Mapping van twee frameworks

BiSL en COBIT

17 december 2015
In dit artikel:

Voor veel organisaties is de sturing op de informatievoorziening lastig. Stakeholders stellen steeds duidelijker kritische vragen over de besturing en beheersing van de informatievoorziening. Organisaties moeten kunnen aantonen ‘in control’ te zijn over hun informatievoorziening. Het BiSL-framework is een belangrijk hulpmiddel voor het op een overzichtelijke wijze inrichten van functioneel beheer- en informatiemanagementprocessen. Het COBIT 5-framework biedt wereldwijd geaccepteerde governance en management practices voor de beheersing van de informatievoorziening. Dit artikel geeft aan hoe de beide frameworks elkaar kunnen aanvullen en versterken bij het professionaliseren van de besturing en beheersing van de informatievoorziening.

Succes of falen van de inzet van IT in organisaties blijkt vooral te worden bepaald door een goede besturing en beheersing van de informatievoorzieningsactiviteiten. [ALGE07] Het in 2014 uitgevoerde parlementaire onderzoek naar IT-projecten bij de overheid [TWEE15] geeft aan dat de kennis over het aansturen van IT-projecten vaak ontbreekt en het lerend vermogen tekortschiet. Besluitvormings- en verantwoordingsstructuren zijn onvoldoende ingericht om afdoende controle te kunnen uitvoeren op IT-projecten. Het parlementaire onderzoek constateert dat er te weinig overkoepelend gezag en centrale sturing is en dat het ontbreekt aan een goede IT-governance. Portfoliomanagement als middel om effectief te sturen op samenhang tussen projecten is nauwelijks ontwikkeld.

Gezien onze ervaringen in de organisaties waar wij werken en de contacten die wij hebben, menen wij te kunnen vaststellen dat de beelden die de parlementaire commissie schetst over de gebrekkige besturing en beheersing van de IT niet beperkt zijn tot de overheid. Ook in het bedrijfsleven blijft de besturing en beheersing van de informatievoorziening achter bij het strategische belang van een betrouwbare informatievoorziening voor de bedrijfsvoering.

Het gestructureerd en consequent inzetten van de best practices uit de BiSL- en COBIT-frameworks kan een belangrijke bijdrage leveren aan het oplossen van dit besturingsprobleem. BiSL helpt door aan te geven welke processen en activiteiten belangrijk zijn bij het inrichten van de informatievoorzieningsprocessen aan de opdrachtgeverskant, terwijl COBIT aangeeft welke activiteiten een organisatie moet uitvoeren om aantoonbaar ‘in control’ te zijn. In dit artikel geven wij aan hoe de beide frameworks zich tot elkaar verhouden, en elkaar kunnen versterken. We beginnen met een korte uitleg van de beide frameworks.

BiSL maakt samenwerking tussen ketenpartners mogelijk

Schermafbeelding 2015-12-17 om 15.27.18

BiSL

Business Information Services Library (BiSL) is een publieke standaard die richtlijnen geeft voor het inrichten van het business-informatiemanagementdomein, dat wil zeggen het operationeel functioneel beheer plus het informatiemanagement. [POLS12] BiSL doet dit door processen en activiteiten te beschrijven die nodig zijn om de informatievoorziening vanuit business- en gebruikersperspectief te kunnen sturen. Hiermee verbindt het business en IT. Ook slaat BiSL een brug tussen de verschillende besturingsniveaus aan de vraagkant: richtinggevend, sturend en uitvoerend. Daarnaast heeft het aandacht voor de informatie-uitwisseling tussen organisaties die deel uitmaken van een informatieketen.

Standaardisatie door BiSL in te zetten helpt de vraagorganisatie zich te professionaliseren en maakt hierdoor een efficiëntere en effectievere werkwijze mogelijk bij het definiëren van haar vraag. Een van de belangrijkste voordelen van BiSL is dat het een gemeenschappelijke terminologie en een referentiekader biedt waardoor een betere samenwerking tussen de ketenpartners mogelijk wordt.

Het BiSL-framework (zie Figuur 1) onderscheidt zeven procesclusters:

  • Gebruiksbeheer – ondersteunen eindgebruikers.
  • Functionaliteitenbeheer – aanpassen informatievoorziening.
  • Verbindende processen uitvoerend niveau – wijzigingen definiëren en in gebruik nemen.
  • Sturende processen – besturen van alle activiteiten en opstellen jaarplannen.
  • Opstellen informatiestrategie – bepalen lange termijnbeleid voor de informatiesystemen.
  • Opstellen IV-organisatiestrategie – bepalen lange termijnbeleid voor het organiseren van de informatievoorziening.
  • Verbindend proces op richtinggevend niveau – afstemmen van de beleidsplannen van verschillende organisatie-eenheden.

De procesclusters zijn nader onderverdeeld in 23 procesgebieden, meestal kortweg processen genoemd. Binnen deze processen worden honderden uitvoerende en richtinggevende activiteiten onderkend.

De activiteiten die BiSL definieert hebben een belangrijke rol in de sturing van de informatievoorziening. Het betreft zowel sturing op de activiteiten van de organisatie zelf, als op die van de IT-leveranciers. Maar ook organisatiebeleid, informatiebeleid en informatieplanning komen aan de orde. Het heeft daarom een grote overlap met het terrein dat COBIT 5 bestrijkt.

Schermafbeelding 2015-12-17 om 15.27.33

COBIT

COBIT is een framework voor de interne beheersing van informatiegerelateerde processen. Het is vanaf 1992 ontwikkeld door ISACA (Information Systems Audit and Control Association) en ITGI (IT Governance Institute) en komt daarmee uit de beveiligings- en IT-auditinghoek. COBIT staat vooral in de belangstelling van bedrijven omdat het een organisatie bij uitstek in staat stelt aan te tonen dat voldaan wordt aan de regelgeving zoals die door bijvoorbeeld Sarbanes-Oxley (SOX) of De Nederlandse Bank is opgesteld. De achtereenvolgende versies van COBIT sloten daarom steeds meer aan bij control- en managementbehoeften. Het framework werd daardoor steeds geschikter voor het aansturen van IT-organisaties.

COBIT beschrijft belangrijke IT-gerelateerde processen globaal en geeft daarbij de belangrijkste beheersmaatregelen weer. COBIT beperkt zich daarbij nadrukkelijk tot wat de organisatie zou kunnen regelen en laat aan de organisatie zelf over hoe het geregeld wordt. De organisatie kan hiervoor gebruikmaken van frameworks als ASL, BiSL, ITIL, CMMI, en vele andere die een gedetailleerde invulling geven aan deze beheersmaatregelen. Voor het business-informatiemanagementdomein, een gebied waar andere modellen die in de organisatie worden gebruikt wellicht geen rekening mee houden, kan COBIT zelf aandachtspunten bevatten. Het is overigens bij COBIT niet de bedoeling om alle processen die in het framework worden beschreven klakkeloos over te nemen. De organisatie kan zich beperken tot die processen die nauw aansluiten bij de strategische doelen. Zij kan dit doen op basis van onderkende risico’s.

COBIT 5 is als volgt opgedeeld:

  • 2 gebieden;
  • 5 domeinen;
  • 37 processen;
  • 210 governance en management practices;
  • 1112 activiteiten.

COBIT 5 [ISAC12] maakt onderscheid tussen Governance en Management (zie Figuur 2).

Governance wordt onderverdeeld in Evaluate, Direct and Monitor (EDM).

Management wordt onderverdeeld in vier domeinen:

  • Align, Plan and Organise (APO);
  • Build, Acquire and Implement (BAI);
  • Deliver, Service and Support (DSS);
  • Monitor, Evaluate and Assess (MEA).

Het framework bevat ook performance drivers, kritieke succes factoren en een volwassenheidsmodel conform ISO 15504. Dat zijn hulpmiddelen om de volwassenheid van de 37 processen te meten. Het is een hulpmiddel bij zowel de interne beheersing van IT-dienstverlening als de IT-gerelateerde activiteiten aan de kant van de business. Val IT [VALI08] en Risk IT [RISK09], twee nieuwe frameworks die naast COBIT 4.1 ontstonden voor waardecreatie en risicomanagement, zijn opgenomen in COBIT 5. Hierdoor kreeg de vraagkant nog meer aandacht. COBIT is uitvoerig gedocumenteerd in tientallen boeken rondom (eerdere versies van) COBIT, variërend van managementsamenvattingen tot zeer gedetailleerde beschrijvingen van beheersmaatregelen. Vanaf 2012 is ook over COBIT 5 veel informatie beschikbaar gekomen. Het betreft algemene documenten over het framework zelf en boeken die COBIT belichten vanuit een specifiek oogpunt zoals risicomanagement, configuratiemanagement of informatiebeveiliging.

Totstandkoming mapping

COBIT en BiSL vertonen zowel overeenkomsten als verschillen. Om deze overeenkomsten en verschillen voor de gebruikers van de beide modellen in kaart te brengen, heeft een werkgroep van de ASL BiSL Foundation, waarvan de auteurs van dit artikel deel uitmaken, een mapping gemaakt. Een soortgelijke mapping is eerder gemaakt voor ASL, een framework voor applicatiemanagement, met de op dat moment vigerende versie van COBIT (4). [MEIJ13]

In deze BiSL-COBIT mapping is onderzocht in hoeverre een BiSL-proces een bepaalde COBIT management practice afdekt. Daarbij is ook aangegeven welke activiteit dat binnen het BiSL-proces betreft. Op basis hiervan is voor alle management practices van COBIT aangegeven in welk(e) BiSL-proces(sen) deze management practices kunnen worden ingericht. Bij het uitvoeren van de mapping is de vraag ook andersom gesteld. Welke COBIT management practices dekken welke activiteiten binnen BiSL af? Op deze wijze ontstond een cross reference matrix tussen BiSL en COBIT. Een gedetailleerde versie hiervan is te vinden op de website van de ASL BiSL Foundation. [MEIJ15]

Zowel BiSL als COBIT worden ondersteund door een maturity framework. Deze zijn verschillend van aard en daarom buiten de vergelijking gelaten.

Schermafbeelding 2015-12-17 om 15.28.16Schermafbeelding 2015-12-17 om 15.28.36

Globale analyse

COBIT 5 is een kader voor governance en management van IT-organisaties. COBIT gaat niet alleen in op het managen van de informatievoorziening binnen IT, maar ook nadrukkelijk op de governance vanuit de opdrachtgeversorganisatie. Met dit laatste bestrijkt het net als BiSL de vraagkant van de informatievoorziening. COBIT geeft onder andere door middel van management practices aan wat een organisatie moet inregelen om in control te zijn. BiSL geeft aan welke processen en activiteiten geregeld moeten zijn aan de vraagkant van de informatievoorziening, onder andere voor strategiebepaling en sturing, en wordt veelvuldig gebruikt voor de procesinrichting. BiSL en COBIT hebben dus duidelijke raakvlakken.

Figuur 3 geeft de cross reference op een hoog abstractieniveau.

Figuur 4 toont een gedeelte van de meer gedetailleerde uitwerking van de mapping zoals die te vinden is op de website van de ASL BiSL Foundation. [MEIJ15] Hierin zijn alle BiSL-processen gerelateerd aan alle COBIT-processen. Hoe donkerder in figuur 3 de kleur is van het vakje waar ze elkaar kruisen, hoe meer raakvlakken er zijn, zoals terug te vinden is in de detailuitwerking in figuur 4.
De belangrijkste raakvlakken zijn te vinden bij de gemeenschappelijke onderdelen ten aanzien van het opstellen van een informatie- en organisatiestrategie, het sturen op tijd en geld, het managen van projecten, het managen van het opstellen van eisen en het sturen op de afhandeling van service requests en incidenten. Deze raakvlakken worden hierna uitgewerkt.

Relaties tussen BiSL en COBIT 5
vanuit COBIT 5-procesgebieden

In het algemeen geldt dat de processen van BiSL minder breed zijn en minder diepgang hebben dan de management practices van COBIT 5. Inzoomend op de verschillende procesclusters of processen die BiSL onderkent in haar framework, zijn de nodige raakvlakken te ontdekken.

Evaluate, Direct and Monitor (EDM)

Het COBIT-gebied EDM gaat onder andere over het evalueren, aansturen en monitoren van IT-oplossingen. Er zijn niet veel directe raakvlakken tussen EDM en BiSL. In Ensure Benefits Delivery (EDM02) gaat het om de baten van IT-investeringen, hetgeen ook onderwerp is van het BiSL-proces Financieel management. Optimaliseren van de inzet van resources (EDM04) is ook een belangrijk aandachtspunt voor de BiSL-processen Informatie portfolio management en Planning en control. Het gaat dan respectievelijk om resources op het gebied van IT-middelen en menskracht.

Align, Plan and Organize (APO)

APO gaat over het plannen van de informatievoorziening, een belangrijke doelstelling van BiSL. Er is slechts één proces in APO dat helemaal geen relatie heeft met BISL, namelijk APO013, Manage security. In BiSL is beveiliging dusdanig verweven met alle processen dat het niet apart herkenbaar is. Alle andere APO-processen hebben op tenminste één management practice een overlap met BiSL. Ten aanzien van het bepalen van een strategie geldt dat het sterkst voor Manage strategy (APO02) met het BiSL procescluster Opstellen Informatiestrategie en Ensure stakeholder transparency (APO01) met het procescluster Opstellen IV-Organisatiestrategie. COBIT en BISL richten zich beide zowel op de toekomst van de informatievoorziening als de sturing erop. Beide frameworks kijken in hoeverre de huidige informatievoorziening aansluit op de bedrijfsprocessen, ontwikkelen een visie op de gewenste informatievoorziening op basis van een interne en externe analyse en beschrijven hoe de gap tussen huidige en gewenste situatie gedicht kan worden. Op sturend niveau is er sprake van een sterke overlap ten aanzien van onderwerpen als sturen op investeringen, budgetten en kosten (APO05 en APO06 met BiSL’s Financieel management), sturen op human resources (APO07 met Planning en control) en sturen op dienstenovereenkomsten en leveranciers (APO09 en APO10 met Contractmanagement).

Build, Acquire and Implement (BAI)

Het COBIT-gebied BAI gaat over het bouwen, verkrijgen en implementeren van IT-oplossingen. Projecten moeten worden aangestuurd (BAI01); dit wordt door BiSL behandeld in de Sturende processen. Het definiëren van de eisen (BAI02) en bepalen van oplossingen, bouwen en testen (BAI03) behandelen onder meer onderdelen van het BiSL-procescluster Functionaliteitenbeheer. Het gecontroleerd doorvoeren van de wijzigingen (BAI06) is ook onderwerp van het BiSL-proces Wijzigingenbeheer, terwijl het beheersen van de transitie (BAI07) duidelijke parallellen vertoont met het BiSL-proces Voorbereiden transitie.

Deliver, Service and Support (DSS)

Het gaat hier om het leveren van diensten en producten door de IT-leveranciers en heeft dus niet hetzelfde aandachtsgebied als BiSL. Er zit wel een duidelijk raakvlak tussen Manage Service Requests and Incidents (DSS02) en Gebruikersondersteuning van BiSL. Daarbij gaat het om het afhandelen van meldingen. Daarnaast heeft het managen van de operatie en de continuïteit ervan (DSS01 en DSS04) nog raakvlakken met BiSL, met name met het proces Operationele IT-aansturing.

Monitor, Evaluate and Assess (MEA)

Alleen het bewaken, evalueren en beoordelen van de prestaties van de informatievoorziening (onderdeel van MEA01) heeft een relatie met BiSL, namelijk met de Sturende processen. Daarbij gaat het om het opstellen van een aanpak voor het bewaken van resources, financiën en contracten en om het meten en analyseren van de resultaten van het bewaken ervan.

De BiSL-procesclusters Opstellen IV-Organisatiestrategie, Verbindende processen en Functionaliteitenbeheer vertonen de minste raakvlakken met COBIT practices. BiSL omvat dus een aantal onderwerpen waar COBIT weinig aandacht voor heeft. Voorbeelden zijn het al dan niet geautomatiseerd invoeren van een nieuwe versie van een informatiesysteem in de gebruikersorganisatie en het vastleggen van gewijzigde werkprocessen. Maar daarnaast besteedt BiSL ook meer aandacht aan het beheren van de bedrijfsinformatie en het afstemmen van informatievoorzieningsbeleid.

COBIT sluit aan bij de control- en managementbehoeften

Conclusie

Met de uitbreiding van COBIT 5 met practices voor de inrichting van governance binnen een organisatie, sluiten COBIT en BiSL meer op elkaar aan dan voorheen. Hoewel de beide frameworks voor verschillende doelgroepen zijn opgesteld, kunnen er duidelijke relaties worden gelegd. Deze zijn in dit artikel weergegeven. Een manager van een business-informatiemanagementorganisatie die BiSL als leidraad heeft gebruikt voor de inrichting van zijn processen kan met behulp van deze mapping eenvoudig in COBIT-termen aantonen in hoeverre hij in control is. Tevens kan hij met deze mapping in kaart brengen op welke gebieden er extra aandacht nodig is. BiSL kan heel goed als kapstok dienen om de voor een business-informatiemanagementorganisatie van toepassing zijnde governance en management practices te implementeren.

Al van oudsher beschrijft COBIT ook veel management practices die de verantwoordelijkheid zijn van de IT-leveranciers, waarmee het een bredere scope heeft dan BiSL: zowel de vraag- als de aanbodkant. Daar waar aandacht wordt besteed aan overeenkomstige processen of activiteiten treedt COBIT meer in detail dan BiSL. BiSL’s toegevoegde waarde zit juist in het specifiek op een rij zetten van álle activiteiten binnen de business-informatiemanagementorganisatie. Daarmee zijn beide frameworks belangrijk voor organisaties die afhankelijk zijn van een goede informatievoorziening en die moeten aantonen dat ze in control zijn. De frameworks vullen elkaar aan, versterken elkaar en leveren gezamenlijk een substantiële bijdrage aan het invullen van een goed opdrachtgeverschap om het besturingsprobleem van de informatievoorziening, en dus ook van IT-projecten, te verkleinen.

De auteurs hebben het artikel geschreven op persoonlijke titel.

Met dank aan Annita Krol (Achmea) die in de analyse van de mapping tussen beide frameworks een belangrijke rol heeft gespeeld.

 

Literatuur

[ALGE07] Algemene Rekenkamer, Lessen uit ICT-projecten bij de overheid, delen A en B, 2007 en 2008.

[ISAC12] ISACA, COBIT 5: a business framework for the governance and management of enterprise IT, 2012.

[MEIJ13] Meijer, Machteld, van ’t Einde, Wim, Janssen, Joep, Krol, Annita, ASL® en COBIT®, een mapping van twee frameworks, IT Infra, januari 2013.

[MEIJ15] Meijer, Machteld, van ’t Einde, Wim, Janssen, Joep, Krol, Annita, Heisterkamp, Tom, Philipse, Peter, Gedetailleerde mapping van BiSL en COBIT 5, www.ASLBiSLFoundation.org.

[POLS12] van der Pols, Remco, Donatz, Ralph, van Outvorst, Frank, BiSL, een framework voor business informatiemanagement, Van Haren Publishing, 2012.

[RISK09] ISACA, The Risk IT Framework, 2009.

[TWEE15] Tweede kamer der Staten Generaal, Parlementair onderzoek naar ICT-projecten bij de overheid, 33 326, Vergaderjaar 2014–2015.

[VALI08] ISACA, Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008.

  • Dr. M.E.E. (Machteld) Meijer-Veldman
  • W.J. (Wim) van ’t Einde RE RO EMIA
  • T.J. (Tom) Heisterkamp
  • Drs. J.G.M. (Joep) Janssen RE MIM
  • P.R.A. (Peter) Philipsen

Machteld Meijer heeft een belangrijke bijdrage geleverd aan de ontwikkeling van ASL en BiSL. Ze is Chief Examiner bij APMG, lid van enkele werkgroepen van de ASL BiSL Foundation en de International Organization for Standardization.

Wim van ‘t Einde werkt sinds 1997 bij de Belastingdienst, daarvoor werkte hij bij het ministerie van Binnenlandse Zaken en Koninkrijkrelaties en de PTT. Hij werkt mee in verschillende werkgroepen van de ASL BiSL Foundation en werkte mee aan de totstandkoming van ISO 16350. Hij heeft werkervaring in IT- en Operational audit, systeemontwikkeling, beheer, kwaliteits- en risicomanagement.

Tom Heisterkamp was drie jaar lid van de program board van de ASL-BiSL foundation en is momenteel werkzaam als Agile coach en trainer.

Joep Janssen is sinds 2005 verbonden aan Verdonck, Klooster & Associates als management consultant en IT-auditor (RE) met als aandachtsgebieden information governance, inrichten vraag-/aanbodorganisaties en shared service organisaties, sourcing, IT-auditing/quality assurance en kosten, baten en financieel management van ICT.

Peter Philipsen was docent bedrijfskunde op een hogeschool en is nu business consultant / procesontwerper bij de Belastingdienst. Hij adviseert intern over de borging van gebruiksbeheer in de IV voortbrenging.

De auteurs hebben het artikel geschreven op persoonlijke titel.

Met dank aan Annita Krol (Achmea) die in de analyse van de mapping tussen beide frameworks een belangrijke rol heeft gespeeld.