Meten van IT Governance

Transcriptie

1 Meten van IT Governance Een onderzoek naar het meten van IT Governance Mohamed El Aarbaoui Shaheed Mamman Postdoctorale IT Audit Opleiding Amsterdam, oktober 2009

2 Titelblad Naam drs. Mohamed El Aarbaoui drs. Shaheed Mamman Studentnummer Teamnummer Telefoonnummer Organisatie Cordares Ernst &Young EDP Audit Begeleider VU: Bedrijfscoach: dr. René Matthijsse Mohamed Bouker RE 2

3 Voorwoord In het kader van de postdoctorale studie IT Audit aan de Vrije Universiteit hebben wij een onderzoek uitgevoerd naar de mate waarin aandacht wordt besteed aan het meten van IT Governance bij financiële instellingen. Het onderzoek heeft plaatsgevonden van januari 2009 tot en met oktober Het bestuderen van de theorie en deze te toetsen in de praktijk heeft onze kennis en inzicht ten aanzien van IT Governance vergroot. Voor ons onderzoek hebben wij een aantal personen in het bedrijfsleven geïnterviewd. Graag willen wij de geïnterviewden bedanken voor hun tijd en medewerking. Verder willen wij onze afstudeerbegeleiders René Matthijsse en Mohamed Bouker bedanken voor hun begeleiding, kennis en input. Ook willen wij onze familie en vrienden bedanken voor hun steun tijdens de intensieve studieperiode. Tijdens de postdoctorale studie IT Audit hebben wij een plezierige en educatieve periode beleefd. Hier willen wij alle medewerkers voor bedanken. Amsterdam, oktober 2009 Mohamed El Aarbaoui Shaheed Mamman 3

4 Managementsamenvatting Financiële instellingen onderkennen het toenemende belang van IT voor hun bedrijfsvoering. Dit beweegt deze instellingen om in het verlengde hiervan de aandacht voor IT Governance te vergroten. De verwevenheid van IT met de overige bedrijfselementen leidt tot een hecht samenspel van IT Governance en Corporate Governance. Gelet op ons beroep waren wij zeer benieuwd naar de wijze waarop financiële instellingen aandacht besteden aan het meten van IT Governance. Dit heeft geleid tot de volgende onderzoeksvraag: In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance? Om een antwoord te kunnen geven op bovenstaande vraagstelling zijn onderstaande deelvragen beantwoord. Wat is IT Governance? Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten binnen IT Governance, te weten: Structuren: behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. Processen: verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. Relationele mechanismen: de gehele relatie in de business tussen structuren en processen. Bovenstaande aspecten kunnen worden gebruikt om IT Governance te implementeren. De juiste combinatie vinden van de drie aspecten structuren, processen en relationele mechanismen, zal natuurlijk afhangen van een reeks externe en interne factoren zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde taal te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. Welke middelen worden toegepast voor het meten van IT Governance? Voorgaande aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren en derhalve ook te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Wij hebben uit een combinatie van de IT Governance aspecten en het Cobit framework een toetsingskader opgesteld. Het doel van dit toetsingskader is het in kaart brengen van de mate waarin IT Governance is ingericht in de organisatie. Op welke wijze wordt het meten van IT Governance in de praktijk toegepast? In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling In hoeverre en op welke wijze besteden financiële instellingen aandacht aan 4

5 performance management van IT Governance heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen. Resultaten praktijkonderzoek: Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO (Chief Information Officer), Risk s en IT s. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst. Om een eerste indruk te krijgen over de mate waarin IT Governance is ingericht bij de twee financiële instellingen hebben wij onderstaande vragen (conform scriptie d.d. 01 april 2009) voorgelegd aan de CIO: 1) Wat verstaat u onder IT Governance? 2) Hoe is IT Governance ingericht (en geïmplementeerd) binnen uw organisatie? 3) Hoe wordt IT Governance gemeten binnen uw organisatie? De onderzochte instellingen verstaan het volgende onder IT Governance: het gestructureerd beheersen van de IT processen waarbij de relatie tussen IT Demand en IT Supply wordt geregisseerd door de CIO. IT Demand betreft de vraag vanuit de business omtrent IT dienstverlening. IT Supply betreft de IT organisatie welke de IT dienstverlening van de organisatie verzorgt. Het doel van IT Governance binnen de organisatie is de alignment tussen IT en de business. IT Governance is ook op deze wijze ingericht bij deze instellingen. Afspraken tussen de business en IT worden door de CIO gemonitord en indien nodig bijgestuurd. Voor de inrichting van IT Governance hebben de instellingen gebruik gemaakt van het Cobit framework. De instellingen besteden geen tot weinig aandacht aan het meten van IT Governance. IT Governance is ingericht, maar de daadwerkelijke toetsing van IT Governance vormt geen onderdeel van het IT Governance proces. Echter, een vorm van het meten van IT Governance wordt gerealiseerd door het toetsen van een aantal normen (kritische succesfactoren) die zijn opgesteld door de business en IT. Deze normen worden door middel van (periodieke) rapportages getoetst. Rapportages waar het hier om gaat zijn volgens de instellingen van beperkte aard en hebben betrekking op de prestaties van IT, zoals beschikbaarheid van IT systemen. Deze rapportages worden gecommuniceerd aan de betrokken stakeholders. Voorgaand stuk geeft tevens antwoord op onze centrale vraag. Terugkijkend op onze vraagstelling waar het volgende centraal stond: In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance kunnen we stellen dat de organisaties op dit moment weinig aandacht besteden aan het meten van IT Governance. Om de mate van IT Governance te toetsen in de praktijk hebben wij een meetinstrument geïntroduceerd en toegepast in de praktijk. De resultaten en aanbevelingen van dit onderzoek zijn in de volgende tabel opgenomen. 5

6 Structuren Conclusie Aanbeveling S1) Rollen en verantwoordelijkheden - S2) IT organisatie structuur - S3) CIO on board Benoem een onafhankelijke CIO Verplicht de betrokkenheid van de business bij de IT strategie S4) IT strategie comité comité S5) IT stuurgroep - Processen Conclusie P1) Strategic Information Systems-planning. Betrek de business bij IT processen. Bijvoorbeeld: Leg de verantwoordelijk voor het opstellen van een IT strategieplan bij de business en IT. P2) Balanced scorecards Richt een meetinstrument in voor het meten van IT processen P3) Information Economics P4) Service Level Agreements Benoem een SLA coördinator P5) COBIT en ITIL - P6) IT alignment/governance maturity models - Relationele mechanismen Conclusie R1) Actieve participatie van stakeholders - R2) Samenwerking tussen de stakeholders - R3) Partnership beloningen en incentives - R4) Business/IT co-locatie - R5) Begrijpen van Business en IT doelstellingen Realiseer IT affiniteit bij de business door middel van het volgen van verplichte IT cursussen. IT dient voorts betrokken te zijn bij business projecten en vice versa. Realiseer een actieve relatie tussen business en IT door transparantie van wederzijdse doelstellingen, waarbij de businessdoelstellingen leidend zijn en IT een faciliterende rol vervult. R6) Actieve conflict oplossingen Benoem een onafhankelijke CIO die optreedt bij conflicten R7) Cross functionele business/it training Verplicht IT trainingen voor de business en vice versa R8) Cross functionele business/it jobrotatie Verplichte jobrotatie tussen business en IT Legenda: Score = Voldoet in ruime mate aan de gestelde norm(en) = Voldoet aan de gestelde norm(en) = Voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen = Voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk Voor een uitgebreide beschrijving van de bevindingen verwijzen wij naar de analyse van het praktijkonderzoek (hoofdstuk 6) en de conclusie (hoofdstuk 7). 6

7 Inhoudsopgave Voorwoord 3 Managementsamenvatting 4 1 Inleiding Aanleiding Probleemstelling Doelstelling Centrale vraagstelling Deelvragen Opzet en onderzoeksaanpak Leeswijzer 10 2 IT Governance Inleiding Definities IT Governance Analyse 12 3 Meten van IT Governance IT Governance-structuren, -processen en relationele mechanismen Analyse COBIT Analyse 21 4 Toetsingskader IT Governance 22 5 Methode van onderzoek Inleiding Onderzoeksaanpak Resultaten van het onderzoek 26 6 Analyse resultaten praktijkonderzoek Analyse algemene vragen Analyse conform toetsingskader 28 7 Conclusie 32 8 Rol van de IT Auditor 35 Literatuurlijst 37 Bijlagen 38 7

8 1 Inleiding 1.1 Aanleiding Een aantal boekhoudschandalen, zoals bij Enron, Ahold en Parmalat, hebben geleid tot een daling van het vertrouwen rondom dit soort type organisaties. Dit zijn al veel beursgenoteerde ondernemingen. Deze incidenten hebben geresulteerd in een herijking van het toezicht op (beursgenoteerde) ondernemingen. Het resultaat hiervan is een verscherpt toezicht op organisaties, verhoging van verantwoordelijkheid bij het management en stringentere regels rondom de administratieve organisatie. Een voorbeeld hiervan is dat management aansprakelijk kan worden gesteld op fouten in (financiële) rapportage. Deze maatregelen moeten het vertrouwen herstellen in (beursgenoteerde) ondernemingen. Bovenstaande heeft geleid tot meer aandacht in de wijze waarop bedrijven worden geleid. Het thema wat hierbij past is Corporate Governance en hiermee wordt ondermeer verstaan deugdelijk bestuur en verantwoording afleggen door management aan stakeholders. In de huidige bedrijfsvoering is Informatie Technologie (hierna: IT) een significante bedrijfsenabler. Het toezicht hierop is dan ook van kritisch belang. Een tekortkoming binnen IT kan leiden tot operationele risico s, zoals uitval van processen, maar ook negatieve invloed hebben op de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Binnen Corporate Governance kan de aandacht voor IT ook wel opgehangen worden aan IT Governance. IT Governance is een onderdeel van Corporate Governance. NOREA, de beroepsorganisatie van IT-auditors, beschrijft dat de essentie van Corporate Governance is: het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Dit geldt tevens voor IT Governance 1. Financiële instellingen onderkennen het toenemende belang van IT voor hun bedrijfsvoering. Dit beweegt deze instellingen om in het verlengde van voorgaande de aandacht voor IT Governance te vergroten. Uit enquêtes blijkt dat CIO s IT Governance zien als een managementprioriteit 2. De verwevenheid van IT met de overige bedrijfselementen leidt tot een hecht samenspel van IT Governance en Corporate Governance. Gelet op ons beroep waren wij zeer benieuwd naar de wijze waarop financiële instellingen aandacht besteden aan het meten van IT Governance. Voorts vinden wij dit een actueel onderwerp, te meer omdat zij op dit moment druk bezig zijn met het: vernieuwen van legacy systemen door standaardpakketten zoals ERP; integreren van nieuwe technologie zoals internet (distributiekanaal); aanpassen van betalingsverkeer zoals SEPA; implementeren van geautomatiseerde controls teneinde te voldoen aan wet- en regelgeving (zoals SOx, WFT, WBP). Het is nu duidelijk dat IT Governance een belangrijke rol speelt in het beheersen van IT en hiermee ook een bijdrage levert in het realiseren van de bedrijfsdoelstellingen. Het beoordelen van IT Governance vraagt om meetinstrumenten zodat inzicht wordt verkregen in prestaties en bij afwijking van de verwachtingen bijsturing mogelijk is. 1 NOREA; De kennisgroep IT-Governance; IT-Governance: Een verkenning; juni Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT; 8

9 1.2 Probleemstelling Doelstelling IT Governance legt de focus enerzijds op het uitlijnen van IT met de bedrijfsprocessen en anderzijds op het inrichten van de IT organisatie en de IT architectuur zodat de gemaakte afspraken met de bedrijfsproceseigenaren worden gerealiseerd. Binnen de klassieke processen, zoals Finance, Sales, Productie, zijn prestatiemetingen en rapportages een bekend fenomeen. Hiermee krijgen betrokkenen inzicht in prestaties en kan waarnodig bijsturing plaatsvinden. Het meten van IT Governance is gezien de levenscyclus hiervan nog niet zover als de voorgaande klassieke processen. Met ons onderzoek willen wij inzicht krijgen naar de mate waarin aandacht wordt besteed aan het meten van IT Governance bij financiële instellingen. Voorts zullen wij middels een toetsingskader de mate van inrichting van IT Governance bij deze instellingen meten. In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling In hoeverre en op welke wijze besteden financiële instellingen aandacht aan performance management van IT Governance heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in In hoeverre en op welke wijze wordt bij financiële instelling aandacht besteed aan het meten van IT Governance. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen Centrale vraagstelling In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance Deelvragen Om een antwoord te kunnen geven op bovenstaande vraagstelling dienen de volgende aanvullende deelvragen te worden beantwoord: 1. Wat is IT Governance? 2. Welke middelen worden toegepast voor het meten van IT Governance? 3. Op welke wijze wordt het meten van IT Governance in de praktijk toegepast? 1.2 Opzet en onderzoeksaanpak Het onderzoek bestaat uit een literatuuronderzoek en een praktijkonderzoek. Bij het literatuuronderzoek gaat het om begripsbepaling en (theoretische) modelvorming op basis van academische literatuur. In het literatuuronderzoek richten wij ons op de bestaande modellen die worden gebruikt voor het meten van IT Governance. Naar aanleiding van het literatuuronderzoek zullen wij een toetsingskader opstellen welke kan worden gebruikt om IT Governance te meten. Het toetsingskader zal tijdens ons veldonderzoek bij twee financiële instellingen worden getoetst op bruikbaarheid. De uitkomsten van ons onderzoek zullen gekoppeld worden aan het eerder genoemd literatuuronderzoek om op deze wijze gefundeerde conclusies te trekken. 9

10 1.3 Leeswijzer De opbouw van dit rapport wordt in onderstaande figuur schematisch weergegeven. 1) I N L E I D I N G 2) Theorie IT Governance 3) Theorie meetinstrumenten IT Governance 4) Ontwikkelen toetsingskader 5) Methode van onderzoek 6) Analyse en uitwerken resultaten veldonderzoek 7) Beantwoorden hoofdvraag / conclusie 10

11 2 IT Governance 2.1 Inleiding De realisatie van gedegen Corporate Governance binnen geautomatiseerde organisaties is mede afhankelijk van IT Governance. De resultaten van IT Governance hebben hun weerslag op Corporate Governance. Gesteld kan worden dat deze twee onderwerpen met elkaar zijn verweven. Als integraal deel van Corporate Governance, dient IT Governance zich dan te buigen over dezelfde vraagstukken als in de Corporate Governance-context: waar Corporate Governance vooral moet zorgen dat het geïnvesteerde kapitaal van de aandeelhouders op een zinvolle en rendabele manier wordt besteed, moet IT Governance ervoor zorgen dat de investeringen in IT-waarde creëren voor de organisatie 3. In essentie is de theorie het er ten aanzien van Corporate Governance over eens, het gaat om wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst 4. IT Governance is direct met Corporate Governance verbonden en gaat over het besturen, beheersen, verantwoording afleggen over en het toezicht op de informatievoorziening binnen een organisatie. De uitgangspunten van Corporate Governance vertalend naar de betekenis voor IT Governance levert een drietal aandachtsgebieden op: De beheersing van IT- risico s binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening; Het aantoonbaar uitoefenen van toezicht op de beheersing van IT- risico s; Het afleggen van verantwoording over de beheersing van IT- risico s Definities IT Governance IT Governance kent verschillende definities. In deze paragraaf worden een aantal hiervan beschreven. De eerste is ontwikkeld door het IT Governance Institute 6 : IT Governance is the responsibility of the Board of Directors and executive management. It is an integral part of enterprise Governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategy and objectives ). 3 Van Grembergen, W., De Haes, S., Guldentops, E., 2004, : Structures, Processes and Relational Mechanisms for IT Governance 4 Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 5 Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 6 ITGI, 2008, Board Briefing on IT Governance; 11

12 De tweede definitie wordt gehanteerd door van Grembergen 7. De definitie luidt: IT Governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT. De OECD verstaat het volgende onder IT Governance: IT Governance is the system by which IT within Enterprises is directed and controlled. The IT Governance structure specifies the distribution of rights and responsibilities among different participants, such as the board, business and IT s, and spells out the rules and procedures for making decisions on IT. By doing this, it also provides the structure through which the IT objectives are set, and the means of attaining those objectives and monitoring performance 8. De definitie van de OECD toont overlapping met de eerder genoemde definities, maar legt de nadruk op de rechten en verantwoordelijkheden van de verschillende individuen (zoals de raad van bestuur en IT s) en de procedures omtrent besluitvorming ten aanzien van IT. Een simpele definitie van IT Governance wordt gegeven door Brand et al. 9. Zij stellen dat IT Governance ervoor dient te zorgen dat de IT aansluit op bedrijfsprocessen en dat deze op de juiste manier wordt georganiseerd, bestuurd en beheerst. IT Governance verschaft de structuur die een link legt tussen ITprocessen, IT-resources en informatie met de organisatiestrategie en -doelen. 2.3 Analyse Het bereiken van de fusie tussen business en IT (vaak genoemd onder de termen strategic alignment en business/it alignment) wordt gezien als de ultieme doelstelling van IT Governance. De steeds grotere afhankelijkheid van IT verklaart de verhoogde aandacht voor het onderwerp. Voor de ene organisatie speelt IT een belangrijkere rol dan voor de andere. Zo zal het belang van IT per branche verschillen en is maatwerk noodzakelijk. Het komt er op neer dat voor IT Governance geen receptenboek bestaat, en dus geen kant-en-klare oplossing kan worden ontwikkeld. Een ander kernpunt in binnen IT Governance is de primaire verantwoordelijkheid van de raad van bestuur en het directiecomité. Bestuurders moeten hun rol opnemen inzake IT Governance en het op de agenda plaatsen van hun vergaderingen. IT Governance moet bovendien worden doorgetrokken naar de onderliggende IT en businessniveaus. Bestuurders zijn dus verantwoordelijk voor IT Governance op strategisch niveau, leden van het directiecomité en de CIO op managementniveau, en de IT-organisatie samen met de business op het operationele niveau. 7 Van Grembergen, De Haes, 2004, IT Governance mechanismen Brand K, Boonen H; IT Governance based on CobiT; 12

13 Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij zoals ook door Grembergen en de Haes 10 onderkend, gemeenschappelijke aspecten, te weten: Structuren; Processen; Relationele mechanismen. De aspecten zullen wij derhalve als uitgangspunt gebruiken voor onze definitie van IT Governance. In hoofdstuk 3 wordt nader ingegaan op voorgaande aspecten. 10 Van Grembergen, De Haes, 2004, IT Governance mechanismen; 13

14 3 Meten van IT Governance In dit hoofdstuk beschrijven wij een aantal methoden die worden gebruikt voor de inrichting en toetsing van IT Governance. Allereerst beschrijven wij het model van Peterson 11 dat een onderscheid maakt in structuren, processen en relationele mechanismen. Vervolgens wordt het Cobit framework van ISACA 12 uiteengezet. 3.1 IT Governance-structuren, -processen en relationele mechanismen Zoals in de vorige paragraaf besproken, onderscheiden wij structuren, processen en relationele mechanismen als aspecten van IT Governance. Hieronder worden de voornaamste onderdelen van bovengenoemde aspecten aan de hand van een tabel (van Peterson) besproken. Organisaties kunnen deze aspecten en bijbehorende onderdelen als uitgangspunt gebruiken voor de inrichting van IT Governance. Structuren Processen Relationele mechanismen Rollen en Strategic Information Systemsplanning Actieve participatie van verantwoordelijkheden IT organisatie structuur Balanced scorecards stakeholders Samenwerking tussen de CIO on board IT strategie comité Information Economics Service Level Agreements stakeholders Partnership beloningen en IT stuurgroep COBIT en ITIL incentives IT alignment/governance Business/IT co-locatie maturity models Begrijpen van Business en IT doelstellingen Actieve conflict oplossing Cross functionele business/it training Cross functionele business/it jobrotatie Tabel 1 Structuren, processen en relationele mechanismen voor IT Governance 1) Structuren Structuren behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. Rollen en verantwoordelijkheden Duidelijke afgebakende rollen en verantwoordelijkheden voor alle betrokken partijen, zijn onontbeerlijk in het IT Governance-raamwerk. Het is de taak van de raad van bestuur en executive management om deze rollen te communiceren binnen de organisatie en om ervoor te zorgen dat iedereen op alle niveaus zijn/haar rol begrijpt. Zowel de raad van bestuur als IT- en businessmanagement spelen een belangrijke rol in het IT Governance-proces. De CIO is een heel belangrijke, maar zeker niet de enige betrokkene in dit verhaal. De CEO heeft de verantwoordelijkheid om het strategisch beleid en plan uit te voeren, zoals het werd goedgekeurd door de raad van bestuur. De CEO zou er ook voor moeten zorgen dat de CIO volwaardig lid 11 Peterson, R. R. (2003) Information Strategies and Tactics for Information Technology Governance 12 ISACA: Cobit 4.0 & IT Governance Institute, 2007, Cobit 4.1 Executive Summary Framework, IT Governance Institute 14

15 is van het besluitvormingsproces op het hoogste niveau. Zowel de CIO als de CEO moeten op regelmatige tijdstippen rapporteren aan de raad van bestuur. Die raad van bestuur speelt de rol van onafhankelijke toezichthouder. De leden van de raad van bestuur moeten ervoor zorgen dat ze op de hoogte blijven van hedendaagse bedrijfsmodellen, managementtechnieken, IT-technologieën, en natuurlijk met de potentiële waarden en risico s die eraan verbonden zijn. IT organisatiestructuur De effectiviteit van een IT Governance-raamwerk wordt mede bepaald door de manier waarop het ITdepartement zelf is georganiseerd. Belangrijk hierbij is de manier waarop de organisatie de beslissingsmacht over IT verdeelt. In het verleden zijn verschillende modellen ontwikkeld, zoals gecentraliseerde, een gedecentraliseerde en een federale IT-organisatie. IT strategie comité Zoals eerder vermeld moet IT Governance integraal deel uitmaken van corporate Governance. En aangezien Corporate Governance de verantwoordelijkheid is van de raad van bestuur is ook IT Governance haar verantwoordelijkheid. Een raad van bestuur kan tegemoet komen aan deze verantwoordelijkheid door zich te laten ondersteunen door een comité dat zich specifiek buigt over IT gerelateerde zaken. Dat comité wordt aangeduid met IT strategie comité en moet ervoor zorgen dat IT op een gestructureerde manier wordt behandeld door de raad van bestuur en dat het regelmatig op de agenda staat. IT stuurgroep Een IT stuurgroep is verantwoordelijk voor het beheren van grote projecten, voor het vastleggen van ITprioriteiten, het toewijzen van middelen, enzovoort. Terwijl het IT strategie comité werkt op het strategisch niveau van de raad van bestuur, werkt het IT steering comité eerder op het uitvoerend niveau van executive management 2) Processen Processen verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. Strategic Information Systems-planning Een belangrijke doelstelling van IT Governance is de fusie tussen IT en de business, ook wel strategic alignment genoemd. Er zijn verschillende strategieën die de mogelijkheden vastleggen hoe de ITstrategie en de businessstrategie elkaar kunnen beïnvloeden, en hoe zij een impact hebben op de organisatorische bedrijfs- en IT-infrastructuur. Een voorbeeld is een strategie waarbij eerst de business strategie wordt vastgelegd, wat dan een impact zal hebben op de organisatorische infrastructuur en processen, wat vervolgens de IT-infrastructuur vastlegt. 15

16 Balanced Scorecard In 1992 hebben Kaplan en Norton de balanced scorecard (hierna: BSC) geïntroduceerd als model voor strategisch management binnen een organisatie. Organisaties kunnen de BSC als middel gebruiken voor het uitvoeren van metingen op prestaties die moeten leiden tot het behalen van doelstellingen. Een BSC is een vertaling van de strategische doelen van een organisatie in concrete, meetbare parameters die onderverdeeld kunnen worden in vier categorieën: Financieel; Klanten; Interne bedrijfsvoering; Ontwikkeling en groei. Het concept van de BSC kan ook toegepast worden voor de IT organisatie. Aangezien IT de functie van interne dienstverlener binnen de organisatie vervult, zijn de strategische doelstellingen van IT ook van andere aard dan de organisatiedoelstellingen. Een aangepaste BSC voor de IT organisatie is dan ook noodzakelijk. Information Economics Information economics is een techniek die wordt gebruikt voor alignment en Governance. De techniek vereist dat IT- en businessmensen samen scores bepalen voor IT-projecten, om op die manier projecten te selecteren en prioritiseren. Service level agreements In een volwassen IT Governance omgeving moeten service level agreements (hierna: SLA s) en het ondersteunende service level management (SLM)-proces een belangrijke rol spelen. De functies van SLA s zijn: 1. Het definiëren van de serviceniveaus die aanvaardbaar zijn voor de gebruiker en haalbaar voor de serviceleverancier. 2. Het definiëren van voor beide partijen aanvaardbare indicatoren en maatstaven voor het meten van de kwaliteit van de geleverde diensten. COBIT en ITIL Cobit ( Control Objectives for Information and related Technologies ) is een open standaard ontwikkeld door ISACA die de IT-activiteiten organiseert rond 34 IT-processen. Voor elk proces heeft Cobit control objectives en corresponderende auditguidelines en managementguidelines In hoofdstuk 3 wordt nader in gegaan op Cobit. IT alignment/governance maturity models Om te weten hoe ver men staat in het IT Governance en strategic alignment-traject, kan de organisatie gebruikmaken van een maturiteitsmodel. Dit is een scoremethodiek die de organisatie in staat stelt zichzelf te beoordelen tegen een schaal van niet bestaand tot geoptimaliseerd. Op die manier kan een organisatie bepalen waar ze momenteel staat en wat haar toekomstige doelstellingen zijn. 16

17 3) Relationele Mechanismen Relationele mechanismen zijn heel belangrijk maar vaak onderschat. Een organisatie kan alle IT Governance-processen en structuren hebben geïmplementeerd, zonder dat het geheel functioneert, omdat de IT-medewerkers eenvoudigweg de businessmensen niet begrijpen, of omdat beide partijen niet met elkaar samenwerken. Om het geheel te laten werken is het dus van groot belang om goede relaties te hebben tussen IT en businesspersoneel in de vorm van partnership en collaboratie, het continu delen van kennis, jobrotatie, joballocatie, enzovoort Analyse De juiste combinatie van bovengenoemde structuren, processen en relationele mechanismen vinden, zal natuurlijk afhangen van een reeks externe en interne factoren, zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Het is dan ook vanzelfsprekend dat wat werkt voor de ene organisatie, daarom nog niet werkt voor andere organisaties. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde taal te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. De aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren. Deze aspecten kunnen ook worden gebruikt om in grote lijnen de mate van IT Governance in een organisatie te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. In de volgende paragraaf wordt nader ingegaan op dit framework. 3.2 COBIT Cobit staat voor Control Objectives for Infomations and related Technologies en wordt door het ITGI en de Information Systems Audit and Control Association (hierna: ISACA) aangedragen als hét IT Governance framework. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Cobit biedt handvatten, omdat gedetailleerd per onderwerp beschreven staat waar men aan moet voldoen om voor een bepaald onderwerp in control te zijn 13. Wat is Cobit? Cobit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ITorganisatie en IT-architectuur. Cobit bestaat uit een aantal good practices op het gebied van IT Governance. Deze zijn verdeeld over 34 IT-processen. Binnen deze IT-processen staan beheersdoelstellingen en bijbehorende maatregelen, prestatie-indicatoren en volwassenheidniveaus centraal. Cobit is met name gericht op beheersingsaspecten en minder op de gedetailleerde inrichting van IT-processen, zoals dat bijvoorbeeld bij ITIL. Cobit maakt een aansluiting tussen de bedrijfsvoering (business requirements) en hoe IT kan worden ingezet om de bedrijfsdoelstellingen te bereiken. Cobit richt zich meer op de wat- vraag dan de hoe-vraag. Dit betekent dat aanvullingen nodig zijn om invulling te geven aan de uit te voeren activiteiten (hoe). 13 ISACA: Cobit 4.0 & IT Governance Institute, 2007, Cobit 4.1 Executive Summary Framework, IT Governance Institute 17

18 Voor wie is Cobit bedoeld? Cobit biedt zowel de businesss alsmede de IT- een podium om samen op trekken. Het voorziet een, auditor en gebruikers van een set algemeen geaccepteerde meetinstrumenten, indicatoren, processen en best practices die hen kunnen helpen bij het maximaliseren van de voordelen die informatietechnologie met zich meebrengt door middel van het implementeren van een geschikte IT Governance en control binnen een organisatie. Cobit beschrijft voor het management waar rekening mee gehouden moet worden wanneer beslissingen over IT worden genomen en investeringen in IT worden gedaan; het helpt een balans te vinden tussen risico s en investeren in controle. Hoe kan een organisatie met Cobit gaan werken? Het startpunt van Cobit is het definiëren of overnemen van de organisatie- en compliance- doelstellingen. Zonder deze input bestaat er geen garantie dat de navolgende stappen een bijdrage zullen leveren aan het behalen van de bedrijfsdoelstellingen. Het Cobit framework onderscheidt 318 beheersdoelstellingen. Deze zijn vervolgens weer onderverdeeld in 34 IT- processen en die zijn gerangschikt naar vier domeinen: Plan and Organise (PO): gericht op het definiëren van de IT- strategie en IT- architectuur; Acquire and Implement (AI): gericht op het vertalen van de IT-strategie naar het implementeren van IT- oplossingen; Deliver and Support (DS): opleveren en beheren van de geïmplementeerde oplossingen; Monitor and Evaluate (ME): beoordelen of IT de gewenste bijdrage levert aan de bedrijfsdoelstellingen. De vier domeinen staan met elkaar in verbinding en bestrijken het gehele IT- landschap. Beslissingen die in PO worden genomen, worden in AI geïmplementeerd. In het domein DS worden de deliverables in gebruik genomen door de operationele afdelingen en tegelijkertijd begint het monitoringsproces om vast te stellen of de genomen beslissingen datgene opleveren wat de organisatie voor ogen had in de fase PO. Per domein zijn de bijbehorende processen gedefinieerd. Het domein bestaan uit in totaal 34 processen. Eisen zijn gedefinieerd waaraan de output van IT dient te voldoen. Deze eisen vertaald naar de volgende kwaliteitscriteria: effectiviteit, efficiency, confidentiality, integrity, availability, compliance en reliability. Naast de vier domeinen en kwaliteitscriteria besteedt Cobit ook aandacht aan de te gebruiken resources. Cobit verstaat onder resources: applicaties, informatie, infrastructuur en mensen. Het COBIT- raamwerk stelt vervolgens dat de informatie die voortkomt uit de IT-systemen het resultaat is van een gecombineerde inzet van IT- gerelateerde middelen, die moeten worden beheerd via ITprocessen. Het is dus zaak de IT- processen voldoende te beheren en controleren, zodat de informatie geleverd aan de organisatie aan bovenstaande kwaliteitsvereisten voldoet. Cobit is te gebruiken ongeacht de wijze waarop de infrastructuur tot stand is gekomen. Cobit schrijft niet voor of een organisatie gebruik dient te maken van een ERP-pakket of een legacy systeem. Vanuit Cobit kan wel worden beoordeeld of gemaakte keuzes de gewenste bijdrage leveren aan de bedrijfsdoelstelling. Indien de uitgangspunten van een bedrijf gericht zijn op het zoveel mogelijk maken van standaardoplossingen, dan zal dat ook zichtbaar moeten zijn in de keuze van resources. Het Cobit framework biedt drie basisproducten: Control Objectives; Managementguidelines; Auditguidelines. Voor elk van de 34 IT- processen beschrijft het control objectives document control objectives. Deze control objectives kunnen de verantwoordelijke van een IT proces helpen om een gepast controlesysteem 18

19 in te bouwen in de IT- omgeving. De control objectives bevatten uitspraken in verband met de gewenste resultaten of doelstellingen die moeten worden bereikt, door het implementeren van specifieke controls binnen de IT- activiteit. Een dergelijke control bestaat uit procedures, beleidsmaatregelen, praktijken en organisatorische structuren die ervoor zorgen dat een aanvaardbare garantie kan worden geleverd, dat de doelstellingen van de organisatie bereikt worden en dat ongewenste effecten niet plaatsvinden of gedecteerd en gecorrigeerd worden 14. Cobit definieert één high level controlobjectief voor elk proces en drie tot dertig gedetailleerde control objectives voor een IT proces. Binnen Cobit bestaan ook managementguidelines met instrumenten om de IT- omgeving van de onderneming te beoordelen en te meten. Deze managementguidelines bevatten maturiteitsmodellen, critical succes factors, key goal indicators en key performance indicators voor elk IT- proces. Een maturiteitsmodel is een scoretechniek die het de onderneming mogelijk maakt om de maturiteit voor een bepaald proces te beoordelen van niet bestaand (score 0) tot optimaal (score 5). Dit instrument biedt een makkelijk te begrijpen manier om de huidige en de gewenste positie te bepalen en maakt het de onderneming mogelijk om zichzelf te vergelijken met de best practices en standaardrichtlijnen. Op deze manier kunnen verschillen tussen de huidige en de gewenste situatie worden geïdentificeerd en specifieke acties worden gedefinieerd om naar de gewenste positie te evolueren. Als deze maturiteitsbepaling wordt uitgevoerd, is het belangrijk om zich te schikken naar de basisprincipes van maturiteitsmeting: een onderneming kan enkel naar een hoger maturiteitsmeting evolueren wanneer alle condities, beschreven voor een bepaald maturiteitsniveau, zijn vervuld. De volgende maturiteitsniveaus worden onderkend: 0 - Niet bestaand; 1 - Initieel/ ad hoc; 2 - Terugkerend en intuïtief; 3 - Proces gedefinieerd; 4 - Beheerd en meetbaar; 5 - Optimaal. 14 Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT; Informatie 19

20 Voor elk van de 34 IT processen levert COBIT ook auditguidelines. Dit product biedt de auditor een gedetailleerd leidraad om een audit uit te voeren op de 318 gedetailleerde control objectives. Volgens van Grembergen is de einddoelstelling van de audit: Garanties bieden aan management dat de control objectives worden bereikt; Wanneer er duidelijke zwakheden zijn in de controle, die hieruit resulterende risico s duidelijk maken; Adviseren van management over correctieve acties 15 Het Cobit framework wordt samengevat in onderstaande figuur. Figuur 1 15 Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT. 20

21 3.2.1 Analyse In paragraaf 3.2 hebben wij de essentie van Cobit uiteengezet. Cobit biedt handvatten, omdat gedetailleerd per onderwerp beschreven staat waar men aan moet voldoen om voor een bepaald onderwerp in control te zijn. Cobit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ITorganisatie en IT-architectuur. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Naast het model dat door Peterson wordt gebruikt om IT Governance op hoger niveau in te richten is Cobit hét framework om dit op detail niveau te realiseren. In het volgende hoofdstuk introduceren wij een toetsingskader welke bestaat uit een combinatie van het model van Peterson en het Cobit framework. 21

22 4 Toetsingskader IT Governance Zoals in het vorige hoofdstuk besproken kan het model van Peterson worden gebruikt om IT Governance op hoog niveau te implementeren en uiteindelijk te toetsen. Op detailniveau kan Cobit worden gebruikt om IT Governance in te richten en te toetsen. In dit hoofdstuk introduceren wij een toetsingskader welke wij zullen gebruiken het praktijkonderzoek. Het toetsingskader dient inzicht te geven in welke mate IT Governance is ingericht in een organisatie. De aspecten structuur, processen en relationele mechanismen die worden onderkend door Peterson (2003) worden als uitgangspunt gebruikt in het toetsingskader. Deze aspecten worden als uitgangspunt gebruikt in het toetsingskader. Om meer diepgang in het toetsingskader te creëren hebben wij het aspect processen waar mogelijk aangevuld met de control objectives van Cobit. De Cobit control objectives die zijn gebruikt onder het aspect processen zijn aangegeven met het control objective nummer. Hieronder is het toetsingskader weergegeven. Structuren Gesprekspartner Score S1) Rollen en verantwoordelijkheden De taken van IT management en business management zijn duidelijk CIO, Risk, IT gecommuniceerd door de RvB. De afspraken met betrekking tot rollen en verantwoordelijkheden tussen de business en IT zijn door de RvB geaccordeerd. Een CIO die volwaardig lid is van het besluitvormingsproces op het hoogste niveau is benoemd. CIO, Risk, IT CIO, Risk, IT S2) IT organisatie structuur De IT organisatie is gecentraliseerd ingericht. De organisatie is Business driven Het proceseigenaarschap, de accountability en de responsibilty taken van het IT management zijn duidelijk belegd Het IT management heeft een IT organisatie ingericht met gedocumenteerde rollen, verantwoordelijkheden en verwachte prestaties van het personeel. S3) CIO on board De CIO functioneert als onafhankelijk orgaan (is bijvoorbeeld geen lid van de IT organisatie). De taken van de CIO zijn duidelijk belegd en geaccordeerd door de RvB S4) IT strategie comité Een IT strategie comité is ingericht Personen van de business en van IT zijn vertegenwoordigd in het comité Het comité heeft voldoende draagkracht in de organisatie S5) IT stuurgroep Een IT stuurgroep is ingericht waarin personen van de business en van IT zijn vertegenwoordigd. CIO CIO CIO, Risk, IT CIO, IT CIO, Risk CIO CIO, Risk, IT CIO IT 22

23 Processen Gesprekspartner Score P1) Strategic Information Systems-planning Er is een strategisch IT plan (PO1, P03)? Dit plan is tot stand gekomen door betrokkenheid van de business Het strategisch IT plan wordt gedeeld met de business Het strategisch IT plan wordt besproken tijdens business-management overleggen De doelstellingen op het gebied van IT zijn geformuleerd en gecommuniceerd aan de business (PO3) De IT architectuur is bekend en formeel gedocumenteerd (PO2) De IT processen, -organisatie en relaties zijn beschreven en formeel gecommuniceerd (P04) Management (IT) doelstellingen zijn gecommuniceerd naar de business (PO6) Er wordt specifiek aandacht besteed aan IT human resource management (PO7) IT oplossingen voor business vraagstukken worden door IT en de business in samenspraak ontwikkeld (AI1) P2) Balanced scorecards Er wordt gebruikt gemaakt van een Balanced scorecard (of een soortgelijke methodiek) voor het toetsen van de prestaties van IT (Governance) (ME1) P3) Information Economics IT is betrokken bij alle business projecten (PO10) Business stakeholders zijn betrokken bij IT projecten (PO10) Project IT risico s worden door de business en IT gezamenlijk geanalyseerd (PO9) Het IT budget binnen een project is vastgesteld in samenspraak met de business (PO5) De Business en IT zijn samen verantwoordelijk voor de prioritisering van IT- projecten (PO5, PO10) Een Quality Assurance rol is ingericht ten aanzien van projecten (PO8, PO10) De IT planning sluit aan op de eisen van de business (PO10) P4) Service Level Agreements SLA s zijn afgesloten tussen de business en de IT organisatie (DS1) Een service level coördinator is benoemd met duidelijke taken (DS1, DS2) Processen zijn ingericht om de prestaties van IT te monitoren (DS3) Er zijn richtlijnen voor de selectie van (service) leveranciers (DS1) CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT 23

24 Processen Gesprekspartner Score P5) COBIT en ITIL De organisatie heeft gebruik gemaakt van een best practice / framework voor het inrichten van IT Governance. P6) IT alignment/governance maturity models CIO Een scoretechniek wordt gebruikt om het volwassenheidsniveau van de organisatie te bepalen. CIO Relationele mechanismen Gesprekspartner Score R1) Actieve participatie van stakeholders Alle stakeholders (RvB, IT management, business management, audit/toezichthouder) zijn betrokken bij het IT Governance proces CIO, Risk, IT De verantwoordelijkheden van de verschillende stakeholders zijn duidelijk belegd CIO, Risk, IT R2) Samenwerking tussen de stakeholders De afspraken omtrent de samenwerking tussen de stakeholders zijn vastgelegd en gecommuniceerd De communicatielijnen tussen de stakeholders zijn duidelijk vastgelegd en gecommuniceerd R3) Partnership beloningen en incentives Een beloningssysteem is geïmplementeerd om het personeel te motiveren R4) Business/IT co-locatie De IT organisatie is fysiek dichtbij de business gelokaliseerd R5) Begrijpen van Business en IT doelstellingen De business doelstellingen zijn bekend bij de IT organisatie en viceversa De bedrijfsdoelstellingen worden door IT gebruikt als uitgangspunt R6) Actieve conflict oplossingen Een orgaan is ingericht om conflicten (tussen de business en IT) actief op te lossen R7) Cross functionele business/it training Het management onderkent het belang van (IT en business) trainingen Trainingen zijn onderdeel van de carrière van het personeel IT trainingen worden aangeboden aan de Business en viceversa R8) Cross functionele business/it jobrotatie Jobrotatie tussen IT en de business vindt plaats Jobrotatie wordt door het management gestimuleerd CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT 24

25 5 Methode van onderzoek 5.1 Inleiding In dit hoofdstuk wordt de methode van het praktijkonderzoek besproken. Hierin beschrijven wij de onderzoeksaanpak. In hoofdstuk 5 wordt de analyse van de resultaten beschreven. 5.2 Onderzoeksaanpak Wij hebben in hoofdstuk 2 de essentie van IT Governance uitgelicht en besproken wat IT Governance kan opleveren voor een organisatie. Dit hebben wij geprobeerd te verduidelijken door verschillende definities in ogenschouw te nemen en de verschillen en in het bijzonder de overeenkomsten in kaart te brengen. Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten, te weten: Structuren; Processen; Relationele mechanismen. Dit wordt ook onderkend door Grembergen en de Haes 16. Voor het aspect structuur wordt het bestaan van verantwoordelijke functies, zoals IT executives en een reeks comités en raden behandeld. Processen verwijzen naar strategische besluitvorming en opvolging. Relationele mechanismen behelzen zaken zoals partnerships tussen IT en de organisatie, actieve participatie van alle betrokkenen partijen, strategische dialoog en gezamenlijke leren. Dit hebben wij in hoofdstuk 3 beschreven. ISACA draagt COBIT aan als hét IT Governance framework. Ook biedt het Cobit framework het management en auditors richtlijnen om de beheersprocessen in te richten dan wel te beoordelen. Ook dit is in hoofdstuk 3 besproken. Na het bestuderen van onze theorie hebben wij een toetsingskader opgesteld. Het toetsingskader dient inzicht te geven in hoeverre IT Governance is ingericht in een organisatie. Aangezien onze gemeenschappelijke aspecten (structuur, processen en relationele mechanismen) worden onderkend door Grembergen en de Haes, is dit de aanleiding geweest om deze aspecten als handvatten te gebruiken voor onze toetsingskader. Vervolgens hebben wij de onderdelen van de aspecten structuur, processen en, relationele mechanismen gebruikt als normen 17. Om meer diepgang in het toetsingskader te creëren hebben wij het aspect processen van Peterson waar mogelijk aangevuld met de control objectives van Cobit. Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO, Risk s en IT s. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst. 16 Van Grembergen, De Haes, 2004, IT Governance mechanismen; 17 Van Grembergen, De Haes, 2004, IT Governance mechanismen; 25