Teveel IT in IT Governance. [white paper] een kritische kijk op beheer van ict. Prof. dr. Steven De Haes Prof. dr. Wim Van Grembergen

Transcriptie

1 Teveel IT in IT Governance [white paper] een kritische kijk op beheer van ict Prof. dr. Steven De Haes Prof. dr. Wim

2 Steven De Haes PhD, Antwerp Management School & Universiteit Antwerpen Wim PhD, Universiteit Antwerpen & Antwerp Management School Hoe komt het toch dat we ondanks het toegenomen bewustzijn van het belang van IT governance en alignment - het laatste decennium zo weinig vooruitgang hebben geboekt op dit gebied? In de literatuur noemt men dit fenomeen de knowing-doing gap : we zijn ons bewust van het probleem, maar hebben grote moeite om het op te lossen. (Pfeffer and Sutton, 2000). In dit artikel stellen de auteurs dat één van de oorzaken te ligt in het feit dat IT governance teveel een discussie is geweest van en voor ict ers. In die context stellen ze ook een verschuiving voor van IT governance naar enterprise governance of IT, met een meer primaire rol voor de business in de aansturing en inrichting van ict. De auteurs refereren hierbij ook naar de internationale IT governance raamwork COBIT, dat in zijn nieuwe editie dezelfde evolutie zal onderschrijven. 2

3 De Haes, 2009 IT governance, of goed beheer van ict, is een belangrijk thema geworden in zowel de academische wereld als het bedrijfsleven. Zo n tien jaar geleden werd het concept gedefinieerd zoals wij het nu begrijpen. Daarvoor was het vaak een discussie over het onderwerp centralisatie versus decentralisatie van ict., 2002 Op één van de leading academische conferenties werd in 2002 de volgende definitie gepresenteerd: IT governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT. & De Haes, 2009 Ondertussen hebben heel wat bedrijven en overheidsinstellingen in die geest IT governance projecten opgezet. Luftman & Tal Ben-Zvi, 2010 Een recente studie van de Society for Information Management toont ook aan dat het gerelateerde thema van alignment het laatste decennium continu een topprioriteit (eerste of twee plaats van belangrijkheid) is geweest voor CIO s en ict-managers. En toch blijft het fenomeen van de IT Black Hole of de IT productivity paradox (Strassman, 1990; Brynjolfsson, 1993) in veel organisaties actueel en de gemoederen bezig houden. Na vele jaren van IT governance en alignment inspanningen blijft de business zich vragen stellen bij de hoge kosten van ict en de bedrijfswaarde die er al dan niet uit wordt gerealiseerd. Deze kritisch houding werd zeker verstekt door de financieel-economische crisis vanaf 2008: iedereen moest besparen en dus zeker ook de ict-afdeling. 3

4 Te veel nadruk op de IT van IT Governance & De Haes, 2010 IT governance is het voorbije decennium teveel een discussie geweest binnen ict, voor en door IT ers. Er zijn tal van opleidingen en conferenties geweest rond IT governance, met alleen CIO s en ict-managers als participanten. En tal van rapporten werden geschreven over het belang van IT governance, maar ook die werden enkel gelezen door CIO s en ict-managers. De paradox zit eigenlijk al een beetje in het woord. Zolang we praten over IT governance, waarin het woord IT zeer centraal staat, zal de perceptie blijven bestaan dat IT governance in de eerste plaats een verantwoordelijkheid is van ict. & De Haes, 2010 Thorp, 2003 Uiteraard is een belangrijk punt in dit debat dat waardecreatie, de ultieme doelstelling van IT governance, niet komt uit de zuivere technologie, maar wel uit de veranderingen in de organisatie die door de technologie mogelijk zijn. Als zodanig kan de eindverantwoordelijkheid voor waardecreatie, en dus voor IT governance, alleen maar liggen bij de organisatie zelf, en niet bij ict. & De Haes, 2009 ISACA, 2008 Thorp, 2003 Neem nu het eenvoudige voorbeeld van Customer Relationship Management (CRM): als ict er in slaagt om de nieuwe CRM-applicatie op tijd, binnen budget en met de gewenste functionaliteit op te leveren, dan is er nog geen bedrijfswaarde gerealiseerd. Er zal enkel waarde worden gerealiseerd als de verkoopmensen effectief de applicatie gaan gebruiken om meer omzet, en dus bedrijfswaarde, te realiseren. Dit vergt echter, naast het opleveren van de technische applicatie, ook het uittekenen van een gepast bedrijfs/verkoopproces en het opleiden van de verkopers om volgens dit nieuwe proces en applicatie te werken. Zuivere ict-investeringen bestaan dus eigenlijk niet (met uitzondering van infrastructuurprojecten en dergelijke), het zijn eerder bedrijfsinvesteringen met een grote ict-component. In literatuur spreekt men dan ook minder over IT investments maar meer en meer over IT enabled business investments, waarmee onmiddellijk de verantwoordelijkheid voor waardecreatie bij de business wordt gelegd. De uitdaging zit hem dus in het overtuigen van de business dat zij de eindverantwoordelijkheid voor het beheer van en waardecreatie uit ict op zich moet nemen. Dit veronderstelt een belangrijke shift in de geesten van business- en ict- managers, waarbij ict niet wordt aangestuurd als een cost, maar meer als een asset om waarde te creëren voor de organisatie. Weill en Ross (2009) formuleren dit als volgt in hun IT Savvy Book : If senior managers do not accept accountability for IT, the company will inevitable throw its IT money to multiple tactical initiatives with no clear impact on the organisational capabilities. IT becomes a liability instead of a strategic asset. 4

5 De evolutie van IT Governance naar Enterprise Governance of IT Er is in elk geval een sterke stroming aan de gang, die tracht om deze mindset te veranderen. In 2008 kwam ISO uit met een nieuwe standaard onder de titel Corporate Governance of IT (ISO38:500), en de auteurs van dit artikel schreven in 2009 een nieuw managementboek onder de titel Enterprise Governance of IT: Achieving Strategic Alignment en Value. Dit boek benadrukt dat enterprise governance of IT integraal deel uitmaakt van enterprise governance en primair een verantwoordelijkheid is van de Raad van Bestuur en directie: Enterprise governance of IT is an integral part of corporate governance and addresses the definition and implementation of processes, structures and relational mechanisms in the organization that enable both business and IT to execute their responsibilities in support of business/it alignment and the creation of business value from IT enabled investments. Om de knowing-doing gap te overbruggen en enterprise governance of IT effectief te introduceren in een organisatie, bepleit deze definitie de noodzaak van een organizational system (De Wit and De Meyer, 2005), bestaande uit structuren (bv. steering committee), processen (bv. portfoliomanagement) en relationele mechanismen (bv. training), zodat zowel business als ict effectief hun verantwoordelijkheid kunnen nemen in het beheer van en de waardecreatie uit ict (zie figuur 1). Figuur 1 Organisationeel systeem om Enteprise Governance of IT te realiseren Structures e.g. IT steering committee, CIO on executive committee, roles and responsabilities Processes e.g. IT performance management, portfolio managerment, benefits management Enterprise governance of IT Relational Mechanisms e.g. job-rotation, colocation, account management 5

6 Enterprise Governance of IT & COBIT 5 & De Haes, 2009 COBIT 5, de nieuwe versie van COBIT die binnenkort wordt verwacht, zal helemaal meegaan in deze evolutie naar Enterprise Governance of IT. COBIT is ontstaan in de jaren negentig als een IT audit en controle raamwerk (zie figuur 2), ontwikkeld door ISACA ( De eerste twee versies van COBIT beschreven 34 processen en bijbehorende controle objectieven die auditors een belangrijke leidraad boden bij het beoordelen en evalueren van ict-processen. Met de lancering van COBIT 3 in 2000 werd een eerste stap gezet naar management. De 34 COBIT-processen werden aangevuld met concrete managementinstrumenten, zoals maturiteitsmodellen en metrieken. Vanaf dat moment begon COBIT meer toegang te vinden tot de wereld van ict-management en ict-professionals, terwijl de sterke basis binnen de audit- en controlewereld bleef bestaan (en nog steeds bestaat). In deze periode nam de adoptie van COBIT ook sterk toe, mede als gevolg van het ontstaan van reguleringen zoals Sarbanes-Oxley, waarvoor COBIT een zeer geschikt compliancy instrument is. Figuur 2 Evolutie van COBIT Enterprise Govenance of IT IT Govenance evolution IT Control IT Management IT Audit COBIT 1 COBIT 2 COBIT 3 COBIT 4 COBIT

7 & De Haes, 2009 ISACA, 2007 In 2005 neemt COBIT in zijn 4de editie belangrijke IT governance elementen op. In deze nieuwe editie werden concepten opgenomen rond het koppelen van bedrijfsdoelstellingen aan ict-doelstellingen, rond de relaties tussen ictprocessen en de verantwoordelijkheden binnen ict-processen (RACI charts). Ook de 34 COBIT-processen worden verrijkt met nieuwe IT governance inzichten van dat moment, zoals het belang van een IT strategy committee op het niveau van de Raad van Bestuur. ISACA, 2010 COBIT 5 kan gezien worden als weer een belangrijke nieuwe generatie van het COBIT gedachtegoed, waarin een duidelijke shift wordt gemaakt naar het bredere concept van enteprise governance of IT. Als je immers kritisch kijkt naar COBIT4, dan zie je dat de voornaamste focus ligt op verantwoordelijkheden van ict, terwijl recente gerelateerde raamwerken van ISACA, zoals VALIT (ISACA, 2008) en RISKIT (ISACA, 2009), meer de nadruk leggen op de business verantwoordelijkheden in waardecreatie en risicobeheer. COBIT 5 zal een geïntegreerd zicht geven op enterprise governance of IT, gebaseerd op COBIT, VALIT en RISKIT. Door de integratie van die raamwerken zal COBIT 5 end-to-end management en governance processen aanleveren, waarin zowel ict als de business een belangrijke rol spelen in het realiseren van waarde uit ict en het beheren van ict-gerelateerde risico s. 7

8 Conclusie Het gedachtegoed van IT governance staat al meerdere jaren hoog op de agenda van veel organisaties en toch blijft de business in vele organisaties zich vragen stellen bij de hoge kosten van ict en de bedrijfswaarde die er al dan niet uit wordt gerealiseerd. Eén van de oorzaken van dit probleem is dat IT governance teveel een discussie van en door ict ers is geweest. Bovendien, zolang we praten of IT governance waarin het woord IT zeer centraal staat, zal de perceptie ook blijven bestaan dat IT governance in de eerste plaats een verantwoordelijkheid is van ict. Een belangrijke uitdaging zit hem dus in het overtuigen van de business dat zij de eindverantwoordelijkheid op zich moet nemen voor het beheer van en waardecreatie uit ict. Er is een sterke stroming aan de gang, die tracht om deze mindset te veranderen en in die context wordt meer en meer gepraat over enterprise governance of IT, met een primaire verantwoordelijkheid voor de Raad van Bestuur en directie. De economische crisis heeft zeker als katalysator gewerkt om het thema nog scherper te stellen. In tijden van beperkte budgetten staat immers meer dan ooit de vraag rond rendement uit (ict-)investeringen centraal. In dat opzicht bevinden we ons nu in een uniek momentum om een belangrijke stap vooruit te zetten, en echt te evolueren van IT Governance naar Enterprise Governance of IT. Met de beschikbare raamwerken en beste praktijken (bv. COBIT), die vooral gekend zijn binnen ict, hebben CIO s en informatiemanagers het perfecte instrumentarium om de business te begeleiden in dit veranderingstraject naar volledige aansturing van ict door de business. Over de auteurs Prof. dr. Steven De Haes is Associate Professor Information Systems Management aan de Antwerp Management School en gastdocent aan de Universiteit Antwerpen. Hij is actief in executive education en research in de domeinen van IT governance, alignment en waardecreatie. Hij is nauw betrokken bij de ontwikkelingen van COBIT, VALIT en RISKIT en zit momenteel in de COBIT 5 Taskforce. steven.dehaes@ams.ac.be Prof. dr. Wim is Gewoon Hoogleraar Information Sytems Management aan Universiteit Antwerpen en de Antwerp Management School. Zijn onderwijs en onderzoeksactiviteiten focussen op de domeinen van IT Governance, Alignment en Waardecreatie. Hij is nauw betrokken bij de ontwikkeling van COBIT en ISO38:500. wim.vangrembergen@ua.ac.be 8

9 IT managementopleidingen aan Antwerp Management School Antwerp Management School biedt een aantal IT managementopleidingen aan voor professionals die rechtstreeks betrokken zijn bij de implementatie van het IT beleid in hun organisatie. In de Executive Master of IT Governance and Assurance, in samenwerking met de Universiteit Maastricht, leert u frameworks zoals COBIT, Val IT en Risk IT toepassen. Voor wie actief is met architectuurraamwerken is er de Executive Master of Enterprise IT Architecture, in samenwerking met de TU Delft. Naast de meerjarige Excutive Masters worden er ook kortlopende Master Classes aangeboden. De Master Class IT Leadership geeft u alle essentiële elementen van IT management en is gericht op professionals die via hun IT-investeringen optimaal waarde willen realiseren voor hun organisatie. Verder behoren de Master Class Business Process Management, de Master Class IT Architecture en de Master Class IT Assurance tot de opleidingsportfolio. Referenties Hoe krijgt u de informatietechnologie (IT) in uw onderneming onder controle zodat het de diensten en informatie aflevert die uw organisatie nodig heeft? Hoe beheerst u de risico s en de beveiliging van de IT infrastructuur waarvan u afhankelijk bent? n De Hoe Haes selecteert Steven. The u de relationship portefeuille between van IT IT governance investeringen and business/ zodat IT optimaal alignment, waarde ISBN wordt gerealiseerd - Saarbrücken: voor de ganse Lambert, organisatie? p. n Brynjolfsson, Vragen zoals E., 1993, deze The houden productivity heel wat paradox business of Information en IT managers Technology, Communications of the ACM, vol. 36, no. 12 bezig, en ze zijn op zoek naar een raamwerk dat kan helpen bij n We Wit B, Meyer R (2005) Strategy Synthesis: Revolving Strategy Paradoxes to de Create beveiliging, Competitive controle Advantage. en beheer Cengage van Learning hun informatiesystemen. EMEA. n Luftman, Tal Ben-Zvi, Key Issues for IT Executives 2009: Difficult Economy s Impact COBIT on (Control IT, MISQ Executive, Objectives vol for 9, no. Information 1, and Related n ISACA (2007) COBIT 4.1, beschikbaar op Technologies) is internationaal erkend als een belangrijk n ISACA (2008) RISKIT, beschikbaar op n ISACA raamwerk (2009) dat Val IT tegemoet 2.0, beschikbaar komt aan op deze behoeftes. n ISACA Het omschrijft (2010) COBIT goede 5 Design: praktijken Exposure in Draft, het beheer, beschikbaar controle op en n ISO/IEC beveiliging (2008) van 38500:2008, informatietechnologie, Corporate governance georganiseerd of information rond technology, een beschikbaar op logisch procesraamwerk. In 2011 zal ISACA een nieuwe versie n Pfeffer, J.; R. Sutton; The Knowing-Doing Gap, Harvard Business School Press, USA, van 2000 COBIT uitgeven: COBIT 5. Deze nieuwe editie heeft de n Strassman, ambitie om P. (1990). het hedendaagse The business value concept of Computers. van Enterprise New Goverance Canaan, Connecticut: of IT volledig The information te omhelzen Economics in een Press. geïntegreerd, n Thorp, J. (2003). The Information Paradox, McGraw-Hill Reyerson. volledig en toepasbaar raamwerk. n, W., 2002, Introduction to the minitrack IT Governance and its Mechansims, Proceedings of the 35th Hawaii International Conference on System De auteurs Sciences van (HICSS). dit artikel zijn vanuit de Antwerp Management n Van School Grembergen nauw betrokken W, De Haes S bij (2009) de ontwikkeling Enterprise Governance van COBIT, of IT: Achieving zowel Strategic Alignment and Value. Springer, New York. tijdens de vorige versies als voor de nu geplande nieuwe editie. In dit artikel lichten ze een tipje van de sluier hoe de nieuwe versie van COBIT 5 eruit zal zien. De auteurs van dit artikel gaan ervan uit dat de lezer vertrouwd is met de COBIT 4 concepten.