Wat is COBIT?
COBIT (voluit Control Objectives for Information and Related Technologies) is een wereldwijd toegepast raamwerk voor de governance en het management van enterprise-IT. Het wordt ontwikkeld en onderhouden door ISACA, de internationale beroepsvereniging voor IT-audit, -governance en -security die ook achter certificeringen als CISA en CISM zit.
De kern van COBIT is de gedachte dat informatie en technologie (I&T) er zijn om waarde te creëren voor de organisatie — niet als doel op zich, maar als middel om de bedrijfsdoelen te halen. COBIT helpt het bestuur en management om die waarde te realiseren door de juiste balans te vinden tussen het behalen van voordelen, het optimaliseren van risico's en het verstandig inzetten van middelen. Het beantwoordt daarmee een andere vraag dan een securityframework: niet "welke maatregel implementeer ik?", maar "hoe stuur en beheers ik mijn IT als geheel, en hoe toon ik aan dat dat goed gebeurt?".
Belangrijk om meteen scherp te hebben: net als het NIST Cybersecurity Framework is COBIT geen certificeerbare norm. Je kunt je organisatie er niet tegen laten certificeren zoals bij ISO 27001. COBIT is een raamwerk van best practices dat je naar eigen inzicht overneemt, op maat maakt en combineert met andere kaders. Wél bestaan er persoonscertificeringen voor COBIT, daarover later meer.
Van audithulpmiddel naar governanceframework: de geschiedenis
COBIT bestaat al sinds 1996 en is in die tijd flink van karakter veranderd. De eerste versies waren vooral een hulpmiddel voor IT-auditors: een gestructureerde set "control objectives" waarmee zij konden beoordelen of de IT-beheersing op orde was. Daar komt ook de oorspronkelijke betekenis vandaan — Control Objectives for Information and related Technology.
Met de jaren groeide het kader mee met het belang van IT. COBIT 4.1 (2007) verbreedde de scope naar IT-management en -governance. COBIT 5 (2012) zette de grote stap naar een volwaardig governanceframework voor de hele organisatie, met de bekende zeven "enablers" en een duidelijk onderscheid tussen governance en management.
De meest recente generatie, COBIT 2019, verscheen eind 2018. ISACA liet de versienummering los en koos voor een jaartal om te benadrukken dat COBIT voortaan een doorlopend bijgewerkt, "levend" kader is. COBIT 2019 bouwt voort op COBIT 5, maar voegt belangrijke vernieuwingen toe: de uitbreiding van 37 naar 40 governance- en managementdoelstellingen, de introductie van design factors en focus areas om het kader op maat te maken, en een nieuw, op CMMI gebaseerd capability-model om volwassenheid te meten.
Governance versus management: het kernonderscheid
De ruggengraat van COBIT is het heldere onderscheid tussen governance en management. Dat zijn geen synoniemen, maar twee verschillende verantwoordelijkheden die elkaar aanvullen:
- Governance is de taak van het bestuur (de board of directors). Het draait om evalueren van de behoeften en opties van stakeholders, richting geven aan het management en monitoren of de afgesproken koers wordt gehaald. In COBIT vat het acroniem EDM dit samen: Evaluate, Direct and Monitor.
- Management is de taak van de uitvoerende organisatie, onder leiding van de CIO of directie. Het management plant, bouwt, voert uit en bewaakt de activiteiten, in lijn met de richting die de governance heeft bepaald.
Deze scheiding is meer dan theorie: ze maakt expliciet dat een bestuur niet alleen "IT mag overlaten aan de techneuten", maar een eigen, niet-overdraagbare verantwoordelijkheid heeft om te sturen en te controleren. Het is precies dit governanceperspectief dat COBIT onderscheidt van puur operationele kaders.
De zes principes voor een governancesysteem
COBIT 2019 formuleert zes principes die de basis vormen voor elk goed governancesysteem rond informatie en technologie:
- Waarde leveren aan stakeholders. Elk governancesysteem bestaat om de behoeften van stakeholders te bedienen en waarde te creëren uit het gebruik van I&T, met een balans tussen baten, risico's en middelen.
- Holistische benadering. Goede governance bouwt op meerdere, samenhangende componenten — niet op processen alleen, maar ook op structuren, cultuur, mensen en informatie.
- Een dynamisch governancesysteem. Het systeem moet kunnen meebewegen: verandert er iets aan strategie, technologie of risico, dan moet de governance zich aanpassen.
- Governance gescheiden van management. De twee verantwoordelijkheden, met hun eigen activiteiten en structuren, worden bewust uit elkaar gehouden.
- Op maat van de organisatie. Er bestaat geen one-size-fits-all governance; het systeem wordt afgestemd op de specifieke context van de organisatie.
- End-to-end governancesysteem. Governance omvat álle informatie en technologie van de organisatie, niet slechts de "IT-afdeling".
De drie principes voor een governanceframework
Naast de zes systeemprincipes kent COBIT 2019 nog drie principes die specifiek gaan over het framework zelf — bedoeld om het kader bruikbaar en toekomstvast te houden:
- Gebaseerd op een conceptueel model. COBIT bouwt op een consistent, herkenbaar model, zodat het kader logisch en uitlegbaar blijft.
- Open en flexibel. Het kader laat ruimte om nieuwe onderwerpen toe te voegen en zich aan te passen, zonder de samenhang te verliezen.
- Aangesloten op belangrijke standaarden. COBIT verwijst naar en is afgestemd op gangbare standaarden en kaders zoals ISO, NIST en ITIL, zodat het als overkoepelende kapstok kan dienen.
De 40 doelstellingen in vijf domeinen
Het hart van COBIT 2019 zijn de 40 governance- en managementdoelstellingen (governance and management objectives). Elke doelstelling beschrijft een samenhangend aandachtsgebied — van risicomanagement tot leveranciersbeheer — en is gekoppeld aan een proces. Ze zijn geordend in vijf domeinen: één governancedomein en vier managementdomeinen.
| Domein | Type | Waar het over gaat | Aantal |
|---|---|---|---|
| EDM — Evaluate, Direct and Monitor | Governance | Het bestuur evalueert opties, geeft richting aan het management en monitort of de strategie en waardecreatie worden gehaald. | 5 |
| APO — Align, Plan and Organize | Management | De overkoepelende organisatie, strategie en ondersteunende activiteiten voor I&T: van architectuur en risico tot leveranciers en beveiliging. | 14 |
| BAI — Build, Acquire and Implement | Management | Het definiëren, verwerven en implementeren van IT-oplossingen en hun integratie in de bedrijfsprocessen, inclusief projecten en wijzigingen. | 11 |
| DSS — Deliver, Service and Support | Management | De operationele levering en ondersteuning van IT-diensten, inclusief incident-, probleem- en beveiligingsbeheer. | 6 |
| MEA — Monitor, Evaluate and Assess | Management | Het bewaken van prestaties en conformiteit, en het toetsen aan interne en externe eisen — het domein waarin audit en assurance thuishoren. | 4 |
Samen zijn dat 5 + 14 + 11 + 6 + 4 = 40 doelstellingen. De governancedoelstellingen (EDM01 t/m EDM05) horen bij het bestuur; de overige 35 managementdoelstellingen volgen de bekende plan-build-run-monitor-cyclus. Wie de domeinen naast ISO 27002 of de CIS Controls legt, herkent veel onderwerpen terug — maar COBIT plaatst ze nadrukkelijk in een bredere governancecontext, inclusief de sturing vanuit de top.
De zeven componenten van een governancesysteem
Om een doelstelling daadwerkelijk te realiseren, is meer nodig dan alleen een proces. COBIT 2019 beschrijft daarom zeven componenten die samen een governancesysteem laten werken (in COBIT 5 heetten deze nog "enablers"):
- Processen. De praktijken en activiteiten om een bepaald resultaat te bereiken.
- Organisatiestructuren. De belangrijkste besluitvormende entiteiten, zoals een stuurgroep of architectuurboard.
- Informatiestromen en -items. De informatie die een proces nodig heeft en oplevert.
- Mensen, vaardigheden en competenties. Wat nodig is om goede beslissingen te nemen en activiteiten uit te voeren.
- Beleid en procedures. De vertaling van gewenst gedrag naar concrete richtlijnen voor de dagelijkse praktijk.
- Cultuur, ethiek en gedrag. Een vaak onderschatte, maar bepalende factor voor succes.
- Diensten, infrastructuur en applicaties. De technologie en hulpmiddelen die de governance ondersteunen.
Het krachtige van dit model is dat het je dwingt breder te kijken dan alleen techniek of procedures. Een doelstelling die op papier perfect is beschreven, maar waarvoor de juiste mensen, structuren of cultuur ontbreken, zal in de praktijk alsnog falen.
Op zoek naar een baan in IT-audit, governance of compliance?
Professionals die frameworks als COBIT, ISO 27001 en NIST CSF kunnen vertalen naar grip op IT en aantoonbare beheersing, zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor IT-auditors, GRC-managers en compliancespecialisten in Nederland.
Bekijk IT-Audit VacaturesDesign factors: COBIT op maat
Een van de grootste vernieuwingen van COBIT 2019 is het idee dat geen enkele organisatie hetzelfde governancesysteem nodig heeft. Daarvoor introduceert het kader elf design factors: factoren die bepalen welke doelstellingen voor jóuw organisatie het zwaarst wegen en welk volwassenheidsniveau passend is. Denk aan:
- de enterprisestrategie en de bedrijfsdoelen;
- het risicoprofiel en de actuele I&T-gerelateerde problemen;
- het dreigingslandschap en de geldende compliance-eisen;
- de rol van IT binnen de organisatie (ondersteunend, cruciaal, strategisch);
- het sourcingmodel, de implementatiemethoden en de technologie-adoptiestrategie;
- de omvang van de organisatie.
Door deze factoren expliciet te wegen, ontwerp je een "best-fit" governancesysteem in plaats van blind alle 40 doelstellingen even zwaar aan te zetten. Het maakt COBIT 2019 schaalbaar: bruikbaar voor zowel een kleine organisatie als een complexe multinational. Aanvullend bieden focus areas verdiepende guidance voor specifieke thema's, zoals informatiebeveiliging, DevOps of kleine en middelgrote ondernemingen.
De goals cascade: van stakeholder tot doelstelling
Hoe weet je nu wélke doelstellingen er voor jouw organisatie toe doen? Daarvoor gebruikt COBIT de goals cascade: een vertaalmechanisme dat de behoeften van stakeholders stap voor stap omzet in concrete IT-doelstellingen. De cascade loopt van stakeholderdrijfveren en -behoeften naar enterprisedoelen, vervolgens naar alignmentdoelen (in COBIT 5 nog "IT-related goals" genoemd) en ten slotte naar de governance- en managementdoelstellingen. Zo houd je een logische, uitlegbare lijn tussen wat de organisatie wil bereiken en wat de IT-governance daarvoor moet regelen — onmisbaar als je richting het bestuur moet onderbouwen waaróm bepaalde investeringen nodig zijn.
Capability- en maturity levels: volwassenheid meten
COBIT 2019 maakt beheersing meetbaar via een capability-model dat is gebaseerd op CMMI. Elk proces krijgt een capability level op een schaal van 0 tot 5:
| Niveau | Benaming | Kort gezegd |
|---|---|---|
| 0 | Incomplete | Het proces ontbreekt of bereikt zijn doel niet. |
| 1 | Initial | Het proces bestaat en behaalt min of meer zijn doel, maar ad hoc. |
| 2 | Managed | Het proces is gepland, bewaakt en aangestuurd. |
| 3 | Defined | Het proces is gestandaardiseerd en organisatiebreed vastgelegd. |
| 4 | Quantitative | Het proces wordt kwantitatief gemeten en gestuurd. |
| 5 | Optimising | Het proces wordt continu verbeterd op basis van die metingen. |
Naast capability levels per proces kent COBIT 2019 ook maturity levels op het niveau van een hele focus area. Samen geven deze modellen een nuchtere nulmeting: waar staan we nu, waar willen we naartoe en welke stappen zijn realistisch? Juist die onderbouwing maakt COBIT populair als basis voor een roadmap met bijbehorende budgetaanvraag.
COBIT versus ISO 27001, NIST CSF en ITIL
De meest gestelde vraag is hoe COBIT zich verhoudt tot andere bekende kaders. Het korte antwoord: het zijn geen concurrenten, maar lagen die elkaar versterken. COBIT is bewust het brede, overkoepelende governanceframework, en verwijst zelf naar de andere standaarden.
| COBIT 2019 | ISO/IEC 27001 | NIST CSF | ITIL | |
|---|---|---|---|---|
| Primaire focus | Governance & management van álle I&T | Managementsysteem voor informatiebeveiliging | Beheersen van cyberrisico | IT-servicemanagement |
| Reikwijdte | Breed (hele organisatie) | Specifiek (security) | Specifiek (cyber) | Specifiek (dienstverlening) |
| Beantwoordt vooral | Hoe stuur en beheers ik IT? | Hoe toon ik veilige informatie aan? | Hoe beheers ik cyberrisico? | Hoe lever ik IT-diensten? |
| Certificeerbaar? | Nee | Ja | Nee | Nee (wel persoonscertificering) |
In de praktijk gebruiken organisaties ze vaak gelaagd: COBIT als overkoepelende kapstok voor IT-governance en als gemeenschappelijke taal richting het bestuur, ISO 27001 om informatiebeveiliging aantoonbaar te certificeren, het NIST CSF en de CIS Controls als concrete invulling van de cyberbeheersing, en ITIL voor het inrichten van de dienstverlening. Dankzij de mappings die COBIT naar deze standaarden bevat, verloopt die vertaalslag soepel. Wie aanvullend zekerheid aan klanten wil bieden, vertaalt dezelfde beheersing vaak door naar een ISAE 3402- of SOC 2-rapportage.
COBIT in de Nederlandse IT-auditpraktijk
Hoewel COBIT internationaal is, is kennis ervan op de Nederlandse arbeidsmarkt bijzonder waardevol — en dat heeft alles te maken met de wortels van het kader in de auditwereld. Bij de IT-audit rondom de jaarrekeningcontrole dient COBIT geregeld als referentiekader om de IT general controls (toegangsbeheer, wijzigingsbeheer, operations) gestructureerd te beoordelen. Ook bij ISAE 3402- en SOC-trajecten, in-control statements en assurance-opdrachten wordt COBIT vaak gebruikt om de beheersing te ordenen en te toetsen.
Voor een IT-compliance auditor of IT-security auditor is COBIT daarmee een soort gemeenschappelijke taal: het biedt een herkenbaar normenkader waarmee bevindingen onderbouwd en vergelijkbaar worden. Het feit dat COBIT zelf mappings naar ISO, NIST en andere kaders bevat, maakt het bovendien gemakkelijk om aan te sluiten op de normen die een klant al hanteert.
COBIT-certificeringen
Hoewel je een organisatie niet tegen COBIT kunt certificeren, kun je als professional wél een persoonscertificering halen. ISACA biedt onder meer:
- COBIT 2019 Foundation — de instapcertificering die de begrippen, principes en opzet van het framework behandelt;
- COBIT Design & Implementation — gericht op het ontwerpen en invoeren van een governancesysteem op maat met behulp van de design factors;
- aanvullende modules, zoals een COBIT-certificering gericht op informatiebeveiliging.
Het sterkste profiel combineert COBIT-kennis met een bredere, erkende certificering. Trajecten als CISA (IT-audit), CISM (security management) en CRISC (IT-risico) sluiten naadloos op COBIT aan en worden door dezelfde organisatie, ISACA, uitgegeven. Voor wie de stap naar IT-governance op bestuursniveau wil maken, bestaat daarnaast de CGEIT-certificering.
Wat COBIT betekent voor jouw carrière
Kennis van COBIT maakt je waardevol in functies die zich op het snijvlak van IT, risico en governance bevinden. Wie de 40 doelstellingen kan vertalen naar een werkbaar, op maat gemaakt governancesysteem — onderbouwd met capability levels en de goals cascade — is gewild in uiteenlopende rollen:
- IT-auditor en IT-compliance auditor: gebruiken COBIT als normenkader om de IT-beheersing te toetsen en bevindingen te onderbouwen;
- GRC-manager en risk-specialist: verbinden COBIT met de risicobeoordeling en het bredere governancekader;
- IT security officer en CISO: gebruiken COBIT om security in te bedden in een bredere governancestructuur en richting het bestuur te verantwoorden;
- IT-governanceconsultant en CIO-office: ontwerpen en implementeren het governancesysteem en de bijbehorende roadmap.
De onderliggende trend is onmiskenbaar: door wetgeving als NIS2 en de DORA-verordening komt er steeds meer nadruk te liggen op aantoonbare governance van IT, met expliciete verantwoordelijkheid voor het bestuur. Dat is precies het terrein waar COBIT thuishoort, en het verklaart waarom de vraag naar professionals die governance, audit en risico kunnen verbinden onverminderd hoog blijft. Bekijk de actuele IT-audit- en compliancevacatures om te zien welke werkgevers zoeken, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.