelen van de BiSL-procescluster ‘Functionaliteitenbeheer’. Het gecontroleerd doorvoeren van de wijzigingen (BAI06) is ook onderwerp van het BiSL-proces ‘Wijzigingenbeheer’, terwijl het beheersen van de transitie (BAI07) duidelijke parallellen vertoont met het BiSL-proces ‘Voorbereiden transitie’.
Deliver, Service and Support (DSS)
Het gaat hier om het leveren van diensten en producten door de IT-leveranciers en heeft dus niet hetzelfde aandachtsgebied als BiSL. Er zit wel een duidelijk raakvlak tussen ‘Manage Service Requests and Incidents’ (DSS02) en ‘End User Support’ van BiSL. Daarbij gaat het om het afhandelen van meldingen. Daarnaast heeft het managen van de operatie en diens continuïteit (DSS01 en DSS04) nog raakvlakken met BiSL, met name met het proces ‘Operationele IT-aansturing’.
Monitor, Evaluate and Assess (MEA)
Alleen het bewaken, evalueren en beoordelen van de prestaties van de informatievoorziening (onderdeel van MEA01) heeft een relatie met BiSL, namelijk met de ‘Sturende processen’. Daarbij gaat het om het opstellen van een aanpak voor het bewaken van resources, financiën en contracten en om het meten en analyseren van de resultaten van het bewaken ervan.
De BiSL-procesclusters ‘Opstellen IV-Organisatiestrategie’, ‘Verbindende processen’ en ‘Functionaliteitenbeheer’ vertonen de minste raakvlakken met COBIT practices. BiSL omvat dus een aantal onderwerpen waar COBIT weinig aandacht voor heeft. Voorbeelden zijn het invoeren van een nieuwe versie van een informatiesysteem (al dan niet geautomatiseerd) in de gebruikersorganisatie en het vastleggen van gewijzigde werkprocessen. Maar daarnaast besteedt BiSL ook meer aandacht aan het beheren van de bedrijfs-informatie en het afstemmen van informatie-voorzieningsbeleid.
Conclusie
Met de toevoeging aan COBIT van practices voor de inrichting van governance binnen een organisatie, sluiten COBIT en BiSL meer op elkaar aan dan voorheen. Hoewel de beide frameworks voor verschillende doelgroepen zijn opgesteld, kunnen er duidelijke relaties tussen worden gelegd. Deze zijn in dit artikel weergegeven. Een manager van een business-informatiemanagementorganisatie die BiSL als leidraad heeft gebruikt voor de inrichting van zijn processen, kan met behulp van deze mapping eenvoudig in COBIT-termen aantonen in hoeverre hij ‘in control’ is. Tevens kan hij met deze mapping in kaart brengen op welke gebieden er extra aandacht nodig is. BiSL kan heel goed als kapstok dienen om de voor een businessinformatiemanagementorganisatie van toepassing zijnde governance en management practices te implementeren.
COBIT beschrijft, al van oudsher, ook veel management practices die de verantwoordelijkheid zijn van de IT-leveranciers, waarmee het een bredere scope heeft dan BiSL: zowel de vraag-als de aanbodkant. Daar waar aandacht wordt besteed aan overeenkomstige processen of activiteiten treedt COBIT in meer detail dan BiSL. BiSL’s toegevoegde waarde zit juist in het speci-fiek op een rij zetten van álle activiteiten binnen de business-informatiemanagementorganisatie. Daarmee zijn beide frameworks belangrijke, elkaar aanvullende frameworks voor organisaties die afhankelijk zijn van een goede informatievoorziening. De frameworks versterken elkaar en kunnen gezamenlijk een goede bijdrage leveren aan het invullen van een goed opdrachtgeverschap om het besturingsprobleem van de informatievoorziening, en dus ook de IT-projecten, te verkleinen.
Machteld Meijer (Maise), Wim van ’t Einde, Tom Heisterkamp, Peter Philipsen (Belastingdienst) en Joep Janssen (VKA) zijn allen lid van de werkgroep standaardisatie van de ASL BiSL Foundation. Het artikel is geschreven op persoonlijke titel van de auteurs. In de analyse van de mapping tussen beide frameworks heeft ook Annita Krol (Achmea) een belangrijke rol gespeeld.
 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag