GRC & IT
Ratiocinator Echte kwaliteit verloochent zich niet
GRC
© F.H.B. Kersten 2014-2024

Governance en IT

Zoals je kunt stellen dat de combinatie van ‘risk management’ en IT leidt tot IRM, leidt de combinatie van ‘governance’ en IT tot IT-Governance. Specifiek op dit terrein zijn een aantal standaarden ontwikkeld, zowel onder de vlag van ISO als daarbuiten. Van deze laatste categorie is Cobit ©  de meest bekende. Cobit ©  is in de jaren negentig van de vorige eeuw ontwikkeld door ISACA en het IT Governance Institute. Oorspronkelijk was Cobit© een framework dat was ontwikkeld voor Information System Auditors ter ondersteuning van de audit van IT. Cobit stond voor Control Objectives for Information and related Technology. Met de verbreding van ISACA is ook de scope van Cobit© verbreed. Bij versie 4 gebeurde dit nog via afzonderlijke documenten over Value Management (Val-IT) en Risico Management (Risk-IT). In de in 2012 verschenen versie 5 komen Control Objectives niet meer voor en zijn de onderdelen Val-IT en Risk-IT geïntegreerd. De scope is nu ‘governance of enterprise IT’.   Versie 5 kan mij echter niet geheel bekoren. Enerzijds vind ik de uitwerking te complex geworden. Anderzijds kan ik mij niet vinden in de omarming van ISO/IEC 15504 en daarmee het loslaten van het eigen maturity model. Dit heeft te maken met mijn bezwaren tegen dit model. Ik zal hier in een separaat artikel op terugkomen. Naast Cobit ©  is de meest bekende standaard ISO/IEC-38500 “Corporate governance of information technology. Deze standaard beschrijft een framework bestaande uit een model en zes principes. Dit model en de definities van governance en management (en het onderscheid daartussen) is overgenomen in Cobit © 5. Dit model is als volgt:
Corporate governance of IT The system by which the current and future use of IT is directed and controlled. Corporate governance of IT involves evaluating and directing the use of IT to support the organization and monitoring this use to achieve plans. It includes the strategy and policies for using IT within an organization. [ISO/IEC-38.500]  
Cobit © 5 maakt vervolgens nadrukkelijk onderscheid tussen ‘governance’en ‘management’. Risk management is op verschillende plaatsen binnen Cobit © 5 terug te vinden. Dit is het directe gevolg van de integratie van Risk-IT in Cobit © 5.
Governance ensures that enterprise objectives are achieved by evaluating stakeholder needs, conditions and options; setting direction through prioritisation and decision making; and monitoring performance, compliance and progress against agreed direction and objectives. [Cobit © 5]  
Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives [Cobit © 5]