geen kant-en-klare IT governance-oplossing die zomaar in elke organisatie kan worden geïmplementeerd.

Transcriptie

1 INLEIDING IT governance of deugdelijk IT-bestuur is een concept dat recent een belangrijk thema is geworden zowel in de academische als in de bedrijfswereld. We weten niet exact wanneer het is ontstaan, of wie voor het eerst deze term heeft gedefinieerd, maar zeker is wel dat het momenteel een discussiethema is in organisaties. Heel wat bedrijven en overheidsinstellingen erkennen het toenemende belang van IT in hun organisatie en hebben intussen IT governance-projecten opgestart. Doelstelling is een betere fusie tussen IT en de organisatie te bereiken en de noodzakelijke be - trokkenheid van bestuurders en executive management te verkrijgen. Uit enquêtes blijkt dat Chief Information Officers (CIO s) IT governance zien als een managementprioriteit. Zo staat bijvoorbeeld in Gartner s Top ten CIO Management Priorities for 2003, Improving IT governance voor de eerste keer gerangschikt en wel op de derde plaats. Op de eerste plaats van die rangschikking vinden we het aanverwante thema Providing guidance for the Board/Executive. In dit boek geven we een definitie van IT governance, verklaren we de relatie met corporate governance en verduidelijken het verschil met IT-management. We beschrijven eveneens een raamwerk van concrete structuren, processen en relationele mechanismen die in de praktijk kunnen worden gebruikt om de doelstelling van IT governance te bereiken. Twee belangrijke IT governance ondersteunende processen worden vervolgens in detail uitgewerkt, namelijk het COBIT-raamwerk (Control OBjectives for Informa - tion and related Technologies) en de Balanced Scorecard (BSC). Een belangrijke boodschap van dit boek is dat voor elke organisatie de optimale mix anders zal zijn. Wat werkt voor de ene organisatie, werkt daarom niet altijd voor andere organisaties. Er bestaat dus 11

2 geen kant-en-klare IT governance-oplossing die zomaar in elke organisatie kan worden geïmplementeerd. 12

3 Verscheidene auteurs hebben de laatste jaren een IT governancedefinitie ontwikkeld. In dit boek houden we twee definities aan die in dit hoofdstuk nader worden uitgewerkt. Verder wordt aandacht besteed aan de relatie tussen IT governance en cororate governance en IT governance en IT-management. HOOFDSTUK 1 IT GOVERNANCE 1.1 Definitie In dit boek houden we twee definities aan; de eerste is ontwikkeld door het IT Governance Institute ( de tweede wordt gehanteerd in de IT Governance and its Mechanisms Track van de Hawaii International Conference on Systems Studies (HICSS) die sinds 2001 actief is ( IT governance is the responsibility of the Board of Directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization s IT sustains and extends the organization s strategy and objectives IT governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT Figuur 1. IT governance-definities Het ondersteunen en verder ontwikkelen van de bedrijfsdoelstellingen, en het bereiken van de fusie tussen business en IT (vaak genoemd onder de termen strategic alignment en business/it alignment ) wordt in beide definities gezien als de ultieme doelstelling van IT governance. Toch dient opgemerkt te worden dat dit 13

4 een thema/problematiek is die al een langere tijd bestaat. In veel gevallen erkent men echter dat er nog heel wat werk aan de winkel is. Dit inzicht, tezamen met de steeds grotere afhankelijkheid van IT, verklaart de verhoogde aandacht voor het onderwerp. Voor IT governance bestaat geen receptenboek. Opgemerkt moet worden dat IT governance steeds in de specifieke context van een organisatie moet worden geplaatst. Voor de ene organisatie speelt IT een belangrijkere rol dan voor de andere. Zo zal het belang van IT in een bankorganisatie waarschijnlijk groter zijn dan in een cementfabriek. Het komt erop neer dat er voor IT governance geen receptenboek bestaat en er dus geen kant-enklare oplossing ontwikkeld kan worden. Dit maakt het enerzijds een moeilijk en complex kennisdomein, maar anderzijds des te interessanter en uitdagender. IT governance speelt op verschillende organisatieniveaus. Een ander kernpunt in de bovenstaande definities is de primaire verantwoordelijkheid van de Raad van Bestuur en het Executive Management (directiecomité). We benadrukken hier dat bestuurders hun rol inzake IT governance (deel van corporate governance) moeten opnemen en het op de agenda moeten plaatsen van hun vergaderingen. IT governance kan dus niet alleen worden toevertrouwd aan het directiecomité dat overigens in een goede corporate governance-structuur niet deel uitmaakt van de raad van bestuur. Het moet verder duidelijk zijn dat IT governance ook moet worden doorgetrokken naar de onderliggende IT- en businessniveaus. Samengevat: bestuurders zijn verantwoordelijk voor IT governance op strategisch niveau, leden van het directiecomité en de CIO (Chief Information Officer) op managementniveau, en de IT-organisatie samen met de business op het operationele niveau (zie figuur 2). De hiervoor gebruikte term Raad van Bestuur komt overeen met de Board of Directors zoals gedefinieerd in de Angelsaksische landen. In België wordt dezelfde definitie gehanteerd en bestaat een Raad van Bestuur uit vertegenwoordigers van de aandeelhouders en onafhankelijke bestuurders eventueel aangevuld met een 14

5 gedelegeerd bestuurder die de verbinding maakt tussen Raad van Bestuur en het directiecomité. In Nederland is de terminologie enigszins anders en spreekt men van een Raad van Commissarissen (= Raad van Bestuur) en een Raad van Bestuur (= directiecomité). Bestuurders Strategisch niveau Governance IT Leden van directiecomité en CIO Managementniveau IT organisatie samen met de business Operationeel niveau Figuur 2. IT governance-verantwoordelijkheid op drie niveaus De relatie IT governance met corporate governance en IT-mana - gement wordt hierna verder uitgewerkt. 1.2 Relatie van IT governance met corporate governance De hierboven weergegeven definitie van het IT Governance In sti tute stelt expliciet dat IT governance een integraal deel moet uitmaken van corporate governance. Als een organisatie haar corporate governance-principes wil huldigen, is het inderdaad noodzakelijk dat ze tevens haar IT op een deugdelijke manier beheert. De afhankelijkheid van IT is in heel wat organisaties dermate groot dat dit een deugdelijk beheer IT governance opdringt. Als integraal deel van corporate governance, dient IT governance zich dan te buigen over dezelfde vraagstukken als in de corporate governance-context: waar corporate De afhankelijkheid van IT is in veel organisaties groot. 15

6 governance vooral moet zorgen dat het geïnvesteerde kapitaal van de aandeelhouders op een zinvolle en rendabele manier wordt be - steed, moet IT governance ervoor zorgen dat de investeringen in IT-waarde creëren voor de organisatie. Deze vertaling van corporate governance-vraagstukken naar IT governance-vraagstukken wordt geïllustreerd in figuur 3. Corporate Governance vragen l IT governance vragen Hoe kunnen de aandeelhouders ervoor l Hoe kunnen de raad van bestuur en de zorgen dat managers winsten genereren voor hen? executives ervoor zorgen dat de CIO en de IT-organisatie bedrijfswaarde genereert voor hen? Hoe kunnen aandeelhouders ervoor zorgen l Hoe kunnen de raad van bestuur en de dat managers het kapitaal dat zij ter beschikking stellen niet stelen of investeren in slechte projecten? executives ervoor zorgen dat de CIO en de IT-organisatie het kapitaal dat zij ter beschikking stellen niet stelen of investeren in slechte projecten? Hoe controleren aandeelhouders hun l Hoe controleren de raad van bestuur en de managers? executives de CIO en de IT-organisatie? Bron: Shleifer A. and Vishny W., 1997, A survey on corporate governance, Journal of Finance, vol. 52, no.2 Figuur 3. Corporate governance- en IT governance-vragen Wanneer IT governance deel uitmaakt van corporate governance, valt het natuurlijk ook onder de verantwoordelijkheid van de raad van bestuur. De samenstelling, rol, modus operandi, enzovoort van deze raad van bestuur hangt af van organisatie tot organisatie en van land tot land. Deze variaties leiden tot verschillen in verwachtingen en aandachtspunten, maar de fundamentele verantwoor - delijkheden van de raad van bestuur veranderen niet. De raad van 16

7 bestuur dient zich dan ook steeds te buigen over de corporate governance-vraagstukken en het belang en de impact daarop van informatietechnologie. 1.3 Relatie IT governance met IT-management IT governance is een concept dat vrij recent is opgekomen en net als vele andere evoluties in de IT-sector wordt het soms gecategoriseerd onder de één van de vele hypes. Een typische uitspraak in deze context is dat IT governance een nieuwe vorm van ITmanagement is. Dit is zeker niet zo, maar waar ligt dan juist het verschil met IT-management? IT governance is geen nieuwe vorm van IT-management. Om het verschil tussen IT governance en IT-management verder uit te leggen, verwijzen we naar figuur 4. IT-management is ge - Business Orientation External IT Governance Internal IT Management Time Orientation Present Future Bron: Peterson, 2003, Information Strategies and Tactics for Information Technology Governance, in Strategies for Information Technology Governance, book edited by Van Grembergen W., Idea Group Publishing Figuur 4. Verschil tussen IT governance en IT-management 17

8 richt op de effectieve en efficiënte levering van IT-diensten en -producten in de interne organisatie en op het beheer van huidige IT-operaties. IT governance is veel ruimer. Het concentreert zich meer op het functioneren en transformeren van IT, om te beantwoorden aan zowel de huidige als toekomstige behoeften van de organisatie (intern) en haar klanten (extern). De focus van IT-management ligt op operationeel niveau. Hiermee is niet gezegd dat IT-management minder complex is. Wel moet duidelijk zijn dat de focus van IT-management op het operationele niveau ligt, terwijl de IT governance-focus zich op een hoger strategisch niveau situeert. Zoals hiervoor reeds aan - gegeven, kunnen we het onderscheid maken tussen strategische IT governance en management/operationele IT governance. Mana - ge ment/operationele IT governance valt dan meer samen met wat we hier definiëren als IT-management. Beide dimensies zijn nodig om het volledige IT governance-vraagstuk op te lossen. 18