Redactie - 26 oktober 2017

COBIT, waarom CIO’s en auditors niet matchen

IT control frameworks zoals COBIT, ISO 27001/2, PCI DSS worden in Nederland veel gebruikt. Deze frameworks worden niet altijd goed begrepen en daardoor ook niet goed toegepast binnen IT afdelingen.

Waar worstelt een CIO dan precies mee?
CIO’s worstelen vaak met de vraag hoe ze zo’n IT control framework moeten toepassen. En dat is best logisch. CIO’s richten zich op performance en een goede beheer van IT. Zij gebruiken daarom veel liever ITIL of een ander IT inrichtingsmodel.

Mismatch 1: Control frameworks zijn voor controleurs
IT control & risk frameworks zijn vooral opgezet voor de controleurs zoals IT auditors, risk en compliance afdelingen en certificeerders van bijvoorbeeld ISO, PCI DSS.  Zij spreken dezelfde taal vanuit de controle en zij weten op welke wijze zij de IT organisatie moeten toetsen. Aangezien maar liefst 14% van de beroepsbevolking controlerend is, krijgt het veel aandacht.

IT Control & Risk frameworks zijn leidraden voor de controleurs en geen implementatiemodellen voor de IT organisatie. De CIO is natuurlijk wel verantwoordelijk voor de kwaliteit en de risico beheersing van de eigen IT organisatie. Want er moet wel gezorgd worden dat zijn IT organisatie ‘in control’ is.

Mismatch 2: IT Implementatie best practices zijn voor IT’ers
Aan de andere kant van het spectrum zijn er best practices zoals ITIL, CMMi, BiSL, SCRUM/Agile, ASL, MSP, Prince2. Deze modellen helpen de IT-organisatie om bijvoorbeeld IT projecten te realiseren en hoe Incident Management en Change Management het beste kunnen worden ingericht. Deze modellen zijn praktisch, gericht op performance en helpen de IT organisatie procesmatig te werken en de kwaliteit te verbeteren. Dit ligt dicht bij de kennis, kunde en taalgebruik van de IT organisaties zelf en zijn derhalve goed door de CIO te realiseren. Het nadeel is echter dat deze modellen niet leiden tot ‘in control’ zijn. Daarnaast sluiten ze ook niet goed aan bij de manier waarop controleurs kijken naar de kwalitiet van IT  

Eigen framework in de taal van de IT’er
De CIO en de controleurs spreken ieder een andere taal en begrijpen elkaar daarom niet goed. Er is dus sprake van een mismatch of misalignment. Het gevolg daarvan is dat de CIO vaak ‘geholpen’ wordt door Risk en Compliance. Zij geven de CIO dan advies over wat de IT organisatie moet doen om in controle te zijn. Dit gebeurt vaak ad hoc en de controls zijn vaak geformuleerd in de taal van de controleurs en niet integraal opgesteld. Daarnaast leidt dit regelmatig tot te veel en overbodige controls. Ook worden er veel specifieke controls voor bijvoorbeeld ISO27001, COBIT en PCI/DSS gemaakt. Dit terwijl de controls binnen deze raamwerken veel overlap hebben. Het zomaar implementeren leidt dan ook vaak tot efficiencyverlies en bureaucratie!

Hoe kan dit worden opgelost?
Om dit te ondervangen dient de IT organisatie haar eigen IT Control Framework te realiseren. Deze dient enerzijds begrijpelijk te zijn voor IT-ers en anderzijds te voldoen aan de eisen die de controleurs aan de IT stellen.

Om daadwerkelijkeffectief ‘in control’ te zijn dient het beheersen van IT risico’s vanuit de IT medewerkers zelf te komen. Dit kan alleen als zij het “waarom” en het “hoe” goed begrijpen.

Het Integrated® IT Governance Control Framework dat “praat” in taken en activiteiten die een medewerker snapt en aansluit bij alle eerder genoemde control frameworks, kan hierbij helpen.

Door: Ed Lanen, Associate Partner of Bauhaus

Axians 12/11/2024 t/m 26/11/2024 BN+BW