Deze scriptie is geschreven door beide op persoonlijke titel

van specifieke maatregelen binnen de IT-activiteit . Dit laatste moet ervoor zorgen dat een acceptabelegarantie wordt geboden dat de doelstellingen van de onderneming worden gerealiseerden dat ongewenste effecten niet plaatsvinden of gedetecteerd en gecorrigeerd worden.Elk van de processen kent ook management guidelines. Deze geven meer informatie hoe eenIT-proces te organiseren, te meten en aan te sturen. Zo zijn in de management guidelines deinputs voor een IT-proces gegeven die nodig zijn voor de activiteiten. Ook de outputs zijnzichtbaar gemaakt, ofwel in welke IT-processen het resultaat van een IT-proces vereist is.Daarnaast zijn per IT-proces per activiteit de verantwoordelijkheden overzichtelijk weergegevenin een RACI diagram. De letter ‘R’ staat voor wie verantwoordelijk is voor de taak, de letter‘A’ staat voor wie richting geeft en autoriseert (staat dus hiërarchisch boven de ‘R’), de letter‘C’ staat voor wie geconsulteerd wordt en de letter ‘I’ staat voor wie geïnformeerd moetworden.Voor het meten en sturen zijn in de management guidelines doelstellingen op drie niveaus gedefinieerd.Van hoog naar laag zijn dat:- Niveau van IT: IT goals- Niveau van IT proces: Process goals- Niveau van IT activiteiten: activity goals.Elk van de doelstellingen wordt vertaald in twee metrieken. Zo zijn er outcome measures, ookwel lag indicators genoemd, die bepaalde doelstellingen meten. Daarnaast zijn er performanceindicators, ook wel lead indicators genoemd, geven een indicatie in hoeverre de doelstellingenworden bereikt. De relatie is dat de outcome measures op elk niveau de performance indicatorszijn voor het hogere niveau.Prof. Dr. Van Grembergen en Steven de Haes geven aan dat de fusie tussen de business en ITen het ondersteunen en verder ontwikkelen van de bedrijfsdoelstellingen (strategic alignment ofbusiness/IT alignment) als de ultieme doelstelling vaak wordt gezien. Ook geven zij aan dat ditthema niet nieuw is, maar wel verhoogde aandacht kent vanwege de grotere afhankelijkheidvan IT. Zo staat COBIT momenteel vooral in de belangstelling doordat de huidige versie bijuitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgevingzoals die door Sarbanes-Oxley (SOx) en COSO worden gevraagd.Een ander kernpunt uit de definitie is de primaire verantwoordelijkheid van de raad van commissarissen(Board of directors) en raad van Bestuur (executive management). Overigens moetIT-governance worden doorgetrokken naar de onderliggende IT en business niveaus.Een laatste kernpunt uit de definitie gaat in op de vraag hoe ondernemingen IT-governancekunnen implementeren ofwel hoe het doel van IT governance is te bereiken. De definitie verwijsthiertoe naar drie componenten: structuren, processen en relationele mechanismen. Structurenbetreft het bestaan van verantwoordelijke functies (bijv. IT strategie comité of de ChiefInformation Officer) en de positionering van de IT binnen de onderneming. Processen verwijzennaar de strategische besluitvorming en opvolging. Hiervoor bestaan specifieke procesraamwerken, bijvoorbeeld Cobit waarop in deze paragraaf nog wordt ingegaan. Ook ITIL kanhier worden genoemd. Met relationele mechanismen wordt bedoeld de relatie tussen de businessmedewerkers en de IT medewerkers, waarvoor een goede interactieve communicatie moetbestaan om IT-governance succesvol te laten worden en te blijven.72