COBIT

COBIT is een raamwerk ontwikkeld door de internationale beroepsvereniging ISACA (het vroegere Information Systems Audit and Control Association)) voor informatietechnologie (IT)-governance en -beheer of management.^[1] Het raamwerk is bedrijfsgericht en definieert een reeks van vijf generieke domeinen en 40 processen voor de governance en het beheer van IT. Elk proces wordt gedefinieerd met procesinputs en -outputs, belangrijke procesactiviteiten, procesdoelstellingen, prestatiemaatregelen en een volwassenheidsmodel.^[1]

De geschiedenis van COBIT laat een ontwikkeling zien van financiële audits (1996) naar breed IT-governance en -beheer binnen bedrijven, met belangrijke releases zoals COBIT 4 (2005), het geïntegreerde COBIT 5 (2012) en het huidige, zeer aanpasbare COBIT 2019, dat flexibele, moderne richtlijnen biedt voor digitale transformatie, IT afstemt op bedrijfsdoelen door middel van aanpasbare componenten en ondersteuning biedt voor evoluerende technologieën zoals cloud en cybersecurity.

Geschiedenis

COBIT was in 1996 aanvankelijk "Control Objectives for Information and Related Technologies", hoewel men vóór de publicatie van het raamwerk sprak over "CobiT" als "Control Objectives for IT".

ISACA publiceerde COBIT voor het eerst in 1996, oorspronkelijk als een reeks controledoelstellingen om de financiële auditgemeenschap te helpen beter te navigeren in IT-gerelateerde omgevingen.^[1] Omdat ISACA de waarde inzag van het uitbreiden van het raamwerk tot buiten het auditdomein, bracht het in 1998 een bredere versie 2 uit en breidde het in versie 3 uit 2000 nog verder uit door managementrichtlijnen toe te voegen. De ontwikkeling van zowel de AS 8015: Australian Standard for Corporate Governance of Information and Communication Technology in januari 2005 als de meer internationale conceptnorm ISO/IEC DIS 29382 (die kort daarna ISO/IEC 38500 werd) in januari 2007 vergrootte het besef van de behoefte aan meer governance-componenten voor informatie- en communicatietechnologie (ICT). ISACA voegde onvermijdelijk gerelateerde componenten toe met versies 4 en 4.1 in respectievelijk 2005 en 2007, "die de IT-gerelateerde bedrijfsprocessen en verantwoordelijkheden in waardecreatie (Val IT) en risicomanagement (Risk IT) behandelen."^[1]

Versies

Tijdslijn van COBIT-versies:^[2]

1996 (COBIT 1): Gelanceerd door ISACA voor financiële auditors om IT-gerelateerde risico's en controles in de financiële verslaggeving te beheren.

1998 (COBIT 2): Uitgebreid van auditing naar bredere richtlijnen voor IT-governance en -management.

Jaren 2000 (COBIT 3): Introductie van IT-governance-technieken en managementrichtlijnen, waardoor het een integraal onderdeel van de bedrijfsvoering werd.

2005/2007 (COBIT 4/4.1): Belangrijke updates om de gebruiksvriendelijkheid te verbeteren en aan te sluiten bij de gangbare praktijken in de sector, met integratie van ISO- en ITIL-concepten.

2012 (COBIT 5): Een ingrijpende herziening waarbij ITIL, ISO en andere standaarden werden geïntegreerd in één uniform raamwerk voor alle IT-omgevingen binnen een onderneming, met de focus op risico en prestaties. COBIT 5 (2012) is gebaseerd op COBIT 4.1, Val IT 2.0 en Risk IT raamwerken, en maakt gebruik van ISACA's IT Assurance Framework (ITAF) en het Business Model for Information Security (BMIS).^[3]

2019 (COBIT 2019): De huidige versie, met de nadruk op flexibiliteit en aanpassing door middel van ontwerpfactoren, nieuwe focusgebieden (zoals cloud en cybersecurity) en een open-source model voor snelle updates om aan de moderne digitale behoeften te voldoen.

Raamwerk en componenten

De COBIT-componenten zijn:

Raamwerk: Organiseert IT-governance-doelstellingen en goede praktijken per IT-domein en -proces en koppelt deze aan bedrijfsvereisten.
Procesbeschrijvingen: Een referentieprocesmodel en een gemeenschappelijke taal voor iedereen in een organisatie. De processen worden gekoppeld aan verantwoordelijkheidsgebieden: plannen, bouwen, uitvoeren en bewaken.
Controledoelstellingen: Biedt een complete set van vereisten op hoog niveau waarmee het management rekening moet houden voor effectieve controle van elk IT-proces.
Managementrichtlijnen: Helpt bij het toewijzen van verantwoordelijkheden, het vaststellen van doelstellingen, het meten van prestaties en het illustreren van de onderlinge relatie met andere processen.
Volwassenheidsmodellen: Beoordeelt de volwassenheid en capaciteit per proces en helpt bij het aanpakken van tekortkomingen.

Er worden vijf domeinen (een governance en vier managment-domeinen) geïdentificeerd:

Evalueren, Sturen en Monitoren (Evaluate, Direct and Monitor (EDM))
Afstemmen, Plannen en Organiseren (Align, Plan and Organize (APO))
Bouwen, Verwerven en Implementeren (Build, Acquire and Implement (BAI))
Leveren, Onderhouden en Ondersteunen (Deliver, Service and Support (DSS))
Monitoren, Evalueren en Beoordelen (Monitor, Evaluate and Assess (MEA))

Het raamwerk helpt bedrijven om de wet na te leven, wendbaarder te zijn en efficiënt te werken. Bedrijfs- en IT-doelen worden gekoppeld en gemeten om verantwoordelijkheden van bedrijfs- en IT-teams te creëren. De standaard voldoet aan alle behoeften van de praktijk, terwijl de onafhankelijkheid van specifieke fabrikanten, technologieën en platforms behouden blijft. Bij de ontwikkeling van de standaard was het mogelijk om deze zowel te gebruiken voor het auditeren van het IT-systeem van een bedrijf als voor het ontwerpen van een IT-systeem. In het eerste geval stelt COBIT je in staat om de mate van conformiteit van het te onderzoeken systeem met de beste voorbeelden te bepalen, en in het tweede geval om een systeem te ontwerpen dat qua kenmerken bijna ideaal is.

Nieuw in COBIT 2019

De belangrijkste nieuwigheden in COBIT 2019 zijn:^[4]^[5]

Toevoeging van drie raamwerk-principes: gebaseerd op een conceptueel model, open en flexibel en gealigneerd met marktstandaarden.
Toevoeging van de ontwerpfactoren, die van invloed zijn op het ontwerp van het ondernemingsbestuurssysteem, afhankelijk van de context. Het raamwerk definieer volgende factoren: ondernemingsstrategie, ondernemingsdoelstellingen, compliance-vereisten, risicoprofiel, IT-gerelateerde knelpunten, dreigingslandschap, rol van IT, sourcing-model voor IT, IT-implementatiemethoden, technologie-adoptiestrategie en omvang van de organisatie.
Toevoeging van focusdomeinen om flexibiliteit in e implementatie toe te laten naar gelang de grootte van het bedrijf (KMO of grote onderneming) of de context (Security, DevOps, ...).
Prestatiemanagement is gebaseerd op het CMMI Performance Management Scheme, waarbij de capaciteits- en volwassenheidsniveaus worden gemeten op een schaal van 0 tot 5, terwijl de schaal gebruikt in COBIT 5 gebaseerd was op ISO/IEC 33000.
Biedt meer flexibiliteit, implementatiebegeleiding en praktische inzichten.

Relatie met andere standaarden

COBIT 5 was een herziening waarbij standaarden werden geïntegreerd in een uniform raamwerk. Deze ISO- en andere standaarden zijn:

ISO/IEC 20000: ISO-standaard voor IT-service management (ITSM).
ISO/IEC 27000-serie (ook bekend als de 'ISMS Family of Standards' of kortweg 'ISO27k') omvat informatiebeveiligingsnormen.
ISO/IEC 31000: ISO-standaard voor risicobeheer.
ISO/IEC 38500: ISO-standaard voor IT-governance.
The Open Group Architecture Framework (TOGAF) is een raamwerk voor het ontwikkelen en beheren van de enterprise architectuur.
PRINCE2 (Projects in Controlled Environments, version 2) is een methode voor projectmanagement. Deze methode is gericht op het management, de besturing en de organisatie van een project.
Project Management Body of Knowledge (PMBOK) is een ANSI-norm voor projectmanagement.
ITIL staat (of stond) voor Information Technology Infrastructure Library, een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie. ITIL V3 is de derde editie en ITIL 4 is de vierde editie van het raamwerk.
Het Capability Maturity Model Integration (CMMI) is een model dat aangeeft op welk niveau de software-ontwikkeling van een organisatie zit.

Trainingen en certificeringen

De ISACA biedt verschillende certificeringen aan voor het COBIT-raamwerk, zowel voor de oudere COBIT 5-versie als voor de nieuwere COBIT 2019-versie. Deze certificeringspaden zijn bedoeld om professionals te valideren in begrip, ontwerp en implementatie van IT-governance-praktijken volgens de COBIT-standaarden.

Voor COBIT 5 zijn meerdere certificeringen ontwikkeld door ISACA om geleidelijke vaardigheidsniveaus (Foundation, Implementation en Assessor) te valideren. Training voor deze certificeringen wordt vaak aangeboden door ISACA Accredited Training Partners en exameninstellingen zoals APMG-International en PeopleCert. Deze partners bieden zowel klassikale als online cursussen die kandidaten voorbereiden op de officiële examens. Trainingen bevatten doorgaans: uitleg van COBIT-principes, praktijkcases, oefenvragen en begeleiding voor de officiële certificeringsexamens.

COBIT 2019 is de recentere en meest flexibele versie van het raamwerk en kent twee kerncertificeringen:Foundation en Design & Implementation. Daarnaast bestaan er examenopties zoals "Implementing the NIST Cybersecurity Framework Using COBIT 2019", waarin COBIT wordt toegepast op NIST-CSF-mapping.^[6]

Training wordt aangeboden in verschillende vormen:

Online zelfstudie-modules (bijv. COBIT 2019 Foundation e-learning met examenvoucher inbegrepen).
Klassikale of live-online cursussen via erkende opleiders en ISACA-trainingpartners.
Boot-camps en intensieve voorbereidingsprogramma’s die deelnemers in korte tijd voorbereiden op de officiële ISACA-examens. B2B Learning+1

Examens zijn over het algemeen computer-gebaseerd en worden op afstand (remote-proctored) afgelegd, veelal met een meerkeuzevraagformaat en een minimale slaagscore (bijv. 65 % voor Foundation-examens). isaca.org

Omdat COBIT 2019 de opvolger is van COBIT 5, blijft ISACA in veel gevallen ondersteuning bieden voor COBIT 5-certificeringen, maar de nadruk in training en ontwikkeling ligt op de nieuwere versie. In sommige gevallen wordt ook een ‘bridge’-pad aangeboden waarmee houders van COBIT 5-certificaten sneller bepaalde onderdelen van COBIT 2019-certificeringen kunnen behalen door specifieke aanvullende examens te volgen.

Externe links

ISASA COBIT Website
(en) COBIT 2019 Overview v1.1. www.slideshare.net. ISACA (1 november 2019).

Bronnen, noten en/of referenties

1 2 3 4 (en) Haes, Steven De (4 maart 2015). Enterprise Governance of Information Technology: Achieving Alignment and Value, Featuring COBIT 5. Springer. ISBN 978-3-319-14547-1.
↑ (en) COBIT Timeline. ISACA. Geraadpleegd op 16 december 2025.
↑ (en) COBIT (Control Objectives for Information and Related Technology). cio-wiki.org. Geraadpleegd op 19 december 2025.
↑ COBIT Best Practice. IT Management Group. Geraadpleegd op 16 december 2025.
↑ (en) Key Differences Between COBIT 5 and COBIT 2019. Invensis Learning Blog (15 september 2020). Geraadpleegd op 16 december 2025.
↑ (en) Press Releases 2019 New ISACA Resources Offer Step by Step Guidance for NIST Cybersecurity Framework Implementation. ISACA. Geraadpleegd op 19 december 2025.

[:0-1] 1 2 3 4 (en) Haes, Steven De (4 maart 2015). Enterprise Governance of Information Technology: Achieving Alignment and Value, Featuring COBIT 5. Springer. ISBN 978-3-319-14547-1.

[2] (en) COBIT Timeline. ISACA. Geraadpleegd op 16 december 2025.

[3] (en) COBIT (Control Objectives for Information and Related Technology). cio-wiki.org. Geraadpleegd op 19 december 2025.

[4] COBIT Best Practice. IT Management Group. Geraadpleegd op 16 december 2025.

[5] (en) Key Differences Between COBIT 5 and COBIT 2019. Invensis Learning Blog (15 september 2020). Geraadpleegd op 16 december 2025.

[6] (en) Press Releases 2019 New ISACA Resources Offer Step by Step Guidance for NIST Cybersecurity Framework Implementation. ISACA. Geraadpleegd op 19 december 2025.

[1]

[2]

[3]

[4]

[5]

[6]