ITIL 2011 en COBIT 5

ITIL 2011 en COBIT 5

We vergelijken de nieuwste versie van twee bekende internationale raamwerken die vaak gebruikt worden in het kader van enterprise governance of IT: ITIL 2011 en COBIT 5. Bij de vorige versies van ITIL en COBIT hebben we vastgesteld dat zij complementair zijn, naar elkaar toegroeien, maar ook hun eigenheidbehouden.

Frank Stevens, Steven De Haes, Wim van Grembergen

Oorsprong en evolutie

ITIL staat voor de IT Infrastructure Library. Het is een best practice raamwerk voor service management. Service management gaat over het creëren van waarde voor klanten in de vorm van (IT)-diensten. De eerste versie van ITIL werd uitgegeven in de jaren 80, op initiatief van de Britse overheid en als antwoord op de toenmalige slechte dienstverlening door interne en externe IT-bedrijven. Na een eerste versie werd, met ITIL V2 in 2000, het concept gelanceerd van Service Support, met nadruk op de operationele activiteiten van de IT-dienstverlening en Service Delivery, dat het tactische niveau behandelde van de IT-dienstverlening. ITIL V2 werd in 2007 compleet herschreven naar ITIL V3 met de introductie van het lifecycle concept van IT-dienstverlening: ITIL V3 is opgebouwd rond de vijf fasen van een IT-dienst: Service Strategy, Service Design, Service Transition, Service Operation en Continual Service Improvement. Elk boek van de ITIL V3 boeken beschrijft een van deze fasen in de levenscyclus.

In juli 2011 is ITIL 2011 uitgebracht. Het gaat eigenlijk niet om een nieuwe versie van ITIL, maar om een update van ITIL V3. Het doel van de update was om fouten en inconsistenties weg te nemen uit ITIL V3 en om het geheel duidelijker en leesbaarder te maken. Ten opzichte van ITIL V3 zijn er vier processen toegevoegd aan het raamwerk: strategy management for IT services, business relationship management, demand management en design coordination. Naast de toevoeging van nieuwe processen is het grondig herschrijven en uitbreiden van het boek Service Strategy een andere belangrijke wijziging in ITIL 2011. Tevens volgen alle hoofdstukken in ITIL 2011 nu dezelfde structuur en is er een process flow tekening terug te vinden voor elk proces, wat niet het geval was in ITIL V3.  Er zijn ook een aantal kleinere wijzigingen, waaronder het feit dat processen in ITIL 2011 niet langer met een hoofdletter worden geschreven. Dit gebeurt in ITIL 2011 enkel nog voor de namen van de vijf boeken. Ten slotte is in oktober 2013 het ITIL Maturity Model uitgegeven voor ITIL 2011. Dit maturiteitsmodel bestaat uit self-assessment vragenlijsten die per proces een maturiteitsscore geven. De maturiteitsniveau’s van het ITIL Maturity Model zijn gebaseerd op CMM (Capability Maturity Model) en COBIT 4.1, de vorige versie van COBIT. Er bestaat een algemene versie die gratis te gebruiken is en een uitgebreide versie die betalend is.

 

Belangrijkste kenmerken van ITIL 2011

Structuur van ITIL 2011

Het ITIL 2011 raamwerk is opgebouwd uit vijf boeken volgens het concept van de service lifecycle. Dit concept werd met ITIL V3 geïntroduceerd en werd behouden in ITIL 2011. De service lifecycle bevat vijf fasen: Service Strategy, Service Design, Service Transition, Service Operation en Continual Service Improvement. Binnen deze fasen wordt een set van gerelateerde processen gedefinieerd. Het geheel van fasen en de onderliggende processen kan je vinden in figuur 1.

Figuur 1: overzicht van de ITIL 2011 boeken en processen (Alexos, 2011)

Service Strategy bevindt zich in de kern van de service lifecycle. De creatie van waarde vindt hier zijn oorsprong vanuit de organisatiedoelstellingen en de behoeften van de klanten. Onderwerpen die in dit boek worden besproken zijn onder andere: de ontwikkeling van opportuniteiten die de IT- dienstverlener in staat stellen om aan de noden van de klanten te voldoen, het service portfolio dat een overzicht geeft van de complete set van de beheerde diensten en de implementatie van de strategie doorheen de volledige service lifecycle.

Service Design beschrijft de fase van de service lifecycle die een strategie voor IT-diensten omvormt tot een concreet plan om te voldoen aan de bedrijfsdoelstellingen. Dit boek legt uit hoe IT-diensten moeten worden ontworpen en ontwikkeld om strategische objectieven om te vormen tot portfolios van diensten.

Service Transition legt uit hoe de output van de designactiviteiten best geïmplementeerd wordt. De processen, systemen en functies die nodig zijn voor het bouwen, testen en in productie brengen van een release moeten beheerd en gecoordineerd worden tijdens de transitiefase.

In het boek Service Operation worden de processen behandeld die nodig zijn voor de dagdagelijkse activiteiten. Service Operation behandelt de vraag hoe IT-diensten efficiënt geleverd en ondersteund kunnen worden, zoals overeengekomen in de SLA’s met de klanten.

In  Continual Service Improvement tenslotte, vinden we advies over hoe de  doeltreffendheid en efficiëntie van IT-diensten voortdurend kan verbeterd worden en hoe dit kan gemeten worden.

Nieuwe processen in ITIL 2011

Zoals vermeld bevat ITIL 2011 vier nieuwe processen in vergelijking met ITIL V3:  strategy management for IT services, business relationship management, demand management en design coordination.

Strategy management for IT services concretiseert hoe een interne of externe dienstverlener een organisatie in staat stelt om haar business doestellingen te realiseren. Het proces stelt de criteria en mechanismen vast om te beslissen welke diensten het meest geschikt zijn om de business doestellingen te verwezenlijken en wat de beste manier is om deze diensten te beheren. Strategy management for IT services zorgt er als proces voor dat de strategie voor IT-diensten wordt gedefinieerd, onderhouden en gerealiseerd. Er wordt daarnaast een onderscheid gemaakt tussen organisatiestrategie en de IT-strategie, waar de strategie voor IT-diensten een onderdeel van vormt.

Business relationship management is het proces dat ervoor zorgt dat goede relaties worden opgebouwd  tussen de dienstverlener en haar klanten op het tactische en strategische niveau. Door deze relaties kan de dienstverlener de business requirements van de klant goed begrijpen en diensten aanbieden die deze requirements afdekken.

Demand management probeert de vraag van klanten naar diensten  te begrijpen, te anticiperen en te beïnvloeden. Samen met het proces capacity management zorgt demand management ervoor dat aan deze vraag voldaan wordt door voldoende capaciteit aan te bieden.

Het laatste nieuwe proces is design coordination. Het doel van dit proces is om ervoor te zorgen dat de doelen van de service ontwerpfase worden gehaald. Dit gebeurt door een uniek coordinatie- en controlepunt ter beschikking te stellen voor alle activiteiten en processen die zich in de ontwerpfase bevinden.

 

 

ITIL 2011 beschrijft de processen in elk boek volgens een vaste structuur. De onderdelen van deze structuur zijn opgesomd in tabel 1.

 

Nummer

Onderdeel procesbeschrijving

1

Purpose and objectives

2

Scope

3

Value to business

4

Policies, principles and basic concepts

5

Process activities, methods and techniques

6

Triggers, inputs, outputs and interfaces

7

Information management

8

Critical success factors and key performance indicators

9

Challenges and risks

Tabel 1: onderdelen procesbeschrijvingen ITIL 2011

 

In het eerste deel van de procesbeschrijving vinden we het doel en de objectieven van het proces. Voor elk proces wordt vervolgens het bereik besproken. Deel drie behandelt de waarde van het proces voor de organisatie. De belangrijkste gedragslijnen, principes en basisconcepten vormen de onderdelen van het vierde deel. In deel 5 worden de procesactiviteiten (inclusief de process flows), methoden en technieken beschreven. Vervolgens vinden we de triggers, inputs, outputs en links naar andere processen in deel zes. Triggers zijn mechanismen die een proces in gang zetten. Data, informatie of kennis die een proces binnenkomen, noemen we inputs. De gewenste resultaten van het proces zijn de outputs. Deel zeven behandelt de sleutelinformatie voor een proces en waar die te vinden is. Meten en rapporteren vormt het onderdeel van sectie acht. Hier worden de critical success factors (CSF) en key performance indicators (KPI) voor het proces beschreven. Een CSF is iets dat moet gebeuren om een process, project, plan of IT service succesvol te laten verlopen. Een KPI is een metriek die gebruikt wordt om een proces, IT service of activiteit te beheren. Het laatste onderdeel van de ITIL 2011 procesbeschrijvingen behandelt de uitdagingen en risico’s die belangrijk zijn voor het proces.

Deze uitgebreide procesbeschrijvingen geven een gedetailleerd beeld van de processen en leggen uit hoe de processen in de praktijk kunnen verlopen, zonder een uitspraak te doen over hoe ze moeten verlopen.

 

Cobit 5

Oorsprong en evolutie van Cobit

In april 2012 is de vijfde versie uitgekomen van COBIT (Control Objectives for Information and Related Technologies). COBIT heeft een heuse evolutie meegemaakt doorheen de verschillende versies: in de eerste versie uit 1996 was COBIT een audit- en controleraamwerk, dat IT-processen en controleobjectieven bevatte. Verdere ontwikkelingen en de toevoeging van management guidelines in 2000 brachten COBIT van een auditraamwerk naar een managementraamwerk, met management guidelines. De management guidelines brachten metrieken en maturiteitsmodellen voor elk IT-proces. Met de introductie van COBIT 4.0 evolueerde COBIT in 2005 verder naar een compleet IT-governanceraamwerk. Versie 4.1 uit 2007 leverde als belangrijke verbeteringen onder andere de koppeling van IT-processen aan IT-doelstellingen en organisatiedoelstellingen. Daarnaast werden voor elk IT-proces de input en outputs, rollen en verantwoordelijkheden (RACI-tabel) en doelstellingen en metrieken gedefiniëerd.

COBIT 5 is opnieuw verder geëvolueerd naar een internationaal erkend raamwerk voor “enterprise governance of IT”. Enterprise governance of IT wordt door Van Grembergen en De Haes (2009) gedefinieerd als “an integral part of enterprise governance exercised by the Board overseeing the definition and implementation of processes, structures and relational mechanism in the organization that enable both business and IT people to execute their responsibilities in support of business/IT alignment and the creation of business value from IT-enabled business investments”. Met deze nieuwe terminologie wordt niet meer gesproken over IT governance, waarbij de nadruk teveel lag op IT en te weinig op de business. Cobit 5 geeft een geïntegreerd zicht op enterprise governance of IT door de integratie van een aantal andere ISACA-standaarden, Val-IT en Risk-IT, die eerder op het businessluik gericht zijn. Hierdoor levert COBIT 5 end-to-end management- en governanceprocessen. Zowel IT als de business zijn nu betrokken in het realiseren van waarde uit IT en het beheren van de risico’s die hiermee verbonden zijn.

Andere belangrijke nieuwigheden zijn de toevoeging van een procesdomein voor governanceprocessen en een aantal nieuwe en een aantal gewijzigde managementprocessen. We komen hier in een volgend deel op terug. We merken op dat we in dit artikel de nadruk leggen op de processen binnen COBIT, wat slechts één van de zeven “enablers” is. COBIT heeft naast de enabler processen nog zes andere enablers: principles, policies and frameworks; organizational structures; culture ethics and behaviours; information; services infrastructure and applications en people, skills and competencies.

Een andere belangrijke wijziging in COBIT 5 betreft de maturiteitsmodellen. In COBIT 4.1 was een maturiteitsmodel per proces beschikbaar. In COBIT 5 zijn de maturiteitsmodellen per proces vervangen door een generiek maturiteitsmodel “PAM” (Process Assessment Model). Het PAM wordt uitgelegd in de bespreking van de COBIT 5 processtructuur.

Alle processen binnen COBIT 5 worden ten slotte geschreven met drie letters in plaats van met twee letters, zoals in COBIT 4.1 het geval was.

 

Belangrijkste kenmerken van Cobit5

De kern van COBIT 5 wordt samengevat in vijf principes: meeting stakeholder needs, covering the enterprise end-to-end, applying a single integrated framework, enabling a holistic approach en separating governance from management . “Meeting stakeholder needs” vertrekt als eerste principe van het idee dat organisaties in de eerste plaats waarde moeten creëren voor hun stakeholders. De behoeften van de stakeholders moeten vertaald worden in een uitvoerbare bedrijfsstrategie. Het mechanisme om dit te doen vinden we bij COBIT 5 terug in de cascade van goals, die ervoor zorgt dat de behoeften van de stakeholders vertaald worden in specifieke en uitvoerbare goals op 3 niveau’s:  “enterprise goals”, “IT-related goals” en “enabler goals”.

Het tweede principe covering the enterprise end-to-end verwijst naar het feit dat Cobit 5 zich niet meer alleen richt op de IT-functie, maar ook op alle andere IT-gerelateerde processen en verantwoordelijkheden. De business moet zich op het geheel richten om IT-gerelateerde waarde te creëren en de risico’s te beheersen.

Applying a single integrated framework verwoordt dat COBIT 5 in lijn is met andere relevante raamwerken, zoals ITIL en ISO en dus moet gezien worden als een overkoepelend kader voor het bestuur en beheer van enterprise IT. COBIT 5 is bovendien ook geïntegreerd met alle vorige ISACA-verwante materialen, zoals VALIT en RISKIT.

Het vierde principe enabling a holistic approach legt uit dat een efficiënte en effectieve implementatie van governance en management vraagt om een holistische benadering. In deze benadering moeten we rekening houden met verschillende interactieve onderdelen, zoals processen, structuren en mensen.

In het laatste principe separating governance from management geeft COBIT 5 het onderscheid aan tussen governance en management. COBIT 4 werd in 2005 gepositioneerd als een IT governance raamwerk, maar veel van de processen waren eerder managementprocessen. In COBIT 5 is een apart governancedomein EDM (Evaluate, Direct and Monitor) bijgekomen, met enkel governanceprocessen.

 

Structuur Cobit 5

COBIT 5 structureert de verschillende processen in vijf domeinen. Deze domeinen, inclusief de onderliggende processen kan je vinden in figuur 3.

Figuur 3: COBIT 5 domeinen en processen, www.isaca.org/cobit

Het governancedomein EDM beschrijft de verantwoordelijheden die een Raad van Bestuur moet nemen in verband met IT. Deze verantwoordelijkheden omvatten de inrichting van het governancekader, de verantwoordelijkheden rond waarde, risico’s en middelen en het verstrekken van transparantie over IT aan de belanghebbenden.

In het managementdomein definieert COBIT 5 vier subdomeinen: APO (Align, Plan and Organise), BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) en MEA (Monitor, Evaluate and Assess).

Het domein APO behandelt de vraag hoe informatietechnologie kan bijdragen aan de realisatie van de bedrijfsdoelstellingen en hoe dit concreet moet gebeuren: een IT-managementkader is nodig en specifieke processen met betrekking tot de IT-strategie, enterprise architecture, innovatie en portfolio management. Daarnaast komen ook processen aan bod op het gebied van het beheer van budgetten en kosten, human resources, het beheer van relaties met de business, serviceovereenkomsten, leveranciers, kwaliteit, risico’s en veiligheid.

In het domein BAI wordt de IT-strategie geconcretiseerd door de identificatie van de requirements voor IT, de mogelijke IT-oplossingen en het beheer van projecten en programma’s. Dit domein behandelt ook het beheer van de capaciteit en beschikbaarheid, organisatorische veranderingen, IT change management, testen en de overgang van ontwikkeling naar productie, kennisbeheer en het beheer van assets en configuraties.

Het domein DSS verwijst naar de feitelijk levering van de vereiste IT-gerelateerde diensten. Het bevat processen rond  het beheer van de IT-operaties, service requests en incidenten, problem management, continuïteit, beveiliging en business process controls.

Het vierde managementdomein, MEA, beschrijft de processen die verantwoordelijk zijn voor de kwaliteitsbeoordeling in overeenstemming met de controle-eisen van alle eerder vernoemde processen. MEA richt zich op performance management, de beoordeling van de interne controle en de naleving van de regelgeving.

 

Nieuwe processen

Een overzicht van nieuwe of sterk gewijzigde processen binnen COBIT 5 kan je vinden in figuur 4. Zoals besproken voegt COBIT 5 een governancelaag toe aan de bestaande managementlaag. Deze governancelaag “evaluate, direct and monitor” bevat processen EDM01 tot en met EDM05. EDM01 Ensure Governance Framework Setting and Maintenance is een voorbeeld van een process uit deze governancelaag en analyseert en beschrijft de vereisten voor enterprise governance of IT. Het proces moet ervoor zorgen dat er effectieve ondersteunende structuren, principes, processen en practices geinstalleerd en onderhouden worden.

EDM01 Ensure Governance Framework Setting and Maintenance

EDM02 Ensure Benefits Delivery

EDM03 Ensure Risk Optimisation

EDM04 Ensure Resource Optimisation

EDM05 Ensure Stakeholder Transparency

APO03 Manage Enterprise Architecture

APO04 Manage Innovation

APO05 Manage Portfolio

APO06 Manage Budget and Costs

APO08 Manage Relationships

APO13 Manage Security

BAI05 Manage Organisational Change Enablement

BAI08 Manage Knowledge

BAI09 Manage Assets

DSS05 Manage Security Services

DSS06 Manage Business Process Controls

figuur 4: nieuwe of sterk gewijzigde processen in COBIT 5

Naast de processen uit de governancelaag EDM, zijn er ook een aantal processen toegevoegd of gewijzigd in de domeinen uit de managementlaag. APO03 Manage Enterprise Architecture is daar een voorbeeld van. Dit proces zorgt voor een gemeenschappelijke architectuur, die bestaat uit verschillende archtectuurlagen, waaronder business processen, informatie, data, applicaties en technologie. Met gebruik van modellen en praktijken, die de vertrek- en finale architectuur beschrijven, worden de bedrijfs- en IT-strategieën in de praktijk omgezet.

 

Structuur van de procesbeschrijvingen

De processen binnen COBIT 5 worden beschreven in een vaste structuur, die samengevat wordt in figuur 5. In de eerste twee onderdelen van de procesbeschrijving worden het proces en het doel ervan duidelijk omschreven. In de sectie “IT-related goals and metrics” worden de verschillende doelen en gerelateerde metrieken opgelijst en gegroepeerd in enterprise goals, IT-related goals en process goals. COBIT 5 werkt met een cascadesysteem, waar enterprise goals de IT-related goals sturen, die op hun beurt de process goals sturen.

Nummer

Onderdeel procesbeschrijving

1

Process description

2

Process purpose statement

3

IT-related goals and metrics

4

RACI chart

5

Process practices, inputs/outputs and activities

6

Related guidance

Figuur 5: onderdelen procesbeschrijvingen COBIT 5

In sectie 4 vinden we een RACI (Responsible, Accountable, Consulted en Informed)-tabel voor het proces. De RACI-tabellen geven een overzicht voor elk proces van wie accountable, responsible is en wie geconsulteerd, geïnformeerd moet worden. We merken op dat, naast de IT-rollen, ook de rollen aan de businesskant sterk vertegenwoordigd zijn.

Het vijfde onderdeel bevat de “process practices”, die een uitdrukking zijn van het gewenste resultaat of van het doel dat bereikt moet worden door controleprocedures in te voeren voor een specifieke IT-activiteit. Voor de processen uit de governancelaag worden de process practices governance practices  genoemd en voor de processen uit de managementlaag zijn dit management practices. In deel 5 vinden we ook per process practice de bijhorende inputs, outputs en activities. De inputs en outputs geven per process practice aan vanuit welke andere process practices informatie toestroomt (inputs)  en naar welke process practices informatie wegstroomt (outputs). Met de activities incorporeert COBIT 5 de control practices van COBIT 4.1. De activitites geven aan wat er voor elke process practice dient geïmplementeerd te worden om de IT prestaties te verbeteren en/of om een bepaald risico aan te pakken.

Elk proces heeft tenslotte een sectie “related guidance” waarin de relatie met andere raamwerken wordt besproken. Voorbeelden van deze andere raamwerken zijn ISO27001 en ISO27002 voor information security management en PMBOK en PRINCE2 voor project management. Voor service management hebben we ITIL 2011 en  ISO20000, de ISO standaard voor service management. Er zijn vele gelijkenissen tussen ISO20000 en ITIL 2011 en de benamingen van de processen zijn voor een groot deel dezelfde.

Een specifiek maturiteitsmodel per proces vinden we zoals gezegd niet meer terug in COBIT 5. Ter vervanging is er een algemeen maturiteitsmodel PAM (Process Assessment Model). In het nieuwe PAM wordt de schaal gebruikt van ISO15504, een ISO standaard waarin de basisconcepten en werkwijzen van process assessment worden beschreven. De schaal van CMM (Capability Maturity Model) wordt niet meer gebruikt. Een gevolg van het gebruik van de nieuwe schaal is dat de maturiteitsniveau’s gemeten aan de hand van het nieuwe PAM doorgaans lager zullen liggen dan de metingen op basis van de maturiteitsmodellen van COBIT 4.1. Langs de andere kant zijn er minder mogelijkheden tot interpretatie door de objectievere definitie van de meetattributen en de gestelde vereisten voor onderbouwing. Een groot voordeel van de nieuwe PAM is dat er naast maturiteitsmetingen op het niveau van het proces, ook metingen mogelijk zijn op het niveau van de organisatie.

Met deze processtructuur geeft COBIT een duidelijk beeld over wat er moet gebeuren binnen het domein van IT en de business, en dit zowel in de managementlaag als de governanceleaag. De detailuitwerking van de processen zoals bij ITIL vinden we bij COBIT niet of veel minder terug.

 

Vergelijking ITIL 2011 en Cobit 5

Algemene vergelijking

Zoals reeds vermeld in het principe “Applying a single integrated framework”,  is COBIT 5 is een overkoepelend raamwerk dat alle IT-activiteiten afdekt en zich baseert op verschillende onderliggende raamwerken. Door andere ISACA-raamwerken, zoals Val-IT, in het bereik toe te voegen, is ook het business luik meer nadrukkelijk naar voren gekomen. Daarnaast is er met de introductie van COBIT 5 een governancelaag toegevoegd aan de bestaande managementlaag van processen. ITIL beschrijft processen op het operationele, tactische en strategische niveau. Met de komst van ITIL 2011 is het strategische niveau uitgebreid en verbeterd, maar is de focus gebleven bij service management. Het overkoepelende karakter van COBIT 5 zorgt ervoor dat de processen in mindere mate van detail worden beschreven en de nadruk ligt op welke processen belangrijk zijn. ITIL 2011 levert processen in een hoge mate van detail en concentreert zich vooral op hoe deze processen kunnen uitgewerkt worden. COBIT 5 en ITIL 2011 zijn op deze manier erg complementair.

Vergelijking op basis van processtructuur

COBIT 5 en ITIL 2011 gebruiken een eigen structuur waarmee ze hun processen beschrijven. In dit deel vergelijken we deze 2 structuren. Op het niveau van doelstellingen vinden we bij ITIL 2011 een beknopte beschrijving. COBIT 5 gaat verder met de definitie van doelstellingen op verschillende niveau’s. ITIL 2011 beschrijft de processen inhoudelijk dieper: we vinden dit vooral terug in de beschrijvingen van procesactiviteiten, waarin de verschillende processtappen in detail uitgewerkt worden en visueel worden voorgesteld in een process flow. Dit vinden we niet terug bij COBIT 5. Ook een beschrijving van methodes en technieken specifiek aan een proces vinden we niet terug bij COBIT 5. Als we COBIT 5 en ITIL 2011 vergelijken op niveau van meten en rapporteren, stellen we vast dat COBIT 5 verder gaat: voor elk proces zijn er doelen en metrieken op verschillende niveau’s beschreven, gekoppeld aan de gerelateerde doelen. Meten en rapporteren is bij ITIL 2011 veel minder uitgebreid beschreven. Maturiteitsmeting is mogelijk in beide raamwerken. Het ITIL Maturity Model is gebaseerd op CMMI en COBIT 4.1. COBIT 5 heeft evenwel een vernieuwd maturiteitsmodel, het PAM (Process Assessment Model), dat niet meer gebaseerd is op CMM, maar op ISO15504.

Tot slot merken we op dat we bij ITIL 2011 geen RACI-tabellen of verwijzingen naar andere frameworks vinden in de processtructuur. Met deze vergelijking van de processtructuren tonen we aan dat COBIT 5 en ITIL 2011 elkaar ook op detailniveau aanvullen.

Algemene Mapping tussen ITIL 2011- en Cobit 5-processenrocessen

ITIL 2011 en COBIT 5 zijn complementair en kunnen best samen gebruikt worden. Om dit in de praktijk te doen, moeten we weten welke COBIT processen corresponderen met welke ITIL processen. Voor de vorige versies van COBIT en ITIL, COBIT 4.1 en ITIL V3, bestaat hiervoor een mappingdocument “Mapping of ITIL V3 with COBIT 4.1”, dat beide raamwerken en de aanwezige processen in grote mate van detail vergelijkt. Voor COBIT 5 en ITIL 2011 bestaat een gelijkaardig document (nog) niet op het moment van het schrijven van dit artikel. We beschikken wel over de informatie in de sectie related guidance, die we in het vorige deel hebben besproken. Die informatie laat ons toe om voor elk COBIT 5 proces het gerelateerde ITIL 2011 proces op te zoeken. We kunnen ook omgekeerd te werk gaan en voor een ITIL 2011 proces opzoeken bij welke COBIT 5 processen een vermelding staat van dit proces in de sectie related guidance.

Mapping tussen nieuwe ITIL 2011- en Cobit 5-processenrocessen

Figuur 6 geeft de mapping weer van de vier nieuwe ITIL 2011 processen met hun gerelateerde COBIT 5 processen. Deze tabel werd samengesteld op basis van de “related guidance” sectie van COBIT 5 en een beoordeling van de inhoud van de ITIL en COBIT 5 processen.

ITIL 2011 proces

COBIT 5 proces

Strategy management for IT services

APO02 Manage Strategy

Business relationship management

APO08 Manage Relationships
EDM05 Ensure Stakeholder Transparency

Demand management

AP008 Manage Relationships
AP009 Manage Service Agreements
EDM04 Ensure Resource Optimization

Design coordination

BAI01 Manage Programmes and Projects
BAI07 Manage Change Acceptance and Transitioning

Figuur 6.  mapping tussen de 4 nieuwe ITIL 2011 processen en de gerelateerde COBIT 5 processen

Strategy management for IT services kunnen we mappen met APO02 Manage Strategy. Beide processen zijn immers  gericht op strategie. Strategy management for IT services beschrijft het proces voor het beheer van een strategie van een organisatie en toont hoe dit kan toegepast worden voor het beheer van een strategie voor IT-diensten. De strategie voor IT-diensten vormt hierbij een onderdeel van de IT-strategie. APO02 Manage Strategy richt zich iets ruimer op de volledige IT-strategie.

Business relationship management is gerelateerd aan APO08 Manage Relationships en EDM05 Ensure Stakeholder Transparency.  Er zijn sterke gelijkenissen tussen de procesactiviteiten van Business Relationship Management en APO08 Manage Relationships. We hebben het voornamelijk over het opbouwen en onderhouden van de relatie tussen de dienstverlener en de klant en over de indentificatie van de noden van de klant en ervoor te zorgen dat deze vervuld worden. De link met EDM05 Ensure Stakeholder Transparency vinden we in de communicatie- en rapporteringsaspecten van EDM05: het proces moet verzekeren dat de communicatie richting de stakeholders effectief is en op tijd gebeurt en moet daarnaast de basis leggen voor rapportering rond prestatieverhoging en de identificatie van verbeteringsopportuniteiten. We vinden bij business relationship management gelijkaardige activiteiten rond communicatie en rapportering.

Demand management is gerelateerd aan APO08 Manage Relationships, APO09 Manage Service Agreements en EDM04 Ensure Resource Optimization. Het doel van demand management is het identificeren, analyseren en beïnvloeden van de vraag naar diensten van klanten en de gerelateerde capaciteit die nodig is om aan deze vraag te voldoen. De uitvoering van de activiteiten binnen demand management veronderstellen dat de relaties met klanten met de nodige aandacht worden gelegd en onderhouden. Dit verklaart de link met APO08 Manage Relationships. APO08 heeft immers tot doel de relaties tussen de klanten en IT op een geformaliseerde en transparante manier te beheren.  De afspraken die worden gemaakt rond de vraag van klanten naar diensten en het aanbod van de gerelateerde capaciteit worden geformaliseerd in een service (level) agreement, wat de relatie aantoont met APO09 Manage Service Agreements: een van de belangrijkste procesdoelen van APO09 is namelijk het opstellen en onderhouden van service agreements die de noden en mogelijkheden van de organisatie weerspiegelen. We zien ook overeenkomsten tussen demand management en EDM04 Ensure Resource Optimization: EDM04 moet ervoor zorgen dat de juiste en voldoende IT-gerelateerde capabilities aanwezig zijn om de organisatiedoelen op een effectieve manier te ondersteunen, tegen optimale kosten.

Design coordination kunnen we ten slotte mappen met de processen BAI01 Manage Programmes and Projects en BAI07 Manage Change Acceptance and Transitioning: het projectmatige karakter van de coördinerende activiteiten  binnen design coordination vertoont sterke gelijkenissen met de planningsactiviteiten van BAI01 en BAI07.

Samenvatting

ITIL en COBIT zijn met versies ITIL 2011 en COBIT 5 verder geëvolueerd en verbeterd. COBIT heeft in versie 5 het bereik vergroot door o.a.  het incorporeren van aspecten van andere ISACA-standaarden en door de toevoeging van nieuwe processen. ITIL voegt met de 2011 update ook enkele processen toe, maar die bevinden zich nog steeds in het domein van service management.  ITIL 2011 blijft waardevol voor COBIT 5 met de praktische invulling van de service managementaspecten. Beide raamwerken brengen door hun complementariteit nog steeds het meeste toegevoegde waarde als ze samen worden gebruikt.

Om ITIL en COBIT in de praktijk samen te gebruiken moeten we een zicht hebben op welke ITIL 2011 processen gerelateerd zijn met welke COBIT 5 processen. Deze informatie vinden we terug in de procesbeschrijvingen van COBIT 5.

We hebben ten slotte een concrete mapping uitgewerkt van de vier nieuwe ITIL 2011 processen met hun corresponderende COBIT 5 processen.

 

Referenties

 

  • Stevens F., Van Grembergen Wim, De Haes Steven. De convergentie van ITIL v3 COBIT 4.1 Informatie: maandblad voor de informatievoorziening / Studiecentrum voor Automatische Informatieverwerking; Nederlands Genootschap voor Informatici,11(2008), p. 12-20
  • Van Grembergen W., De Haes S., Enterprise Governance of IT: Achieving Alignment and Value, Springer, 2009
  • ISACA, COBIT 5, www.isaca.org/COBIT
  • Axelos, ITIL 2011, http://www.itil-officialsite.com/

 

 

 
 
 
 
 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag