Behoorlijk bestuur van IT: aangeleerd of aangeboren?

Transcriptie

1 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? 2.3 Behoorlijk bestuur van IT: aangeleerd of aangeboren? Op het gebied van IT-governance is nog veel te winnen. Bedrijven hebben veel geïnvesteerd in technologie, IT-processen, maar er is aanzienlijk minder geld besteed aan de organisatie, de uitvoering, de beheersing en het verantwoording afleggen over deze IT-activiteiten. In dit artikel beschrijven Jeroen Biekart en Elizabeth-Ann Rosheuvel de huidige stand van IT-governance, wat de mogelijke oorzaken zijn voor het falen van IT-governance en dat het opzetten van IT-governance-structuren eigenlijk gemakkelijker is dan het lijkt INLEIDING: STORY September De budgetronde voor 2008 is in een afrondende fase, over een uur begint de directievergadering. Door de vele wensen en plannen van de andere directieleden nemen de IT-activiteiten het komend jaar fors toe. IT-manager Harry heeft de plannen hiervoor op hoofdlijnen uitgewerkt en een eerste, ruwe schets gemaakt van de te ontwikkelen applicaties en infrastructuur. Hij is tevreden over zijn IT-organisatie. Ten opzichte van vijf jaren geleden is er veel gebeurd. Harry was in die tijd net aangetreden als hoofd IT. IT werd toen nog niet als belangrijk gezien. Ter voorbereiding op het sollicitatiegesprek had Harry in de krant een artikel gelezen over de onderhoudskosten van infrastructuur. De bijgevoegde diagrammen toonden aan dat Unix-machines goedkoper in aanschaf waren en gemakkelijker te vervangen. Tijdens het sollicitatiegesprek had Harry aangegeven, dat het mainframe op termijn een te dure oplossing zou worden. Hij wilde de nieuwe functie graag hebben en het nieuwe bedrijf was bovendien dicht bij zijn woonplaats. Harry had eigenlijk wel een beetje gebluft toen hij tegen de directie zei dat ze kosten konden besparen door het mainframe te vervangen door Unix-machines, maar ja, het was toch ook een beetje waar. In de sollicitatieprocedure was dat doorslaggevend geweest. De directie had tegen Harry gezegd onder de indruk te zijn van zijn kunde en grote kennis van de markt en nieuwe ontwikkelingen. De directie had hem een driejarig prestatiecontract aangeboden met daarin als belangrijkste taak de vervanging van het mainframe door Unixmachines. Harry had hierover onderhandeld en afgedwongen dat hij een percentage van de bespaarde kosten als bonus zou krijgen én zou toetreden tot de directie als hij zijn targets wist te halen. Hij kreeg het voor elkaar om binnen twee jaar na zijn indiensttreding het mainframe compleet te vervangen door Unix-machines. Toen hij ermee bezig was, was dat best spannend en aanvankelijk dreigde het helemaal verkeerd te gaan, maar achteraf viel het eigenlijk wel mee. Harry had de grotere software- en consultancybedrijven een offerte uit laten brengen. Aanvankelijk had de directie zich er niet echt mee bemoeid, maar toen de directie op basis van de short list moest besluiten, veranderde dat. Eén directielid had erop gestaan dat ook het be- IT Service Management, best practices, deel 4

2 74 vriende consultancybedrijf Lampemakers mee moest doen. De directie had verder niet zoveel vragen gesteld en zich vooral laten leiden door zijn voorstellen. Consultancybedrijf Lampemakers en softwarehuis Tidelwave werden geselecteerd voor de vervanging van het mainframe door Unixmachines en aanpassing van de software. Aanvankelijk liep het allemaal erg stroef. De functionele en technische specificaties van de software bleken niet compleet en de conversie van de programmatuur bleek erg lastig. Toevallig las Harry op Heavenboard. nl een advertentie van een freelancer met ervaring met mainframe-applicaties. De freelancer werd aangenomen, Harry besloot dat de eigen IT-staf moest worden vrijgemaakt om aan het conversieproject mee te werken en nieuwe mensen van het softwarebedrijf werden ingehuurd voor de dagelijkse operationele gang van zaken. Toen begon het te lopen. De daadwerkelijke conversie was nog wel even spannend geweest, maar door niet alle historische data te converteren, was ook dat weer opgelost. De eindgebruikers hadden wel geklaagd, maar IT-technisch kon het niet meer anders. Bovendien liepen de kosten snel op. Gelukkig kon Harry de opgelopen projectkosten activeren en een behoorlijk deel toewijzen aan het inhuren van personeel ter vervanging van zijn eigen IT-staf. Gelukkig was ook het resultaat van de onderneming dat jaar, door de verkoop van een deelneming, erg hoog, zodat de opgelopen kosten minder dan normaal op het resultaat drukten. Twee jaar geleden had Harry nog eens de kostenbalans voor zichzelf opgemaakt. Door de opgelopen projectkosten was het break-evenpoint eigenlijk pas dit jaar bereikt, maar vorig jaar was alweer besloten om Unix te vervangen door Windows, doordat dat besturingssysteem beter zou aansluiten op de beschikbare internettechnologieën. Eigenlijk had de onderneming nooit geprofiteerd van die lagere aanschaf- en onderhoudskosten van de Unix-machines. Af en toe hoorde hij nog wel eens geklaag over het gebrek aan historische gegevens. Vooral de directie vond het in vergaderingen hinderlijk dat extrapolaties en vergelijking met historische cijfers slechts in beperkte mate beschikbaar waren. Na de overstap van het mainframe naar Unix, trad Harry zoals afgesproken toe tot de directie. De onderneming groeide fors. De directievoorzitter vond dat er meer aandacht moest worden besteed aan de inzet van internet als verkoopkanaal. Het was wel een beetje onduidelijk wat de beweegredenen precies waren. In een jaarlijks onderzoek kwam namelijk duidelijk naar voren dat juist het persoonlijke contact met de klanten als positief onderscheidend werd ervaren. Maar ja, concurrenten gingen ook via internet verkopen en diensten aanbieden. Harry was voorzitter van de internetstuurgroep. Het softwarehuis Tidelwave werd uitgenodigd om de site bouwen. De site was in no-time gemaakt en operationeel, maar helaas was niemand op het idee gekomen om de site ook aan de achterliggende systemen te koppelen. De business had dat niet aangegeven. Na een paar maanden liepen de achterstanden in de verwerking van bestellingen pas echt hoog op. Met kerst en oud en nieuw waren alle vakanties van de medewerkers ingetrokken om de internetbestellingen alsnog in te voeren in de bedrijfsadministraties. De business had wel geklaagd, maar het was hun eigen fout. Klanten beschouwden de onderneming nog steeds wel als prettige dienstverlener, maar het onderscheidende vermogen ten opzichte van de concurrentie was toch verminderd. Harry vond dat het niet zijn schuld was dat het callcenter structureel moest worden uitgebreid om de internetbestellingen in de achterliggende systemen over te typen. Als voorzitter van de internetstuurgroep stelde Harry voor de ontbrekende koppelingen naar de bedrijfsadministraties te realiseren. Een nieuw project werd hiervoor in het leven geroepen en softwarehuis Tidelwave werd opnieuw ingeschakeld. Het bouwen van die koppelingen bleek veel duurder dan verwacht. Volgens Tidelwave kwam dat

3 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? door de veelheid aan applicaties, die was ontstaan als gevolg van de vervanging van het mainframe door Unix. Tidelwave liet in de directievergadering vervolgens een onderzoek zien op basis waarvan werd aangetoond dat Windows-platformen goedkoper in beheer waren, de applicatiestructuur belangrijk kon worden vereenvoudigd (althans, in andere branches waren hiermee successen geboekt), en dat Windows beter aansloot bij internetverkopen. Tidelwave liet zien dat processen effectiever konden worden ondersteund, doordat Straight Through Processing kon worden gerealiseerd door gebruik te maken van ERP-systemen. Hierdoor zou het callcenter weer de oude vorm kunnen terugkrijgen. De directie besloot unaniem, dat Tidelwave weer aan de slag moest. De verkoopdirecteur werd benoemd tot de nieuwe voorzitter van de stuurgroep Business Process Redesign, waarbij consultant Lampemakers een kwaliteitsbewakende rol op zich nam. Harry nam ook deel aan deze stuurgroep, maar was minder gemotiveerd dan de voorgaande keren toen hijzelf voorzitter was. Aan de andere kant, Harry erkende ook wel dat processen herontwerpen niet zijn expertise was. Harry besloot van de gelegenheid gebruik te maken en ook binnen de IT-afdeling zelf een proces-redesign door te voeren en ITIL in te voeren. Dit tweede project stuurde Harry wel zelf aan en had tot doel een meer planmatige structuur binnen de IT-afdeling door te voeren. Prettige bijkomstigheid was dat Tidelwave ook de nodige ITIL-expertise in huis had en de nodige ondersteuning kon leveren. Beide projecten verliepen voorspoedig, zo bleek uit de maandelijkse voortgangsrapportages. Bij de gebruikersacceptatietesten ontstonden wat problemen. De performance van het nieuwe ERP-systeem was te laag en het leek erop dat er geen goed versiebeheer door Tidelwave was uitgevoerd. Telkens kwamen oude fouten in de functionaliteit terug, en de aansluitingen tussen orderinvoer, orderverwerking, fysieke goederenbeweging en grootboek klopten telkens niet. Het waren geen grote verschillen en volgens Tidelwave acceptabel. Niets om het live gaan uit te stellen en bovendien, door de internationalisatie van de klanten konden nu 24 uur per dag transacties worden afgehandeld. Wat een omzetverhoging zou dat betekenen. De IT-afdeling was bijna gereed met de ITIL-invoering en ze hadden bovendien Service Level Agreements (SLA s) met de business afgesproken over te leveren ondersteuning en beschikbaarheidsnormen. Die beschikbaarheidsnormen waren wel een beetje een probleem, want de business had erg hoge eisen gesteld en daarop was de IT nog niet ingericht. Helpdesk en operating waren nog op het oude model gestructureerd, back-up, recovery en uitwijk waren eigenlijk in eerste instantie helemaal niet in het project meegenomen en moesten volgens de eisen van de SLA nog wel worden gerealiseerd. Het live gaan van de nieuwe ERP-applicatie verliep heel rustig. Het was erg druk geweest, de gegevensconversie had wederom problemen opgeleverd en noodzakelijkerwijs waren niet alle gewenste data geconverteerd, maar het was werkbaar. Vervelend was ook dat de helpdesk en operating alleen overdag was ingeregeld, maar nog niet op basis van 24 uurs-ploegendiensten. Bovendien bleek dat het maken van back-ups technisch niet meer mogelijk was. Het ERP-systeem maakte gebruik van één database en die moest altijd live blijven van de business. De back-up was al verouderd op het moment dat hij werd gemaakt. Operating kreeg het steeds drukker met de verwerking van allerlei Windows-patches. Ze waren erg veel tijd kwijt aan het testen van de patches op de testomgeving, terwijl ze nooit fouten vonden. De financiële administratie begon steeds meer te klagen. Na drie maanden begon het op te vallen dat het debiteurensaldo opliep, maar dat betalingen niet, niet juist of onvolledig werden afgeletterd. De eerste aanmaningen waren al de deur uit gegaan en klanten begonnen te bellen dat al wel was betaald, maar dat 75 2 IT Service Management, best practices, deel 4

4 76 de goederen nog niet waren ontvangen. Volgens het ERP-systeem waren de goederen wel verzonden en van de voorraad afgeboekt. De financiële administratie klaagde ook over de BTW-verwerking en dat de maandelijkse aangifte niet aansloot op de geboekte omzet. Harry werd verzocht om een testomgeving in te richten, zodat de financiële administratie de geconstateerde problemen nader kon analyseren. Kennelijk was er bij het terugzetten van de back-ups wat verkeerd gegaan, want delen van de database werden niet teruggezet, terwijl het back-upverslag wel vermeldde dat alle tabellen van de database waren gekopieerd. Harry besloot Tidelwave weer om hulp te vragen, zij hadden immers het ERP-systeem ingericht en konden de problemen voor hem uitzoeken. Harry nam het nieuwe project meteen op in zijn strategisch meerjarenplan. Zo n plan was nieuw en dat had hij net dat jaar geïntroduceerd. Hij was er trots op dat hij met zijn strategisch IT-inzicht zou kunnen laten zien dat hij aan alle nieuwe ontwikkelingen op het gebied van IT gedacht had, en deze, met steekhoudende redenen omkleed, allemaal had toegevoegd aan zijn meerjarenplan. Hiermee kon hij bij de directie voor de dag komen. IT-GOVERNANCE VANDAAG DE DAG Intro Corporate Governance, of behoorlijk bestuur, is de structuur waarmee wordt aangeduid dat ondernemingen sturing geven aan hun bedrijfsactiviteiten, die bedrijfsactiviteiten beheersen, daarover verantwoording afleggen en dat (extern) toezicht wordt gehouden op die bedrijfsactiviteiten. Essentieel daarbij is dat de structuur transparant en aantoonbaar wordt gemaakt. IT-governance is in een organisatie de structuur waarbinnen IT wordt uitgevoerd, gestuurd, beheerst en toezicht of controle op de IT wordt uitgeoefend. De IT-governancestructuur specificeert de taken en verantwoordelijkheden over de verschillende deelnemers in een onderneming, zoals een raad van bestuur, de business en IT-managers, en definieert de regels en procedures voor het besluitvormingstraject voor IT. Hierdoor wordt de structuur bepaald waarbinnen de IT-doelstellingen, de middelen voor het behalen van deze doelstellingen en het toezicht op de inzet van IT worden vastgelegd. IT-governance heeft als doel verwachtingen over IT waar te maken. Een raad van bestuur verwacht doorgaans van het IT-management dat IT-diensten op tijd en binnen budget worden geleverd tegen de afgesproken kwaliteit en kwantiteit, dat IT efficiënt en effectief wordt geëxploiteerd ten gunste van de bedrijfsactiviteiten, en dat IT wordt ingezet voor het verbeteren van de efficiency en productiviteit van de rest van de onderneming. In de afgelopen decennia zijn miljarden besteed aan IT. Deze investeringen zijn voornamelijk besteed aan het automatiseren van processen, het verbeteren van gegevensbeheer en moderne technieken als e-business. Is dit geld welbesteed? Vandaag de dag is het met IT-beheer niet veel beter gesteld dan tien jaar geleden. Er zijn zelfs bronnen die beweren dat het sléchter gaat in vergelijking met de voorgaande decennia. Een greep uit enkele onderzoeken toont een positiever, maar niet juichend huidig beeld van IT-governance, het gebruik van IT en kwaliteit van IT, zie figuur 1 en 2. Wat buiten kijf staat, is dat IT een belangrijke plaats in neemt in het moderne bedrijfsleven. Het is een enabler ; een middel waardoor bedrijfsprocessen worden ondersteund, gestructureerd en verbeterd. Door deze enabler op de juiste wijze in te zetten, kan veel voordeel worden behaald, en dit wordt door allerlei compliance-regels (onder andere Sarbanes-Oxley en Tabaksblat) nog eens benadrukt. Onderzoek wijst echter uit, dat een optimale IT-governance bij veel bedrijven nog niet is gerealiseerd, ondanks de investeringen

5 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? d) To what extent is your IT Governance process integrated into the overall corporate governance process? 60% 50% 40% 30% 51% 77 20% 25% 10% 0% 9% Not at all, it is entirely separate Not very although there are some common mechanisms To a large extent where relevant, IT and other governance mechanisms are combined or integrated 15% Fully integrated one consistent governance framework within the organisation which encompasses IT 2 a) How would you describe your approach to objective setting and monitoring to embed IT Governance in your organisation? 60% 60% 50% 40% 30% 20% 10% 13% 0% Virtually no formal IT Governance related objectives set or monitored 13% Poor-inconsistent IT Governance objectives set in an ad-hoc fashion Good relatively consistent objectives set and monitored for most IT departments and individuals 13% Excellent consistent objectives set for individuals and departments throughout the organisation Figuur 1 & 2 IT-governance survey findings (Bron: Deloitte & Touche LLP 2005) van de afgelopen jaren. Er is veel geïnvesteerd in technologie, IT-processen en hypes, maar er is veel minder geld uitgegeven aan de organisatie, de uitvoering, de beheersing en het verantwoording afleggen over deze ITactiviteiten. IT-ELEMENTEN Er worden op het gebied van IT enkele overkoepelende bouwstenen onderscheiden, die een directe inwerking hebben op de effectiviteit van IT-governance. In figuur 3 zijn de hoofdelementen van IT weergegeven: Strategie is noodzakelijk om richting te geven aan de IT-processen en deze in lijn te brengen met de wensen van de bedrijfsprocessen die door IT worden ondersteund; Financiën heeft betrekking op de kos- IT Service Management, best practices, deel 4

6 78 Strategie Architectuur Financiën IT-ELEMENTEN Services Resources Figuur 3 De hoofdelementen van IT ten die voor en door IT worden gemaakt, waarbij budgettering, projectbudgettering, investeringen en doorbelasting van gemaakte kosten hot items zijn; Resources voor IT betreffen alle mogelijke middelen die voor de IT-dienstverlening kunnen worden ingezet (onder andere mensen, outsourcing, etcetera); Services betreffen de diensten die door IT worden aangeboden ter ondersteuning van bedrijfsprocessen. Deze diensten variëren van het verschaffen van informatie, het ter beschikking stellen van apparatuur tot aan het mogelijk maken van internetbusiness en helpdeskfuncties; De onderliggende architectuur is de ruggengraat van de IT-dienstverlening. Architecturen in zowel hardware als software vormen de middelen waarmee IT-services voor de bedrijfsprocessen worden ontsloten. In diverse onderzoeken wordt vastgesteld dat de elementen uit bovenstaande figuur tot problemen kunnen leiden, die volgens de respondenten tot een minder goede IT Governance bij het bedrijf leiden. Zo blijkt bijvoorbeeld uit figuur 4 dat het tekort aan IT-personeel als het grootste probleem wordt ervaren, gevolgd door (te) hoge kosten. SERVICE LEVEL AGREEMENTS Om IT en de bedrijfsprocessen beter op elkaar te laten aansluiten en de wensen en eisen helder te krijgen, worden tussen de business en de IT-organisaties vaak zogeheten Service Level Agreements (SLA s) afgesloten. Deze bevatten in het meest optimale geval een vertaling van de eisen en wensen van de business naar meetbare en duidelijk gedefinieerde servicelevels (dienstenniveaus), waarover periodiek verantwoording kan worden gevraagd en afgelegd. SLA s kunnen daarmee een waardevol complianceen sturingsmechanisme vormen. Onderzoek wijst uit dat SLA s, hoewel ze al in diverse organisaties aanwezig zijn, niet altijd tot het gewenste resultaat leiden.

7 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? IT staffing problems 117 High cost / low ROI Operational IT incidents No view on IT performance Outsourcing problems Disconnect between business/it strategies Security/privacy incidents 60 IT not meeting compliance requirements Figuur 4 IT-elementen die tot problemen kunnen leiden in een bedrijf (Bron: IT Governance Institute, 2006 global survey) f) To what extent are SLAs in place between IT and the business? 15% 19% We don t use SLAs A few key SLAs are in place 2 25% 40% A wide range of SLAs are in place, but the business doesn t fully understand them Comprehensive SLAs are in place and have been developed in conjunction with the business Figuur 5 Overzicht van het gebruik van SLA s (Bron: Deloitte & Touche LLP, 2005 IT Governance survey findings) Zoals uit figuur 5 blijkt, zijn er diverse redenen waarom IT-governance niet wordt bereikt door het implementeren van SLA s alleen. SLA s zijn dikwijls onduidelijk, waardoor voor de onderneming niet in voldoende mate helder is of zijzelf en de IT-organisatie wel op één lijn zitten. Ook wordt onvoldoende verantwoording afgelegd over SLA s door middel van regelmatige rapportage en review van de behaalde dienstenniveaus (zie ook bijlage A, SLA-eisen). Het niet voldoen aan SLA s, het niet afstemmen van de beschikbare IT-middelen op de wensen van het bedrijf en de miscommunicatie tussen IT en de organisatie in het algemeen leiden tot een gevoel van onvrede bij het management van bedrijven. IT wordt niet als een effectieve enabler gezien, maar als een molensteen van miscommunicatie en levert een onduidelijke bijdrage aan de organisatiedoelstellingen. Hoe komt dit en wat zijn de meest duidelijke oorzaken van een falende IT Governance? STORY Het is inmiddels een jaar geleden dat deze problemen zich voordeden. Het project, oorspronkelijk voor twee maanden gepland, heeft ongeveer negen maanden geduurd. Vervelend genoeg voelde Harry dat de overige directieleden steeds minder begrip kregen voor de problemen. De directeur verkoop was met een knallend feest met pensioen gegaan en als gevolg daarvan was het nu opeens zijn ERP-systeem geworden. De nieuwe directeur verkoop had geen begrip voor het feit dat het uitzoeken en oplossen van de problemen zoveel tijd in IT Service Management, best practices, deel 4

8 80 beslag nam. Klanten klaagden, sommigen wilden zelfs hun betalingen gestorneerd (teruggeboekt) hebben, maar onduidelijk was of die klanten überhaupt hadden betaald en voor welke goederen dat dan was. De financieel directeur kwam onder steeds grotere druk van de belastingdienst te staan, die niet meer accepteerde dat de aangiften omzetbelasting niet aansloten op de geboekte omzet zonder gedetailleerde argumentatie en verklaringen. Gelukkig was het ITIL-project wel een succes, maar het leek alsof Harry de enige was die dát als een succes zag. Maar dat was zes maanden geleden en die problemen waren gelukkig achter de rug. De onderneming had wel een boete gekregen van de belastingdienst, de publicatie van de jaarrekening was vertraagd en helaas hadden enkele grotere klanten de relatie met de onderneming opgezegd. Met enkele andere klanten was er nog discussie over de betalingen en levering van goederen. De meeste klanten hadden echter goed meegewerkt met het oplossen van de problemen en hadden betalingsoverzichten opgestuurd. Aan de hand daarvan had Harry de reconstructie intern kunnen uitvoeren. Natuurlijk waren er klanten geweest die ook misbruik van de situatie hadden gemaakt, maar dat was achteraf moeilijk hard te maken. Harry haast zich naar de directievergadering en licht zijn begroting, strategisch IT-meerjarenplan en actieplannen toe. Hij vertelt enthousiast dat de problemen met de back-ups nu ook zijn opgelost. Voldaan wacht Harry op de reactie van de andere directieleden. De voorzitter neemt het woord: Harry, we denken erover om IT uit te besteden. De directievoorzitter geeft aan dat zij een benchmark hebben laten uitvoeren naar de kosten van IT bij vergelijkbare bedrijven in en buiten de eigen sector. De directie constateert dat de kosten van de IT-afdeling bijna anderhalf keer zo hoog zijn als bij vergelijkbare bedrijven. Verkoop klaagt over het verlies van klanten en over de lange tijdsduur voor de ontwikkeling van nieuwe functionaliteit en overzichten. De financiële administratie klaagt dat de jaarrekening niet op tijd af was en over de boete die door de belastingdienst is opgelegd. De kosten van de inzet van Tidelwave zijn torenhoog. Doordat een medewerker van Tidelwave recent een besmette gegevensdrager gebruikte, was er een virus actief geworden op het netwerk dat allerlei bestanden corrumpeerde. Het ERP-systeem moest opnieuw worden opgebouwd, maar doordat het probleem met de back-ups nog niet was opgelost, konden niet alle gegevens worden hersteld. Harry vindt dat hij door de invoering van ITIL de IT-afdeling verder heeft geprofessionaliseerd. De werkzaamheden zijn ingedeeld naar standaard routinematige processen, werkinstructies zijn opgesteld, en activiteiten zijn gestructureerd. De uitvoering van deze procesmatige werkwijze heeft er ook toe geleid dat de focus kwam te liggen op interne, binnen de IT-afdeling te realiseren verbeteringen. Hoewel het de bedoeling was de serviceverlening aan de onderneming te verhogen, lijkt het tegenovergestelde te zijn bereikt en wachten de interne afnemers juist langer op ondersteuning en aanpassingen. Harry s eigen rapportages over de bereikte servicelevels staven deze klachten van de business. Harry constateert dat de interne afnemers weinig tot geen zicht hebben op de werkzaamheden die de IT-afdeling verricht. Hij heeft alle problemen met het ERP-systeem moeten oplossen en tegelijkertijd zorgde Harry er ook voor dat de dagelijkse ondersteuning doorging, en als dank willen ze nu zijn afdeling outsourcen! Kon hij zijn collega s maar duidelijker maken hoe complex de IT-processen in elkaar zitten, maar vooral ook hoe goed de resultaten eigenlijk zijn.

9 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? Strategie 81 Architectuur Financiën IT-ELEMENTEN Services Resources 2 Figuur 6 Het IT-element Strategie EEN THEORETISCHE ANALYSE VAN DE OORZAKEN VAN HET FALEN VAN IT-GOVERNANCE In de vijf hoofdelementen van IT die bij juiste invulling tot een verbeterde IT-governance kunnen leiden, zijn diverse valkuilen te onderscheiden, die juist tot de tegenovergestelde situatie leiden. IT-governance en cultuur Een van de oorzaken van een falende IT-governance ligt in de cultuur van een organisatie. Deze cultuur beïnvloedt denkprocessen, communicatie en beslissingen. Zo zal een hoofd IT, dat te weinig wordt uitgedaagd om creatief en innovatief na te denken over de dienstverlening van de afdeling IT, geneigd zijn een conservatief beleid te voeren en beslissingen te baseren op informatie en goedkeuring van ja-knikkers en onvoldoende kritische medewerkers. Een dergelijke organisatie leidt tot het almaar continueren van de bestaande activiteiten op het gebied van IT-governance, waarbij de status quo nooit verandert. Dichtslibbende en vastgeroeste relaties tussen IT en de business veranderen in een dergelijke organisatie niet snel en leiden ook niet tot de gewenste transparantie en beheersing van IT. In een organisatie waar hard wordt afgerekend op falen en fouten, zal geen goede IT-governance worden gerealiseerd. Transparantie leidt tot verantwoordelijkheden en verantwoordelijkheden worden in dit soort organisatie vermeden, omdat ze direct (of indirect) tot afrekening leiden. Verantwoording afleggen over realisatie van IT-doelstellingen is een belangrijk onderdeel van IT-governance. Als de organisatie om welke reden dan ook deze verantwoordelijkheid niet durft te nemen, wordt niet achterhaald wat de oorzaak van problemen is en worden er ook geen structurele oplossingen voor dergelijke problemen gerealiseerd. Organisaties als deze kenmerken zich door een groot aantal grijze muizen. Creativiteit wordt niet op prijs gesteld en boven het maaiveld uitsteken al helemaal niet. Om deze reactieve, niet-proactieve houding te doorbreken, dient een cultuuromslag te worden bewerkstelligd. Dit is een van de moeilijkste opdrachten van een onderneming, waarin falende IT-governance niet tot de gewenste mate van transparantie en informatie leidt (zie figuur 6). IT Service Management, best practices, deel 4

10 82 Strategie Architectuur Financiën IT-ELEMENTEN Services Resources Figuur 7 Het IT-element Financiën Strategie Architectuur Financiën IT-ELEMENTEN Services Resources Figuur 8 Het IT-element Resources IT-governance en kosten In de afgelopen jaren is gebleken dat hogere investeringen niet altijd tot een hogere kwaliteit van de IT-dienstverlening leiden. Ondanks dat IT-hardware en -software in feite steeds goedkoper zijn geworden, zijn implementatiekosten, personeelskosten en outsourcingscontracten typische kostenverhogers gebleken. Projecten zijn duur en worden zodanig gebudgetteerd dat in het verleden

11 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? Strategie 83 Architectuur Financiën IT-ELEMENTEN Services Resources 2 Figuur 9 De IT-elementen Services en Architectuur gemaakte fouten meetellen in de toekomstige budgetten. Er wordt vooraf al uitgegaan van verborgen kosten en planningen die hun deadline overschrijden. Oplossingen die met behulp van IT tot een grotere kostenefficiëntie moeten leiden, lijken een utopie die slechts in weinig gevallen het gewenste doel tot gevolg hebben (zie figuur 7). IT-governance en resourceproblematieken Resourceproblemen zijn een van de meest voorkomende IT-problemen. Niet alleen een tekort aan (goede) medewerkers, maar ook problemen met de outsourcing van activiteiten en het beheer hiervan leiden tot een gebrek aan slagkracht en transparantie. De informatie die nodig is om de business en het management van een onderneming te overtuigen van de toegevoegde waarde van IT voor de organisatie en het belang van een strategische positionering van IT om de gestelde organisatiedoelen inzake governance en compliance te bereiken, zal in een organisatie met resourceproblemen niet snel boven water komen en ook niet tot de gewenste resultaten leiden. Wanneer de resources voor IT niet toereikend zijn, om welke reden dan ook, dan zal IT-governance hieronder leiden (zie figuur 8). IT-governance en alignment IT-governance is een middel om tot een bevredigende totale Corporate Governance te komen en de door de onderneming gewenste doelen te bewerkstelligen. Als IT in een organisatie een doel op zich wordt, zal hij in de regel niet bijdragen aan het bereiken van de bedrijfsdoelstellingen. Een organisatie waarbij deze valkuil wordt gesignaleerd, beschikt bijvoorbeeld over fantastische, hypermoderne technologieën, die door de medewerkers uit de business niet worden gebruikt. Een internetoplossing waarbij via een website bestellingen kunnen worden gedaan en orders afgehandeld kunnen worden, werkt alleen wanneer hier vanuit de business ook daadwerkelijk vraag naar is. Services, aangeboden door de IT-organisatie, die niet aansluiten op de businesseisen leiden niet tot een constructieve bijdrage aan de doelstellingen van de onderneming. Ze gaan daarmee aan het doel van IT, de gewenste IT-governance realiseren, voorbij. Een moderne architectuur die IT Service Management, best practices, deel 4

12 84 Better alignment of IT strategy Better management of IT resources Better delivery of business value through IT Better management of IT process Better measurement of IT performance Better management of risk 3,93 3,90 3,90 3,87 3,87 3,67 Outsourcing IT 3, (Based on 623 respondents of the overall sample) Figuur 10 Factoren die IT-elementen verbeteren (Bron: IT Governance Institute, 2006 global survey) ongewenst is, zal, net als een verouderde ITarchitectuur, niet de vereiste ondersteuning verlenen aan de onderneming. Verouderde IT-architecturen (bijvoorbeeld niet-geïntegreerde, losstaande legacy-systemen) beperken de mogelijkheden tot effectief werken en leveren onvoldoende actuele, geïntegreerde managementinformatie. (zie figuur 9) De valkuilen die hierboven zijn beschreven, kunnen op diverse manieren worden bestreden. Verderop gaan we hier nader op in. Uit onderzoek blijkt dat de volgende factoren de IT-elementen significant verbeteren, zie figuur 10: alignment van IT met de ondernemingsstrategie; een verbeterd management van resources; het leveren van toegevoegde waarde aan IT; verbeteringen op het gebied van management van IT-processen. VERVOLG STORY Harry verlaat gedesillusioneerd de directievergadering. Hij moet een plan opstellen voor de outsourcing van zijn IT-afdeling. Net nu hij alle problemen van de afgelopen tijd heeft opgelost. In gedachten dagdroomt Harry over een ideale IT-afdeling onder zijn leiding In zijn utopie bespreekt Harry met zijn mededirecteuren de beleidsplannen voor de komende jaren. Als afgeleide daarvan heeft Harry een nieuw IT-plan opgesteld, waarin rekening is gehouden met de ontwikkelingen in de bedrijfsvoering en IT-technologie. Er is onderscheid gemaakt naar vernieuwing, vervanging en operationele werkzaamheden. Alle mededirectieleden snappen precies waar hij naartoe wil en hoe goed hij het eigenlijk allemaal doet. Om deze plannen ook in werkelijkheid te realiseren, analyseert Harry de huidige situatie in vergelijking met de gewenste situatie. Beide situaties legt Harry vast in tekeningen en specificaties met de volgende elementen: doelstellingen (af te spreken met de business als afnemer of opdrachtgever); kosten (budgetten en kosten voor de afdeling IT, doorbelastingen); resources (de kennis en cultuur van de mensen die de doelstellingen realiseren); architectuur (de IT-omgeving); IT-services (de operationele IT-processen en resultaten die aansluiten bij de doelstellingen). Als afgeleide daarvan specificeert Harry de transitie die nodig is om van de huidige situatie naar de gewenste situatie te komen. Hij definieert dat in projecten en maakt specificaties.

13 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? Voor iedere activiteit die Harry onderneemt, projectmatige ontwikkeling dan wel operationele IT-ondersteuning, definieert hij: de doelstelling; de instructie; de uitvoerders; de vastleggingen die over de uitvoering van de instructie moeten worden opgesteld; de monitoring die ervoor zorgt dat toegezegde afspraken worden nagekomen en afwijkingen van de norm tijdig worden gesignaleerd; de verantwoording die over de uitgevoerde werkzaamheden moet worden afgelegd. Harry bedenkt zich ook dat mensen, organisatie en cultuur bepalend zijn voor het succes van de onderneming en ook van de IT-afdeling. Harry stelt hiervoor een formatieplan op. Per functie bepaalt Harry welke kennis en opleidingen noodzakelijk zijn. Hij beschrijft vervolgens de gewenste werksfeer, de normen en waarden en de arbeidsmores. Harry realiseert zich dat dit zich niet altijd laat beschrijven. Hij moet zelf het voorbeeld geven, de tone at the top. Pas dan zal zijn utopische idylle werkelijkheid worden. Tot die tijd heeft Harry maar één doel: voorkomen dat de voorgestelde outsourcing plaatsvindt. Hij zoekt, net als in zijn begintijd, maar weer eens wat artikelen op. Ditmaal over outsourcingstrajecten. Gelukkig kan hij in korte tijd voldoende ammunitie vinden, waarmee hij aan de directie kan laten zien dat outsourcen niet altijd de oplossing voor IT-problemen is. Hiermee gewapend gaat Harry de toekomst tegemoet. CONCLUSIE IT-GOVERNANCE: AANGEBOREN OF AANGELEERD Kenmerken van een effectief functionerende IT-governance Uit verschillende onderzoeken blijkt dat respondenten een effectief functionerende IT-governance aan de volgende kenmerken koppelen, zie figuur 11. Wat moet door IT-management worden gedaan om dit te realiseren Eigenlijk is een goede IT-governance opzetten gemakkelijker dan het lijkt. Er zijn een aantal basale regels waaraan iedere IT-manager zich dient te houden. Zonder kunst- en vliegwerk is het zeker mogelijk een bevredigende IT-governance op te zetten. Deze dient zich te richten op de volgende activiteiten: 1. focus op de langere termijn, streef naar meetbare doelen; 2. definieer de resultaten van buiten naar binnen (van business naar IT); 85 2 Adequate business continuity and securiy measures taken Setting up right organisational structures IT resources requirements based on business priorities IT processes regularly audited for effectiveness and efficiency Board review of IT budgets and plans IT management of IT projects, portfolio CEO informed on IT risks IT scorecard for value creation IT project portfolio managed by business department 90% 85% 81% 80% 71% 66% 64% 57% 49% Figuur 11 Kenmerken van effectief functionerende IT-governance (Bron: IT Governance Institute, 2006 global survey) IT Service Management, best practices, deel 4

14 Implementation of standards 86 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 23% 9% 43% 21% 17% 6% 6% 25% COBIT ITIL ISO CMMI ISO 9000 ISO NONE Figuur 12 Frameworks en standaarden die een onderneming ondersteunen bij IT-governance (Bron: Deloitte & Touche LLP, 2005 IT Governance survey findings) 3. breng structuur aan in de realisatie; 4. definieer en vorm de juiste cultuur; 5. investeer in mensen en resources; 6. denk in ketens, waarbij de business de leidraad vormt. Deze basale aandachtspunten zijn te vertalen in enkele vragen, die goed in iedere eigen ITsituatie zijn te gebruiken (zie ook bijlage B, de checklist voor ambitieuze, handige Harry s ). De eenvoudigste manier van beheersing is immers een duidelijke communicatie over de gewenste doelen met zowel de cliënt (de business) als de technische medewerkers (de IT-ers). Vervolgens moeten deze doelen worden uitgewerkt in nieuwe maatregelen, waarbij de levering van een kwalitatief goede dienstverlening ook extra aandacht verdient. In de markt zijn diverse frameworks en standaarden aanwezig, die daarbij de onderneming kunnen ondersteunen. Een recent onderzoek geeft hierover de volgende resultaten weer, zie figuur 12: ITIL-procedures zijn verreweg favoriet, deze beschrijven namelijk een zeer praktische wijze van invulling en uitvoering van IT-processen. Control en verantwoording P A D C P A D C Strategie en prestatie Figuur 13

15 Governance Behoorlijk bestuur van IT: aangeleerd of aangeboren? Hoewel de focus van bovenstaande frameworks en standaarden op verschillende deelgebieden van IT-governance ligt, geven alle op de markt zijnde frameworks en methoden in meer of mindere mate een gestructureerde aanpak voor het uitvoeren van een reeks basale stappen. De volgende stappen onderkennen wij hierbij: plannen en instrueren; uitvoeren; meten en borgen; rapporteren en verantwoorden. Indien deze stappen op een juiste en volledige wijze door de IT-organisatie worden uitgevoerd, kan een goede IT-governance worden bewerkstelligd. Strategie en prestatie worden verbeterd en door de behaalde resultaten te borgen, kunnen verbeteringen worden aangebracht op een al behaald resultaat, wat tot nog betere resultaten, control en verantwoording leidt (zie figuur 13). Er zijn geen organisaties die dit van nature al goed doen. Daarvoor is de terminologie te verwarrend, de definities te onduidelijk en het aantal aangeboden oplossingen te divers. Met een basisset aan IT-resources, communicatief vermogen en een zekere mate van durf en doortastendheid, kan in korte tijd een grote slag worden gemaakt in het bereiken van de ultieme IT-governance: transparant, aansluiting met de business, efficiënt en effectief. Geen kunst en vliegwerk, maar gewoon gezond verstand. Drs. Jeroen Biekart RE RA is partner bij Ernst & Young EDP Audit. Hij leidt in Amsterdam de afdeling EDP Audit (25 medewerkers). Ernst & Young EDP Audit is actief waar organisaties IT besturen, gebruiken en vernieuwen en zich daarover verantwoorden. Edp audits richten zich op de beheersing, controle en beveiliging van hun IT. Drs. Elizabeth-Ann Rosheuvel RE is manager bij Ernst & Young EDP Audit. Zij is met name werkzaam voor Financial Services-clienten waarvoor Ernst & Young de accountantscontrole verzorgt. Ook is Elizabeth betrokken bij een aantal quality Assuranceopdrachten bij grotere systeemontwikkeltrajecten en governance-vraagstukken BIJLAGE A: SLA-EISEN Eisen aan Service Level Agreements 1 Algemeen 1.1 De ingangsdatum van de SLA dient te zijn vastgelegd. 1.2 Beëindiging dient te zijn vastgelegd. 1.3 Een lijst met defi nities/begrippen/terminologie dient in de SLA beschikbaar te zijn. 1.4 De SLA dient in overeenstemming te zijn met andere documenten (met name contracten). 1.5 Versiebeheer dient te zijn geformaliseerd. 1.6 De deelnemende partijen dienen de SLA te ondertekenen. 2 Partijen 2.1 De namen van de deelnemende partijen dienen te zijn vastgelegd. 2.2 De volledige adresgegevens van de deelnemende partijen dienen te zijn vastgelegd. 3 Prestatie 3.1 Het onderwerp waarop de dienstverlening betrekking heeft, dient te zijn opgenomen. 3.2 Het niveau van ondersteuning (helpdeskgegevens, beschikbaarheid van de helpdesk, soort ondersteuning) dient te zijn vastgelegd. IT Service Management, best practices, deel 4

16 Het aanbod van beschikbare diensten dient te zijn vastgelegd. 3.4 De minimaal geboden functionaliteit dient te zijn opgenomen. 3.5 Er dient te zijn vastgelegd op welke wijze er wordt omgegaan met wijzigingen. 3.6 Er dient te zijn vastgelegd op welke wijze er wordt omgegaan met calamiteiten. 3.7 Er dient te zijn vastgelegd op welke wijze oplevering en onderhoud van documentatie geschiedt. 4 Planning 4.1 Er dient te zijn opgenomen op welke tijden de dienstverlening plaatsvindt. 4.2 Responsietijd dient te zijn vastgelegd. 4.3 Doorlooptijd dient te zijn vastgelegd. 5 Participatie 5.1 De soort overeenkomst dient te zijn vastgelegd. 5.2 Er dienen bepalingen te zijn opgenomen met betrekking tot schade en aansprakelijkheid. 5.3 Bepalingen met betrekking tot een overname van de leverende partij dienen te zijn vastgelegd. 5.4 Overdracht van rechten en plichten dient te zijn vastgelegd. 5.5 Garanties dienen te zijn geformaliseerd. 5.6 Betrokkenheid en aansprakelijkheid van derden (cliënten) dient te zijn vastgelegd. 5.7 Er dienen bepalingen over het opvragen van een Third Party Mededeling (TPM) te zijn opgenomen. 5.8 Er dienen afspraken te zijn opgenomen over aanpassing van de SLA. BIJLAGE B: CHECKLIST VOOR AMBITIEUZE HARRY S 1. Heb ik een strategie gedefinieerd (voor de lange en de korte termijn)? 2. Heb ik met de business gecommuniceerd over de wijze waarop IT in de komende jaren kan bijdragen aan het bereiken van de bedrijfsdoelstellingen? 3. Heb ik recentelijk begrijpelijk gerapporteerd over de behaalde IT-doelstellingen en de kwaliteit van IT-werkzaamheden? 4. Heb ik de SLA s bekeken om te onderzoeken of ik deze nog steeds nakom / kan nakomen? 5. Heb ik recent bijgedragen aan het inzicht in bedrijfsprocessen en de broodnodige transparantie? 6. Zijn er risicoanalyses uitgevoerd op de IT-processen en zijn er maatregelen getroffen die deze risico s verzachten? 7. Is monitoring van processen mogelijk en wordt dit ook regelmatig uitgevoerd? 8. Zijn de verantwoordelijkheden tussen IT en de business verdeeld, vastgelegd en akkoord? 9. Heb ik het vertrouwen van de business? 10. Ben ik in geen van de IT-valkuilen getrapt en zo ja, kan ik er dan nog uitkomen, voordat dit desastreuze gevolgen heeft voor mijn beleid en toekomst?