ITAG RESEARCH INSTITUTE

Transcriptie

1 ITAG RESEARCH INSTITUTE Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management Wim Van Grembergen, Universiteit Antwerpen, Universiteit Antwerpen Management School Steven De Haes, Universiteit Antwerpen Management School Isabelle Amelinckx, Universiteit Antwerpen Inleiding In de huidige economie vertrouwen ondernemingen meer en meer op externe partijen voor het uitvoeren van processen en activiteiten die niet tot hun kerntaken behoren. Zo worden ook vaak de IT (Informatie Technologie) diensten in een organisatie geheel of gedeeltelijk uitbesteed. Maar organisaties zijn dikwijls niet tevreden met de diensten, geleverd door externe partijen, en zijn soms zelfs afhankelijk van derden van wie de toekomst onzeker is, vooral in deze periode van economische achteruitgang. Dit artikel toont aan hoe ondernemingen dit probleem het hoofd kunnen bieden door gebruik te maken van Service Level Agreements (SLAs) en Service Level Management (SLM), ondersteund door mechanismen zoals Cobit ( Control Objectives for Information and related Technologies ) en de Balanced Scorecard (BSC). Het belangrijkste besluit is dat een passend SLM proces op poten moet worden gezet in de onderneming en dat, om problemen zoals het niet verkrijgen van de overeengekomen dienst(en) te vermijden, service niveaus moeten uitgedrukt worden in business termen. In het eerste punt worden de begrippen service level agreement en service level management gedefinieerd en worden de componenten van het SLM proces kort besproken. Vervolgens wordt Cobit geïntroduceerd als een raamwerk om het SLM proces te ondersteunen. Ten slotte wordt het concept van de balanced scorecard gebruikt om het SLM proces te meten en te managen. 1/13

2 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 2/13 Service Level Agreements and Service Level Management Volgens Sturm, Morris en Jander (2000), kan service level management gedefinieerd worden als de proactieve methodologie en het geheel van procedures die gebruikt worden om te verzekeren dat een voldoende niveau van service wordt geleverd aan alle IT gebruikers in overeenstemming met de prioriteiten van de onderneming en tegen aanvaardbare kosten. Het instrument bij uitstek voor het installeren van een SLM proces is het service level agreement. Een service level agreement is een geschreven contract afgesloten tussen de verschaffer van de dienst en de ontvanger van de dienst. Het doel van een SLA is het opstellen van meetbare doelstellingen voor te leveren prestaties met het oog op het bereiken van een gemeenschappelijk begrip van de aard en het niveau van de vereiste dienstverlening (International Federation of Accountants, 2000). Er bestaan drie types SLAs: In-House, externe, en interne SLAs. De verschillen tussen deze types verwijzen naar de partijen die betrokken zijn bij het definiëren van de SLA. Het eerste en meest voorkomende type SLA is de In-House SLA. Een In-House SLA is een overeenkomst tussen een service provider binnen het bedrijf zelf, zoals het IT departement, en een interne klant of intern departement, zoals marketing, financiering, of productie. De tweede meest voorkomende SLA is de externe SLA; een SLA tussen een externe service provider en een onderneming. Ten slotte is er de interne SLA. Een interne SLA wordt gebruikt door een service provider om de prestaties van de groepen binnen zijn eigen organisatie te meten (Sturm et al., 2000). Voor welk type SLA ook gekozen wordt, er zal altijd onderhandeld moeten worden door een ervaren en multidisciplinair team waarin zowel de eindgebruikers als de service provider gelijk vertegenwoordigd zijn. Vele eindgebruikers beschouwen de onderhandelingen als een zero-sum game, ze willen een maximum aan service tegen een zo laag mogelijke prijs, terwijl service providers de overeenkomst willen binnenhalen met het oog op het uitbreiden van hun marktaandeel, maar met een minimum aan inspanningen en een zo groot mogelijke marge. Het zoeken naar een evenwicht tussen deze twee posities is een zeer belangrijke, maar ook zeer moeilijke taak voor een solide SLA en SLM. Een SLA tussen de service provider en de begunstigde van de dienst is een noodzaak aangezien een dienst enkel goed of slecht kan genoemd worden indien deze dienst duidelijk omschreven is. Daarenboven formaliseert een SLA de noden en de verwachtingen van de onderneming en doet in dit opzicht ook dienst als een soort garantie voor de beide partijen. Op deze manier kunnen potentiële misverstanden verminderd worden en de prioriteiten in verband met dienst en dienstverlening verduidelijkt worden. De SLA is in essentie een document dat opgebouwd is rond een aantal kerncomponenten (Tabel 1) die besproken en overeengekomen worden tussen een onderneming en de service provider. In de eerste plaats dienen al de betrokken partijen duidelijk geïdentificeerd te worden, en moeten definities 2/13

3 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 3/13 vastgelegd worden voor de gebruikte terminologie in de SLA. De termijn/duur en de omvang/onderwerp van de SLA definiëren respectievelijk de periode die de SLA beslaat en de diensten die de overeenkomst omvat. Hier is het ook al belangrijk om te identificeren wat de SLA zeker niet omvat ( out-of-scope of uitgesloten elementen). De service level objectieven beschrijven de niveaus van engagement rond de verschillende diensten waarover de eindgebruikers en de service provider het eens zijn: beschikbaarheid, prestaties (snelheid, nauwkeurigheid, antwoordsnelheid), veiligheid, onderhoud, kwaliteit, Om er zeker van te zijn dat zowel de eindgebruikers als de provider de service level objectieven begrijpen, is het belangrijk om een onderscheid te maken tussen de technische service niveaus en de business service niveaus. Terwijl de business service niveaus de vereiste service uitdrukken in business termen, vertalen de technische service niveaus deze in technische vereisten. De service level indicatoren specificeren de maatstaven en statistieken aan de hand waarvan de service levels gemeten kunnen worden. Verder moet bepaald worden wie deze zeer belangrijke meetoefening zal uitvoeren en hoe dit gedaan zal worden. Wanneer deze maatstaven opgenomen worden is het belangrijk om zowel de objectieve maatstaven (cijfermateriaal) als de subjectieve maatstaven (perceptie van de eindgebruikers), welke sterk kunnen verschillen van harde cijfers en statistieken, in rekening te nemen. In vele SLAs worden enkel objectieve criteria en maatstaven beschreven en gevalideerd wat soms leidt tot eindeloze discussies tussen de service provider en de onderneming. De non-perfomance clausules definiëren wat er gebeurt indien de service provider de SLA objectieven niet bereikt (waarschuwing, correctieve acties, financiële straf, procedures, etc.). Facultatieve diensten (additionele diensten die normaal gezien niet verschaft worden op het moment van de overeenkomst) kunnen al worden voorzien en audit, rapportering en administratieve procedures (taken, verantwoordelijkheden, communicatieprocedures, frequentie van vergaderingen, ) moeten worden gedefinieerd. Review/update procedures en processen moeten worden opgenomen die de identificatie en de implementatie van om het even welke verandering mogelijk maken (andere indicatoren, nieuwe technologische evoluties, nieuwe organisatorische of service vereisten, verandering in organisatorische strategie). Het regelmatig herbekijken van de SLA is immers een zeer belangrijke succesfactor aangezien ondernemingen en hun diensten een dynamisch karakter hebben. Ten slotte moeten natuurlijk ook de prijsmechanismen, facturatie- en betalingstermijnen en formele goedkeuringen opgenomen worden in de SLA (Sturm et al., 2000). Tabel 1 Enkele essentiële componenten van een service level agreement Partijen in de overeenkomst Definities terminologie Termijn/Duur Omvang/Onderwerp Beperkingen Service level objectieven Service level indicatoren Non-performance impact Onderhoud Prijsmechanisme Facturatie en betalingstermijn Veiligheidsprocedures Audit procedures Taken en verantwoordelijkheden Facultatieve diensten Rapportering Administratie Review/Update Goedkeuringen 3/13

4 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 4/13 Een all-inclusive SLA bestaat echter niet. Het gevaar bestaat steeds dat service providers zich beroepen op zekere slimme clausules wanneer de geleverde diensten beneden het afgesproken niveau dalen. Vele ondernemingen zijn ontstemd omdat hun SLA hen niet tegen alles beschermt en verwijten de service provider een magere en onrechtvaardige SLA. Ze verliezen daarbij uit het oog dat hoe breder het bereik van de SLA, hoe hoger de kosten die daaraan verbonden zijn. Een evenwichtige SLA is een compromis tussen de noden, verwachtingen en eisen van de onderneming (eindgebruikers) en de mogelijkheden en beloftes van de service provider, terwijl ter zelfde tijd de service provider moet beschermd worden door het beperken van de aansprakelijkheid, identificeren van verantwoordelijkheden, en het rationeel managen van de verwachtingen van de eindgebruikers. Service level management en service level agreements door middel van Cobit Cobit ( Control Objectives for Information and related Technologies ) is ontwikkeld door de Information Systems Audit and Control Association (ISACA). Het Cobit raamwerk (2000d) identificeert 34 processen verdeeld over vier IT domeinen: planning en organisatie ( planning and organization ), acquisitie en implementatie ( acquisition and implementation ), levering en ondersteuning ( delivery and support ), en controle ( monitoring ) (zie appendix, en ). Cobit definieert één high-level controleobjectief voor elk proces en drie tot dertig gedetailleerde controleobjectieven. Deze controleobjectieven bevatten statements in verband met de gewenste resultaten of doelstellingen die moeten bereikt worden door het implementeren van specifieke controleprocedures binnen de IT activiteit en verschaffen een duidelijk beleid voor IT controle doorheen de industrie (IS Audit & Control Foundation, 2000b). Eén van de IT processen die geïdentificeerd worden in het raamwerk is het definiëren en managen van de service niveaus ( defining and managing service levels uit het delivery en support domein). Een samenvatting van de controleobjectieven voor dit IT proces wordt in Tabel 2 gegeven. Deze controleobjectieven benadrukken het belang van de aanwezigheid van een SLA raamwerk en eensgezindheid over de componenten van een SLA. Performantie, controle- en rapporteringprocedures moeten ingelast worden en de contracten moeten regelmatig herbekeken worden. Ten slotte benadrukken de Cobit controleobjectieven de noodzaak van aan te rekenen items ( chargeable items ) in de SLA, om op die manier een trade-off te kunnen maken tussen dienstverlening en kosten, en een programma om de SLAs voortdurend te verbeteren. Tabel 2 Controleobjectieven voor het definiëren en managen van service niveaus (IS Audit & Control Foundation, 2000b). High-level controleobjectief Controle over het IT proces definiëren en beheren van service niveaus dat tegemoetkomt aan de ondernemingsbehoeften om op die manier tot een gezamenlijk begrip van het vereiste service niveau te komen wordt mogelijk gemaakt door 4/13

5 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 5/13 het opstellen van service level agreements die de prestatiecriteria formaliseren waartegen de kwantiteit en kwaliteit van de dienst gemeten zal worden en neemt in rekening Formele overeenkomsten Definitie en verantwoordelijkheden Antwoordtijden en volumes Betaling Integriteitgaranties Overeenkomsten inzake discretie en geheimhouding (nondisclosure) Criteria in verband met klantentevredenheid Kosten- batenanalyse van de vereiste service niveaus Controle en rapportering Gedetailleerd controleobjectief 1: Service level agreement raamwerk Management moet een raamwerk definiëren om het opstellen van service level agreements met een minimale inhoud zoals beschikbaarheid, betrouwbaarheid, prestaties, groeicapaciteit, niveau van ondersteuning voor de eindgebruikers te promoten. De gebruikers en de IT functie moeten een geschreven overeenkomst hebben welke het service niveau in kwantitatieve en kwalitatieve termen beschrijft en de verantwoordelijkheden van beide partijen definieert. Gedetailleerd controleobjectief 2: Aspecten van service level agreements Er moet een expliciete overeenkomst bereikt worden in verband met de aspecten die de service level agreements moet omvatten (bv. beschikbaarheid, betrouwbaarheid, en prestaties). Gedetailleerd controleobjectief 3: Performantie procedures Management moet procedures implementeren om er zeker van te zijn dat de manier van en de verantwoordelijkheden voor het beheren van relaties (bv. non-disclosure overeenkomsten) tussen alle betrokken partijen worden vastgelegd, gecoördineerd, onderhouden, en gecommuniceerd naar alle betrokken partijen. Gedetailleerd controleobjectief 4: Controle en rapportering Een service level manager die verantwoordelijk is voor het controleren en het rapporteren over het bereiken van de vooropgestelde service performance criteria en alle problemen die gedurende dit proces naar voren zijn gekomen, moet worden aangesteld. Gedetailleerd controleobjectief 5: Herbekijken van service level agreements en contracten Een regelmatig review proces voor de service level agreements en de daarbijhorende contracten met service providers moet ingelast worden. Gedetailleerd controleobjectief 6: Aan te rekenen items Management moet voorwaarden voor aan te rekenen items in het service level agreement opnemen wat trade-offs mogelijk maakt tussen dienstverlening en kosten Gedetailleerd controleobjectief 7: Programma voor verbeteren dienstverlening Een proces om er zeker van te zijn dat eindgebruikers en service level managers regelmatig instemmen met een service improvement programma voor het nastreven van gerechtvaardigde verbeteringen in service niveau Om tegemoet te komen aan de behoefte van het management inzake controle en meetbaarheid van IT, heeft Cobit Management Guidelines opgesteld met instrumenten om de IT omgeving van de onderneming te beoordelen en te meten tegen de 34 IT processen. Deze Management Guidelines (2000e) bevatten Maturiteitsmodellen ( Maturity Models of MM), Kritische SuccesFactoren ( Critical Success Factors of CSFn), Key Goal Indicatoren (KGIn), en Key Performance Indicatoren (KPIn) voor elk proces. Een maturiteitsmodel is een scoretechniek die het de onderneming mogelijk maakt om de maturiteit voor een bepaald proces te beoordelen van niet bestaand (score 0) tot optimaal (score 5). Dit 5/13

6 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 6/13 instrument biedt een gemakkelijk te begrijpen manier om de huidige ( as-is ) en de gewenste ( to-be ) positie te bepalen, en maakt het de onderneming mogelijk om zichzelf te vergelijken met de best practices en standaard richtlijnen. Op deze manier kunnen verschillen tussen de huidige en de gewenste situatie geïdentificeerd worden en specifieke acties gedefinieerd worden om naar de gewenste positie te evolueren ( to-be ). Wanneer deze maturiteitsbepaling uitgevoerd wordt, is het belangrijk om zich te schikken naar de basisprincipes van maturiteitsmeting: een onderneming kan enkel naar een hoger maturiteitsniveau evolueren wanneer alle voorwaarden, beschreven voor een bepaald maturiteitsniveau, vervuld zijn. Het maturiteitsmodel voor het definiëren en managen van service niveaus, waarvan een overzicht wordt gegeven in Tabel 3, beschrijft dat een onderneming maturiteitsniveau 1 voor dit proces bereikt heeft wanneer men bewust is van de nood aan het beheren van de service niveaus, maar dat het proces nog informeel is. Een onderneming bereikt maturiteitsniveau 5 wanneer alle service niveaus voortdurend herbekeken worden om er zeker van te zijn dat IT en business objectieven op één lijn liggen. Tabel 3 Maturiteitsmodel voor het definiëren en managen van service niveaus (IS Audit & Control Foundation, 2000e). 0 NIET BESTAAND Management heeft de nood aan een proces voor het definiëren van service niveaus nog niet ingezien. 1 INITIEEL / AD HOC Men is er zich van bewust dat service niveaus moeten beheerd worden, maar het proces is informeel. 2 TERUGKEREND EN INTUÏTIEF Er zijn service level agreements overeengekomen, maar deze zijn informeel en worden niet herbeken. Service level rapportering is onvolledig. 3 PROCES GEDEFINIEERD Het service level proces is in gebruik met controlepunten voor het herbepalen van de service niveaus en klantentevredenheid. 4 BEHEERD EN MEETBAAR Prestatiemaatstaven weerspiegelen meer en meer de noden van de eindgebruikers, eerder dan enkel de IT doelstellingen. 5 OPTIMAAL Service niveaus worden voortdurend herbekeken om er zeker van te zijn dat IT en ondernemingsdoelstellingen op één lijn liggen. De resultaten van een survey, uitgevoerd door ISACA in 2002, tonen aan dat het maturiteitsniveau voor het definiëren en managen van service niveaus voor de meeste ondernemingen gelegen is tussen 2 en 2.5. Het filteren van de resultaten volgens grootte, geografie, en industrie toonde aan dat mulitnationale ondernemingen, ondernemingen uit de financiële sector, en IT service providers gemiddeld een hogere maturiteit bereiken (tussen 2.5 en 3) voor het definiëren en managen van service niveaus (Guldentops, Van Grembergen en De Haes, 2002). Deze data kunnen zeer nuttige benchmarks zijn voor ondernemingen wanneer zij hun eigen maturiteiit op het gebied van het definiëren en managen van service niveaus vergelijken met de industry best practices. Cobit s Management Guidelines omvatten ook kritische succesfactoren, key goal indicatoren en key performance indicatoren die gebruikt kunnen worden wanneer de onderneming een bepaald 6/13

7 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 7/13 maturiteitsniveau nastreeft, bv. het bereiken van maturiteit in het SLM proces. Kritische succesfactoren zijn de belangrijkste elementen die een onderneming moet nastreven om ervoor te zorgen dat het IT proces zijn doel bereikt. Key goal indicatoren verwijzen naar wat een onderneming dient te bereiken. Ze vertegenwoordigen de IT proces doelstellingen. De key performance indicatoren zijn proces gedreven en concentreren zich meer op het hoe. Deze indicatoren duiden dus aan hoe goed het IT proces bijdraagt tot het bereiken van de doelstelling. De KSFn, KPIn, en KGIn voor het definiëren en managen van service niveaus worden beschreven in Tabel 4. Tabel 4 KSFn, KGIn, en KPIn voor het definiëren en managen van de service niveaus (IS Audit & Control Foundation, 2000e). Kritische succesfactoren Key goal indicatoren Key performance indicatoren Wanneer mogelijk worden de service niveaus uitgedrukt in eindgebruikertermen Een route cause analysis wordt uitgevoerd telkens wanneer de service niveaus geschonden worden Vaardigheden en instrumenten zijn beschikbaar om nuttige en tijdige service niveaus te verschaffen De kritische ondernemingsprocessen die rekenen op IT worden gedefinieerd en gedekt door een service level agreement De verantwoordelijkheden van IT management worden verbonden met service niveaus De IT onderneming kan de oorzaak van kostenvariaties identificeren Gedetailleerde en consistente verklaringen voor variaties in de kosten worden verschaft Een systeem voor het opvolgen van individuele veranderingen is beschikbaar Formeel akkoord (sign-off) van de strategische buiness unit dat de service niveaus op één lijn liggen met de ondernemingsobjectieven Klantentevredenheid omdat het service niveau voldoet aan de verwachtingen Eigenlijke versus gebudgetteerde kostenratio op één lijn met service niveaus Percentage van de kritische bedrijfsprocessen afgedekt door service level agreements Percentage van de service level agreements wordt herbekeken op het afgesproken tijdstip of na een belangrijke verandering Betrokken partijen in de service levels ondertekenen de resultaten van gecontroleerde service levels Percentage van IT diensten die voldoen aan service level agreements Tijdsduur voor het oplossen van een vraag tot verandering in service niveau Frequentie van klantentevredenheidssurveys Tijdsduur voor het oplossen van een service level issue Aantal keer dat root cause analyse van een service level procedure en de daaropvolgende oplossing wordt vervolledigd binnen de vooropgestelde periode Omvang van de additionele middelen die nodig zijn om de vooropgestelde service niveaus te bekomen Er bestaat een belangrijke oorzaak en gevolgrelatie tussen de key performance indicatoren en de key goal indicatoren. KGIn zoals klantentevredenheid omdat het service niveau voldoet aan de verwachtingen zonder KPIs zoals tijd die verloopt tussen een aanvraag voor de verandering van een service niveau en de oplossing hiervoor communiceren niet hoe de resultaten bereikt kunnen worden. En KPIn zonder KGIn kunnen leiden tot grote investeringen zonder degelijke maatstaven die aangeven of de gekozen SLM strategie wel effectief is. Sommige KPIn zullen een grotere impact hebben op specifieke KGIn in vergelijking met andere. Het is belangrijk de meest invloedrijke KGIn voor een welbepaalde omgeving te identificeren en de KPIndie het meest bijdragen te controleren. 7/13

8 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 8/13 Service level management en de balanced scorecard Eén manier om het SLM proces te meten en beter te beheren, is gebruik maken van een balanced scorecard (Hiles, ). De balanced scorecard is op bedrijfsniveau ontwikkeld door Kaplan en Norton in de jaren 90. Hun idee is dat de evaluatie van een onderneming niet beperkt mag worden tot de traditionele financiële prestatiemaatstaven, maar moet aangevuld worden met operationele maatstaven die betrekking hebben op klantentevredenheid, interne processen, en het innovatievermogen van de onderneming. Resultaten bereikt in deze bijkomende perspectieven zijn de basis voor de toekomstige financiële resultaten. Kaplan en Norton stellen een drie-lagige structuur voor deze vier perspectieven: missie, objectieven, en maatstaven. Ondernemingen moeten elk van de vier perspectieven vertalen in overeenstemmende metrieken en maatstaven die de huidige situatie beoordelen. Deze beoordelingen moeten periodiek herhaald worden en moeten vergeleken worden met de doelstellingen die vooraf bepaald werden (Kaplan en Norton, 1992; Kaplan en Norton, 1993; Kaplan en Norton, 1996a, Kaplan en Norton, 1996b). Het algemene BSC raamwerk kan worden vertaald naar de specifieke noden van de IT- functie, zijn projecten, en zijn specifieke processen zoals het definiëren en managen van service niveaus (Graeser et al., 1998; Van Grembergen and Saull, 2001; Van Grembergen, Saull and De Haes, 2003). Omdat het hier gaat om een specifiek IT-proces, wijken de voorgestelde dimensies (bedrijfscontributie, gebruikersgerichtheid, operationele uitmuntendheid, en toekomstgerichtheid) enigszins af van de algemene dimensies van Kaplan en Norton. Een algemene SLM balanced scorecard die kan gebruikt worden voor het meten en beheren van het SLM proces wordt getoond in Tabel 5. Bij het opstellen van deze algemene service level management scorecard, werden prestatiemaatstaven gedefinieerd in Van Grembergen en Saull (2001), Van Grembergen en Amelinckx (2001), Hiles ( ), en de Cobit Management Guidelines (2000e) gebruikt. Tabel 5 Generieke SLM balanced scorecard Gebruikeroriëntatie Hoe zien de eindgebruikers het service level management proces? Missie Voldoen aan de vereisten van de eindgebruikers en verbeteren van de klantentevredenheid Objectieven Service level performance Gebruikerstevredenheid Metrieken % Percentage van IT diensten geleverd overeenstemmend met de SLA score op de gebruikerstevredenheid survey Operationele uitmuntendheid Bedrijfscontributie Hoe ziet het management het service level management proces? Missie Het behalen van een redelijke bedrijfscontributie door middel van het SLM proces Objectieven controleren van uitgaven in verband met SLM maximaal effect op de onderneming Metrieken eigenlijke versus gebudgetteerde uitgaven % van de processen die steunen op IT gedekt door SLAs Toekomstgerichtheid 8/13

9 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 9/13 Hoe effectief is het service level management proces? Missie Effectief service level management proces Objectieven verbetering SLM proces efficiënt account management efficiënte rapportering over problemen efficiënte prestatierapporten efficiënt implementatieproces Metrieken SLM maturiteitsniveau # mislukkingen om de geplande account meetings bij te wonen # mislukkingen om rapporten over problemen te verschaffen binnen de x uur # mislukkingen om prestatierapporten te verschaffen zoals afgesproken # te late implementaties Kan IT de toekomstige service level management uitdagingen aan? Missie Ontwikkelen van opportuniteiten om toekomstige uitdagingen aan te kunnen Objectieven permanente SLM training en opleiding van IT personeel en eindgebruikers onderzoek met betrekking tot SLM Metrieken SLM opleidingsbudget als percentage van totaal IT budget % van IT staf en eindgebruikers met een volledige SLM training percentage van het IT budget gespendeerd aan SLM onderzoek De gebruikersgerichtheid verwijst naar de evaluatie van de gebruiker van het SLM proces en legt de gebruikerstevredenheid vast op basis van enquêtes en de bereikte service niveaus voor zowel applicaties en operaties. Operationele uitmuntendheid geeft het SLM proces weer dat gebruikt wordt om de gevraagde diensten te leveren, inclusief het maturiteitsniveau van het SLM proces. Toekomstgerichtheid verwijst naar de resources, zowel qua personeel als op het gebied van technologie, die nodig zijn zodat het SLM proces de diensten over de tijd kan leveren. Bedrijfscontributie heeft betrekking op de bedrijfswaarde gecreëerd door het SLM proces met als belangrijkste maatstaf het percentage van bedrijfsprocessen gedekt door SLAs. Bij het opstellen van een bedrijfsspecifieke SLM balanced scorecard moeten een aantal stappen doorlopen worden. Ten eerste moet het concept van de SLM balanced scorecard voorgesteld worden aan het topmanagement, IT management, en medewerkers die betrokken bij het SLM proces en vervolgens moet een SLM/BSC project team samengesteld worden. Ten tweede moet informatie verzameld worden over SLM metrieken. De gekozen maatstaven moeten specifiek, meetbaar, opvolgbaar, relevant, en tijdig zijn. Op deze manier vermijdt de onderneming dat maatstaven worden ontwikkeld of aanvaard waarover geen volledige of nauwkeurige informatie verzameld kan worden of die leiden tot acties tegengesteld aan wat het beste is voor de onderneming (Chaffey, 2002). Ten slotte wordt de bedrijfsspecifieke SLM scorecard opgesteld volgens de principes van Kaplan en Norton. Essentiële componenten van de SLM BSC zijn de oorzaak en gevolgrelaties tussen de maatstaven. Deze relaties worden uitgedrukt door twee types van maatstaven: outcome measures en performance drivers. Deze output-metrieken en performance drivers zijn het equivalent van respectievelijk de key goal indicatoren en de key performance indicatoren die worden gebruikt in de Management Guidelines van Cobit. Dit betekent dat Cobit s KPIn en KGIn gebruikt kunnen worden als basiscomponenten 9/13

10 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 10/13 wanneer een SLM balanced scorecard opgesteld wordt. De oorzaak en gevolgrelaties moeten doorheen de hele scorecard worden gedefinieerd: een groter SLM opleidingsbudget (toekomstgerichtheid) stelt de onderneming in staat een hoger SLM maturiteitsniveau te bereiken (operationele uitmuntendheid) wat op zijn beurt leidt tot een hogere gebruikerstevredenheid (gebruikersgerichtheid) en uiteindelijk leidt tot een hogere bedrijfswaarde door middel van SLM (bedrijfscontributie). Besluit Service level agreements en service level management zijn effectieve mechanismen voor een onderneming om een oplossing te bieden voor het probleem van het niet ontvangen van de vereiste dienstverlening. Het opstellen van een efficiënt en effectief SLM proces is een redelijk complexe en moeilijke taak die een ervaren en multidisciplinaire team vraagt. Cobit is zeker en vast een nuttig en ondersteunend mechanisme voor het definiëren en implementeren van een volwassen SLM proces, door het identificeren van controleobjectieven, maturiteitsmodellen, key goal indicatoren, key performance indicatoren, en kritische succesfactoren. Het algemeen balanced scorecard concept is ook een nuttig instrument dat door vertaling in het SLM balanced scorecard het meten en beheren van het SLM kan ondersteunen. Zowel Cobit als de balanced scorecard bieden de onderneming de mogelijkheid om meer gebalanceerde service level agreements en meer mature service level management processen te ontwikkelen met het oog op het bereiken van de ondernemingsdoelstellingen. 10/13

11 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 11/13 Appendix IT domeinen en processen geïdentificeerd in CobiT (IS Audit & Control Foundation, 2000c) Planning and Organization PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT organization and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality Acquisition and Implementation AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain procedures AI5 Install and accredit systems AI6 Manage changes Delivery and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Assist and advise customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations Monitoring M1 Monitor the processes M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit 11/13

12 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 12/13 Referenties Chaffey, D., Mayer, R., Johnston, K., and Ellis-Chadwick, F Internet Marketing, Harlow, Pearson Education, 508 pp. Guldentops, E., Van Grembergen, W., De Haes, S Control and Governance Maturity survey: establishing a reference benchmark and a self-assessment tool, Information Systems Control Journal, vol. 6 IS Audit & Control Foundation, CobiT Audit Guidelines, July 2000a, 3 rd edition. IS Audit & Control Foundation, CobiT Control Objectives, July 2000b, 3 rd edition. IS Audit & Control Foundation, CobiT Executive Summary, July 2000c, 3 rd edition. IS Audit & Control Foundation, CobiT Framework, July 2000d, 3 rd edition. IS Audit & Control Foundation, CobiT Management Guidelines, July 2000e, 3 rd edition. Graeser, V., Willcocks, L., and Pisanias, N. (1998), Developing the IT scorecard, Wimbledom, Business Intelligence, 396 pp. Hiles, A. ( ), The complete guide to IT Service Level Agreements: Matching service quality to business needs, Brookfield, Rothstein Associates Inc., 261 pp. International Federation Of Accountants, Information Technology Guideline, Kaplan, R., and Norton, D. (1992), The Balanced Scorecard Measures that Drive Performance, Harvard Business Review, 70(1), pp Kaplan, R., and Norton, D. (1993), Putting the Balanced Scorecard to Work, Harvard Business Review, 71(5), pp Kaplan, R., and Norton, D. (1996a), Linking the Balanced Scorecard to Strategy, California Management Review, 39(1), pp Kaplan, R., and Norton, D. (1996b), The balanced scorecard translating strategy into action, Boston, Harvard Business School Press, 322 pp. Sturm, R., Morris, W., and Jander, M. (2000), Foundations of Service Level Management, Indianapolis, SAMS, 272 pp. The Institute of Internal Auditors Research Foundations (1991 and 1994), Systems Auditability and Control Report. Van Grembergen, W., and Amelinckx, I. (2001), Monitoring and managing E-business projects through the Balanced Scorecard, Proceedings of the International Conference on Electronic Commerce, Vienna, November Van Grembergen, W., and Saull, R. (2001), Information Technology Governance through the Balanced Scorecard, In Proceedings of the 34 th Hawaii International Conference on System Sciences (HICSS), CD-ROM, Maui. Van Grembergen W., Saull R., De Haes S. (2003), Linking the IT Balanced Scorecard to the Business Objectives at a major Canadian Financial group, forthcoming in the Journal of Information Technology Cases and Applications (JITCA) 12/13

13 Het gebruik van Cobit and the Balanced Scorecard voor Service Level Management 13/13 About UAMS UAMS (University Antwerp Management School) has the ambition to be a learning partner in management, by offering a broad range of training programmes for future and current managers in the business world, in public services and social-profit organizations. The priorities cover optimal quality control, interactive teaching methods, an emphasis on research-based knowledge and best practice, an international orientation and a continuous adaptation of our programmes to the needs of the market. About ITAG The Information Technology Alignment and Governance (ITAG) Research Institute, was established in within UAMS to host applied research in the domains of IT Governance and business/it alignment. The research centre is an initiative of Prof. dr. Wim Van Grembergen and dr. Steven De Haes. Both have research and practical experience in the IT Governance and Strategic Alignment domains. Recently, this team was reinforced by senior researcher Hilde Van Brempt. Contact UAMS - ITAG Research Institute Sint-Jacobsmarkt 9-13 B-2000 Antwerpen Belgium Wim Van Grembergen, Ph.D. is a professor at the Information Systems Management Department of the University of Antwerp and an executive professor at the University of Antwerp Management School. He is academic director of the Information Technology and Alignment (ITAG) Research Institute and has conducted research in the areas of IT governance, value management and performance management. Over the past years, he has been involved in research and development activities of several COBIT products. He can be contacted at Wim.VanGrembergen@ua.ac.be. Steven De Haes, Ph.D. is responsible for the information systems management executive programs and research at the University of Antwerp Management School. He is managing director of the Information Technology and Alignment (ITAG) Research Institute and recently finalised a Ph.D. on IT governance and business/it alignment. He has been involved in research and development activities of several COBIT products. He can be contacted at Steven.DeHaes@ua.ac.be. 13/13