De term Governance is de laatste jaren een belangrijk thema

Transcriptie

1 Algemene beschouwingen IT Service Management.4 De term Governance is de laatste jaren een belangrijk thema geworden voor zowel IT als voor de business. Governance wordt geassocieerd met schandalen (Enron, MCI Worldcom, Ahold) en de daaruit voortvloeiende behoefte om gedrag van bestuurders en transparante verslaglegging in wetgeving (Sarbanes-Oxley) of in richtlijnen (Code Tabaksblat) te reguleren. Daarnaast heeft Governance ook een duidelijke relatie met waardecreatie in een bedrijf en met het managen van verwachtingen en risico s die verbonden zijn aan deze waardecreatie. De behoefte aan Good Governance wordt momenteel regelmatig kenbaar gemaakt in de markt zonder daarbij expliciet te maken waar het dan precies over gaat. 7 Dit is de oorsprong van dit artikel. We zijn op zoek gegaan naar de betekenis van Governance. Dit is gedaan aan de hand van het vraagstuk of Governance nu een Hype is of Realiteit. Hiervoor hebben we een drietal interviews met CIO s gehouden met een tweeledig doel. In de eerste plaats: We wilden een beeld krijgen van wat de opkomst van Governance betekent voor de ICT Manager aan de hand van vraagstukken als: - Wat verstaat de CIO onder Governance? - Is Governance iets nieuws? - Wat betekent dat voor de CIO? Die laatste vraag sluit ook aan bij het tweede doel: In de interviews wilden we een beeld krijgen van wat voor soort activiteiten de CIO s momenteel ondernemen, die zij gerelateerd achten aan Governance. Hierbij gaat het om onderwerpen als: - Wat is de verhouding tussen Governance en Management? - Worden er frameworks/modellen gebruikt om de activiteiten te ordenen? De drie geinterviewde CIO s zijn: Wilko Brink: Manager Business Systems Services Heineken Nederland Nico Westpalm van Hoorn: CIO Havenbedrijf Rotterdam Pieter Buijs: CIO KPN Citaten van deze CIO s zijn opgenomen in het artikel om het beeld ten aanzien van Governance zo concreet mogelijk uit te schrijven. Auteurs: Hans Vriends en Sander Koppens PinkRoccade IT Service Management, best practices

2 8 INLEIDING Uitgangspunten Als uitgangspunt voor de interviews gebruikten we de definitie van het IT Governance Institute : [ITGI] IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. Bij de interviews gebruikten we uit hetzelfde definitieartikel de vijf gebieden waarop IT Governance volgens het ITGI betrekking op heeft. Het gaat om:. Strategic Alignment 2. Value Delivery 3. Risk Management 4. Resource Management 5. Performance Management Bij de uitwerking van het artikel hebben we uiteindelijk gekozen voor een andere indeling. We hebben een scheiding gemaakt tussen:. Conformance - activiteiten die betrekking hebben op het voldoen aan huidige of toekomstige regelgeving en het managen van de daarmee gepaard gaande risico s. 2. Performance - activiteiten die te maken hebben met waardecreatie voor de business en het alignen met businessdoelen. 3. Leadership - activiteiten die betrekking hebben op zingeving en het creëren van richting voor een ICT-organisatie, meer diffuus van aard, maar essentieel voor het succes van ICT-organisatie. Conformance en Performance zijn ontleend aan een studie van CIMA 2. Het deel over leiderschap hebben we nadien toegevoegd omdat we in de interviews zaken tegenkwamen die we niet goed onder de andere twee clusters van activiteiten konden brengen, maar die wel essentieel bleken voor het succes van de CIO's. Structuren voor Business & IT Alignment in de praktijk Voor dit artikel hebben we een drietal CIO's uit verschillende organisaties geïnterviewd. Om de gebruikte citaten in de juiste context te plaatsen volgt eerst een korte beschrijving van de context waarin deze CIO's werken. Business en IT Alignment blijkt in algemene zin een vraagstuk dat de laatste jaren hoger op de agenda van de business managers is komen te staan. In alle drie de interviews blijkt ook dat de laatste jaren IT belangrijker wordt geacht in de ogen van de business. Om goed inzicht te verschaffen in de wijze waarop CIO s overleggen met die business is eerst beschreven hoe de organisatorische inrichting eruit ziet. In alle drie de gevallen was er de laatste jaren een sterke ontwikkeling van decentrale IT naar centrale IT. KPN kent een structuur waarbij de CIO enerzijds de regievoerder is. Elk van de divisies van KPN heeft een DIO (Division Information Officer), die onderdeel uitmaakt van het management team van de Divisies. De CIO vormt met de drie DIO s een IT Board. Hierin zijn wat accentverschillen. De CIO focust zich met name op lange termijn ontwikkelen terwijl de DIO s direct vanuit de business aangeven wat de behoefte aan IT is. In de board vindt gelijkschakeling plaats van belangen. Daarnaast is de CIO verantwoordelijk voor de corporate programma s. Deze programma s hebben betrekking op IT-vraagstukken die als scope het hele bedrijf hebben. Budgetten liggen in principe bij de business maar worden overgeheveld wanneer programma s op het corporate niveau worden belegd. De CIO geeft niet-hiërarchisch leiding aan alle ICT-ers en de activiteiten die bij partners zijn belegd. Board Briefing on IT Governance, 2nd Edition, IT Governance Institute 2 Enterprise Governance Getting the balance right (april 2004), CIMA

3 Algemene beschouwingen IT Service Management Heineken kent een structuur waarin de CIO wel leiding geeft aan de ICT-ers. De ICT-activiteiten zijn ondergebracht in een Shared Service Centre dat deel uitmaakt van Heineken Business Services en dat in principe alle werkmaatschappijen van Heineken bedient. De werkmaatschappijen betalen voor de diensten van het Shared Service Centre. De CIO is verantwoordelijk voor de kostenbeheersing van de IT-voorzieningen en stimuleert vanuit die rol het gebruik van dezelfde voorzieningen. De richting van dit programma ligt vast in een meerjarenplanning. Het Havenbedrijf Rotterdam heeft een CIO die eveneens leiding geeft aan de ICT-ers. Hiërarchisch zijn de managers van de verschillende businessactiviteiten onder de directie zijn gelijken. Het alignment vindt plaats in deze managementlaag. Het budget voor IT wordt beheerd door de CIO. Dit budget wordt gecreëerd in overleg met de business. Voor nieuwe functionaliteiten vindt een centrale prioritering plaats van mogelijke projecten. Daarnaast is er een apart budget voor infrastructurele vernieuwing. Hype or Reality? Op de vraag of IT Governance een Hype is of Reality kregen we van de verschillende CIO's gelijksoortige reacties. [Buijs] Governance is geen hype, alleen de naam is een hype. De beheersing van IT speelt een heel belangrijke rol bij KPN. De IT-industrie is eigenlijk nog zeer onvolwassen. De beheersing staat al jaren op de agenda. Het verbeteren hiervan is nog steeds actueel. Dat we het nu Governance noemen - het woord is een hype. Voor wat je vroeger moest uitleggen is er nu een woord. [Brink] Governance is er altijd al geweest en het zal altijd blijven bestaan. Door de recente gebeurtenissen in de wereld zijn managers, bestuurders en commissarissen zich meer bewust geworden van het belang. Pas nu het onderdeel van de publieke opinie is geworden houdt het managers werkelijk bezig. [Westpalm] Je kunt overal een hype van schrijven, maar dat is nonsens. Het is geen hype, het is gewoon reality. Het gaat er nog steeds om hoe je met elkaar het bedrijfsmiddel IT bestuurt. Nieuw is wel dat je er bewuster mee bezig bent. Daarnaast wordt het vakgebied groter, maar sinds er IT is, is er IT-besturing. De oorzaak van de hype zit uiteraard vooral in de grote aandacht voor Governance als gevolg van de beursschandalen. Dat blijkt ook wel uit het feit dat in de eerste reacties op de vraag vrijwel altijd verwezen wordt naar de conformance-kant van Governance. Daarnaast wordt voor IT ook snel de relatie gelegd met het volwassen worden van het ITvakgebied. Dit impliceert dat Governanceactiviteiten eigenlijk altijd al bestonden, en dat deze dus met name de laatste jaren meer expliciet zijn geworden. Definitie Wat deze Governance-activiteiten zijn, en waar je je dan eigenlijk als CIO mee bezig houdt is dan ook een relevant vraagstuk. [Westpalm] In INK-termen: Governance is in ieder geval inrichten, het is ook nog richten, maar zeker geen verrichten. ITIL is geen Governance. De keuze om ITIL in te richten vind ik wel Governance. ITIL toepassen zou ik geen Governance noemen. Het gaat met name over wie beslissingen neemt over het inrichten, zoals welke standaards en welke applicaties. Het merendeel gaat echter over het tactische deel, het richten. Het onderscheid tussen Governance en Management komt hier om de hoek kijken. Kortom, Governance krijgt een strategisch/ tactisch karakter. Het is in hoge mate kaderzettend voor iedereen die betrokken is bij de uitvoering van ICT-activiteiten. 9 IT Service Management, best practices

4 20 [Buijs] Het is een abstract begrip waar je veel onder kunt schuiven, en die neiging hebben we bij KPN ook. Het is het geheel aan afspraken dat nodig is om de zaken beheersbaar te maken. Met name outsourcingsactiviteiten maken de behoefte aan een dergelijk afsprakenkader inzichtelijk. Het is dan ook niet verbazingwekkend dat met name bedrijven die bezig zijn met outsourcingsactiviteiten de behoefte voelen om verantwoordelijkheden en bevoegdheden expliciet te maken. Uiteindelijk gaat het hierbij natuurlijk wel om de resultaten. [Brink] Governance zijn al die maatregelen die je het gevoel geven dat je in control bent. In de volgende paragrafen wordt dieper ingegaan op de aandachtsgebieden conformance, performance en leiderschap. CONFORMANCE Als gevolg van een aantal incidenten dat uitgebreid de pers heeft gehaald staat het voldoen aan richtlijnen en standaarden midden in de belangstelling. Veel bedrijven zijn verplicht zich te conformeren aan richtlijnen en standaarden zoals bijvoorbeeld Sarbanes-Oxley en IFRS. Naast deze opgelegde standaarden kiezen ITorganisaties er ook voor om zich vrijwillig te conformeren aan standaarden zoals bijvoorbeeld de ISO9000 reeks of BS7799. Het voldoen aan deze standaarden stelt eisen aan de inrichting en werking van de organisatie. Modellen zoals CMM, ITIL, CobiT of Prince 2 helpen bij het verkrijgen van inzicht in de werking van de IT-organisatie en het wegnemen van knelpunten. Om te blijven voldoen aan deze standaarden worden mechanismen in de organisatie geïntroduceerd die het voldoen aan deze standaarden moeten verzekeren. Het aandachtsgebied conformance gaat over het voldoen aan gestelde eisen. De focus ligt hierbij op het verleden. Besluitvorming, rapportage, controle en toetsing staan hierbij centraal. Richtlijnen en standaarden Zonder richtlijnen en standaarden kan er geen sprake zijn van controle en toetsing op conformiteit. Het is noodzakelijk om de criteria waaraan voldaan moet worden helder geformuleerd te hebben in een set van eisen. Deze eisen kunnen zelf geformuleerd worden of bestaan uit extern geformuleerde richtlijnen en standaarden. Veel richtlijnen zijn wettelijk verplicht. Het gaat hierbij in het algemeen over regelgeving op het gebied van privacy, zoals bijvoorbeeld de Wet Bescherming Persoonsgegevens, of regelgeving op het gebied van financiële verantwoording, zoals Sarbanes-Oxley. [Buijs] Wij zijn natuurlijk een aan de Amerikaanse beurs genoteerde onderneming en dus kregen we Sarbanes-Oxley over ons uitgestort, daar hebben we heel veel aan gedaan, dat was de trigger voor CobiT. Om zeker te stellen dat aan de wettelijke regelingen wordt voldaan kan vervolgens gebruik gemaakt worden van audit frameworks zoals SAS of CobiT. CobiT is ontwikkeld als control framework en gebaseerd op een groot aantal internationale standaarden. CobiT is geen wettelijk opgelegd stelsel van regels maar faciliteert deze wel. Op deze manier is CobiT een voor de hand liggende keuze om de conformiteit aan wettelijke verplichtingen te kunnen toetsen. De keuze voor een framework als CobiT is een ingrijpende beslissing met belangrijke consequenties voor de organisatie. Deze beslissing dient expliciet gemaakt te worden, waarbij zowel de organisatorische als de financiële consequenties goed worden overwogen. [Westpalm]...welke standaards nemen we, welke processen bewaken we, hoe beslissen we, wie beslist er en in welke fase waarover. Om de control statements uit CobiT positief te beoordelen worden eisen gesteld aan de inrichting en werking van de organisatie. Ook

5 Algemene beschouwingen IT Service Management hiervoor zijn weer methoden en frameworks beschikbaar. Deze variëren onder andere in aandachtsgebied, opzet, doelstelling en perspectief. Voorbeelden van deze methoden zijn CMM, ITIL, ASL en EFQM. Deze methoden vergen in het algemeen wel aanpassing aan de specifieke eisen en behoeften van de organisatie. [Buijs]...dus we hebben een heleboel interne managementmethodieken die we opleggen. Die hebben we niet zelf ontwikkeld maar (wel) zelf aangepast, je hoeft niet het wiel uit te vinden. Los van het feit dat de gekozen methode aangepast dient te worden aan de organisatie speelt ook de emotie een belangrijke rol bij de keuze voor een standaard of methode. Methoden worden door (delen van) de organisatie al snel geassocieerd met bijvoorbeeld bureaucratie, een bepaald vakgebied of een bepaalde dienstverlener of leverancier. Dit kan zowel negatief als positief werken voor een organisatie. [Westpalm]...alleen je moet er je eigen praktische uitwerking aan geven, nogal wat van dit denken sijpelt door naar onze klanten, het richt, het bindt, het geeft allerlei gevoelens erbij, het is meer dan alleen Service Management, bladzijde 7, zo doen we dat... Bovenstaande standaarden hebben betrekking op de organisatorische inrichting. Het gebruik van gestandaardiseerde begrippenkaders vergemakkelijkt de communicatie tussen bedrijven en bedrijfsonderdelen. Regels met betrekking tot verantwoording en de werking van een organisatie helpen bij het verkrijgen van vertrouwen of worden van overheidswege opgelegd. Standaarden zijn ook nodig om onze complexe infrastructuren te beheersen. Het standaardiseren van dataformaten ondersteunt de uitwisseling van gegevens. Zonder verregaande standaardisatie op het gebied van hardware en protocollen zijn complexe netwerken niet mogelijk. Met betrekking tot infrastructuren en informatiesystemen wordt dus al uitgebreid gebruik gemaakt van standaarden. Het selecteren en implementeren van standaarden vergt veel energie en (financiële) middelen van een organisatie. Standaardisatie draagt echter op termijn ook weer bij aan stabiliteit en kostenbeheersing. Het is onderdeel van IT Governance om tot een toekomstvaste architectuur te komen voor informatie, infrastructuur en organisatie. Doel en middel Normen en standaarden moeten ook gehandhaafd worden. Het toetsen van de organisatie aan de codes en standards (compliance) kan zowel intern als extern plaats vinden. Doel en middel dienen hierbij zorgvuldig gekozen te worden. Een self-assessment is een uitstekend middel om verbeterpunten te identificeren en kan van nut zijn in de voorbereiding op een audit. Voor (interne) benchmarking of certificering is een selfassessment echter niet geschikt. Een audit daarentegen is meer een beoordeling en zal de organisatie uitnodigen zich te presenteren met het oog op een zo goed mogelijk resultaat. Hierbij zullen mogelijk verbeterpunten verborgen blijven. Voldoen aan standaarden Het verzekeren van het werken conform bepaalde procedures en het voldoen aan standaarden (assurance) vraagt om specifieke maatregelen in de organisatie. Deze hebben betrekking op registraties, metingen en controlemomenten. Functiescheiding en een heldere verdeling van bevoegdheden en verantwoordelijkheden staan hierbij centraal. Om zeker te stellen dat conform de standaarden gewerkt wordt is een bepaalde mate van formalisering en expliciete besluitvorming noodzakelijk. [Brink]... changes, projecten die langskomen en wel of niet geaccepteerd worden, toetsen we vanuit de IT-functie op impact op de architectuur, maar ook op impact op menskracht, hebben we de mensen en de deskundigheid, wat zou dat betekenen voor 2 IT Service Management, best practices

6 22 in- of outsourcing. Een vrij goed doordacht en formeel traject dat zodanig is ingericht dat we ook aan onze klanten kunnen uitleggen en dan niet alleen waarom je nee zegt maar ook waarom je ja zegt. Heldere communicatie is een voorwaarde voor duidelijke verantwoordelijkheden en transparante besluitvorming. Een eenduidig en gedeeld begrippenkader draagt hier in belangrijke mate aan bij. [Westpalm] Zijn modellen belangrijk? Ja, omdat ze een gemeenschappelijke taal geven. Volg je ze op de letter? Nee, dus ga je er zelf mee spelen. In die zin is een keuze voor een gemeenschappelijk kader of framework wel degelijk van belang. Veel methoden geven aanwijzigingen voor de activiteiten die moeten worden uitgevoerd om gecontroleerd de gewenste resultaten te bereiken. Methoden geven ook vaak richtlijnen voor de inrichting van de organisatie. Los daarvan verschaffen ze in het algemeen ook een eenduidig begrippenkader. Toetsing Een structurele inrichting van de organisatie draagt bij aan het zekerstellen dat een organisatie conform een gewenste standaard werkt. Maar ook een periodieke beoordeling of toetsing van de organisatie draagt hieraan bij. De beweegredenen om te toetsen moeten in dat geval helder zijn voor alle betrokkenen, zowel bij opdrachtgever als opdrachtnemer. Mogelijke beweegredenen voor toetsing zijn: kwaliteitsverbetering, benchmarking, certificering of toetsing aan wettelijke verplichtingen. Elke doelstelling vraagt om een andere benadering in de wijze van toetsing. First-party assessment Self-assessment of zelfevaluatie. Eigen beoordeling op conformiteit aan standaarden, specificaties of regels. Bruikbaar met het oog op het onderzoeken van verbetermaatregelen en voorbereiding op een 2nd of 3rd party assessment. Zelfanalyse vergt kritische zelfreflectie en een omgeving waarin dat mogelijk is. [Buijs] We hebben hele strakke afspraken over de auditing van grote projecten waarbij we zowel de interne auditor alsook onze externe auditing inpassen. Second-party assessment Een second-party assessment wordt uitgevoerd door de klant of opdrachtgever. Hierbij is het essentieel dat de wederzijdse belangen onderkend worden. Het assessment wordt in dit geval uitgevoerd door een partij die tegelijkertijd opdrachtgever is. [Buijs] Bij onze toeleverancier hebben we dat heel expliciet geregeld. De eerste twee jaar auditrecht (hebben we) in contract vastgelegd, onze mensen konden op elk moment daar kijken. We zitten nu in de overgang naar een third party memorandum structuur. Third-party assessment Normen en standaarden maken vaak ook certificering mogelijk. Het betreft in dit geval externe toetsing waarbij door een daartoe bevoegde (geaccrediteerde) instantie een verklaring afgegeven wordt over het voldoen aan de standaarden en normen. PERFORMANCE Waar conformance de ene kant van de medaille is, is performance de andere. Uitgangspunt hierbij is de werkelijke toegevoegde waarde van ICT voor de business. In verschillende bestaande Governance modellen komen performance-georiënteerde onderwerpen aan de orde. Zo kent het IT Governance Institute de gebieden Strategic Alignment en Value Delivery, die een directe link hebben met performance. Ook de eerder gegeven definitie van IT Governance refereert aan het ondersteunen van de organisatiestrategie en de bijbehorende doelen. Als ICT-organisaties een bijdrage willen leveren aan de business staat of valt dat natuurlijk in eerste instantie met de relatie tussen business en ICT.

7 Algemene beschouwingen IT Service Management Verschuiving van de rol van ICT Alle CIO s zien een duidelijke verschuiving van de rol van ICT. [Buijs] IT moet naar een hoger abstractieniveau, het moeten eenvoudig bruikbare solutions worden en het belang zal alleen maar toenemen. [Westpalm] Ik ben mede-manager in het bedrijf, de divisiemanagers zijn collega s. Toen ik begon was ik alleen verantwoordelijk voor de uitvoering. Gaandeweg ben ik de eigenaar geworden van het Hoedomein. Nu ga ik nog een stap verder in de keten, en denk ik mee over het businessproces. Een jaar of 5 geleden was dat nog niet denkbaar. Naast de verschuiving richting diensten en businessprocessen zien de CIO s ook verregaande convergentie binnen de ondersteunende processen. Naast de voor de hand liggende convergentie tussen IT en telecom komen ook steeds meer facilitaire processen onder de verantwoordelijkheid van CIO s. Triggers hiervoor zijn security-vraagstukken en kostenvoordelen. de spanningsveld naar voren. Het heeft te maken het dilemma tussen centrale regie en decentrale beleidsvrijheid. De rol van ICT als enabler van de business wordt groter naarmate ICT een grotere bijdrage kan leveren aan ketenintegratie die momenteel in de business plaatsvindt. Centrale regie is hierbij nodig om in de keten te sturen op het gebruik van gezamenlijke standaarden. Dit wringt met de mogelijkheden voor de business om snel nieuwe functionaliteit live te brengen. De rol van de CIO is daarbij gelijk aan die in het eerste spanningsveld. In de praktijk wordt dit vooruitdenken als een essentieel onderdeel van Governance gezien. Onderwerpen die genoemd worden met betrekking tot de lange termijn zijn onder andere Enterprise Application Integration en convergentie van vaste en mobiele telefonie bij KPN, en Mobililty Solutions in de Rotterdamse Haven. Naast deze planmatige aanpak is er sprake van gezond pragmatisme. Incidenten (virusaanvallen, grote storingen) en wetgeving (o.a. SOX) worden dankbaar aangegrepen om lastige veranderingen te realiseren. 23 Invulling van de ICT-behoefte Het belangrijkste spanningsveld bij de invulling van de ICT-behoefte ligt tussen vernieuwing en innovatie aan de ene zijde en standaardisatie en daardoor kostenverlaging aan de andere zijde. CIO s zijn succesvoller naarmate ze er meer in slagen om deze twee invalshoeken bij elkaar te brengen. Dit komt tot uiting in het feit dat CIO s zich genoodzaakt zien om ver vooruit te kijken naar toekomstige ontwikkelingen. Deze verkenningen vormen de grondslag voor de inrichting van architectuur en de vernieuwing van de architectuur. Een scope van 5 à 0 jaar is hier geen uitzondering. Dit geldt zowel voor de infrastructuur als voor de ontwikkeling van het applicatieportfolio. Proactiviteit is hierin dan ook een sleutelwoord. Door inzichtelijk te maken welke mogelijkheden ontstaan door nieuwe technologie wordt daarnaast de agenda van de business beïnvloed. In de relatie met de business komt een twee- Portfoliomanagement Vanuit het Governance perspectief hebben de CIO s een belangrijke rol in keuzes binnen de architectuur en het bepalen van de applicatieportfolio. Hun rol is zowel inhoudelijk als structurerend. Met name dat laatste raakt Governance. Zo is het Havenbedrijf Rotterdam bezig met het inrichten van portfoliomanagement voor bedrijfsapplicaties voor een periode van 3 jaar en is bij Heineken Nederland een roadmap gedefinieerd voor de ontwikkeling van de applicatieportfolio tot In de interviews blijkt dat deze discussies vrijwel altijd geëntameerd en geregisseerd worden door het management van de ITorganisatie. Prioritering in de klantbehoefte Momenteel is er nog altijd meer vraag naar nieuwe ICT-functionaliteit dan er redelijkerwijze te leveren is. Dit maakt het noodzakelijk IT Service Management, best practices

8 24 dat er keuzes worden gemaakt welke projecten wel en niet worden uitgevoerd. Een belangrijke vraag is dan ook langs welke lijnen die prioritering plaatsvindt en of er sprake is van een stelsel van afspraken. Daarnaast is het van belang welke rol de ITmanager in deze discussie aanneemt, en hoe de verhouding ligt tussen noodzakelijke infrastructurele vernieuwing en het creëren van nieuwe IT-functionaliteit. In de praktijk blijkt dat werken aan de hand van business cases inmiddels gemeengoed is geworden. Het vooraf inzichtelijk maken van kosten en opbrengsten van projecten is diep doorgedrongen in de IT. Deze business cases zijn van belang voor het prioriteringsproces. De CIO s zien voor IT een belangrijke rol in de voorbewerking en de beïnvloeding van de klantbehoefte. [Westpalm]...om zelf goed te kunnen werken en niet van dag tot dag door andere prioriteiten geplaagd te worden moet ik een prioriteringsysteem hebben, dus ga ik een prioriteringsysteem maken. De manier waarop vervolgens gekozen wordt heeft een duidelijke relatie met de cultuur van het bedrijf. Zo kent Heineken een centrale planning waarin de IT-ontwikkeling van de verschillende werkmaatschappijen op hoofdlijnen is vastgelegd. Het bij elkaar brengen van de verschillende belangen en het bereiken van consensus hierover speelt hierin een belangrijke rol. Havenbedrijf Rotterdam brengt daarentegen bij het begin van het begrotingsjaar alle voorgestelde projecten bij elkaar op een prioriteringslijst en kiest vervolgens aan de hand van de meeste toegevoegde waarde en het politiek belang van de projecten. In het laatste model staat de infrastructurele vernieuwing los van deze prioritering. Om de stuurbaarheid te bevorderen worden projecten gebundeld tot programma s. Daarnaast maken deze programma s het gemakkelijker om zowel intern als extern te communiceren over de richting van de ICTontwikkeling. Handhaving en vernieuwing van de architectuur Naast het belang om tegemoet te komen aan nieuwe klantbehoeftes hebben de CIO s nog een ander belang. Om kosteneffectiviteit te kunnen waarborgen is het van belang om te waarborgen dat er gewerkt wordt conform de overeengekomen architectuur en dat er een actief beleid gevoerd wordt ten aanzien van het uitfaseren van applicaties. Bij Heineken worden de kosten voor het uitfaseren van applicaties losgekoppeld van de beheerkosten om inzichtelijk te maken dat de beheerkosten jaarlijks dalen terwijl het totale IT-budget op niveau blijft. Dit soort ontwikkelingen is in lijn met een onderzoek van Accenture naar de verhouding tussen IT-uitgaven. In dit onderzoek bleek dat op dit moment circa 70% van het IT-budget wordt uitgeven aan het beheer en het onderhoud van bestaande IT-mogelijkheden terwijl maar 30% wordt uitgegeven aan nieuwe mogelijkheden. Om meer flexibiliteit te kunnen garanderen voor de business ziet Accenture de verhouding 45% nieuw en 55% bestaand als een wenselijke. Gevraagd naar handhaving blijkt dat er over het algemeen vanuit het hoger management steun is voor een sterk op architectuur gebouwd beleid. In de middle management lagen is dit minder vanzelfsprekend, en is het van belang om toe te zien en uit te leggen waarom keuzes gemaakt worden. Grotere clusters andere owners Door centralisatie en de komst van met name ERP-applicaties is de handhaving wel gemakkelijker geworden. Enkele jaren geleden werd met functioneel applicatiebeheerders onderhandeld over nieuwe mogelijkheden en wijzigingen in applicaties. Nu is door het clusteren van applicatie-ownership, of door de komst van omvangrijke applicaties die grotere delen van het business-proces ondersteunen, het applicatie-ownership een verantwoordelijkheid geworden van business-managers. Dit vergemakkelijkt voor IT de discussie omdat het aantal stakeholders terugloopt.

9 Algemene beschouwingen IT Service Management Behoud van ICT-competenties De snel veranderende technologie van de laatste jaren heeft een enorme impact op de mensen die zorgdragen voor het beheer van de technologie. Nieuwe vakgebieden en meer geïntegreerde vakgebieden (Netwerk & Telefonie, Server & Client) ontstaan en daartegenover verdwijnen er langzaam maar zeker taken aan de onderkant van het ICTspectrum. Reparatie van hardware loont niet meer. Monitoring & control is geautomatiseerd, evenals de distributie van applicaties. Gebruikersondersteuning en systeembeheer vinden steeds meer op afstand plaats. Door embedded technology neemt de behoefte aan voorraadbeheer en assetbeheer af. Zelfs van de eindgebruiker wordt steeds meer verlangd. Het bestellen van diensten gaat via een webinterface. De support op functionele vragen is minder of wordt per call verrekend. Het adaptieve vermogen van de beheerders van de infrastructuur is terecht een bron van grote zorg voor managers. Bij innovaties is dit vermogen tot aanpassing de meest onderschatte en traagste factor. Deze aanpassing vergt veel van de ICT er. Zijn werk is ingewikkelder geworden omdat: routinewerk is geautomatiseerd en dus is verdwenen; conceptuele kennis en abstractievermogen belangrijker zijn geworden; verantwoordelijkheden breder en veelomvattender zijn geworden; zelfsturing en teamwork een voorwaarde zijn geworden; de cultuur is veranderd van technologydriven naar service-driven. Bij KPN wordt deze ontwikkeling heel nadrukkelijk gezien. [Buijs] Er is een corporate programma om te professionaliseren. In de toekomst hebben we medewerkers nodig met andere competenties. Hiervoor bieden we opleidingsmogelijkheden aan voor onze eigen medewerkers. Maar we kunnen die behoefte niet alleen door eigen kweek invullen. Buiten de ontwikkeling van de eigen competenties spreekt KPN ook nog een duidelijke verwachting uit naar partners. [Buijs] We proberen onze partners en leveranciers ook te prikkelen om initiatieven te nemen. De effectiviteit moet omhoog en de kosten moeten immers omlaag. Ook Havenbedrijf Rotterdam kent een cultuurprogramma waarin Samenwerken, Klantgericht, Oplossingsgericht en Resultaatgericht sleutelwoorden zijn. LEIDERSCHAP Governance gaat over het inrichten van en richting geven aan de organisatie. Hiervoor is leiderschap nodig. Leiderschap vereist zichtbaarheid. Leiderschap wordt zichtbaar in een gedragen visie en ambitie. Voor de acceptatie van leiderschap is het noodzakelijk dat zowel intern als extern aandacht geschonken wordt aan relatiemanagement. Normen en waarden worden zichtbaar in voorbeeldgedrag. Leiderschap binnen ICT Governance vraagt afstand van de waan van de dag. Focus op de langere termijn businessdoelstellingen en de faciliterende rol van ICT op langere termijn. Leiderschap binnen ICT Governance koppelt belangen en ontwikkelingen van de business aan ICT. Visie en Ambitie Visie en ambitie zijn essentiële kenmerken van leiderschap. Visie en ambitie gaan hand in hand. Zonder de ambitie om bepaalde doelen te bereiken heeft een visie geen functie en zonder visie heeft een ambitie geen grondslag. Om richting te bepalen is een heldere visie op de toekomst noodzakelijk. Daarvoor is inzicht in de technologische en organisatorische ontwikkelingen noodzakelijk. Dit beeld van de toekomst maakt het mogelijk om de gewenste positie nu en in de toekomst te bepalen zonder dat de ambitie los staat van de realiteit. Het bereiken van deze positie staat of valt met de wil om deze positie te bereiken en deze wil moet voor iedereen zichtbaar en herkenbaar zijn. 25 IT Service Management, best practices

10 26 [Brink] Toen ik begon zeiden mijn medewerkers: "Wat wil je veel". Het realiseren van de ambitie komt primair tot uiting in de besluitvorming. De besluitvorming moet de organisatie verder brengen in de richting van het gewenste toekomstbeeld voor de organisatie. Hiervoor is niet alleen een heldere visie noodzakelijk maar ook een reëel beeld van waar de organisatie zich op dit moment bevindt en van welke stappen je in welke volgorde wilt en kunt nemen. [Brink] We zijn nu hier, waar willen we naar toe, waarom willen we daar naar toe. Dat is je kapstok voor Governance-beslissingen. Een afwachtende houding zal nooit bijdragen aan het realiseren van de gewenste positie. Om de ambities te realiseren zal initiatief getoond moeten worden. [Westpalm] Niemand haalt het in zijn hoofd om Governance voor IT te gaan regelen in het bedrijf, als je niet zelf actief komt met zullen we het zo gaan doen dan gebeurt het niet. Om je ambitie te realiseren zul je het vertrouwen van je omgeving moeten hebben. Zonder dit vertrouwen krijg je niet de ruimte om je organisatie in te richten en zaken te veranderen. Vertrouwen moet je verdienen. Vertrouwen is niet iets dat je bij afspraak af kunt dwingen en vast kunt leggen. Vertrouwen verdien je door je organisatie op orde te hebben en zichtbaar in control te zijn. [Westpalm] Dat heeft dus met je vermogen te maken om jezelf in de keten omhoog te vechten, dat moet je wel willen, daar moet je de ambitie voor hebben, daar moet je de ruimte voor krijgen, en vertrouwen winnen - vertrouwen winnen is eerst de zaak op orde hebben. Richten en inrichten van de IT-organisatie vormen de peilers van IT Governance. Om richting te geven aan de organisatie is een gedragen visie noodzakelijk. Om invulling te geven aan deze visie zijn zowel het krijgen van voldoende speelruimte vanuit de omgeving als ook het meekrijgen van de eigen organisatie noodzakelijk. Om dit te bewerkstelligen moet de ambitie zichtbaar uitgedragen worden. Naast het uitdragen van de ambitie moet er ook het vertrouwen bestaan dat deze ambitie haalbaar is en bijdraagt aan de doelstellingen van de organisatie. Omgeving Het realiseren van je ambitie heeft altijd te maken met het verwerven van een bepaalde positie. Deze positie verkrijg je niet alleen door deze in te nemen maar moet ook door de omgeving geaccepteerd worden. Het is dus belangrijk om je omgeving zodanig te managen dat de gewenste positie geaccepteerd wordt, bijna als vanzelfsprekend wordt ervaren door de omgeving. [Westpalm]...maar het allerbelangrijkste is dat je je realiseert dat je je omgeving moet managen. Het managen van de context betekent niet alleen dat de CIO relaties in de omgeving moet onderhouden die bijdragen aan het realiseren van je positie. De hele IT-organisatie moet hierop ingericht zijn. Op elk niveau, van Service Desk tot CIO, dient de afstemming met de omgeving ingeregeld te zijn. Om een eenduidige communicatie met de omgeving zeker te stellen moet ook over de hele linie dezelfde boodschap uitgedragen worden. Ook hiervoor is het noodzakelijk dat de visie en ambitie van de IT-organisatie gedragen en uitgedragen wordt door alle echelons. [Westpalm]...dat je als IT-manager de verantwoordelijkheid moet nemen, niet alleen voor operationeel naar binnen gericht maar ook voor de inrichting naar buiten toe. Het is niet alleen van belang om intern maar ook om extern de visie en ambitie van de ITorganisatie te communiceren. Dit dient op elk niveau te gebeuren. Van Service Desk tot CIO dient een eenduidige en consistente boodschap uitgedragen te worden met

11 Algemene beschouwingen IT Service Management betrekking tot de rol en positie die de ITorganisatie in wil nemen. Hiervoor is het noodzakelijk dat de visie en ambitie door de hele organisatie heen bekend is en gedragen wordt. Vierkante en Ronde Termen Naast het inrichten van systemen en structuren is het vertonen van gewenst gedrag minstens zo belangrijk. Congruent gedrag van het management, gedrag in lijn met de visie, is de sterkste vorm van communicatie. Hierbij komt weer naar voren dat de manager zichtbaar moet zijn voor de organisatie. Vanuit de directiekamer, achter het bureau, zal de impact op de organisatie minimaal zijn. Fysiek zichtbaar zijn en aan zowel de eigen organisatie als de omgeving laten zien dat je gelooft in de visie en strategie is noodzakelijk voor het realiseren van de ambities. [Westpalm]...noem het leadership, noem het voorop lopen, noem het initiatief nemen, als je in je hok blijft zitten gebeurt er niets. Dat moet je ook nog op een geloofwaardige manier doen. Je moet het uitstralen, extern naar je omgeving, daar moet je het winnen en je mensen moet je meekrijgen. Het gaat dus niet alleen om harde feiten en cijfers. Om de benodigde speelruimte te verkrijgen is vertrouwen nodig. Het winnen van vertrouwen kost tijd en het kost veel meer tijd om vertrouwen te winnen dan om het kwijt te raken. [Brink] Ik merk dat governance heel vaak in vierkante termen wordt behandeld....het vertrouwen dat je in elkaar hebt, dat je op een gegeven moment weet hoe de ander gaat reageren op iets, het duurt langer voor je dat voor elkaar hebt. Brink maakt onderscheid tussen vierkante termen en ronde termen. Met de vierkante termen wordt gedoeld op de feiten, de harde aspecten. Met de ronde termen wordt gedoeld op zachte aspecten zoals vertrouwen en wijze van communicatie. Deze zijn moeilijker expliciet te maken en moeilijker te toetsen, maar bepalen in hoge mate de effectiviteit. Ze zijn ook niet zo makkelijk in te passen in de behoefte aan duidelijkheid en zekerheid waarmee Governance momenteel wordt geassocieerd. Toetsbaarheid en In- Control-Statements gaan met name over de vierkante aspecten. Voor het realiseren van de visie zijn de ronde termen echter minstens zo belangrijk. HYPE OR REALITY? De vraag of IT Governance een hype is kan bevestigend beantwoord worden. Als gevolg van met name de wetgeving Sarbanes-Oxley is er op het moment een geweldige aandacht voor Governance. Het gaat hierbij met name om de beheersmatige kant, de in-controlstatements. IT Governance is echter ook reality. Het is de realiteit van het besturen van de IT-organisatie en dit doen we al zolang er IT-organisaties bestaan. Het richting geven aan en inrichten van de organisatie is niet nieuw en dat zullen we moeten blijven doen. In het kader van IT Governance wordt veelvuldig gebruik gemaakt van bestaande modellen en standaarden zoals CobiT, Prince2, CMM en ITIL. Afhankelijk van de behoefte van de organisatie, de knelpunten en ook de geschiedenis worden deze methoden ingezet op een moment dat dit opportuun is. Zowel uit de interviews als uit andere gesprekken onstaat het beeld dat leiderschap en ervaring meer bijdragen aan een oplossing van de veronderstelde problematiek dan een ontwikkelmodel met een stappenplan. Bij alle aandacht voor IT Governance gaat onevenredig veel aandacht uit naar het aandachtsgebied comformance en de compliance aan regelgeving. Dit is hoogstwaarschijnlijk terug te voeren op Sarbanes-Oxley. Hierbij is niet zozeer het moeten voldoen aan regelgeving een issue, dat is al veel langere tijd het geval. Het lijkt erop dat met name de sanctionering, het feit dat bestuurders persoonlijk verantwoordelijk worden gemaakt hierbij een rol speelt. 27 IT Service Management, best practices

12 28 IT-management wordt als een nog jong en onvolwassen vakgebied beschouwd. Dit lijkt te vragen om managers die over de ervaring en bagage beschikken om een complexe omgeving als deze te kunnen besturen. Juist als gevolg van de onvolwassenheid van het vakgebied is er behoefte aan een sterk leiderschap. Nadrukkelijke aanwezigheid van het management, zichtbare ambitie en een helder uitgedragen visie zijn voorwaarden voor de verdere ontwikkeling van de IT-organisatie. Dit draagt tevens bij aan een meer evenwichtige balans tussen de aandachtsgebieden conformance en performance. Beide auteurs zijn werkzaam voor PinkRoccade. Hans Vriends is Senior Business Consultant en Sander Koppens is BU Director bij de business unit ITM Consultancy. Zij hebben jarenlange ervaring met het inrichten en positioneren van IT organisaties. De auteurs zijn tevens betrokken bij een project rond de vastlegging van best practices voor IT Governance van het Consortium van ITSMF s IT Governance Association (ITGA).