IT Governance: Hoe draagt ICT anno 2010 bij aan het succes van de overheid? Whitepaper. Jan F. Bouman, CGEIT 1. Management Consultant Programmamanager

Transcriptie

1 IT Governance: Hoe draagt ICT anno 2010 bij aan het succes van de overheid? Whitepaper Een verslag van ontwikkelingen en mogelijkheden op het gebied van IT Governance bij binnenlandse en buitenlandse overheden voor bestuurders, directieleden en CIO s. Jan F. Bouman, CGEIT 1 Management Consultant Programmamanager versie 1.0, december 2009 Inter Access 2009

2 Inhoudsopgave Voorwoord Inleiding Zijn ICT projecten dan zo moeilijk? Rijksoverheid Grip op informatievoorziening Een spiraal van toenemende complexiteit Meldpunt ICT-verspilling Onvolwassen ICT bij de overheid Gemeenten Algemeen Gemeente Rotterdam Gemeente Amsterdam: Complexe organisatie ICT op Normaal Amsterdams Peil (NAP) Buitenland Lessen uit Australië Lessen uit de VS: Clinger Cohen en SOx Het Verenigd Koninkrijk: Gateway TM reviews Handreikingen voor bestuurders, CIO s en managers ISO 38500: een strategische handreiking voor bestuurders en CIO s ISO checklist voor bestuurders en CIO s Gateway reviews: handreiking voor CIO s en managers CobiT : Voor ICT managers die in control willen zijn Val IT TM : Wat levert de ICT op? Buiten de overheid: ING Conclusies en aanbevelingen Wat is er aan de hand? Waarom IT Governance Wat gebeurt en nu binnen de overheid? Welke vragen moet ik stellen? Wat moet ik doen? Eindconclusie Nawoord: Inter Access Verwijzingen

3 IT Governance: hoe draagt ICT anno 2010 bij aan het succes van de overheid? Whitepaper IT GOVERNANCE BIJ DE OVERHEID Handreikingen voor bestuurders, directieleden en CIO s Voorwoord INFORMATIEVOORZIENING TE BELANGRIJK OM ALLEEN AAN ICT ERS OVER TE LATEN Uw organisatie drijft op informatie. Informatie-voorziening en ICT zijn daarom te belangrijk om alleen aan ICT ers over te laten. Succesvol aansturen van ICT betekent dat bestuurders en directies weten welke ICT gerelateerde risico s zij lopen en wat zij er aan kunnen doen. Zij draaien aan de knoppen. Zij bepalen hoeveel ICT bijdraagt aan het succes van ministerie, provincie, waterschap of gemeente. Welke informatie is nodig om politieke, bestuurlijke of bedrijfsmatige ambities te halen? Of om burgers, volksvertegenwoordigers en andere deelnemers aan de samenleving van de juiste informatie te voorzien? Wat kan de ICT daaraan bijdragen? HANDREIKINGEN VOOR BESTUURDERS, DIRECTIES EN CIO S Deze whitepaper presenteert handreikingen voor bestuurders, directies en CIO s om te sturen, zonder dat zij diepgaande inhoudelijke kennis van ICT hoeven te hebben. Hierbij passeren een aantal spraakmakende onderzoeken naar ICT binnen de overheid de revue. IT Governance helpt bestuurders, directieleden en CIO s anno 2010 niet alleen om ICT debacles te voorkómen, maar vooral om overheidsorganisaties beter te laten functioneren. 3

4 1. Inleiding 1.1 Wat gaat er mis met ICT bij de overheid? VIJF MILJARD EURO VERSPILLING Wat gaat er mis op het gebied van ICT bij de overheid? Deze vraag wordt al jaren gesteld aan de hand van signalen uit verschillende hoeken. In 2007 ontstond een discussie in de Tweede Kamer over 5 miljard euro aan verspild ICT geld bij de Rijksoverheid. Of dat nu allemaal weggegooid geld was, bleef onduidelijk. Door de Socialistische Partij werd een meldpunt ICT verspilling bij de overheid georganiseerd. De Minister van Binnenlandse zaken kondigde een onderzoek van de Algemene Rekenkamer aan. Zo werd gezocht naar duidelijkheid. 1.2 Ook gemeenten, provincies, waterschappen en provincies RIJK, PROVINCIES, WATERSCHAPPEN EN GEMEENTEN Met meer duidelijkheid wordt nog niet vastgesteld wat er aan gedaan kan worden. Deze whitepaper gaat daar nader op in. Het gaat niet alleen om de grootste en duurste ICT projecten van tientallen miljoenen euro s, maar ook om de kleinere projecten. Doelgroep voor dit document is daarom breder dan de rijksoverheid. Het richt zich ook op gemeenten, waterschappen en provincies. 1.3 Niet voor ICT ers OVERHEIDSINSTANTIES ZIJN INFORMATIEFABRIEKEN Deze whitepaper richt zich op bestuurders en directies die betrokken zijn bij aansturing van informatievoorziening en IT. Overheidsinstanties zijn immers informatiefabrieken waarin de informatievoorziening essentieel is. Zowel intern in de bedrijfsvoering als extern naar burgers, bedrijven en andere overheidsinstanties. De inhoud is dus niet bedoeld voor ICT ers, maar voor bestuurders en directies die hun verantwoordelijkheid alleen kunnen waarmaken met gebruikmaking van ICT. 1.4 Verantwoordelijkheid die de ICT overstijgt LAAT TECHNIEK AAN DE TECHNICI Sturing van informatievoorziening als belangrijke productiefactor (naast personeel en financiën) is iets anders dan management en beheer van ICT. Laat de techniek over aan de technici. Echter, sturing van informatievoorziening kan niet overgelaten worden aan technici en ICT ers. Op dat gebied dienen bestuurders en directies hun verantwoordelijkheid te nemen. Dit is een zaak die de ICT overstijgt. Deze whitepaper geeft enkele handreikingen. 4

5 1.5 Niet alleen in Nederland LESSEN UIT HET BUITENLAND Het is wellicht een schrale troost maar Nederland is niet het enige land dat worstelt met ICT bij de overheid. Deze whitepaper kijkt ook naar Australië, het Verenigd Koninkrijk en de Verenigde Staten. Er zijn lessen te leren over de aanpak van ICT en de sturing vanuit het hoger management bij overheidsinstanties in die landen. 1.6 IT Governance bij de overheid Die sturing door bestuurders en directies duiden we aan met een modern begrip: IT Governance. IT Governance stelt en beantwoordt de volgende drie vragen: - Performance: doet de ICT wat ervan verwacht wordt? - Conformance: wordt er aan de geldige regels voldaan? - Transparantie: zijn performance en conformance duidelijk, meetbaar en controleerbaar? PERFORMANCE, CONFORMANCE EN TRANSPARANTIE Het laatste punt, transparantie, wordt vaak weggelaten. Voor de overheid moet het zeker genoemd worden, omdat de meeste instanties onderworpen zijn aan de Wet openbaarheid van bestuur (Wob). Bovendien treden er voor overheidsinstanties allerlei toezichthoudende organen op. Tenslotte is er de morele en formele plicht van bestuurders om van tijd tot tijd verantwoording af te leggen. Ook voor bedrijven is het noemen van transparantie als aspect van IT Governance relevant omdat de regels over eerlijk zaken doen steeds scherper worden (Code Tabaksblatt, Sarbanes Oxley). In het boek Focus op IT-bestuur 2 van het Nederlands Architectuur Forum, wordt IT Governance als volgt gedefinieerd: IT Governance betreft de inrichting van de besturing van de ITfunctie. Hier wordt IT Governance gezien in relatie tot Enterprise Governance en Business Governance. Schema 1. Vormen van governance 5

6 BESTURING VAN DE IT FUNCTIE Schema 1 (afkomstig uit Focus op IT-bestuur ) onderscheidt vier vormen van Governance. - Enterprise Governance: Overkoepelend bestuur van de complete organisatie waarin de samenhang wordt bewaard. - Corporate Governance: Besturing van het naleven van weten regelgeving. Dus vooral het conformance aspect. - Business Governance: Besturing van de prestaties van de organisatie. Dus vooral het performance aspect. - IT Governance: De ICT aspecten van corporate en business governance. IT Governance is een afgeleide van corporate en business governance. 1.7 Veel investeringen in efficiency van IT VEEL METHODEN EN TECHNIEKEN: TOCH MISLUKKEN PROJECTEN Er zijn geluiden dat IT Governance niet gebracht heeft wat er van verwacht werd, ondanks het feit dat er wereldwijd veel is geïnvesteerd om ICT beter te laten functioneren. Methoden en technieken die ICT professioneler maken, buitelen over elkaar heen. Beter beheer door ITIL, betere projecten door Prince2, betere softwareontwikkeling door CMMi en betere sturing door CobiT. En toch mislukken projecten. De gevolgen daarvan bereiken de publiciteit, zeker als het om veel gemeenschapsgeld gaat. 1.8 IT management en IT governance GOVERNANCE IS GEEN MANAGEMENT Hoe komt dit? De verklaring ligt onder andere in het verschil tussen management en governance. Veel pogingen om iets te bereiken met methoden en technieken hebben te maken met management van ICT, ongeacht de vraag of de ICT activiteiten wel echt zinvol zijn. Management van het ICT-aanbod is hierdoor inderdaad verbeterd. Het is mogelijk met ICT op efficiënte wijze, slecht lopende en inefficiënte bedrijfsprocessen te automatiseren. IT GOVERNANCE: STRATEGISCHE VRAAG EN AANBOD De ICT-vraag binnen organisaties is onderbelicht gebleven. We hebben het dan over de strategische vraag hoe ICT kan bijdragen aan de organisatiedoelstellingen. Tot nu toe zijn wij onvoldoende in staat geweest om aan de vraagkant van ICT voldoende besef en inzicht te creëren dat de juiste vragen en eisen worden gesteld. Wat wordt er van ICT verwacht, hoe formuleren we dat en hoe sturen we dat aan? En dat terwijl ICT essentieel is voor het functioneren van organisaties. 6

7 ICT IS EEN BEDRIJFSMIDDEL DAT NOG NIET BEGREPEN WORDT IT Governance geeft strategie aan en doelen die IT Management moet bereiken. IT Governance controleert of IT management zich hier aan houdt en stuurt zo nodig bij. Als er sprake is van balans tussen efficiënt aanbod van IT en voldoende aandacht voor de vraag naar IT, dan is IT Governance effectief en zullen projecten succesvol afgerond kunnen worden. De Algemene Rekenkamer zegt in zijn rapport uit 2008 Lessen uit ICT-projecten bij de overheid (waarover hierna meer) Het volgende: Anders dan bij zaken als financiën en human resources, is ICT een bedrijfsmiddel waarvan nog niet zo goed begrepen wordt hoe deze bijdraagt aan de business. 1.9 Positionering van IT-Governance PORTFOLIO PORTFOLIO VAN MEER DAN 500 PRODUCTEN EN DIENSTEN IT GOVERNANCE STUURT OP HET NIVEAU VAN DE IT PORTFOLIO Een belangrijk begrip bij IT-Governance is portfolio. In het raamwerk 3 van schema 2 worden drie verschijningsvormen van portfolio genoemd. De term portfolio is ontleend uit de effectenhandel waar beslissingen genomen worden op basis van kosten, baten, verwachtingen en risico s. Het totaal van de gedocumenteerde producten- en diensten die een overheidsinstelling levert, wordt de businessportfolio genoemd. Voor een gemeente zijn dat er bijvoorbeeld in totaal meer dan 500, variërend van uitgifte van paspoorten, vergunningen, subsidies, beheer van straten en plantsoenen, stadsontwikkeling, leerlingenvervoer enzovoort. Ook hierover worden beslissingen genomen op basis van kosten, baten, verwachtingen en risico s, maar (vooral) ook op basis van verplichtingen in verband met collegeprogramma s en wet- en regelgeving. De IT-portfolio is het totaal van gedocumenteerde diensten en producten die de ICT levert. Dit is het niveau waar IT Governance op stuurt. In dit IT-portfolio wordt onderscheid gemaakt tussen: - de projectportfolio voor alle veranderingen en nieuwe ontwikkelingen. Deze zijn, zoals blijkt uit het schema, ingegeven door de kansen en bedreigingen voor de businessportfolio; - de applicatieportfolio voor alle applicaties (functies) en infrastructuur die de ICT levert. Deze zijn gericht op de statusquo en ondersteunen de bestaande producten en diensten van de businessportfolio. 7

8 Schema 2. IT Governance raamwerk Interesse bij bestuurders en directies GEEN STURING VAN BOVENAF Tot op heden zien wij onvoldoende animo bij bestuurders en directies om zich met ICT bezig te houden. Er wordt dus niet gestuurd van bovenaf. De lagen onder de top (van overheidsinstanties) zijn daardoor onvoldoende in staat samenhang te bereiken, aan te sluiten bij strategische doelen, politieke ambities (ten koste van het haalbare) te weerstaan en vele andere zaken die in de volgende hoofdstukken aan de orde komen. En dat terwijl in de moderne informatiemaatschappij ICT op even strategische wijze aangestuurd moet worden als personeel en financiën. GAT TUSSEN RESULTATEN EN VERWACHTINGEN LAAT DE ICT MANAGER HET MAAR OPLOSSEN? ICT wordt gemanaged op tactisch niveau, maar niet bestuurd op strategisch niveau. Er wordt dus te weinig aan IT Governance gedaan. Daardoor gaapt er een gat tussen resultaten en verwachtingen. Geen wonder dat zoveel projecten mislukken. Bestuurders en directieleden hebben daarnaast het idee dat ze er te weinig verstand van hebben. Zij redeneren: laat de ICT manager als specialist het maar oplossen. Er moet anders te veel tijd en energie aan besteed worden terwijl ze (ook) met andere belangrijke zaken te maken hebben. En daarom gaat het dikwijls fout. Dit is de uitdaging waar deze whitepaper verder op in gaat. De volgende hoofdstukken gaan over de wijze waarin de Rijksoverheid, de gemeenten Rotterdam en Amsterdam, de Australische, de Amerikaanse en de Britse overheden met deze problematiek om gaan. Ook nemen we een kijkje buiten de overheid. Maar eerst: Zijn ICT projecten dan zo moeilijk? 8

9 2. Zijn ICT projecten dan zo moeilijk? 70% VAN DE PROJECTEN VOLDOET NIET In 2005 brachten Heemstra, Kusters en Snel het onderzoeksrapport Eenzijdige risico-inventarisaties bedreigen ICTprojecten uit 4. Zij presenteren de volgende tabel 5 waarin wordt aangegeven dat in 2004 slechts ca. 30% van de ICT projecten een succes genoemd mag worden. Deze projecten voldoen aan afspraken over tijd, geld en kwaliteit. De overige 70% ICT projecten stopt voortijdig of voldoet niet aan de genoemde afspraken. Tabel 1: Kans op slagen van ICT projecten Succes 16% 27% 26% 28% 34% 29% Mislukking 31% 40% 28% 24% 15% 18% Matig succes 53% 33% 46% 48% 51% 53% Succes: Voldoet aan afspraken over tijdsduur, budget en kwaliteit Mislukking: Het ICT project stopt voortijdig Matig succes: Voldoet niet aan afspraken over tijdsduur, budget of kwaliteit NIEMAND ZIET ZICHZELF ALS RISICOFACTOR Heemstra, Kusters en Snel geven inzicht in de oorzaken van deze mislukkingen door een 50-tal risico s te benoemen. Interessant daarbij is echter de wijze waarop de verschillende belanghebbenden (opdrachtgever, projectleider, adviseur, materiedeskundige, gebruiker, projectmedewerker) die risico s zien. Het blijkt dat de betrokkenen totaal verschillende risico s zien, elk vanuit hun eigen invalshoek. Ook blijkt dat niemand zichzelf als risicofactor ziet. Er is per definitie gebrek aan kritische zelfreflectie. De consequenties hiervan zijn verstrekkend. Als de risico s door slechts één betrokkene in kaart worden gebracht, dan geeft dit een eenzijdig beeld. Elke betrokkene ziet vooral risico s op de gebieden waar hij het meest verstand van heeft én waar hij niet direct voor verantwoordelijk is. Zie hiervoor tabel 2: Afwijkende risico-uitspraken. Voor het onderzoek zijn alle risico s, genoemd door alle betrokkenen, geïnventariseerd. Neem nu de opdrachtgever als voorbeeld van een betrokkene. Het blijkt dat de 18% van de risico s alleen door de opdrachtgever genoemd worden en door niemand anders. Daarnaast wordt 24% van de risico s door de opdrachtgever niet genoemd terwijl die wel door tenminste één van de andere betrokkenen genoemd worden. In totaal wijkt de opdrachtgever dus voor 42% af als het gaat om zijn inschatting van de risico s. 9

10 Tabel 2: Afwijkende risico-uitspraken (als percentage van het totaal aantal uitspraken) Betrokkene Wordt alleen door de betrokkene als risico genoemd (en niet door de anderen) Wordt alleen door de betrokkene NIET als risico genoemd (en wel door de anderen) Whitepaper Totaal Projectleider 13% 18% 31% Opdrachtgever 18% 24% 42% Gebruiker 22% 12% 34% Materiedeskundige 26% 7% 33% Projectmedewerker 16% 18% 34% Adviseur 18% 19% 37% De belangrijkste drie (van de ruim vijftig) risico s die door de onderzoekers worden gesignaleerd en waarover door betrokkenen totaal verschillend wordt gedacht zijn: - testen en migreren (te weinig aandacht, ondeugdelijke testplan/migratieplan); - projectkenmerken (te omvangrijk, te complex, te innovatief); - afhankelijkheden (andere projecten, leveranciers). Politieke bestuurders met hun mandaat van meestal vier jaren, komen niet voor in Heemstra s lijstje van betrokkenen. Echter bij grote overheidsprojecten zijn altijd (politieke) bestuurders betrokken met een eigen unieke wijze van denken en handelen. Juist door inbreng van bestuurders wordt de complexiteit nog groter dan voorgesteld in dit onderzoek. Het zou heel goed kunnen zijn dat als bestuurders in dit onderzoek van afwijkende risicouitspraken betrokken zouden zijn, de afwijking boven de 50% uit komt, zeker als de opdrachtgever (op ambtelijk niveau) al op 42% uit komt. De conclusie is dat betrokkenen in verschillende werelden leven en daardoor risico s totaal verschillend inschatten. HAALBAARHEID EN STUURBAARHEID KOMEN IN EEN ANDER LICHT TE STAAN Uitdaging bij ICT projecten is dus risico s vermijden en neutraliseren, door rekening te houden met de perceptie van alle betrokkenen en daarop te sturen. Zeker in (en vóór) het begin van ICT projecten moeten consequenties van politieke ambities duidelijk en openbaar gemaakt worden. Het zijn directies, CIO s en vooral de bestuurders die dit moeten eisen. Haalbaarheid en stuurbaarheid van ICT komt daarmee in een ander licht te staan. Een uitdaging voor IT Governance bij de overheid. 10

11 3. Rijksoverheid 3.1 Grip op informatievoorziening OVERHEID AL JAREN BEZIG MET IT GOVERNANCE IT Governance wordt bij de Nederlandse rijksoverheid al jaren besproken. In maart 2006 werd het rapport Grip op informatievoorziening IT Governance bij ministeries 6 door de Algemene Rekenkamer aangeboden aan de Tweede Kamer. Met dit rapport wilde men ICT blijvend hoog op de agenda zetten bij politiek en leiding van ministeries. De rekenkamer concludeerde dat ministeries anno 2006 al volop bezig zijn met IT Governance. Het rapport gaf de volgende kijk op het recente verleden: Kabinet en Tweede Kamer zijn zich ook bewust van het belang van ICT en informatievoorziening. Dit komt duidelijk tot uiting in het beleid dat verwoord is in het programma Andere Overheid (Ministerie van BZK, 2003), in de twee nota s Beter presteren met ICT (Ministerie van EZ e.a., 2004a, 2004b, 2004c) en in het programma ICT en administratieve lastenverlichting (ICTAL) (Ministerie van EZ, 2003). Het rijksbrede karakter van het beleid brengt met zich mee dat ministeries bij het inrichten van hun IT Governance over de eigen muren heen moeten kijken. Het rapport uit 2006, aangeboden aan de Tweede Kamer, benoemt de volgende aandachtspunten. Deze aandachtpunten zijn hier aangevuld met commentaar van de auteur van deze whitepaper. EENZIJDIG BEELD Vermijd blinde vlekken bij de inrichting van IT Governance. In 2006 waarschuwt de rekenkamer al voor een eenzijdig beeld als het gaat om IT Governance. Denk aan de opmerkingen hiervoor over IT management en IT Governance. Werk vanuit omgevingsbewustzijn. IT Governance kan voor een ministerie (of gemeente) niet geïsoleerd bestaan. Anno 2010 is dit nog veel duidelijker geworden, bijvoorbeeld door allerlei wetgeving die overheidsinstanties dwingt om informatie te delen en te combineren. Ketenregie is dus noodzakelijk geworden. Bijvoorbeeld de Wet algemene bepalingen omgevingsrecht (Wabo). Zorg voor een goede aansluiting tussen beleid, organisatiestrategie en informatiestrategie. Informatiebeleid moet bewust aansluiten op de strategie van de organisatie én aansluiten op ander beleid, bijvoorbeeld op het gebied van personeel en financiën. 11

12 GEEN AD-HOC BESLISSINGEN MAAR PORTFOLIOBELEID ARCHITECTUUR IS DE BASIS LEIDERSCHAP Beschouw het ministerie als één concern. Echter, ook binnen ministeries zal samenhang gebracht moeten worden op het gebied van informatiebeleid. Geen ad-hoc beslissingen op afdelingsniveau meer maar portfoliobeleid: het centraal vaststellen en beheren van uitgangspunten op het gebied van te reserveren middelen, investeringsdrempels, stellen van prioriteiten voor investeringen en management van de portfolio. Zie ook paragraaf 1.9 in de inleiding over de IT portfolio. Ontwikkel een gestandaardiseerde concerninformatiearchitectuur. Architectuur wordt wel de gezien als de basis waarop effectief IT Governance gestoeld is. Als men geen principes af spreekt waarop keuze, ontwerp en realisatie van alle ICT voorzieningen zijn gebaseerd, dan kan men ook niet sturen. Organiseer vraag en aanbod van de ICTdienstverlening. Het organiseren van de vraag naar ICT blijkt tot op de dag van vandaag een lastig punt te zijn, zoals ook blijkt uit de volgende paragraven. Men moet wel weten wat wel en niet gevraagd kán worden, wat reëel is. Beschouw IT Governance als een groeitraject naar een permanent proces. Neem de tijd om effectief IT Governance te organiseren. Creëren van bewustzijn, ook bij bestuurders en directies heeft tijd nodig. De vraag is of dit in het rapport uit 2006 ook zo geformuleerd zou zijn als de discussies over miljarden verspillende ICT projecten in volle hevigheid losgebarsten waren. Zie volgende paragraaf. Zorg voor leiderschap en centrale regie. Het rapport pleit hier voor het aanstellen van een CIO per ministerie. Dit is in 2009 inderdaad gerealiseerd. 3.2 Een spiraal van toenemende complexiteit FINANCIËLE DEBACLES In 2007 kwamen een aantal financiële debacles op ICT gebied aan het licht. Er werd gesproken over 5 miljard Euro verspilling door mislukte ICT-projecten. Voorbeelden waren P-direct, het salarissysteem van de ministeries, C2000, het communicatiesysteem van politie en hulpdiensten en de problemen bij de belastingdienst. In november van dat jaar kwam de Algemene Rekenkamer met Deel A van het rapport Lessen uit ICT-projecten bij de overheid 7. 12

13 Dit rapport in twee delen werd in opdracht van de Minister van Binnenlandse Zaken opgesteld naar aanleiding van de problemen met grote ICT-projecten bij de rijksoverheid. Whitepaper TE COMPLEXE PROJECTEN ACTOREN HOUDEN ELKAAR GEVANGEN Dit eerste deel concludeert dat de overheid het zich vaak te moeilijk maakt met te complexe projecten. Naast successen zijn er daardoor vaak mislukkingen. Dit is een hardnekkig probleem. Ook zegt het rapport dat de constatering dat overheidsprojecten vaak niet beheersbaar zijn, niet nieuw is. De actoren in ICT-projecten houden elkaar gevangen. De Tweede Kamer wil dat de regering complexe problemen zo snel mogelijk op lost. Ministers tonen graag daadkracht en nemen daardoor te veel ICT-hooi op hun vork. Een haalbaarheidsonderzoek vooraf wordt niet als daadkrachtig signaal beschouwd. ICT leveranciers hebben grote projecten nodig om hun voortbestaan te garanderen. Door de belangen van deze actoren ontstaat een spiraal van toenemende complexiteit en is er geen weg terug. Projecten worden onbeheersbaar. BESTUURDERS EN AMBTENAREN HEBBEN DE SLEUTEL De Algemene Rekenkamer zegt in Lessen uit ICT-projecten bij de overheid, Deel A, ervan overtuigd te zijn dat ministers en hun ambtenaren de sleutel voor de oplossing in handen hebben. Een minister wordt in dit geval gezien als bestuurder die er op moet toezien dat de genoemde spiraal van toenemende complexiteit niet plaats vindt. Volgens de rekenkamer dient de minister zich het volgende te bedenken: - ICT is geen quick fix voor een probleem; - Politieke deadlines kunnen fataal zijn voor een project; - Er is (ook) bij ICT-ambities een kloof is tussen beleid en uitvoering; - Heroverwegingen onderweg zijn vaak onvermijdelijk; - Een exitstrategie voorkomt doormodderen. Verder pleit de rekenkamer voor het onderbouwen van projecten met business cases en de aanstelling van CIO s (Chief Information Officers) bij ministeries en andere overheidsinstellingen. Ook wordt de Minister van Binnenlandse Zaken geadviseerd in de Verenigde Staten de ervaringen met wetgeving aldaar op te vragen. 13

14 3.3 Meldpunt ICT-verspilling DE VERSPILDE MILJARDEN De discussie in 2007 over de verspilde miljarden was voor de Socialistische Partij in januari 2008 aanleiding met een Meldpunt ICT-verspilling te beginnen. In mei 2009 werd gemeld dat er al 300 reacties binnen waren. Vaak ging het om bekende problemen, maar er werden ook nieuwe zaken gemeld. Druk van de politiek, te weinig kennis en te weinig nadenken over de meerwaarde van ICToplossingen werden als belangrijke oorzaken van problemen genoemd. Niet iedereen was te spreken over het meldpunt. TOETSEN AAN DE BASIS Sommigen zien dit als gemakkelijk scoren van de SP. Anderen zien in dit meldpunt echter een mogelijkheid om de conclusies van de Algemene Rekenkamer en andere officiële onderzoekers te toetsen aan de basis. Ten aanzien van dit laatste heeft het meldpunt zeker een functie, mits zaken goed onderzocht en onderbouwd worden en meldingen niet misbruikt worden voor beslissingen en acties op basis van gelegenheidspolitiek. 3.4 Onvolwassen ICT bij de overheid Deel B van Lessen uit ICT-projecten bij de overheid kwam in juni 2008 uit en moest de conclusies van deel A uitwerken tot concrete maatregelen. FINANCIEEL BEHEER: EEN ROMMELTJE Eén aspect waar deel B op wijst, is het gebrek aan informatie over ICT projecten bij de rijksoverheid, op basis waarvan beoordeling kan plaatsvinden. Bovendien is het financieel beheer van projecten niet ordelijk en controleerbaar. Het is dus eenvoudig gezegd een rommeltje. Ook legt het rapport de vinger op een zere plek van de ICT, namelijk de onvolwassenheid van het vakgebied. Dit blijkt uit de volgende passage: TE WEINIG REKENING HOUDEN MET IMPACT OP DE ORGANISATIE De business 8 en ICT zijn als het ware twee gescheiden werelden. De business denkt bijvoorbeeld te snel in ICT-oplossingen. Ook wordt er te weinig rekening gehouden met de impact van een organisatieverandering op ICT. Anders dan bij zaken als financiën en human resources is ICT een bedrijfsmiddel waarvan nog niet zo goed begrepen wordt hoe deze bijdraagt aan de business. CHIEF INFORMATION OFFICER (CIO) De rekenkamer constateert dat informatievoorziening met behulp van ICT, beter moet worden aangestuurd vanuit de top. De uitvoeringsinstanties die het beleid van de minister uitvoeren, moeten meer inzicht hebben in de mogelijkheden en onmogelijkheden van ICT. Hierbij speelt de CIO (Chief Information Officers) een belangrijke rol, die op elk ministerie benoemd moet 14

15 worden en op het hoogste niveau met de leiding aan tafel zit. Ook wordt onafhankelijke collegiale toetsing genoemd, te houden aan het begin en op cruciale momenten van een project. Dit is een verschijnsel waar men in het Verenigd Koninkrijk enkele jaren ervaring heeft in de vorm van de zogenaamde Gateway TM Reviews (waarover later meer in deze whitepaper). Ten aanzien van het financieel beheer bepleit de rekenkamer het definiëren en vaststellen van uniforme kostensoorten zodat vergelijken mogelijk wordt. Whitepaper DRIEKWART VAN DE KOSTEN IN EXPLOITATIE De algemene rekenkamer concludeert dus dat de ICT nog niet goed begrepen wordt. Dat blijkt ook uit de focus op aanschafkosten terwijl de exploitatiekosten vaak over het hoofd gezien worden. Bestuurders zijn niet gewend te denken in termen van de levenscyclus van een ICT-systeem, temeer omdat de exploitatie meestal reikt tot ver na de termijn van hun mandaat. Kengetallen die iedere bestuurder en directielid in zijn oren zou moeten knopen, is dat als hij een ICT-systeem aanschaft van 10 miljoen Euro, hij zijn opvolgers opzadelt met exploitatiekosten van 30 tot 40 miljoen euro. De verhouding 1 op 3 à 4 is een gemiddelde en kan per ICT project afwijken. 15

16 4. Gemeenten 4.1 Algemeen POORT TOT PUBLIEKE DIENSTVERLENING De Commissie Jorritsma 9 onder voorzitterschap van de burgemeester van Almere, gaf in juni 2005 aan dat de gemeente dé poort tot publieke dienstverlening zou worden van de hele overheid. De burger zou niet meer van het kastje naar de muur gestuurd worden en bij de gemeente altijd aan het juiste loket zijn. Het rapport Publieke dienstverlening, professionele gemeenten. Visie 2015 presenteerde een tijdpad van 10 jaren waarin dit gerealiseerd moest worden. LOGICA VAN DE BURGER Sindsdien is er veel beweging in de informatievoorziening van gemeenten. Er zijn inmiddels een achttal wettelijke basisregistraties gedefinieerd en door nationale wetgeving wordt dat éne loket steeds meer afgedwongen. Voorbeelden daarvan zijn de Wet maatschappelijke ondersteuning (Wmo), de Wet algemene bepalingen omgevingsrecht (Wabo) en de Wet kenbaarheid publiekrechtelijke beperkingen (Wkpb). Uitgangspunt in de dienstverlening is dat de overheid de logica van de burger moet volgen en niet die van zijn eigen structuur, organisatie of processen. Dit heeft grote consequenties voor de informatiehuishouding van overheidsinstanties en vooral van gemeenten. VAN BUSINESS GOVERNANCE NAAR CORPORATE GOVERNANCE We zien de trend dat de Rijksoverheid verschillende aspecten van het functioneren van gemeenten verplaatst van business governance naar corporate governance (zie paragraaf 1.6). Zelfgekozen doelstellingen, bijvoorbeeld op het gebied van kwaliteit van dienstverlening, worden na verloop van tijd verplicht vastgelegd in wetgeving: performance wordt conformance. Veel gemeenten vertalen bovenstaande ontwikkelingen in innovatief klinkende actieprogramma s. Bijvoorbeeld: Apeldoorn verandert, Innovatie actieprogramma Groningen, programma Brainport in Eindhoven, IZI does it! in Amsterdam, Regie op Maat in Leiden. ICT in de stadsprogramma (al vanaf 2001) in Den Haag en Van Groei naar Bloei in Purmerend. De vraag is of al deze programma s wel brengen wat er van verwacht wordt en hoe de sturing vanuit bestuurders en directies, de IT Governance, is. 16

17 4.2 Gemeente Rotterdam De gemeenteraad van Rotterdam heeft in juli 2008 de stedelijke rekenkamer gevraagd een onderzoek te doen naar de ICT projecten van de gemeente. De gemeenterekening 2007 gaf aanleiding hiervoor. Dit leidde in maart 2009 tot het voorstel van de Rekenkamer voor een onderzoeksopzet waarin de volgende vragen werden geformuleerd: - Is de aansturing en beheersing van ICT-projecten adequaat opgezet? - Is de verantwoording over ICT-projecten adequaat vorm gegeven? - Is het toezicht op ICT-projecten adequaat vormgegeven? - Is de kwaliteit van de informatievoorziening over ICTprojecten aan de raad adequaat voor wat betreft de voortgang en de beoogde en gerealiseerde baten en lasten (waaronder inverdieneffecten)? In oktober 2009 verscheen het rapport van de rekenkamer, met als titel Foutmelding in beeld 10. Het persbericht van de rekenkamer zelf geeft de volgende conclusie: COLLEGE EN AMBTELIJKE TOP ERKENNEN ONVOLDOENDE BELANG ICT ICT is meer dan techniek alleen. Het grijpt vaak diep in in de dagelijkse werkprocessen. Bovendien vormt ICT in toenemende mate het primaire proces zelf in plaats van dat het dit ondersteunt. College en ambtelijke top van de gemeente Rotterdam erkennen dit onvoldoende. In de afgelopen jaren stonden zij aan de zijlijn van de ICT-ontwikkelingen. Het college heeft geen grip op de samenhang tussen ICT-projecten en de realisatie ervan binnen budget en planning. De Rotterdamse rekenkamer oordeelde dat onafhankelijk toezicht ontbreekt en de betrouwbaarheid van informatie over ICTprojecten niet wordt getoetst. Business cases bij het opstarten van projecten zijn er niet of onvoldoende. Overschrijdingen van planningen en kosten én tegenvallende kwaliteit zijn de gevolgen. De gemeente Rotterdam heeft in augustus 2009 een CIO aangesteld, maar de rekenkamer stelde dat er meer nodig was om de sturing te verbeteren. Er waren quick-win acties gestart die volgens de rekenkamer niet tot structurele verbetering van de sturing leidden. Hierbij werd gedoeld op borging van informatie uit de projecten op basis waarvan gestuurd kon worden. Er werd gewezen naar het college van B&W en de ambtelijke top. Zij namen volgens de rekenkamer onvoldoende verantwoordelijkheid 17

18 ROTTERDAMSE CIO AANGESTELD voor ICT en daarmee voor de informatievoorziening van informatiefabriek Rotterdam, onder andere door de CIO te weinig mandaat te geven. De CIO van Rotterdam werd namelijk onder de Directie Middelen en Control geplaatst. Deze conclusie werd niet herkend door het college en topambtenaren. Zij vonden dat de genomen maatregelen toereikend waren. In het blad Computable van 21 oktober werd hier in een interview met de CIO van Rotterdam verder op ingegaan. Op de vraag of de positionering van de CIO niet te ver af staat van de politiek om ICT structureel op de bestuurlijke agenda te krijgen, antwoordde de CIO als volgt: CIO TE WEINIG MANDAAT?,Het college heeft bewust gekozen om de CIO onder te brengen bij deze dienst, omdat er dan een veel snellere start kan worden gemaakt met het ICT-verbetertraject. De inrichting van een aparte CIO-afdeling zou meer tijd hebben gekost. Bij Directie Middelen en Control bestond al de rol van informatiemanager, alleen vulden de directeur en de adjunct-directeur deze rol in naast hun andere taken. Bovendien, niemand bij de gemeente heeft er belang bij om de rol van CIO af te zwakken. Iedereen beseft de noodzaak van een strakkere aansturing van ICT. Er is niets voor niets een verbetertraject gestart. Het behoort ook tot mijn taak om aan de bel te trekken mocht ICT weer in de verdrukking komen. TE RADE GAAN BIJ ANDERE OVERHEIDSINSTELLINGEN Gezien de andere in deze whitepaper genoemde onderzoeken is er ook in Rotterdam weinig nieuws onder de zon. Echter, zijn de genomen maatregelen echt voldoende? Zal blijken dat de CIO serieus genomen wordt? De tijd zal het leren, maar het verdient aanbeveling dat college en topambtenaren van Rotterdam te rade gaan bij andere overheidsinstanties. Wat heeft daar gewerkt en wat niet? 4.3 Gemeente Amsterdam: Complexe organisatie AMSTERDAM: DOORGESCHOTEN VERSNIPPERING Door de bestuursstructuur van de stad, opdeling in stadsdelen 12, diensten en bedrijven, is er een zodanige versnippering van ICT beleid en uitvoering ontstaan dat het College van B&W in 2004 concludeerde dat het te ver doorgeschoten was. Aanleiding hiervan was een manifest opgesteld door een aantal directies. Dit leidde tot de vorming van een Shared Service Center voor de ICT, het latere Servicehuis ICT. Naast het beheer van het gemeenschappelijk interlokaal communicatienetwerk (E-Net) voor de stad, werden er voor een achttal zogenaamde startgroepdiensten een aantal specifiek benoemde ICT functies centraal belegd. Brede acceptatie 18

19 van dit Servicehuis ICT binnen de organisatie werd echter niet bereikt en men worstelde met de kwaliteit van dienstverlening. De veertien stadsdelen van Amsterdam namen nauwelijks of geen diensten af van het servicehuis ICT, behalve het interlokaal netwerk E-Net. Whitepaper ICT ONDERGESCHIKT AAN BEDRIJFSPROCESSEN In 2008 werd McKinsey gevraagd om de ICT-functie van de stad door te lichten 13. Er werd een aantal risico s voor de stad blootgelegd vanwege gebrekkige vertaling van bestuurlijke en bedrijfsvoeringambities naar samenhangende ICT-programma s. Amsterdam liep grote risico s als het ging om veiligheid en beschikbaarheid van informatie. Met de toenemende digitalisering van documentenstromen én de communicatie met burgers en bedrijven werd dit risico snel groter. Ook had McKinsey het over gebrek aan standaardisatie en coördinatie van de ICT infrastructuur. De onderzoekers constateerden dat informatievoorziening en ICT werd gezien als ondergeschikt aan de bedrijfsprocessen en dat daarom aan elke gril voldaan werd op een eigen specifieke manier. Van coördinatie was nauwelijks sprake. Dit maakte het nodig, volgens de onderzoekers, dat ICT een eigen zelfstandige status moest krijgen met een eigen directeur. De aanbevelingen van McKinsey waren gericht op meer samenhang en minder versnippering van de ICT, standaardisatie voor alle onderdelen van de stad, dus ook voor de stadsdelen, het aanwijzen van generieke applicaties én betere sturing door het aanwijzen van een CIO voor de stad die rapporteert aan de hoogste ambtenaar (gemeentesecretaris), en een Raad van Toezicht bestaande uit directeuren van diensten en secretarissen (directeuren) van stadsdelen. AMSTERDAMSE CIO De aanbevelingen werden vervolgens uitgewerkt door een werkgroep Doorlichting IT, die met concrete adviezen en voorstellen aan het College van B&W kwam. De door McKinsey voorgestelde Raad van Toezicht werd niet nodig geacht maar de andere aanbevelingen werden door de werkgroep overgenomen en uitgewerkt. Onder leiding van de nieuwe CIO als directeur ICT, benoemd per 1 juni 2009, werd er per 1 januari 2010 in Amsterdam een nieuwe Dienst ICT opgericht waarvan in oktober 2009 de contouren bekend werden gemaakt in het plan ICT op NAP

20 COMPLEXITEIT VAN ICT Gemeente Amsterdam is bij uitstek een voorbeeld van IT Governance problematiek in een zeer complexe overheidsorganisatie. De stadsdelen hechten aan hun zelfstandigheid en menen daar goede redenen voor te hebben. Men ziet in dat samenhang op ICT gebied noodzakelijk is om de ambities waar te maken op het gebied van dienstverlening (aan burgers en bedrijven), handhaving, beheer, regelgeving en efficiency. Het Amsterdamse model blijft echter gestoeld op samenwerking en draagvlak en minder op sturing van bovenaf. Het motto van de nieuwe organisatie is gemeenschappelijk waar mogelijk, verbijzondering waar noodzakelijk. Al deze zaken leiden tot zeer complexe ICT. WETGEVING EN BUDGET ALS STUURMIDDELEN Oorzaken en gevolgen van complexiteit van ICT, waar Amsterdam dus nadrukkelijk mee te maken heeft, worden beschreven (voor ICT Managers) in het artikel 15 Veroorzakers van complexiteit in ICT-infrastructuur. Gevolgen zijn verhoging van kosten en verlaging van de kwaliteit (van dienstverlening). Als oorzaken worden genoemd: - Wijzigingen in de organisatie. Er ontstaan nieuwe koppelingen en combinaties die aanvankelijk niet voorzien waren. - Legacy-systemen. Met kunst en vliegwerk moeten oude systemen draaiend gehouden worden terwijl ze niet voldoen aan de (kwaliteits)eisen van deze tijd. - Meer applicaties. Er is altijd een direct verband tussen het aantal verschillende applicaties (soms voor de zelfde of gelijksoortige functies) en complexiteit van de ICT. - Toenemende mobiliteit van medewerkers. Als iedereen op dezelfde plek blijft zitten is beheer en beveiliging redelijk simpel. Bij mobiliteit wordt complexiteit toegevoegd. - Meer regelgeving en andere voorschriften. Als een organisatie zijn eigen plan kan trekken, kan het een ICT infrastructuur op maat kiezen. In de praktijk is door weten regelgeving die vrijheid beperkt, zeker voor overheidsinstanties. - Meer spullen in het datacenter. Meer, groter en complexer. - (On)volwassenheid van de ICT-beheerorganisatie. Professionaliteit gaat uit van de kracht van de eenvoud. Onvolwassenheid van het beheer maakt zaken juist complexer. 20

21 Nieuwe wetgeving, die burgers en bedrijven recht geeft op snelle en correcte antwoorden en op een basiskwaliteit van dienstverlening, zijn belangrijke stuurmiddelen voor de CIO. Dat geldt ook voor het budgetwapen dat stuurt op meer efficiency en meer samenwerking. Binnen de bestuursstructuur van Amsterdam is en blijft de regie van ICT - en daarmee IT Governance - een uitdaging. Whitepaper 4.4 ICT op Normaal Amsterdams Peil (NAP) Het genoemde reorganisatieplan ICT op NAP presenteerde een driedeling van (1) stadsdelen en centrale diensten, (2) zogenaamde clusters en (3) de nieuwe dienst ICT. Schema 3. Amsterdamse structuur van ICT op NAP De stadsdelen en diensten vormen de delen van Amsterdam waar de bedrijfsprocessen plaats vinden. Daar wordt de bevolkingsadministratie bijgehouden, gemeentelijke belastingen geïnd, rijbewijzen en paspoorten verstrekt, het huisvuil opgehaald, leerlingenvervoer geregeld, subsidies beoordeeld, de openbare ruimte gepland en beheerd enzovoort. Kortom, alles waar een gemeente voor bestaat. PASSENDE ICT ANTWOORDEN VOOR AMSTERDAM De clusters zorgen voor de afstemming van vraag en aanbod van ICT, ofwel business alignment. Zij weten wat er binnen stadsdelen en diensten gebeurt en kunnen daarom met passende ICT antwoorden komen. Er zijn vier clusters, namelijk (status november 2009): Cluster Ontwikkeling; Cluster Sociaal; 21