COBIT

COBIT staat voor Control Objectives for Information and Related Technologies en is een internationaal erkend raamwerk voor IT-governance en -management. Het framework is ontwikkeld door ISACA, een wereldwijde beroepsorganisatie voor IT-audit, risicomanagement en cybersecurity professionals. COBIT biedt organisaties een gestructureerde aanpak om hun IT-processen af te stemmen op bedrijfsdoelstellingen, risico's te beheersen en te voldoen aan wet- en regelgeving. De nieuwste versie, COBIT 2019, is specifiek ontworpen om flexibel te zijn en aan te sluiten bij andere frameworks zoals ISO 27001, ITIL en het NIST Cybersecurity Framework.

Voor wie geldt COBIT?

COBIT is niet wettelijk verplicht zoals de AVG of NIS2, maar wordt breed ingezet door organisaties die hun IT-governance willen professionaliseren. Het framework is bijzonder populair bij financiele instellingen, overheidsinstellingen en grote ondernemingen waar IT-risicomanagement en compliance een prominente rol spelen. In Nederland gebruiken veel organisaties COBIT als basis voor hun IT-auditprocessen en als referentiekader voor interne controle.

Het framework is sector-onafhankelijk en schaalbaar: van MKB-bedrijven die een basis IT-governance willen opzetten tot multinationals met complexe IT-landschappen. COBIT is vooral waardevol voor organisaties die te maken hebben met meerdere compliance-eisen tegelijk. Door COBIT als overkoepelend framework te gebruiken, voorkom je dat je voor elke norm of wet een apart beheerproces opzet. Je creert in plaats daarvan een integraal sturingskader waarin alle eisen samenkomen.

Voor IT-auditors en CISO's is COBIT een belangrijk instrument. Het biedt een gemeenschappelijke taal en een gestructureerd model waarmee je de volwassenheid van IT-processen kunt meten en verbeteren. ISACA biedt certificeringen aan voor professionals die met COBIT werken, waaronder de COBIT 2019 Foundation en Design & Implementation certificeringen.

Wat zijn de vereisten van COBIT?

COBIT 2019 is opgebouwd rond zes kernprincipes. Het eerste principe is het voorzien in de behoeften van stakeholders: IT moet waarde leveren aan de organisatie en haar belanghebbenden. Het tweede principe benadrukt een end-to-end benadering van de gehele organisatie, niet alleen de IT-afdeling. Het derde principe stimuleert het gebruik van een geintegreerd framework dat samenwerkt met andere standaarden. Het vierde principe vraagt om een holistische benadering waarbij mensen, processen en technologie in samenhang worden bestuurd. Het vijfde principe maakt een helder onderscheid tussen governance (richting geven en toezicht houden) en management (plannen, bouwen, uitvoeren en monitoren). Het zesde principe, nieuw in COBIT 2019, benadrukt dat het framework moet worden afgestemd op de specifieke context van de organisatie.

COBIT definieert 40 governance- en managementdoelstellingen verdeeld over vijf domeinen. Het governance-domein Evaluate, Direct and Monitor (EDM) bevat vijf doelstellingen gericht op het bestuursniveau. De vier managementdomeinen zijn: Align, Plan and Organize (APO) met dertien doelstellingen, Build, Acquire and Implement (BAI) met elf doelstellingen, Deliver, Service and Support (DSS) met zes doelstellingen, en Monitor, Evaluate and Assess (MEA) met vijf doelstellingen. Elk van deze doelstellingen bevat concrete processen met bijbehorende activiteiten, inputs, outputs en KPI's.

Een krachtig onderdeel van COBIT is het capability maturity model waarmee je de volwassenheid van elk proces kunt meten op een schaal van nul (onbestaand) tot vijf (geoptimaliseerd). Dit geeft je een objectieve maatstaf om verbeterprioriteiten te stellen en voortgang te meten. Je bepaalt per proces het huidige niveau en het gewenste doelniveau, en ontwikkelt vervolgens een routekaart om dat doel te bereiken.

Wat gebeurt er bij niet-naleving?

Omdat COBIT geen wettelijk verplicht framework is, zijn er geen directe boetes bij niet-naleving. Wel kan het ontbreken van een gestructureerd IT-governance framework indirect leiden tot problemen. Organisaties zonder adequate IT-governance lopen een groter risico op beveiligingsincidenten, datalekken en compliance-schendingen die wel beboet worden. Denk aan boetes onder de AVG tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet.

Bij IT-audits en certificeringstrajecten wordt regelmatig getoetst of een organisatie een governance-framework hanteert. Het ontbreken van een dergelijk framework kan leiden tot negatieve auditbevindingen, hogere risico-inschattingen door accountants en verlies van klantvertrouwen. Voor beursgenoteerde bedrijven kan het ontbreken van IT-governance leiden tot opmerkingen in de jaarrekening en verhoogde aandacht van toezichthouders.

COBIT biedt ook waarde bij het aantonen van due diligence. Als je organisatie te maken krijgt met een beveiligingsincident, kan het hebben van een COBIT-gebaseerd governance-framework aantonen dat je redelijke maatregelen hebt getroffen. Dit kan relevant zijn bij aansprakelijkheidsclaims en bestuurdersaansprakelijkheid. Het framework helpt je ook bij het voldoen aan de eisen van NIS2, die expliciet vraagt om governance-structuren voor cybersecurity op bestuursniveau.

De integratie van COBIT met andere frameworks is een belangrijk praktisch voordeel. COBIT 2019 bevat expliciete mappings naar ISO 27001, NIST CSF, ITIL en de AVG. Dit betekent dat je COBIT als overkoepelend governancemodel kunt gebruiken en van daaruit de specifieke eisen van andere normen kunt adresseren. Voor organisaties die met meerdere compliance-verplichtingen tegelijk te maken hebben, voorkomt dit dubbel werk en zorgt het voor een coherente besturing van IT-processen.

In de Nederlandse context wordt COBIT steeds vaker toegepast in combinatie met de Baseline Informatiebeveiliging Overheid (BIO) bij overheidsorganisaties en in de financiele sector waar De Nederlandsche Bank governance-eisen stelt. Accountantskantoren gebruiken COBIT als referentiekader bij IT-audits en SOC 2-rapportages. De groeiende aandacht voor digitale operationele weerbaarheid, mede gedreven door de DORA-verordening voor de financiele sector, versterkt de relevantie van COBIT als governance-instrument dat helpt bij het structureren van IT-risicobeheersing op bestuursniveau. De combinatie van COBIT met sector-specifieke regelgeving maakt het framework tot een veelzijdig instrument dat zich aanpast aan de specifieke compliance-behoeften van verschillende industrieen.

Veelgestelde vragen over COBIT

Wat is het verschil tussen COBIT en ISO 27001?

COBIT is een breed IT-governance framework dat alle aspecten van IT-management afdekt. ISO 27001 richt zich specifiek op informatiebeveiliging. COBIT en ISO 27001 vullen elkaar aan: COBIT biedt het overkoepelende governance-kader, ISO 27001 de specifieke beveiligingscontroles.

Is COBIT geschikt voor MKB-bedrijven?

COBIT 2019 is specifiek ontworpen om schaalbaar te zijn. Je hoeft niet alle 40 doelstellingen te implementeren. Je selecteert de processen die relevant zijn voor jouw organisatie en past de diepgang aan op je omvang en risicoprofiel. Start met de processen die de meeste waarde opleveren.

Hoe verhoudt COBIT zich tot NIS2?

NIS2 vereist dat organisaties governance-structuren voor cybersecurity implementeren. COBIT biedt een bewezen framework om aan die eis te voldoen. Het EDM-domein van COBIT sluit direct aan bij de bestuursverantwoordelijkheid die NIS2 voorschrijft.

Welke COBIT-certificeringen bestaan er?

ISACA biedt de COBIT 2019 Foundation certificering voor basiskennis en de COBIT 2019 Design & Implementation certificering voor gevorderde toepassing. Daarnaast zijn er ISACA-certificeringen als CISA, CRISC en CGEIT die nauw aansluiten bij COBIT-competenties.

Hoe lang duurt een COBIT-implementatie?

Een basisimplementatie voor een MKB-organisatie kost drie tot zes maanden. Een volledige implementatie bij een grote organisatie kan twaalf tot achttien maanden duren. Begin met een quickscan om je huidige volwassenheidsniveau te bepalen en prioriteiten te stellen.

Hulp nodig bij IT-governance? Vind een specialist via Governance, Risk & Compliance op IBgidsNL.