Managementsamenvatting

Transcriptie

1

2 Managementsamenvatting Beursvennootschappen worden in verschillende landen geconfronteerd met codes voor corporate governance. Hierbij kan gedacht worden aan de Nederlandse Code voor Corporate Governance van de commissie Tabaksblat en de Amerikaanse Sarbanes-Oxley Act Hierin worden onder meer eisen gesteld aan de beheersing van de bedrijfsprocessen zodat de betrouwbaarheid van verantwoordingen gewaarborgd wordt. De ondernemingsleiding moet aantoonbaar maken dat zij de bedrijfsprocessen beheerst. In toenemende mate zien we dat deze discussie over corporate goverance wordt doorgetrokken naar niet-beursgenoteerde vennootschappen en non-profit-organisaties. De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door: de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; de beheersing van IT-veranderingstrajecten; de beheersing van de IT-infrastructuur, waarop de systemen draaien; de beheersing van IT-risico s. Een heldere visie op de inzet van informatietechnologie binnen een organisatie, een goede aansturing en beheersing van de IT-inspanningen, het afleggen van verantwoording hierover en het uitoefenen van toezicht hierop vormen de basis van IT-Governance. In de praktijk geven organisaties op uiteenlopende wijze invulling aan IT-Governance. IT-Governance heeft vergaande impact op de rol, de werkzaamheden en de opleiding van IT-auditors. De IT-auditor kan voor organisaties een bijdrage leveren aan de beheersing van de informatievoorziening. Dit kan vanuit een adviserende, controlerende, faciliterende en/of certificerende rol. Activiteiten waaraan gedacht kan worden zijn het ondersteunen bij het inrichten van een IT-Governancestructuur en het onderzoeken van de beheersing van de informatievoorziening om (externe) verantwoording af te kunnen leggen. Een en ander is een belangrijke voorwaarde voor het succes van een onderneming. NOREA IT-Governance Een verkenning 1

3 2

4 Inhoudsopgave 1 Inleiding 5 2 Begripsvorming Corporate Governance IT-Governance IT-Governance modellen Conclusie en samenvatting 12 3 Casus KPN Inleiding Positionering van ICT Het IT-Governance framework van KPN Verantwoordelijkheden en scope IT-management IT-axioma s en IT-grondregels Doelarchitectuur KPN Domeinen Service Backbone IT-Sourcing Strategy Demand en Supply Rol IT-audit 22 4 Casus Fortis Inleiding Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument IT-Governance als leidraad voor een Control and Risk Self Assessment Evaluatie verschijningsvormen IT-Governance Rol IT-audit Deelconclusie en samenvatting 27 NOREA IT-Governance Een verkenning 3

5 5 Casus Akzo Nobel Inleiding Organisatie van de Informatievoorziening Informatiebeveiliging binnen Akzo Nobel IT-audit functie binnen Akzo Nobel Impact Sarbanes-Oxley Act Impact op uitbesteding van IT-diensten Deelconclusie en samenvatting 36 6 De rol van de IT-auditor IT-Governance nieuw? Nee! De beheersing van de informatievoorziening Afleggen van externe verantwoording Uitoefenen van toezicht op de beheersing van de informatievoorziening IT-Governance nieuw? Ja! Audit van IT-Governance raamwerk Context Compliance met interne en externe wet- en regelgeving Adviserende rol Uitdagingen op het gebied van IT-Governance 40 7 Literatuuroverzicht 43 4

6 1 Inleiding NOREA, de beroepsorganisatie van IT-auditors, heeft een kennisgroep IT-Governance samengesteld. De doelstelling is om het begrip IT-Governance onder de aandacht te brengen en toe te lichten binnen de beroepsgroep van IT-auditors. Daarnaast willen we voor het maatschappelijk verkeer de rol die de ITauditor kan vervullen ten aanzien van IT-Governance benadrukken. In deze verkenning wordt door de kennisgroep een aantal praktijksituaties toegelicht en worden de betekenis en consequenties van het IT-Governance begrip voor het IT-auditvak verkend. In hoofdstuk 2 Begripsvorming worden de begrippen Corporate Governance en IT-Governance toegelicht. Er is gekozen om door samenvattingen van verschillende studies naar en modellen van Corporate Governance en IT-Governance de IT-auditor een handreiking te geven voor de verschillende begrippen. De NOREA heeft bewust besloten geen nieuw model of haar eigen visie op het begrip IT-Governance neer te leggen maar een synthese uit te voeren van de reeds bestaande modellen en begrippen. De hoofdstukken drie, vier en vijf bevatten aan de hand van een drietal praktijkcases voorbeelden van een mogelijke toepassing en implementatie van IT-Governance en de rol van de IT-auditor binnen het IT- Governancemodel. Vervolgens wordt in het laatste hoofdstuk nader ingegaan op de betekenis van IT- Governance voor het werk van de IT-auditor. Afgesloten wordt in datzelfde hoofdstuk met de belangrijkste uitdagingen ten aanzien van IT-Governance voor de IT-auditor. Juni 2004, De Kennisgroep IT-Governance Drs. H.T. van Bers RE A. de Blok RE RA CISA MIM Ir. J.A.M. Donkers RE P. Harmzen RE RA Ir. J.W. de Heer RE P.A.J. van der Knaap RE RA Ir. K.M. Lof RE NOREA IT-Governance Een verkenning 5

7 6

8 2 Begripsvorming 2.1 Corporate Governance De essentie van Corporate Governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Hierbij gaat het om de wijze waarop de ondernemingsleiding bij de besturing van de organisatie rekening houdt met andere dan haar eigen belangen, zoals belangen van aandeelhouders, werknemers en de samenleving als geheel. Kort gezegd gaat het erom wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst. Recente boekhoudschandalen zoals Enron, Ahold en Parmalat hebben Corporate Governance opnieuw onder de aandacht gebracht. Deze schandalen hebben geleid tot een herleving van de discussie over de taken en verantwoordelijkheden van de verschillende rollen bij het toezicht op beursgenoteerde ondernemingen en tot de ontwikkeling van nieuwe regelgeving op dit gebied. De commissie Tabaksblat heeft recentelijk een code voor Corporate Governance gepubliceerd. In grote lijnen zullen de aanbevelingen in wetgeving worden verankerd. In 2002 is Sarbanes-Oxley wetgeving ontwikkeld die van toepassing is op alle ondernemingen die aan de Amerikaanse beurzen genoteerd zijn. Corporate Governance is al sinds het begin van de jaren 90 in de belangstelling gekomen. Faillissementen van enkele grote ondernemingen hebben in de Verenigde Staten en Engeland geleid tot een discussie over de wijze waarop besluitvorming in de top van een onderneming plaats dient te vinden. Sindsdien zijn er diverse rapportages en studies geweest naar Corporate Governance. Deze studies zijn veelal opgestart door de individuele landen als een reactie op de faillissementen van grote ondernemingen in die landen. De belangrijkste studies tot voor kort waren: 1 The Financial Aspects of Corporate Governance, UK 1992 (Cadbury-rapport); 2 Internal Control-Integrated Framework, US 1992/1994 (COSO-rapport); 3 Guidance on Control, Canada 1995 (CoCo-rapport); 4 Corporate Governance in Nederland: de veertig aanbevelingen, Nederland 25 juni 1997 (Commissie Corporate Governance - Commissie Peters); 5 Committee on Corporate Governance, UK januari 1998; 6 KonTraG-wet 1 mei 1998 Duitsland; NOREA IT-Governance Een verkenning 7

9 7 Guidance for Directors on the Combined Code, UK 1999 (Turnbull-rapport); 8 Combined Code on Corporate Governance, London Stock Exchange, 1998 (O/S). De verschillende studies hebben elk hun eigen aandachtspunten. De rapporten COSO, CoCo en Turnbull hebben betrekking op interne beheersing. De Commissie Corporate Governance en KonTraG zijn meer gericht op het afleggen van externe verantwoording. De rapporten Cadbury en Committee on Corporate Governance hebben betrekking op zowel interne beheersing als het afleggen van externe verantwoording. Hoewel het aandachtsgebied van deze studies de beursgenoteerde vennootschappen zijn, krijgt het begrip Corporate Governance zijn doorwerking richting niet-beursgenoteerde vennootschappen en non-profitorganisaties. Een duidelijk onderscheid kan worden gemaakt naar de principle based -benadering op basis van een aantal algemene randvoorwaarden en best practices en de rule based -benadering op basis van regulering, wetgeving en harde eisen. Bij de interne beheersing en het afleggen van externe verantwoording moeten organisaties naast de algemene wet- en regelgeving ook rekening houden met branchespecifieke voorschriften, zoals de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Basel II richtlijnen. In beide gevallen gaat het om voorschriften voor de bancaire sector, waar de dienstverlening voor een groot gedeelte op maatschappelijk vertrouwen gebaseerd is. De Basel II richtlijnen zijn opgesteld door het Basel-comité. Hierin zijn de monetaire toezichthouders van de tien belangrijkste industriële landen vertegenwoordigd. De richtlijnen zijn daardoor een de facto standaard voor alle toezichthouders van internationaal opererende financiële instellingen. Een voorbeeld van andere branchespecifieke voorschriften zijn de FDA voorschriften voor de farmaceutische industrie. Standaarden krijgen door globalisering meer een internationaal karakter. Verder worden aan de kwaliteit van de interne beheersing en de verantwoording daarover steeds meer positieve dan wel negatieve sancties verbonden. Een positieve sanctie is bijvoorbeeld een vermindering van solvabiliteitseisen bij banken en in de toekomst ook bij verzekeraars wanneer risico s aantoonbaar worden beheerst. Een negatieve sanctie is onder andere een importverbod van de Verenigde Staten voor producten die niet aan de FDA voorschriften voldoen. 8

10 2.2 IT-Governance Informatievoorziening ondersteunt een organisatie bij het realiseren van haar doelstellingen. De toepassing van informatietechnologie stelt een organisatie in staat producten efficiënter en effectiever te produceren, innovatiever te zijn en processen beter te beheersen. De IT-functie kan zich verheugen in een toenemende belangstelling van het management van een organisatie. De verwachtingen van een organisatie ten aanzien van de kwaliteit van informatievoorziening, functionaliteit, gebruikersgemak en snelheid van oplevering van nieuwe systemen zijn sterk toegenomen. Daarnaast vragen de snelheid van veranderingen op het gebied van informatie- en communicatietechnologie en de snelheid van veranderingen binnen organisaties om een adequate beheersing van de IT-risico s. De grote(re) afhankelijkheid van de informatiesystemen voor kritische bedrijfsprocessen vraagt om IT-beheerprocessen die nauwgezet zijn afgestemd op de organisatie. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is verder een kritische succesfactor voor ondersteuning en realisatie van de interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Eisen moeten worden gesteld aan de beheersing van de IT-processen en het afleggen van verantwoording door het voor IT verantwoordelijke management. IT-Governance gaat over het besturen, beheersen, uitvoeren, verantwoording afleggen over en het toezicht op de informatie-voorziening binnen een organisatie. In een reactie op Tabaksblat dringt de NOREA aan op onder meer een IT-commissaris, die toeziet dat IT-risico s adequaat worden beheerst. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Uiteindelijk zullen veel organisaties er niet aan ontkomen om, bijvoorbeeld via hun jaarverslagen, verantwoording af te leggen over IT-Governance aan alle belanghebbenden. 2.3 IT-Governance modellen In de afgelopen jaren hebben verschillende partijen in artikelen en studies invulling willen geven aan het begrip IT-Governance. Uit bestudering van deze documenten blijkt dat het begrip IT-Governance op verschillende manieren is uitgewerkt. De overeenkomst tussen de verschillende modellen is dat IT- Governance wordt gezien als het zodanig efficiënt en effectief organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de businesswensen en daarover rekenschap aflegt. NOREA IT-Governance Een verkenning 9

11 De volgende verschillen kunnen tussen de modellen geconstateerd worden: Het COBIT model [1] van ISACA en het IT-Governance Institute beschrijft in belangrijke mate de ITprocessen en de Control Objectives van deze IT-processen. Het betreft hoofdzakelijk processen die binnen de IT-organisatie plaatsvinden; Het COBIT-framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. In de derde versie van COBIT is het COBIT-model verder uitgewerkt tot een IT-Governance model. Het leveren van toegevoegde waarde voor de business wordt hoofdzakelijk bepaald door de aansluiting van IT op de business. Het beheersen van risico s wordt gerealiseerd door het helder beleggen van taken en verantwoordelijkheden voor IT binnen de organisatie. Het adequaat beheersen van de middelen en het meten dat de verwachte resultaten gehaald worden, zijn ondersteunend aan het leveren van de toegevoegde waarde en het beheersen van de risico s. (zie figuur 1). IT-Governance [4] wordt door ISACA en het IT-Governance Institute als volgt gedefinieerd: IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. Figuur 1 10

12 Gartner [2] beschrijft in belangrijke mate de aandachtsgebieden waarover besluiten genomen dienen te worden, zoals de visie op en uitgangspunten voor het gebruik en toepassing van IT binnen de organisatie, de IT-infrastructuur, de IT-architectuur, business behoeften en IT-prioriteiten. Verder onderscheidt men de beslissingsnemers/besturingsmodellen variërend van centraal tot decentraal en de verschillende mechanismen als organisatievormen en hulpmiddelen om de besluitvorming voor de aandachtsgebieden gestalte te geven. In tegenstelling tot COBIT wordt niet gesproken over de uit te voeren processen. Andere modellen, zoals van de verschillende accountantskantoren, bevatten elementen van zowel COBIT als Gartner. IT-Governance en IT-management worden duidelijk ten opzichte van elkaar gepositioneerd. Governance gaat over spelregels, vaststellen van het kader waarbinnen anderen opereren, beleid en aansturing, wat duidelijk aansluit bij het gedachtegoed van Gartner. IT-management is gericht op de uitvoering, besluitvorming en verantwoording van IT-activiteiten binnen de gestelde kaders. Hierbij worden de door COBIT onderscheiden IT-processen duidelijk geraakt. De toevoeging die deze modellen hebben op COBIT en Gartner is dat er gesproken wordt over organisatievormen van de IT-organisatie en over corporate standaarden. Om genoemde overeenkomsten en verschillen duidelijk te kunnen maken hebben we een illustratie (figuur 2) toegevoegd. IT-management heeft vooral betrekking op het omkaderde gedeelte. IT-management is gericht op de besluitvorming, uitvoering en verantwoording van IT-activiteiten binnen de IT-organisatie, waarbij we een onderscheid maken tussen ontwikkelactiviteiten en activiteiten in het kader van exploitatie en beheer. Procesmodellen als ITIL, Prince2 en CMM zijn beschikbaar om de organisatie van de ITactiviteiten en IT-processen te optimaliseren. IT-Governance heeft vooral betrekking op het niet omkaderde gedeelte, waar op basis van bedrijfs- en interne controledoelstellingen (setting objectives) de business in overleg met de IT-organisatie bepaalt welke IT-producten en -diensten door de IT-organisatie moeten worden geleverd en welke randvoorwaarden daarbij worden gehanteerd (strategic alignment). De IT-organisatie brengt producten en diensten voort en legt hierover verantwoording af (performance delivery). De business toetst of de geleverde producten en diensten voldoende bijdragen aan de bedrijfs- en interne controledoelstellingen en past indien nodig de eisen ten aanzien van de IT-organisatie aan. Over het geheel dient in toenemende mate externe verantwoording (external reporting) te worden afgelegd aan de stakeholders, terwijl IT-Governance ook in het toezicht (zowel door een externe toezichthouder als door de Raad van Commissarissen/Raad van Toezicht) aan de orde dient te komen. NOREA IT-Governance Een verkenning 11

13 Figuur Conclusie en samenvatting De uitgangspunten van Corporate Governance, vertalend naar wat dit betekent voor IT-Governance in een organisatie komen we tot de volgende drie aandachtsgebieden: de beheersing van de informatievoorziening binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening. Het betreft: besluitvorming en verantwoording intern omtrent IT; corporate standaarden ten aanzien van IT; verschijningsvormen van de IT-organisatie; de IT-processen; de IT-veranderingstrajecten; de IT-infrastructuur waarop de systemen draaien. 12

14 het afleggen van verantwoording over de beheersing van IT naar buiten toe. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Gezien het belang van IT voor de bedrijfsvoering en het voortbestaan van organisaties, past bij een verantwoording over de beheersing ook een verantwoording over de beheersing van IT. In toenemende mate zullen veel organisaties er niet aan ontkomen bijvoorbeeld via hun jaarverslag verantwoording af te leggen over IT-Governance aan alle belanghebbenen. het uitoefenen van toezicht op de IT-beheersing. Hierin onderkennen we twee elementen; enerzijds het uitoefenen van toezicht door een Raad van Commissarissen of Raad van Toezicht binnen een organisatie. In een reactie op Tabaksblat heeft de NOREA aangedrongen op onder meer een IT-commissaris die toezicht houdt dat de IT-risico s adequaat worden beheerst. Anderzijds het toezicht dat door toezichthouders wordt uitgeoefend. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is een kritische succesfactor voor ondersteuning en realisatie van de bedrijfsdoelstellingen en interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Een correct opgezet en werkend IT-Governancemodel is noodzakelijk om te kunnen voldoen aan wettelijke voorschriften zoals bedrijfstakspecifieke richtlijnen als de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Sarbanes-Oxley Act Een aantoonbaar goede beheersing van bedrijfsrisico s en dus ook van de IT-risico s wordt niet alleen beloond met meer publiek vertrouwen, maar in de financiële sector zelfs met minder hoge solvabiliteitseisen, wat een positieve impact kan hebben op de bedrijfsresultaten. NOREA IT-Governance Een verkenning 13

15 14

16 3 Casus KPN 3.1 Inleiding Voor KPN is een adequate invulling van de IT-functie van levensbelang. Door optimaal gebruik te maken van de ontwikkelingen op het gebied van Informatie en Communicatie Technologie (ICT) kunnen tijdig de door de markt gewenste IT-producten ontwikkeld worden. KPN bouwt als telecommunicatiebedrijf mee aan de informatiesamenleving. Het doel van KPN is permanente innovatie van IT-producten en -diensten en uitvoering van operational excellence. Deze ambitieuze doelstelling vergt op alle niveaus binnen KPN doelgericht werken en vooral samenwerken. Wil KPN ook in de toekomst een belangrijke en vooraanstaande rol blijven spelen in de telecommunicatie en IT-wereld dan is een adequate beheersing van en sturing op het IT-werkveld een van de belangrijkste kritische succesfactoren. IT-Governance, als onderdeel van KPN Corporate Governance, speelt hierin een essentiële rol. 3.2 Positionering van ICT ICT kent binnen KPN globaal 3 toepassingen: 1 Netwerk productiemiddelen (schakelapparatuur, routers, hubs, telefooncentrales) ook wel TI genoemd (ofwel de C van ICT). Deze tak van sport is met name gepositioneerd binnen het Vaste Net; 2 IT-product/dienst georiënteerd (i-mode, voic , etc.); 3 IT-bedrijfsproces georiënteerd (zoals Billing, CRM, incl. applicaties/systemen en bedrijfsnetwerken). In de Informatie en Communicatie Technologie (ICT) vervagen steeds meer de grenzen tussen de IT en de TI; steeds meer is een samenhangende beheersing gewenst over de bovengenoemde toepassingen 1, 2 en 3. Vooralsnog is de focus voor IT-Governance binnen KPN met name gericht op de beheersing van applicaties ter ondersteuning van de KPN bedrijfsprocessen. NOREA IT-Governance Een verkenning 15

17 3.3 Het IT-Governance framework van KPN Het IT Governance framework van KPN is gebaseerd op het framework dat wordt gehanteerd door Rik Maes [3]. In figuur 3 worden de verschillende objecten aangegeven welke gerelateerd zijn aan het IT- Governance framework. Figuur 3 Korte toelichting van bovenstaande framework. Verticaal zijn achtereenvolgens 3 hoofdgroepen aangegeven: Business, Information Systems en Information Technology. De Business / organisatie heeft behoefte aan informatie voor de planning en control van haar producten/diensten, activiteiten en resources. Deze informatie wordt in hoge mate geleverd door inzet van IT-middelen (applicaties, systemen en bedrijfsnetwerken). Horizontaal kunnen de hoofdgroepen Business, Information Systems en Information Technology verder gedetailleerd worden in Strategic (richten), Structure (inrichten) en Implementation (verrichten). Zo levert dit 16

18 een 3 bij 3 matrix op. Een belangrijke rol speelt hierbij de CIO (zie ook volgende paragraaf) welke zijn focus heeft op de deelvakken binnen de blauwe cirkel. De essentie van het IT-Governance framework is dat alle negen vlakken in control moeten zijn. In de volgende paragrafen wordt ingegaan op deelaspecten van IT-Governance: Verantwoordelijkheden en scope IT-management: wie is waar voor verantwoordelijk in de IT-beheersing; IT-axioma s en IT-grondregels: kaderzettende en richtinggevende IT-regelgeving; Doelarchitectuur KPN: kader waarbinnen processen, applicaties en gegevens kunnen worden gepositioneerd en worden beheerst; IT Sourcing Strategy: wat is Core business en wat is Non-core business; Demand en Supply: het vraagstuk van de beheersing van de IT vragende partij in samenhang met de IT leverende partij; Rol IT-audit: aandachtsgebieden voor IT-audit bij IT-Governance. 3.4 Verantwoordelijkheden en scope IT-management Onderstaande figuur geeft de kernspelers weer in relatie tot IT-Governance. Figuur 4 NOREA IT-Governance Een verkenning 17

19 Toelichting op figuur 4: RvB: integraal verantwoordelijk voor IT; CIO 1 rapporteert aan portefeuille houder binnen RvB; CIO adviseert RvB. CIO is operationeel verantwoordelijk voor implementatie van het overall beleid: Uitvoerend voor Corporate projecten; Opdrachtgever voor incrementeel verbeterplan. DIO 2 is operationeel verantwoordelijk voor implementatie van het divisiebeleid: Uitvoeren voor divisie projecten; Enforcement vastgesteld beleid. Besturing via de lijn IT-aspecten: CIO-DIO): IT-middelen; IT CAPEX en OPEX; Projectcontrol en monitoring. Tot slot enkele succesfactoren voor de CIO: De CIO moet de brug slaan tussen de Business belangen en de IT-organisatie. De CIO moet business wise kunnen denken. De organisatievisie moet naar effectief IT-beleid worden doorvertaald; Niet alleen regels formuleren, ook wegnemen van obstakels; scheppen van randvoorwaarden; toezien op de business besluitvorming (wat is de IT-impact etc.). 3.5 IT-axioma s en IT-grondregels Binnen KPN wordt vanuit de CIO op strategisch niveau een beperkt aantal IT-axioma s voorgesteld. Het doel van deze IT-axioma s is de besturing van het IT-werkveld te verbeteren zodat de kosten omlaag gaan, de price/performance verbetert en de business een betere sturing heeft op de geboden IT-functionaliteit. Deze IT-axiomaregels zijn bekrachtigd door de RvB. Op tactisch niveau worden deze IT-axioma s uitgewerkt in zgn. IT-grondregels. Het operationele niveau moet door de bedrijfsonderdelen zelf worden ingevuld. Hierbij kan ieder bedrijfsonderdeel (BO) zelf aanvullende keuzes maken en accenten leggen, gegeven de doelstellingen. De volgende IT-axioma s zijn van kracht: 1 Gebruik van internationale standaarden en referenties heeft de voorkeur boven ontwikkeling van eigen standaarden en referenties; 2 Het gebruik van standaard software heeft de voorkeur boven eigen ontwikkeling; CIO: Chief Information Officer DIO: Divisie Information Officer

20 3 BO s richten procesketens en bedrijfsprocessen in op basis van door RvB vastgestelde procesreferentie (uitgewerkt in grondregels); 4 De IT ondersteunt ontkoppeling in lijn met processen; een applicatie dient de grenzen van een bedrijfsproces niet te overschrijden of ontkoppelpunten te bieden op die grenzen; 5 BO s stemmen grensoverschrijdende procesketens af aan de hand van de afgesproken procesreferentie; 6 BO s maken, ten behoeve van op elkaar aansluitende processen, afspraken over data (corporate) en data management (uitgewerkt in grondregels); 7 BO s leggen alle applicaties vast in de IT Repository (uitgewerkt in gebruiksregels); 8 BO s maken gebruik van de door RvB vastgestelde gemeenschappelijke IT-diensten. (uitgewerkt in gebruiksregels); 9 BO s passen door RvB vastgestelde IT-managementmethodieken toe (uitgewerkt in gebruiksregels). 3.6 Doelarchitectuur KPN Op basis van de overall business doelstellingen, is de KPN IT-doelarchitectuur ontwikkeld welke is gebaseerd op 7 domeinen (afgeleid van het E-Tom 3 model en overeenkomend met bedrijfsfuncties) en een Service Backbone (zie figuur 5). Figuur 5 3 E-TOM: Referentiemodel voor Telecom Operators NOREA IT-Governance Een verkenning 19

21 Doelstelling van de doelarchitectuur is te dienen als een framework, waarin applicaties, processen en gegevensverzamelingen kunnen worden gepositioneerd. Relaties worden zo zichtbaar en een basis voor besturing en dus ook IT-Governance wordt zo gelegd Domeinen De domeinen (Sales, Fullfillment, Billing, Operations, Purchasing, Marketing en Enterprise Management) vormen een functioneel referentiekader om te komen tot een betere service georiënteerde IT-huishouding. De domeinstructuur geeft een zodanige afbakening van gebieden dat zoveel mogelijk standaard software oplossingen kunnen worden toegepast Service Backbone Veel applicaties wisselen onderling informatie uit via zgn. Point to Point -verbindingen. In de toekomst zullen de domeinen (en gerelateerde applicaties) hun informatie gaan uitwisselen via een Service Backbone ( bus ). De doelstelling die hiermee wordt nagestreefd is het verkorten van time to market bij diensten introducties (door afhankelijkheidsreducties). Tevens wordt hiermee de consistentie in het gebruik van gegevens in de bedrijfsprocessen vergroot, wat weer leidt tot een grotere klanttevredenheid. Daarnaast creëert de Service Bacbone de randvoorwaarden voor het koppelen/ontkoppelen van applicaties en processen wat tot gevolg heeft een applicatie rationalisatie (maximale samenhang en minimale koppeling) beter mogelijk te maken. 3.7 IT-Sourcing Strategy Belangrijk uitgangspunt is dat IT-operations en -supply geen core business is voor KPN. Soms (als uitzondering) bij KPN houden in geval dat de key technology in het begin van haar life cycle is, of wanneer duidelijk concurrentievoordeel is te behalen. In de regel geldt voor IT-generieke zaken: In de regel uitbesteden: dus contract management is essentieel! KPN gerelateerd: ICT KPN architectuur altijd bij KPN; Regie en acceptatie altijd bij KPN; Functioneel Ontwerp: bij KPN; soms gedeeltelijk uit te besteden; Technisch Ontwerp: in de regel uitbesteden; Bouw: in de regel uitbesteden; Systeemtest: uitbesteden. 20

22 Preferred Suppliers: Selectie van Supplier vindt plaats door samenspel van CIO/ DIO s en CPO 4 ; Vaststelling van Preferred Suppliers door RvB. 3.8 Demand en Supply In het kader van IT-Governance is het belangrijk het volgende onderscheid te maken: IT-demand is de besturing van de vraag naar IT-diensten, bepaald door de gewenste ondersteuning van business processen; IT-supply is de levering van IT-diensten op basis van de eisen en specificaties van IT-demand. In overleg tussen KPN business, CIO en DIO s en CPO wordt bepaald hoe de knip tussen Demand en Supply moet liggen. In figuur 6 is één en ander geïllustreerd: Figuur 6 4 CPO: Chief Purchase Officer NOREA IT-Governance Een verkenning 21

23 3.9 Rol IT-audit Een mix van IT-audit werkvelden is aanwezig; deze kunnen worden afgebeeld op het hieronder gegeven framework van Rik Maes [3]. Gestreefd wordt dat de verschillende audits zich richten op zo vroeg mogelijk aan tafel bij de business; dit houdt in dat veelal sprake is van pre-implementation audits. Verder vindt prioritering plaats van audits door de audits te relateren aan risicogebieden. Altijd wordt eerst aandacht besteed aan de besturing / governance van het audit object alvorens inhoudelijk naar het object wordt gekeken. Figuur 7 Het uitvoeren van audits gerelateerd aan IT-Governance vraagstukken vormt een ultieme uitdaging voor de IT-auditor en biedt de mogelijkheid een nog grotere toegevoegde waarde te bieden. 22

24 4 Casus Fortis 4.1 Inleiding De financiële dienstverlening, is steeds meer een kennis- en informatie-intensieve bedrijfstak geworden. De informatie- en communicatietechnologie is van strategische betekenis voor Fortis om haar leidende rol op Bancassurance gebied te kunnen behouden. In een sectorrapport Bancassurance Study van JP Morgan Investment Banking en Monitor Group Managing Consultants worden IT-systemen genoemd als één van de vijf essentiële bouwstenen die tot de beste resultaten leiden. Een effectieve en efficiënte informatievoorziening is daarbij een kritische succesfactor. Essentieel is dat de sturing op de IT-functie zodanig georganiseerd is, dat de activiteiten van die IT-functie volledig in dienst staan van de strategische, commerciële en operationele activiteiten. IT-Governance vervult hierbij een belangrijke rol. Op verschillende managementniveaus binnen Fortis is IT-Governance in diverse verschijningsvormen duidelijk aanwezig. Twee van die verschijningsvormen zullen in paragraaf 4.2 aan de orde komen. De eerste betreft IT-Governance als sturingsinstrument voor de uitoefening van de IT-functie. De tweede vorm is IT-Governance als leidraad voor de uitvoering van een Control Risk Self Assessment (CRSA) door een ITorganisatie. In paragraaf 4.3 zal de relatie tussen beide verschijningsvormen en de deelgebieden van IT- Governance behandeld worden. Op de rol die voor IT-audit is weggelegd wordt in paragraaf 4.4 nader ingegaan. In de samenvatting in paragraaf 4.5 passeren de belangrijkste zaken in het kort nog eens de revue. 4.2 Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument Als de IT-activiteiten bij een specifieke organisatie zijn ondergebracht is het vastleggen van een aantal afspraken tussen de IT-organisatie en haar opdrachtgevers onontkoombaar voor de sturing op de uitvoering van de IT-functie. IT-Governance is binnen Fortis daarvoor onder meer als leidraad gebruikt. NOREA IT-Governance Een verkenning 23