Samenvatting Governance and It Service Management
missie, visie, strategie, organogram en iso2700 wordt besproken in de overall IT Governance.
COBIT en COSO zijn frameworks die gebruikt worden bij de IT-governance, waar beslist wordt waar
processen en structuren aan moeten voldoen om de IT met de business strategie op één lijn te
krijgen.
ITIL, ASL en BiSL vullen het COSO en COBIT model aan door te beantwoorden hoe dit moet
gebeuren. CMMi legt de focus op de volwassenheidsniveau van de organisatie.
Governance
Kijken naar het Enterprise Risk Management (ERM) proces.
ERM is gedefiniëerd als een proces die ontworpen is om potentiële gebeurtenissen te identificeren
die mogelijk de organisatie aantast, en de risico’s te beheren binnen de risicoambitie (hoe ver wil een
organisatie gaan m.b.t. risico’s) van de organisatie, om zo de nodige zekerheid te geven wat betreft
het behalen van de doelstellingen van de organisatie. Dit is van toepassing omdat er bij een
verandering in een organisatie altijd risico’s kunnen ontstaan die afgehandeld moeten worden; zowel
op IT gebied als op business gebied.
COSO: Enterprise Risk Management (ERM)
CoSO cube,
In de gele laag, hangt een cultuur, er hangt een sfeer.
En waar in de organisatie zitten deze verschillende lagen?
De processen zitten in de 4e dimensie in het midden.
Organogram zit waar? De zijkant?
Control activities, In control zijn, de juiste mensen aannemen. Kan ook
de controls uit de frameworks halen.
Risk assesment, vmea model, iso 27000, cobit
Het COSO model, COSO Framework of COSO vierkant, definieert de
interne controle van een organisatie, uitgevoerd door het
management, als een proces. Een proces waarin gebeurtenissen geïdentificeerd worden die
mogelijkerwijs de entiteit kunnen beïnvloeden wordt Enterprise Risk Management (ERM) genoemd.
ERM omvat methoden en processen die organisaties gebruiken om risico’s te beheersen en kansen te
benutten die ervoor zorgen dat de doelstellingen van het bedrijf worden gehaald.
Het COSO model is oorspronkelijk in 1992 ontwikkeld door het Committee of Sponsoring
Organizations of the Treadway Commission (COSO). COSO ontwikkelde dit raamwerk om bedrijven te
helpen bij het vaststellen, beoordelen en verbeteren van het controleren van interne processen. Het
,belang van interne (risico)beheersing is groot aangezien het al dan niet aanwezig zijn van een
dergelijk controlesysteem de kwaliteit van de output in de resultaatoverzichten kan vaststellen. Een
functionerend en accuraat proces van interne controle biedt de gebruikers van de financiële
overzichten een redelijke mate van zekerheid dat de resultaatoverzichten juist zijn en gebruikt
kunnen worden in een weloverwogen besluitvorming.
COSO’s ERM is gebaseerd op het uitgangspunt dat elke organisatie in eerste instantie actief is om
meerwaarde te creëren voor haar belanghebbenden. Vaak geldt hoe groter het risico van een
genomen besluit is, hoe hoger het rendement. In een snel veranderende omgeving ontstaat vaak
onzekerheid en dit biedt zowel risico als kansen. ERM stelt het management in staat om deze risico’s
te identificeren, beoordelen en beheren. Het interne controlekader van COSO wordt over het
algemeen gepresenteerd als een kubus
voordelen
Organisaties opereren in een omgeving waar factoren als globalisering, technologie,
herstructureringen, veranderende markten, concurrentie en regelgeving onzekerheid kunnen
creëren. Deze onzekerheden bieden zowel risico’s als kansen.
COSO’s ERM biedt organisaties:
- De mogelijkheid om risico’s te beheren binnen hun risicobereidheid filosofie
- Waardoor maximale waarde geboden kan worden aan belanghebbenden
- Zekerheid en kennis omtrent risico’s
- De mogelijkheid om bedrijfsmislukkingen en schandalen voorkomen
- Een raamwerk om te voldoen aan de vereisten van wet- en regelgeving
nadeel:
Maar, het belangrijkste nadeel van het model is dat het louter door accountants is ontworpen en
daarna via wetgeving is verplicht. Hierdoor ligt de focus te veel op compliance en worden er
onvoldoende handvatten gegeven voor de implementatie in de cultuur of de omgeving.
COBIT
Control Ojectives voor Information and related Technology
Wat, waar en hoe. Door het beschrijven van controls. Staat in het COBIT boek? ISO?
PDCA cyclus Plan, Do, Check, Act
Boek cobit, management samenvatting, deel van je essay
Cobit is geschikt voor IT-Governance en
,stelt vast welke processen en structuren er moeten zijn om IT af te stemmen op de bedrijfsstrategie.
, Wat is Cobit?
CoBit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ict-
organisatie en ict-architectuur. CoBit bestaat uit een aantal good practices op het gebied van IT
Governance. Cobit is met name gericht op beheersingsaspecten en minder op de gedetailleerde
inrichting van ICT processen, zoals dat bijvoorbeeld bij ITIL het geval is.
Cobit maakt een aansluiting tussen bedrijfsvoering en hoe ict kan worden ingezet om de
bedrijfsdoelstellingen te bereiken. Cobit richt zich meer op de WAT-vraag dan de hoe-vraag. Dit
betekend dat er aanvullingen nodig zijn om invulling te geven aan de uit te voeren activiteiten(HOE).
Hierbij is voor Cobit aansluiting gezocht bij reeds aanwezige standaarden, zoals COSO, ITIL, ISO17799,
Prince 2 en CMMI. Deze standaarden hebben zich reeds bewezen op het operationele vlak en
daarom is het niet meer nodig om COBIT hiermee te gaan uitbreiden. Door de aansluiting met
verschillende operationele standaarden kan worden volstaan met één standaard, wat leidt tot
transparantie en overzichtelijkheid.
Waarom Cobit gebruiken? Redenen om Cobit te imlementeren:
- Behoefte om IT GOvernance te implementeren/verbeteren
- ICT dienstverlening laten aansluiten bij de organisatie doelstellingen
- overnames en fusies, noodzaak tot uniformering van processen
- standaardiseren en automatiseren van ict processen
- voldoen aan wet- en regelgeving.
- outsourcing
- beheersbaar krijgen van ICT kosten
- implementeren van ICT-controlframework
In alle gevallen dient gestart te worden met aansluiting te zoeken bij de organisatie doelstelling. Een
ICT afdeling hoeft zich bijvoorbeeld niet autonoom te verantwoorden voor wet- en regelgeving. Het
beheersbaar krijgen van ict-kosten dienst plaats te vinden in relatie tot de overall
organisatiedoelstellingen.
General IT controls
