Business en IT Alignment vanuit het perspectief van IT risk management

Transcriptie

1 Business en IT Alignment vanuit het perspectief van IT risk management VU Amsterdam Postdoctorale IT Audit opleiding Afstudeerscriptie Teamnummer 944 Amsterdam, 6 april 2009

2 Titelblad Naam drs. ing. S. (Samir) Ezzine drs. ing. A.A. (Aziz) Ahrouch Studentnummer Teamnummer Telefoonnummer Organisatie Ernst &Young EDP Audit Podictive Begeleider VU dhr. Jan Joost Bierhoff Bedrijfscoach dhr. Jeffrey Martens Afstudeerscriptie VU Amsterdam Postdoctorale IT Audit opleiding Amsterdam, 7 april

3 Voorwoord Ter afsluiting van de postdoctorale studie IT Audit aan de Vrije Universiteit hebben wij een scriptie geschreven met als onderzoeksvraag Op welke wijze is het mogelijk om alignment tussen IT en Business te bereiken vanuit het perspectief van IT risk management?. Als resultaat van ons onderzoek introduceren wij een stappenplan dat kan dienen als leidraad in het realiseren van alignment tussen business en IT. IT risk management wordt hierin als randwoordelijk aspect gezien dat integraal onderdeel uit moet maken van het alignment proces. Het stappenplan fungeert tevens als controlemiddel om de mate van alignment te evalueren. De theoretische verkenning en toetsing van de theorie aan de praktijksituatie hebben onze kennis en inzicht in het onderwerp vergroot. Met name de uitdaging om IT risk management in relatie te brengen tot business en IT alignment was voor ons een streven. Wij achtten dit van toegevoegde waarde voor het IT audit vakgebied. Voor het uitvoeren van dit onderzoek hebben we een aantal personen uit het bedrijfsleven geïnterviewd. Deze mensen willen we graag bedanken voor hun betrokkenheid en medewerking. Hiernaast willen wij van deze gelegenheid gebruik maken om onze afstudeerbegeleider Jan Joost Bierhoff en onze bedrijfsbegeleider Jeffrey Martens te bedanken voor de goede inhoudelijke ideeën, begeleiding en motiverende rol. Wij zijn de afgelopen twee en een half jaar met veel plezier gedoceerd in het vak IT auditing. De leerzame colleges, workshops en vele interacties met de docenten zullen ons nog lang bijblijven. Hierbij willen wij dan ook de docenten en gastsprekers bedanken. Wij wensen u veel leesplezier. Aziz Ahrouch Samir Ezzine Amsterdam, April

4 Managementsamenvatting Aanleiding Binnen hedendaagse organisaties heerst een toenemende behoefte om bedrijfsprocessen effectief en efficiënt in te richten om gestelde bedrijfsdoelstellingen te behalen. Hierbij speelt de IT functie een belangrijke rol in de organisatie. Vanwege de toenemende en haast onvermijdelijke afhankelijkheid van primaire bedrijfsprocessen op IT wordt de focus op bedrijfsrisico s verbreed naar IT risico s. Wanneer IT risico s optreden binnen de organisatie, dan kunnen deze onvoorziene impact hebben op de business. Dit resulteert in de volgende probleemstellingen: 1. Alignment is onvoldoende aanwezig tussen Business en IT; 2. Business heeft onvoldoende zicht op aanwezige en potentiële IT risico s. Ons onderzoek heeft als doel om een antwoord te geven op de onderzoeksvraag: Op welke wijze is het mogelijk om alignment tussen IT en Business te bereiken vanuit het perspectief van IT risk management? Business en IT alignment en de verhouding met IT risk management Business en IT alignment is het proces van besturen en beheersen van de IT functie om continu in overeenstemming te zijn met de business. Alignment dient hierin niet te worden gezien als een doel, maar als proces om IT te laten acteren als enabler voor het behalen van organisatiedoelstellingen. IT opereert naar strategische richtlijnen die afgestemd dienen te zijn op de business doelstellingen. Risico s die het behalen van deze doelstellingen belemmeren zijn op alle niveaus van de organisatie aanwezig. Beheersing van IT risico s is hierin randvoorwaardelijk om deze te behalen. Een door ons bestudeerde best practice voor IT risk management (IRM), namelijk Risk IT van het IT Governance Institute, beschrijft de belangrijkste fundamenten om te komen tot een proces voor IT risicobeheersing; dit betreft: - risico identificatie; - beoordeling en beheersing; en - monitoring en evaluatie. In dit proces is een risicobewuste cultuur, nauwe betrokkenheid tussen business en IT en duidelijke taken en verantwoordelijkheden op alle niveaus van de organisatie van groot belang. De rol van alignment tussen business en IT hebben wij in een theoretische studie uiteengezet waarbij de meest bekende business en IT modellen de aandacht kregen. Dit waren onder andere: - het strategic alignment model (SAM) van Venkatraman en Henderson; - het 9-vlaks informatiemanagement model (9-vlaks) van Maes; - de balanced scorecard (bsc) van Kaplan en Norton; en - het Luftman s strategic alignment maturity model (LMM) van Luftman. De balanced scorecard aangepast op IT blijkt uitermate geschikt te zijn als beproefde methode om alignment tussen business en IT op alle niveaus van de organisatie te bereiken. Een voorbeeld van een organisatie die de IT balanced scorecard succesvol toepast is de Canadese bank Great-West Life. Wim Van Grembergen heeft bij deze bank een intensieve studie naar het gebruik van de methodologie 4

5 uitgevoerd en de resultaten hiervan gepubliceerd in het boek Aligning IT to Organizational Strategy. De balanced scorecard voorziet in een aanpak waarmee afstemming gerealiseerd kan worden tussen organisatorische en IT doelstellingen. Met het gebruik van afgeleide balanced scorecards op tactisch en operationele niveau wordt het mogelijk om op alle niveaus van de organisatie doelstellingen te relateren aan IT risico s. IT risk management kan met de balanced scorecards als geïntegreerd onderdeel toegepast worden. Huidig inzicht van Business en IT alignment in de praktijk Het begrip business en IT alignment is wel bekend binnen de door ons onderzochte organisaties. De implementatie hiervan blijft echter veelal achterwege. Bestaande theoretische modellen zijn te abstract en bieden hedendaagse organisaties met complexe IT infrastructuren geen handvatten om op pragmatische wijze het alignment proces te implementeren. Dit is met name het geval bij bedrijven met een businessmodel dat sterk gefundeerd is op IT technologie (zoals Google en Microsoft). Venkatraman heeft zijn visie hierover gegeven in de publicatie Alignment in the 21st Century. Wij constateren dat organisaties derhalve een eigen invulling geven aan het alignment proces. Vanuit het perspectief van risicobeheersing dat wij als kritische succesfactor beschouwen voor alignment, constateren wij dat in de praktijk onvoldoende invulling wordt gegeven aan de al eerder genoemde fundamenten van IT risk management. Handvatten voor de realisatie van alignment tussen business en IT vanuit het perspectief van IT risk management De balanced scorecard methodologie biedt de mogelijkheid om doelstellingen op strategisch niveau af te stemmen en door te vertalen naar de onderliggende organisatieniveaus. Het voordeel van het gebruik van de balanced scorecards is dat IT doelstellingen op alle niveaus één op één te koppelen zijn aan succesfactoren met bijbehorende IT risico s (faalfactoren). Dit maakt IT risk management een geïntegreerd onderdeel van de alignment methodiek. Alvorens de balanced scorecards gebruikt kan worden, dient de organisatie te voldoen aan een aantal randvoorwaarden die betrekking hebben op de besturing en beheersing van de IT organisatie. Hiervoor hebben wij een stappenplan uitgewerkt dat uitgaat van een pragmatische benadering om op strategisch, tactisch en operationeel niveau maatregelen te treffen. Het stappenplan bevat tevens concrete uit te voeren acties en beschrijft de te betrekken functionarissen. Wij zijn van mening dat het gebruik van de balanced scorecards pas zinvol is als voldaan is aan de fundamenten van IT risk management en invulling is gegeven aan de gestelde randvoorwaarden, zoals het definiëren van taken en verantwoordelijkheden; het vormen van steering groups met representanten uit IT en de business voor de aansturing van de operationele IT activiteiten; en het vormen van multidisciplinaire projectteams zodat afstemming op alle niveaus van de organisatie plaatsvindt. IT risk management dient hierbij aangestuurd te worden door een Risk Specialist met directe betrokkenheid vanuit het management om het gehele proces van alignment en risicobeheersing te evalueren en bij te sturen. 5

6 Inhoudsopgave VOORWOORD... 3 MANAGEMENTSAMENVATTING... 4 INHOUDSOPGAVE INLEIDING ONDERZOEKSMETHODOLOGIE AANLEIDING PROBLEEMSTELLING CENTRALE VRAAGSTELLING ONDERZOEKSAANPAK Theoretisch kader Praktijk onderzoek Analyse van de uitkomsten Oordeelsvorming LEESWIJZER BUSINESS EN IT ALIGNMENT INLEIDING IT GOVERNANCE WAT IS BUSINESS EN IT ALIGNMENT? BUSINESS EN IT ALIGNMENT MODELLEN Strategic alignment model vlaks informatiemanagement model Balanced scorecard Luftman s maturity model IT RISK MANAGEMENT INLEIDING IT DOELSTELLINGEN EN RISICO S IT RISK MANAGEMENT RAAMWERKEN Standaard raamwerken Standaard raamwerk of zelf ontwikkelen? OPZET IT RISK MANAGEMENT Risk IT Risk IT fundamenten voor IT risicobeheersing IT risk management volwassenheidsniveaus PRAKTIJK SITUATIE CASUS UITWERKING ANALYSE VAN DE UITKOMSTEN AANBEVELINGEN

7 6.1 INLEIDING BSC-IRM MODEL STAPPENPLAN CONCLUSIE BIJLAGE I: LITERATUURLIJST BIJLAGE II FIGURENLIJST BIJLAGE III: IT STRATEGIC ALIGNMENT MATURITY MODEL OF LUFTMAN BIJLAGE IV: ITGI ONDERZOEK NAAR DE RELATIE: BUSINESS EN IT DOELSTELLINGEN BIJLAGE V: COBIT P09 ASSESS AND MANAGE IT RISKS BIJLAGE VI: IT RISK MANAGEMENT RAAMWERK VAN RISK IT BIJLAGE VII: TAKEN EN VERANTWOORDELIJKHEDEN BINNEN HET RISK IT RAAMWERK BIJLAGE VIII: ANALYSE PRAKTIJKONDERZOEK

8 1 Inleiding Deze scriptie is geschreven ter afsluiting van de postdoctorale studie IT Audit aan de Vrije Universiteit met als onderwerp Business en IT alignment vanuit het perspectief van IT risk management". Informatietechnologie speelt bij veel organisatie een belangrijke rol in het realiseren van bedrijfsdoelstellingen. Het beheersen van de risico s die gepaard gaan met de inzet van IT binnen deze organisaties is dan ook van groot belang. Het alignment vraagstuk komen wij in ons werkgebied als IT auditor veelvuldig tegen. Met deze scriptie willen wij de relatie tussen het realiseren van organisatiedoelstellingen en het beheersen van IT risico s in kaart brengen. De scriptie is als volgt ingedeeld: - In hoofdstuk 3 behandelen wij de definitiestudie van het proces business en IT alignment; - De aanpak tot het opstellen van IT risk management fundamenten wordt in hoofdstuk 4 toegelicht; - In hoofdstuk 5 beschrijven wij de analyse op de praktijkstudie; - Hoofdstuk 6 sluiten wij af met een aanbeveling in de vorm van een stappenplan. 2 Onderzoeksmethodologie 2.1 Aanleiding Binnen hedendaagse organisaties heerst een toenemende behoefte om bedrijfsprocessen effectief en efficiënt in te richten om gestelde bedrijfsdoelstellingen te behalen. Vanwege de toenemende, en haast onvermijdelijke, afhankelijkheid van primaire bedrijfsprocessen op IT wordt de focus op bedrijfsrisico s verbreed naar IT risico s. Wij constateren in de praktijk dat bedrijfsdoelstellingen direct aan bedrijfsrisico s en kansen worden gerelateerd, waarbij IT doelstellingen veelal buiten beschouwing worden gelaten. IT wordt vanuit de organisatie veelal gezien als een autonome afdeling met eigen IT risico s. Beslissingen vanuit de business worden dan ook veelal genomen buiten IT om. Andersom wordt de business relatief weinig betrokken bij het definiëren van IT doelstellingen. Wanneer IT risico s optreden binnen de organisatie kan deze onvoorziene impact hebben op de business. Dit resulteert in een niet optimale alignment tussen business en IT. IT risk management is in deze context een niet volwassen concept. 2.2 Probleemstelling Voor het afbakenen van ons onderzoek hebben wij de volgende probleemstellingen gedefinieerd: 1. Alignment is onvoldoende aanwezig tussen Business en IT; 2. Business heeft onvoldoende zicht op aanwezige en potentiële IT risico s. 8

9 2.3 Centrale vraagstelling Ons onderzoek heeft als doel om een antwoord te geven op de onderzoeksvraag: Op welke wijze is het mogelijk om alignment tussen IT en Business te bereiken vanuit het perspectief van IT risk management? Uit genoemde centrale vraagstelling definiëren wij de volgende deelvragen: 1. Wat is Business en IT alignment en hoe verhoudt dat zich tot IT risk management? 2. Wat is het huidige inzicht van Business en IT alignment in de praktijk? 3. Welke handvatten zijn vanuit het perspectief van IT risk management aanwezig om alignment tussen business en IT te realiseren? 2.4 Onderzoeksaanpak In het onderzoek richten wij ons op de centrale vraagstelling en de deelvragen. In hoofdlijnen voeren wij het onderzoek uit de volgende fasen: 1. theoretische onderzoeksfase; 2. praktijk onderzoek; 3. analyse van de uitkomsten; 4. oordeelsvorming Theoretisch kader Vanuit het theoretische kader voeren wij enerzijds een literatuuronderzoek uit, en anderzijds maken wij gebruik van beschikbare informatie binnen onze organisatie. In het theoretische kader van het onderzoek gebruiken wij de volgende methoden en technieken: - literatuurstudie; - relevante studie stof uit VU curriculum; - brainstormsessies met vaktechnische specialisten Praktijk onderzoek Het praktijkonderzoek omvat het houden van interviews met representanten uit de financiële-, transporten productie sector. De te verkrijgen inzichten dienen ons een reëel beeld te geven van de praktijksituatie Analyse van de uitkomsten Op basis van uitkomsten uit het theoretische en praktische onderzoek hebben wij een analyse gemaakt van de onderzoeksresultaten. Wij richten ons hierbij op informatie die gebruikt kan worden om antwoord te geven op de deelvragen en de centrale onderzoeksvraag. 9

10 2.4.4 Oordeelsvorming In onze oordeelsvorming komen wij tot een conclusie op basis van het onderzoek. Wij combineren hierbij de resultaten uit het theoretische kader met het praktijkonderzoek om veronderstellingen c.q. aannames te onderbouwen. 2.5 Leeswijzer Deze scriptie is verder als volgt opgebouwd: na een korte toelichting inzake de aanleiding van dit onderzoek en de centrale onderzoeksvragen en bijbehorende deelvragen, wordt onze aanpak gedurende dit onderzoekstraject beschreven. In Hoofdstuk 3 wordt ingegaan op business en IT alignment en hoe deze zich verhoudt tot IT Governance. Aansluitend hierop worden een aantal modellen voor alignment onder de loep genomen. Hoofdstuk 4 gaat in op de relatie tussen IT risico s en het behalen van IT doelstellingen. Vervolgens worden belangrijke aspecten van IT risk management toegelicht. Hierna wordt deelvraag 2 uitgewerkt in hoofdstuk 5 (Praktijkonderzoek). De scriptie wordt afgesloten met de introductie van een stappenplan en een conclusie. Onderstaand is een weergave van de opbouw van dit onderzoek waarin is aangegeven in welke fases de deelvragen en de centrale onderzoeksvraag worden beantwoord. Centrale onderzoeksvraag Theorie business en IT alignment (deelvraag 1) Theorie IT risk management (deelvraag 1; deelvraag 3) Analyse Analyse Praktijk onderzoek (deelvraag 2) Analyse van de uitkomsten Stappenplan (deelvraag 3) Conclusie (antwoord centrale onderzoeksvraag en deelvragen) 10

11 3 Business en IT alignment Definitie Business en IT alignment, IT Governance Institute Business-IT alignment is the problem of matching services offered by IT with the requirements of the business. 3.1 Inleiding Organisaties hebben afgelopen decennia een ware professionalisering doorgemaakt in het stroomlijnen van bedrijfsprocessen om de organisatiedoelstellingen op effectieve en efficiënte wijze te behalen. Het gebruik van IT heeft hiertoe een grote rol gespeeld. Business cases worden om IT heen ontwikkeld waarbij getracht wordt om een directe return of investment te berekenen. IT speelt hedendaags een zodanig prominente rol in organisaties dat innoverende business cases ook vanuit IT geïnitieerd worden. In vergelijking met organisaties uit de jaren tachtig, is dit een grote verandering op het business model. Een voorbeeld van het effectief en efficiënt inzetten van IT binnen een organisatie is tijdens een seminar van Ernst & Young gepresenteerd. Een vooraanstaand kledingconcern is voor het behouden van een sterke concurrentiepositie afhankelijk van de bevoorrading van goed lopende collectie kleding in de winkels. Het kledingconcern onderscheidt zich van haar concurrenten door haar logistiek businessmodel waarmee, indien nodig, binnen twee dagen slecht lopende collecties uit alle winkels in Nederlands gehaald kunnen worden. In die twee dagen kan ook weer een goedverkopende nieuwe collectie kleding naar de winkels worden gedistribueerd. Het kledingconcern heeft dit kunnen realiseren door het gebruik van complexe ERP-informatiesystemen waarmee de gehele informatievoorziening tussen alle disciplines binnen de organisatie is geautomatiseerd. De supply chain vanaf ontwerp tot distributie is in zoverre geautomatiseerd dat storingen en vertragingen vroegtijdig worden gesignaleerd en hierop adequaat op kan worden geacteerd. Het kledingconcern heeft de strategische doelstelling om uitsluitend goedlopende collecties in de winkels aan te bieden. In deze business case wordt dit op gestroomlijnde wijze doorvertaald naar de inzet van IT. In dit hoofdstuk wordt een nadere verkenning uitgevoerd op het onderzoeksgebied business en IT alignment. In de definitiestudie van het onderwerp wordt de deelvraag Wat is Business en IT alignment en hoe verhoudt dat zich tot IT risk management? behandeld. Een aantal ontwikkelde modellen voor business en IT alignment wordt toegelicht. Dit biedt deels antwoord op de onderzoeksdeelvraag welke handvatten zijn vanuit het perspectief van IT risk management aanwezig om alignment tussen business en IT te realiseren?. 11

12 3.2 IT Governance Definitie IT Governance - IT Governance Institute IT Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. IT Governance richt zich op het besturen en beheersen van IT waarbij het behalen van organisatiedoelstellingen het uitgangspunt dient te zijn. Vrij vertaald definieert het IT Governance Institute (ITGI) het begrip IT governance als de verantwoordelijkheid van bestuurders om het gebruik van IT in een organisatie te beheersen, meten en sturen ten einde zorg te dragen voor een effectieve en efficiënte ondersteuning aan het uitvoeren van strategieën. IT governance maakt integraal deel uit van Enterprise Governance en kan niet als geïsoleerd begrip of activiteit worden gezien. De IT functie dient zich in het kader van IT Governance te richten op het realiseren van voordelen door de automatisering binnen bedrijfsprocessen te optimaliseren. Hierin kan IT zich meer profileren in een proactieve rol dan alleen een ondersteunend karakter te hebben. Over de gehele organisatie kan dit uiteindelijk leiden tot de realisatie van efficiënte procesinrichting, effectieve inzet van mensen en middelen en kostenbesparing. De voordelen die met IT Governance behaald kunnen worden zijn onder andere: - Waarde creatie voor de organisatie door alignment tussen business en IT; - Gebruik van IT om de organisatie kansen en voordelen te laten behalen op de markt en tot een sterkere concurrentie positie te komen; - Verantwoord gebruik van IT middelen; - Adequate beheersing van IT gerelateerde risico s. Het ITGI onderscheidt vijf domeinen waar een organisatie aandacht aan moet besteden om te komen tot IT Governance: 1. Strategic alignment - with focus on aligning with the business and collaborative solutions 2. Value delivery - concentrating on optimising expenses and proving the value of IT 3. Risk management - addressing the safeguarding of IT assets, disaster recovery and continuity of operations 4. Resource management - optimising knowledge and IT infrastructure 5. Performance measurement - tracking project delivery and monitoring IT services Figuur 1 IT governance domeinen 12

13 De nauwe betrokkenheid van de IT functie bij de business neemt voor de IT organisatie ook een aantal nieuwe aandachtspunten met zich mee. IT zal in (meerdere) mate aandacht moeten besteden aan het beheersen van IT risico s met betrekking tot bijvoorbeeld de kwaliteitsaspecten betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking van informatiesystemen. Het is dan ook niet vreemd dat er een nieuw aandachtsgebied naar voren treedt dat sinds de laatste jaren weinig aandacht had gekregen, namelijk IT risk management. 3.3 Wat is Business en IT alignment? Business en IT alignment is het proces van stroomlijning tussen business activiteiten en het gebruik van IT op strategisch niveau (Venkatraman & Henderson, 1993). Een interpretatie van deze definitie impliceert dat alignment op strategisch niveau plaatsvindt. De organisatie onder business en IT hoeven echter niet in dezelfde richting te acteren. Waardecreatie voor de business kan hiermee dan ook niet gerealiseerd worden. Een ander aandachtspunt is de mate waarin investeringen in IT in harmonie zijn met het behalen van organisatie doelstellingen. Weill & Broadbent definiëren deze staat van harmonie als alignment (Weill & Broadbent, 1998). Een nadere aanvulling die wijzelf kunnen geven op bovengenoemde definities van alignment is het proces van besturen en beheersen van de IT functie om continu in overeenstemming te zijn met de business. Alignment dient niet te worden gezien als een doel, maar als een proces om waardecreatie te realiseren voor de organisatie door een effectieve en efficiënte ondersteuning van IT. Om te kunnen spreken over alignment dient de vertaalslag gemaakt te worden van strategische doelstellingen naar de inzet van IT op tactisch en operationeel niveau. Bij de inzet van IT is het noodzakelijk dat op alle niveaus in de organisatie het volgende gedaan moet worden: hanteren van een eenduidige strategische richting; uitvoeren van het goede ; inzet van de juiste mensen; en gebruik van de juiste middelen. Het goede hierin staat beschreven als richtlijnen in het organisatie- en IT beleid. Op tactisch niveau worden taken en verantwoordelijkheden uitgezet waarbij procesbeschrijvingen een reflectie geven van eenduidige werkprocessen. Op dit niveau zijn tevens mechanismen en structuren aanwezig die de betrokkenheid en communicatie tussen business en IT stimuleren. Op operationeel niveau worden IT infrastructuur en informatiesystemen beschikbaar gesteld ten behoeve van de dagelijkse business operatie waarbij o.a. continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking gewaarborgd worden. Het beheersen van deze activiteiten dient vanuit onze visie gestuurd te worden door een orgaan dat onafhankelijk is van de business en IT (bijvoorbeeld een Alignment Steering Group). Dit in tegenstelling tot vele organisaties waar alignment beheerst wordt vanuit de business of IT. Verder kan een interne audit afdeling een controlerende rol vervullen in de toetsing of het proces van alignment adequaat loopt aan de hand van vooraf gedefinieerde succescriteria. Een structuur hiervoor kan eruit zien als in Figuur 2: 13

14 Alignment Steering Group Strategisch beleidsplan Strategische richtlijnen Procesbeschrijvingen Taken en verantwoordelijkheden Procedures Werkinstructies Internal Audit Figuur 2: Rol van een alignment steering group Academici, organisaties en instituten hebben zich gebogen over het vraagstuk hoe business en IT alignment in een organisatie tot uiting kan komen. Verschillende theoretische modellen zijn afgelopen decennia ontwikkeld. Wij hebben de volgende modellen bestudeerd die grote invloed hebben gehad op het vraagstuk van business en IT alignment: Strategic Alignment Model (Henderson & Venkatraman, 1993) 9-vlaksmodel informatiemanagement model (Maes, 2002) Balanced scorecard (Kaplan en Norton, 1992) Luftman s Maturity Model (Luftman, 2003) Voor elk model hebben wij een beschrijving opgenomen en hier onze eigen analyse op uitgevoerd. 3.4 Business en IT alignment modellen Strategic alignment model Venkatraman en Henderson hebben in 1993 het Strategic Alignment Model (SAM) ontwikkeld waarmee zij het gebied van strategisch management van IT conceptualiseren in het artikel Strategic Alignment: Leveraging Information Technology for Transforming Organizations. Venkatram stelt dat de moeilijkheid van het realiseren van waarde door middel van investeringen in IT ten eerste wordt veroorzaakt door het gebrek aan overstemming tussen bedrijfsstrategie en IT strategie. Ten tweede wordt het veroorzaakt door een gebrek aan dynamiek in het administratieve proces om ononderbroken overstemming tussen business en IT te waarborgen. 14

15 Het SAM model geeft de relatie weer tussen business en IT en baseert deze op de twee fundamenten strategic fit en functional integration. Het SAM model is in Figuur 3 afgebeeld. Figuur 3 Strategic alignment model Strategic fit Strategic fit stelt dat de strategie van een organisatie in termen van een external domain en een internal domain gezien moet worden. Het external domain binnen IT geeft aan hoe de IT organisatie gepositioneerd is op de markt ten opzichte van de concurrenten. Het external domain legt binnen de business de focus op de business strategie. Het internal domain geeft aan hoe binnen IT de informatiesystemen en IT infrastructuur ingericht en beheerd dienen te worden, en voor de business hoe de organisatorische infrastructuur en bedrijfsprocessen georganiseerd worden. Venkatraman stelt dat de mate waarin activiteiten op tactische en operationeel niveau plaatsvinden, in overeenstemming moeten zijn met de richting op strategisch niveau. Functional integration De alignment tussen business en IT kan volgens Venkatraman op strategisch en operationeel niveau plaatsvinden. Dit houdt in dat de strategische richtlijnen van IT en de van de business in overeenstemming moeten zijn, en dat de operationele activiteiten van IT bij moeten dragen aan de activiteiten binnen de bedrijfsprocessen. In het SAM model wordt dit functional integration genoemd wat onderverdeeld kan worden in strategic en operational integration. Venkatraman beschrijft de relatie tussen de business en IT strategie in het external domain als strategic integration. Op dit niveau wordt inzichtelijk wat de afhankelijkheid van de organisatie ten opzichte van IT is, en welke strategische voordelen voor de organisatie op de marktpositie behaald kunnen worden met de inzet van IT. Operational integration richt zich op het internal domain. Op dit niveau wordt de focus gelegd op de wijze waarop de IT infrastructuur en informatiesystemen op effectieve en efficiënte wijze ondersteuning bieden aan de organisatorische infrastructuur en bedrijfsprocessen. 15

16 Analyse Het SAM model biedt een raamwerk dat het concept van alignment tussen business en IT duidelijk maakt. Het model beschrijft de invloed van IT op de business, en maakt hiervoor onderscheid in alignment op strategisch en operationeel niveau. Venkatraman impliceert met het SAM model dat de inzet van IT ten behoeve van de business alleen kan leiden tot waardecreatie voor de organisatie als de afstemming tussen bedrijfsstrategie en IT strategie ononderbroken in overeenstemming is. Ten tweede stelt Venkatraman dat alignment tussen de business en IT alleen mogelijk is als de administratieve processen en infrastructuur op operationeel niveau continu in overeenstemming zijn met de IT informatiesystemen en IT infrastructuur. Wanneer wij het SAM model in relatie brengen tot hedendaagse organisaties merken wij op dat de vertaalslag van de business naar IT onvoldoende wordt belicht op tactisch niveau. Het SAM model biedt onvoldoende aandacht aan de semantiek van informatie uit de operationele organisatie die op strategisch niveau wordt gebruikt vlaks informatiemanagement model Prof. dr. R. Maes heeft op basis van het SAM model van Venkatraman het 9-vlaks informatiemanagement model (hierna 9-vlaks model) ontwikkeld. Het 9-vlaks model beschrijft de relatie tussen business en IT waarbij gesteld wordt dat alignment plaatsvindt op zowel strategisch, tactisch als operationeel niveau van een organisatie. Dit in tegenstelling tot het SAM model van Venkatraman waar alignment uitsluitend op strategisch en operationeel niveau wordt behandeld. Maes heeft aan het SAM model twee dimensies toegevoegd, in Figuur 4 9-vlaks informatiemanagement model zijn deze zichtbaar gemaakt met de vijf oranje vlakken. Horizontale dimensie De eerste uitbreiding door Maes op het SAM model is een rij Structure waarin het internal domain wordt opgesplitst in een structurele en operationele laag: De structurele laag omschrijft de vertaalslag die in de organisatie plaatsvindt van strategische uitgangspunten naar operationele activiteiten voor zowel de business als IT. Op deze laag wordt de business en IT organisatie ingericht en de informatiemanagement architectuur ontworpen; De operationele laag omschrijft de organisatorische infrastructuur en bedrijfsprocessen voor de business; en de informatiesystemen en IT infrastructuur voor IT. Verticale dimensie Het SAM model stelt dat strategische uitgangspunten in directe relatie liggen met activiteiten op operationeel niveau. De nadruk in dit model ligt op het beschikbaar stellen van informatie aan de business in plaats van het gebruik maken van informatie door de business. Het gat van gebruik maken (beschikbaar stellen) en interpretatie (semantisch informatiemanagement) van informatie blijft in het SAM model hierdoor onderbelicht. Maes geeft in het 9-vlaks model aan dat de relatie tussen business en IT complexer is door culturele, politieke, semantische en financiële factoren die invloed kunnen hebben op het gebruik van informatie. Een tweede uitbreiding op het SAM model is een kolom Information and Communication waarin de vertaalslag plaatsvindt tussen business en IT op alle lagen van de organisatie. 16

17 Ook wordt duidelijk gemaakt dat rollen gedefinieerd kunnen worden voor elk vlak in de verschillende kolommen en rijen. Met name van belang zijn de rollen op de middelste rij die een centrale rol vervullen in het alignment proces. Dit zijn bijvoorbeeld Informatie/Communicatie architecten en business analisten, deze vormen immers de linking-pin tussen strategie en operationeel niveau. In Figuur 4 is het 9-vlaks informatiemanagement model weergegeven dat als geëvolueerde versie van het SAM model gezien kan worden. Figuur 4 9-vlaks informatiemanagement model Analyse Prof. dr. R. Maes heeft het kritisch en onderbouwd artikel Redefining business IT alignment through a unified framework gepubliceerd waarin de tekortkomingen van het strategic alignment model van Venkatraman zijn beschreven. Tijdens de door ons uitgevoerde praktijkonderzoek merken wij op dat het 9-vlaks model meer aansluit op hedendaagse organisaties. Om alignment te bereiken tussen business en IT is niet alleen de beschikbaarheid en betrouwbaarheid van informatie voor de business van belang. Maes legt ook nadruk op de semantiek van de informatie welke randvoorwaardelijk is voor alignment. Maes legt in het 9-vlaks model hier de nadruk op. Wij zien in het 9-vlaks model geen praktische handvatten om informatiemanagement in relatie te brengen tot IT risico beheersing Balanced scorecard In 1992 hebben Kaplan en Norton de balanced scorecard (hierna BSC) geïntroduceerd als model voor strategisch management binnen een organisatie. Organisaties kunnen de BSC als middel gebruiken voor het uitvoeren van metingen op prestaties die moeten leiden tot het behalen van doelstellingen. Een BSC is een vertaling van de strategische doelen van een organisatie in concrete, meetbare parameters die onderverdeeld kunnen worden in vier categorieën: Financieel Klanten Interne bedrijfsvoering Ontwikkeling en groei Het concept van de BSC kan ook toegepast worden voor de IT organisatie. Aangezien IT de functie van interne dienstverlener binnen de organisatie vervult, zijn de strategische doelstellingen van IT ook van 17

18 andere aard dan de organisatiedoelstellingen. Een aangepaste BSC voor de IT organisatie is dan ook noodzakelijk. In 1992 hebben Gold en Willcocks de BSC toepasbaar gemaakt voor IT en deze conceptueel beschreven in een IT BSC. De IT BSC is door Van Grembergen en Van Bruggen verder ontwikkeld in 1997 en geoptimaliseerd door Van Grembergen en Timmerman in Van Grembergen heeft hierover de publicatie The Balanced Scorecard and IT Governance uitgebracht waarin de methodologie achter de IT BSC is toegelicht. De ontwikkeling van de IT BSC heeft geleid tot een uitbreiding van de meetbare parameters welke gericht zijn op het perspectief van IT als interne dienstverlener binnen de organisatie: Gebruikerstevredenheid Interne processen Innovatie Praktische invulling van de IT BSC De IT BSC bestaat uit de volgende scorecards: De IT development BSC acteert op tactisch niveau en levert parameters waarmee bijvoorbeeld afdelingsdoelstellingen getoetst kunnen worden om zodanig de ontwikkeling van de IT organisatie te kunnen sturen. De IT operational BSC levert meetbare parameters om activiteiten te toetsen aan bijvoorbeeld prestatiedoelstellingen van individuele werknemers of werkgroepen. Deze scorecard wordt op operationeel niveau van de IT organisatie gebruikt. De IT development en IT operational scorecards fungeren als basispilaren voor de strategische IT BSC. De keten van scorecards is in Figuur 5: Keten van balanced scorecards afgebeeld. De IT development en operationele BSC ondersteunen de strategische IT doelstellingen met meetbare parameters. Op deze wijze kan waardecreatie van IT aan de organisatie getoetst worden op basis van behaalde doelstellingen op de verschillende niveaus van de IT organisatie. Het investeren in slechte IT projecten of het ontbreken van adequate beheersmaatregelen in bedrijfskritische informatiesystemen kunnen met de IT scorecards inzichtelijk worden gemaakt. Uit de IT scorecards kan tevens afgeleid worden welke IT risico s aanwezig zijn die het behalen van de operationele, tactische en strategische doelstellingen belemmeren. Het linken van de business BSC aan een IT BSC blijkt in de praktijk een werkbare en geaccepteerde methode om business en IT alignment te bereiken. (Van Grembergen, 2003). Business BSC IT Strategic BSC Figuur 5: Keten van balanced scorecards IT Development BSC IT Operations BSC 18

19 Analyse Het BSC model biedt handvatten om de indirecte relatie tussen strategische organisatiedoelstellingen en de uiteindelijke operationele activiteiten inzichtelijk te maken. De keten van activiteiten en de hieraan gekoppelde taken, verantwoordelijkheden en IT risico s met bijbehorende maatregelen worden voor elke doelstelling in het balanced scorecard domein uitgewerkt. Dit vindt plaats via een top-down benadering welke loopt van strategisch (Business BSC en IT BSC), tactisch (IT development BSC) naar operationeel niveau (IT operational BSC). In de balanced scorecard domeinen worden kritische succes- en faalfactoren geïdentificeerd die een directe invloed hebben op het behalen van de bijbehorende doelstellingen. In de context van IT risk management worden risico s vervolgens geïdentificeerd die deze succesfactoren tegenwerken of faalfactoren versterken. Het goed voor elkaar hebben van de kritische succes factoren is randvoorwaardelijk voor het behalen van de uiteindelijke doelstellingen Luftman s maturity model Prof. J. Luftman heeft een volwassenheidsmodel voor business en IT alignment ontwikkeld, ook wel het Luftman s Maturity Model genoemd (hierna LMM). Het LMM gaat uit van een aantal criteria die in relatie staan tot het external en internal domein van het SAM model. Luftman heeft deze criteria gebaseerd op zijn onderzoek naar factoren die business en IT alignment bevorderen en factoren die dit hinderen. De criteria worden onderverdeeld in: - Communications Maturity; - Competency/Value Metrics Maturity; - Governance Maturity; - Partnership Maturity; - Scope & Architecture Maturity; - Skills Maturity Voor elk criterium worden vijf volwassenheidsniveaus onderscheiden conform het Capability Maturity Model van het Software Engineering Institute wat als uitgangspunt de zogeheten Likert-schaal hanteert. De vijf gradaties van volwassenheidsniveaus zijn: 1. Initial/Ad Hoc Process 2. Committed Process 3. Established Focused Process 4. Improved/Managed Process 5. Optimized Process Met het volwassenheidsmodel kan bepaald worden waar een organisatie momenteel staat. Het model stelt de organisatie tevens in staat zichzelf te benchmarken tegenover andere organisaties. Gegeven het beoogde ambitieniveau van volwassenheid kan de organisatie vervolgens potentiële verbeterpunten identificeren. De volwassenheid van business en IT alignment wordt bepaald door het gemiddelde Figuur 6: Luftman model criteria 19

20 te nemen van de verkregen waarden uit de criterianiveaus. In bijlage III is een schematisch overzicht opgenomen van het LMM. Analyse Organisaties hebben met het LMM een aanpak om de volwassenheid van de alignment tussen de business en IT te toetsen en te benchmarken met andere organisaties. Luftman introduceert met de meetbare criteria een extra dimensie aan de Likert-schaal van het Capability Maturity Model. Belangrijk is dat Luftman hierbij aangeeft dat er niet één specifiek criterium bepalend is voor de mate van alignment in een organisatie. Het volwassenheidsniveau van alignment wordt weergegeven in een gemiddelde waarde van elk afzonderlijke volwassenheidsniveau van de zes criteria. De gecalculeerde waarde geeft hierdoor niet direct een reflectie van waar de organisatie het goede doet en niet. 20

21 4 IT risk management Definitie IT risk management, US National Institute of Standards and Technology (NIST): IT risk management is the process that allows IT managers to balance the operational and economic costs of protective measures and achieve gains in mission capability by protecting the IT environment. 4.1 Inleiding In de literatuur worden verschillende interpretaties en definities gegeven aan IT risk management. De overeenkomst tussen deze definities kan als volgt worden samengevat: IT risk management is een systematische toepassing voor de beheersing van IT risico s om deze te mitigeren en de mogelijke gevolgen daarvan te minimaliseren. IT risk management beschouwen wij als een continu en iteratief proces dat bijdraagt aan het mitigeren van IT gerelateerde risico s die het behalen van business doelstellingen en voordelen in de weg kunnen staan. In dit hoofdstuk wordt ingegaan op de onderzoeksdeelvraag: de verhouding tussen IT risk management en business en IT alignment. Tevens wordt de onderzoeksdeelvraag welke handvatten zijn vanuit het perspectief van IT risk management aanwezig om alignment tussen business en IT te realiseren deels beantwoord. 4.2 IT doelstellingen en risico s Business risico s zijn onder te verdelen in verschillende categorieën: financiële risico's, operationele risico's, strategische risico s, informatie technologie risico s, etc. Een IT risico kan beschouwd worden als het business risico dat inherent is aan het gebruik van IT binnen de organisatie. Evenals bij de beheersing van andere business risico s dient er voor het belang van aandeelhouders en belanghebbenden een volwaardige IT risk management functie ingericht te worden. IT risk management begint met het definiëren van IT doelstellingen welke direct gekoppeld zijn aan de business doelstellingen. Deze IT doelstellingen introduceren IT risico s voor de organisatie die vervolgens afzonderlijk en in samenhang geïdentificeerd en beoordeeld dienen te worden. Niet alleen de risico s maar vooral ook de mitigerende maatregelen die ervoor moeten zorgen dat de kans op het optreden van een risico en de impact daarvan zo laag mogelijk blijven, zijn onderdeel van het IT risicobeheersingcyclus. Business goals Marketing goals HR goals IT goals Business & IT Alignment IT Risks IT Controls IT risk management Figuur 7: Relatie IT doelstellingen en IT risk management 21

22 De noodzaak voor IT risicobeheer zien wij bevestigd worden in een IT beveiligingsonderzoek, uitgevoerd door Symantec. Uit dit onderzoek blijkt dat de helft van de 500 ondervraagde IT managers ten minste eenmaal per jaar verwacht dat zij te maken krijgen met een groot IT incident waarbij een verstoring van de business activiteiten optreedt. Tweederde verwacht een keer in de vijf jaar dat zij te maken krijgen met een incident dat leidt tot het overtreden van wetgeving. Dit geeft aan dat organisaties verrast kunnen worden met mogelijke negatieve impacts van IT risico s indien de inzet van IT niet effectief en efficiënt wordt bestuurd waarbij IT risico s in voldoende mate worden beheerst. Hiermee kan mis-alignment tussen de business en IT ontstaan. In de literatuur worden IT risico s op verschillende manier gecategoriseerd. Hieronder wordt ingezoomd op de benadering van het IT Governance Institute en die van Symantec. IT risicocategorieën van het IT Governance Institute Het ITGI instituut categoriseert IT risico s zodanig dat een directe relatie wordt gelegd met de business (Figuur 8: Risicocategorieën door het ITGI). Deze onderverdeling is als volgt: IT Service Delivery Risk: IT risico s die betrekking hebben op de performance en beschikbaarheid van IT diensten; IT Solution Delivery / Benefit Realisation Risk: deze risico s worden geassocieerd met de bijdrage van IT aan nieuwe of vernieuwde business diensten; IT Benefit Realisation Risk: deze risico s worden geassocieerd met (gemiste) kansen om IT in te zetten voor het verbeteren van efficiency en effectiviteit van bedrijfsprocessen of om IT te gebruiken als enabler van nieuwe business initiatieven. Figuur 8: Risicocategorieën door het ITGI IT risicocategorieën van Symantec Symantec associeert IT risico s met vier elementen namelijk, Beveiliging, Beschikbaarheid, Performance en Compliance (Figuur 9: De vier Symantec elementen van IT risico s). Deze elementen zijn weliswaar direct te relateren aan IT doelstellingen maar tegelijkertijd staan ze indirect in relatie met de business. Het falen op één van deze elementen levert namelijk negatieve gevolgen op de business processen. 22

23 Figuur 9: De vier Symantec elementen van IT risico s Om de relatie tussen IT risico s en het behalen van organisatiedoelstellingen nemen wij een voorbeeld risico met betrekking tot beschikbaarheid van IT diensten. Dit risico valt onder het domein Availablity (Symantec classificatie) of IT Service Delivery (ITGI classificatie). In de casus van het kledingconcern dat in de inleiding van hoofdstuk 3 is behandeld, blijkt dat het behalen van de business doelstelling namelijk, uitsluitend goed lopende collecties in de winkels aan te bieden, sterk afhankelijk is van de geautomatiseerde informatievoorziening. Een meest voor de hand liggend IT risico gerelateerd aan beschikbaarheid betreft de uitval van het ERP informatiesysteem waarmee de gehele informatievoorziening tussen alle disciplines binnen de organisatie is geautomatiseerd. Het gevolg hiervan is dat het business model waar de supply chain op is gebaseerd niet meer kan steunen op de beschikbaarheid van cruciale gegevens voor het tijdig inspelen op de aanbod van kleding collecties in de winkels. Een adequate IT risicobeheersing zou in het kader van de continuïteit van de informatievoorziening allerlei mogelijke risico s hebben geïdentificeerd en maatregelen daarvoor hebben getroffen om het ERP informatiesysteem in de lucht te houden. Samenvattend, IT risk management is het efficiënt en effectief beheersen van de IT risico s zodanig dat IT doelstellingen gerealiseerd kunnen worden. Het niet behalen van IT doelstellingen kan directe invloed hebben op het niet behalen van organisatiedoelstellingen. Mis-alingment tussen de business en IT kan het gevolg zijn. 4.3 IT risk management raamwerken Standaard raamwerken Als gevolg van de toenemende afhankelijkheid van IT en de behoefte aan een goede aansturing en beheersing van IT inspanningen zijn organisaties genoodzaakt om invulling te geven aan IT Governance en grip te krijgen op IT risico s. Naast het goed beheersen van IT activiteiten en risico s dienen organisaties de mate van beheersing ook aantoonbaar te maken ten behoeve van compliancy doeleinden (SOx, Basel II, etc.). Deze weerslag is duidelijk te zien in de financiële bancaire sector. In deze sector worden in de praktijk allerlei standaard- en organisatie specifieke raamwerken toegepast voor de beheersing van IT risico s. In de praktijk wordt meestal vorm gegeven aan dergelijke raamwerken door deze specifiek per wet- en 23

24 regelgeving te implementeren. Hierdoor zal er bij additionele compliancy of wettelijke regelgeving opnieuw worden gekeken naar een nieuw raamwerk. Concluderend hierop, dient de implementatie van IT risicobeheersing gebaseerd te zijn op een standaard raamwerk die flexibel is en uitbreidbaar voor alle mogelijke IT risico s in het kader van nieuwe wettelijke verplichtingen. Een IT risk management implementatie kan bestaan uit raamwerken, standaarden en best practices. Voor de eenduidigheid worden deze begrippen in dit onderzoek samengevoegd tot het concept IT risk management raamwerk. In het artikel van Brent D. Elieson, Construction of An IT Risk Framework, wordt een voorstel gedaan voor een aantal componenten die minimaal in een IT risk raamwerk terug moeten komen: The Key components to consider when building a risk program are: governance structure, responsibilities, methodology, risk or process taxonomy, risk assessment, controls, transparency and business alignment. Op basis van deze criteria is door Brent D. Elieson een mapping gemaakt naar standaard raamwerken die key componenten voor een IT risk management raamwerk kunnen bevatten. In deze mapping worden bijvoorbeeld Cobit en/of het IT Governance model van het ITGI Institute geselecteerd voor het toewijzen van verantwoordelijkheden van key staff binnen de organisatie (responsibilities). Voor het identificeren, classificeren en beoordelen van IT risico s (risk taxonomy and assessment,) worden o.a. NIST (Risk Management Guide for Information Technology Systems) en/of ISO voorgesteld. De classificatie van risico s maakt onderdeel uit van de risicoanalyse. Ter verduidelijking is in onderstaand tabel de risico classificatie opgenomen zoals deze door NIST is opgebouwd: Figuur 10: Risico classificatie door NIST Risk Scale: High ( >50 to 100); Medium ( >10 to 50); Low (1 to 10) Risicoanalyses dienen een vast onderdeel te vormen bij het proces IT risicobeheersing. Deze vormen namelijk een instrument voor het classificeren van risico s en deze in de juiste prioriteit zichtbaar te maken voor het management zodat afdoende maatregelen kunnen worden getroffen (of acceptatie). Zoals te zien in Figuur 10: Risico classificatie door NIST, worden potentiële risico s geclassificeerd middels de twee dimensies: kans van optreden en impact op de business. Beide dimensies worden in drie niveaus verdeeld: Laag, Middel en Hoog. De uitkomst vormt de risicofactor waarmee geclassificeerd wordt. Deze analyse wordt ook wel Business Impact Analysis (BIA) genoemd. 24

25 Theoretisch gezien onderschrijven wij de geschiktheid van diverse raamwerken om deelaspecten van IT risk management te kunnen dekken. In diverse literatuurbronnen zien wij steeds een mapping van verschillende best practices waarbij Cobit veelal als uitgangsraamwerk wordt gebruikt. Cobit stelt organisaties in staat om op basis van algemeen geaccepteerde best practices de IT beheeromgeving en beheersmaatregelen in te richten. Cobit versie 4.1 besteed binnen het proces PO9 Assess and Manage IT Risks specifiek aandacht aan IT risk management. In dit proces staat beschreven wat een organisatie ingeregeld moet hebben om te komen tot het beheersen van IT risico s. In deze context dient aandacht te worden besteed aan het implementeren van IT risk management raamwerk; het identificeren van risico s; het uivoeren van een risicoanalyse; het mitigeren van risico s; en het monitoren en evalueren van een risico actieplan. In bijlage V zijn de specifieke doelstellingen van het Cobit proces P09 opgenomen. Om invulling te geven aan het Cobit proces P09 kunnen best practices gebruikt worden voor de beheersing van IT risico s. Vanuit een beveiligingsperspectief kunnen bijvoorbeeld IT risico s en bijbehorende controls zichtbaar worden gemaakt met behulp van ISO of BS Op het gebied van Business Continuity Management (BCM) is BS de standaard Standaard raamwerk of zelf ontwikkelen? George Spafford geeft in zijn artikel The Benefits of Standard IT Governance Frameworks de voorkeur aan het combineren van meerdere standaarden waarbij het principe best of breed in de organisatie behoefte voorziet. De selectie van een (set aan) standaard raamwerk(en) of deze zelf ontwikkelen ten behoeve van een adequaat IT risk management raamwerk binnen organisaties is niet cruciaal voor een optimale risicobeheersing. Echter, vanuit een auditing perspectief is het voordeel van een standaard raamwerk dat dit Auditable wordt zoals George Spafford aangeeft. Dat wil zeggen dat het voor IT auditors relatief eenvoudig wordt om het volwassenheidsniveau van IT risicobeheer te beoordelen. Daarnaast zal het voor individuele organisaties veel inspanning kosten om zelf een volledig raamwerk te ontwikkelen dan een standaard raamwerk te adopteren. Volgens de heer Zethof RE RA, Principal Consultant bij Capgemeni en lid van de beroepsorganisatie ISACA, maakt antwoord op deze vraag geen verschil zolang er maar aan de kritische succes factoren voor IT risk management wordt voldaan. In het interview met de heer Zethof zijn de volgende aspecten van risicobeheersing genoemd als kritische succesfactoren: - Optimale communicatie op alle organisatieniveaus betreffende IT risico s; - Samenwerking tussen betrokkenen in de identificatie en beheersing van IT risico s; - Inzicht van IT personeel in business processen en mogelijke business impact door risico s; - Risicobewustzijn ten behoeve van het identificeren van risico s door zowel de business als IT; - Duidelijke taken en verantwoordelijkheden omtrent de uitvoering van mitigerende maatregelen voor geïdentificeerde risico s; - Eindverantwoordelijkheid in het kader van risk management; - Evaluatie en monitoring op basis van gedefinieerde Kritische Risico Indicatoren (KRI s). 25

26 4.4 Opzet IT risk management Risk IT In de recentelijk uitgebrachte exposure draft Risk IT, februari 2009 van het ITGI instituut wordt een model beschreven voor de beheersing van IT risico s. Dit model Risk IT wordt geïntroduceerd als aanvulling op Cobit. Risk IT biedt verdere aanvulling aan het risk management proces van Cobit waarmee specifiek aandacht besteedt kan worden aan het identificeren, beheersen en managen van IT risico s. IT activiteiten Identificatie risico s Beoordeling en beheersing risico s Monitoring en evaluatie risico s Risk IT raamwerk Cobit Figuur 11: Relatie tussen het Risk IT raamwerk en Cobit Het Risk IT model is gebaseerd op concepten van organisatie brede risicomanagement standaarden en raamwerken zoals COSO ERM en geeft richtlijnen hoe deze toegepast kunnen worden op IT. Risk IT onderscheidt zich van andere raamwerken doordat het gericht is op alle aspecten van IT risico s in plaats van IT Security perspectief alleen. In Figuur 11: Relatie tussen het Risk IT raamwerk en Cobit is het Risk IT model opgenomen waarin de componenten van het raamwerk in samenhang worden gevisualiseerd. Dit raamwerk biedt net als Cobit controle doelstellingen per domein, proces beschrijvingen en de key-activiteiten die daarbij horen Risk IT fundamenten voor IT risicobeheersing Het Risk IT model is berust op de principes effectief besturen en beheren van IT risico s en verdeelt deze in drie domeinen, namelijk: - Risk Governance: in dit domein wordt gewaarborgd dat de uitvoering van IT risk management geïntegreerd is binnen de organisatie. - Risk Evaluation: in dit domein wordt gewaarborgd dat IT risico s worden vastgelegd en geanalyseerd om te komen tot een risk profiel. - Risk Response: in dit domein wordt gewaarborgd dat risico s worden beheerd en dat voldoende mitigerende maatregelen zijn getroffen. De principes waar het model op gebaseerd is worden gesteld als randvoorwaarden voor het IT risicobeheersingproces en worden als volgt aangegeven: 26

27 Effectief besturen van IT risico s - IT risico s koppelen aan business doelen; - Alignment van IT gerelateerde IT risico s aan de overall business risicomanagement; - Balanceren van kosten en opbrengsten van risicobeheersing. Effectief beheren van IT risico s - Promoten van open communicatie rondom IT risico s; - Sponsoring door top management en creëren van risicobewuste cultuur, duidelijke richtlijnen aangeven, heldere taken en verantwoordelijkheden definiëren; - IT risk management als continu proces uitvoeren en integreren in de dagelijkse activiteiten. Rollen en verantwoordelijkheden In het Risk IT model worden een aantal rollen, taken en verantwoordelijkheden onderscheiden per proces activiteit. De toewijzing van taken en verantwoordelijkheden is noodzakelijk voor een optimale inrichting van IT risk management binnen de organisatie en de integratie in de dagelijkse activiteiten. In bijlage VII is een overzicht opgenomen met rollen en verantwoordelijkheden per activiteit van het Risk IT raamwerk. Identificatie van risico s Het model van Risk IT is in de kern gebaseerd op de identificatie van diverse IT risico s en het opstellen van risico scenario s die een business impact tot gevolg kunnen hebben. Risico scenario s kunnen vervolgens worden gebruikt bij het uitvoeren van risico analyses. Figuur 12: Risico scenarios Voor een bruikbare en volledige risicoanalyse dienen risico scenario s de volgende elementen te bevatten: - ThreatType: de aard en oorzaak van het risico gerelateerde event; - Actor: de persoon of afdeling die het risico veroorzaakt; - Action: de gevolg acties van het risico; - Asset/resource: business assets die betrokken zijn bij de event wat kan leiden tot een business impact; - Timing: de duur van de event en de timing van optreden. Naast het in kaart brengen van risico scenario s dient er volgens het Risk IT model aandacht te worden besteed aan het helder beschrijven van de voortvloeiende business impact. De vertaling naar een business 27

28 impact vindt bi-directioneel plaats. Enerzijds, dienen IT specialisten aan te geven hoe de event (gerelateerd aan de IT risico) impact kan hebben op het behalen van business doelstellingen; anderzijds, is het de taak van de business om te begrijpen hoe dit event invloed kan hebben op business processen. Voor het efficiënt en tijdig inspelen op risico s dienen zogenaamde Key Risico Indicatoren (KRI) gedefinieerd te worden. Deze worden toegepast voor rapportage doeleinden waarbij trends en voorspellingen kunnen worden gedaan die het tijdig reageren op risico s mogelijk maken IT risk management volwassenheidsniveaus Om het volwassenheidsniveau van IT risicobeheersing binnen organisaties te bepalen, kan gebruik worden gemaakt van een maturiteitsmodel (zoals het Capability Maturity Model van het Software Engineering Institute). Het Risk IT raamwerk definieert een scoremethode om te komen tot een beoordeling van niet bestaand (score 0) tot geoptimaliseerd (score 5). Voor elk maturiteitsniveau is een reeks attributen geïdentificeerd waarop men kan meten. Hiermee wordt bepaald waar een organisatie momenteel staat en waar de focus moet worden gelegd voor de toekomst. Analyse De snelheid van veranderingen op IT gebied en de snelheid van veranderingen binnen organisaties vragen om een adequate beheersing van IT risico s. Voordat het Risk IT model werd uitgebracht bestond er geen IT Governance raamwerk dat IT risk management volledig dekt. Organisaties hadden geen andere keuze dan een aantal raamwerken specifiek per focus gebied te combineren. Het Risk IT model biedt in principe goede basis voor IT risicobeheersing maar het nadeel daarvan is dat het niet praktisch genoeg is voor organisaties om meteen daarmee aan de slag te gaan. Wij zijn van mening dat onafhankelijk van het soort raamwerk dat toegepast wordt, de randvoorwaarde is dat het raamwerk diep en breed genoeg moet zijn om alle IT risico s te beheersen. Een meest voorkomende risico strategie waar IT risk management aan dient te voldoen bestaat uit het identificeren, beoordelen en beheersen van IT risico s. Aangevuld met de kritische succes factoren zoals aangegeven in paragraaf en de fundamenten van het Risk IT model (paragraaf 4.2.2) kan een sterke basis worden gelegd naar een adequate IT risk management raamwerk. Vervolgens zal dit raamwerk over relevante informatie moeten beschikken om risico s in voldoende mate te beheersen. Deze conclusie zien wij bevestigd krijgen in de literatuur omtrent risicomanagement (het boek Inrichten en beheersen van organisaties; Rob Christiaanse en Jan van Praat; 2005). 28

29 5 Praktijk situatie In het kader van ons onderzoek hebben we een aantal interviews gehouden met representanten uit organisaties van verschillende sectoren met als doel het verkrijgen van inzicht in de praktische invulling van business en IT alignment. Hierbij willen wij tevens inzicht verkrijgen over de manier waarop IT risk management bij de organisaties is ingeregeld om de invloed op alignment tussen de business en IT vast te stellen. Onze geïnterviewden hebben allen een functie op management niveau en zijn direct betrokken bij de communicatie tussen de business en IT. Naast de organisaties die bij dit onderzoek zijn betrokken, hebben wij ook gesproken met Wim Zethof RE RA, Principal Consultant bij Capgemeni. De heer Zethof is lid van de beroepsorganisatie ISACA en heeft ruime ervaring op het gebied van IT Governance en IT auditing. Momenteel is hij betrokken bij een werkgroep van ISACA om verdere invulling te geven aan het onderwerp IT Governance. Wij hebben geen uitputtend onderzoek verricht onder de door ons geïnterviewde organisaties. Derhalve, geven wij slechts een indicatie van hoe business en IT alignment en IT risk management in de praktijk tot uiting komen. Onze geïnterviewde gesprekspartners zijn werkzaam bij grote beursgenoteerde bedrijven in de financiële, logistieke en productie sectoren. 5.1 Casus uitwerking In bijlage VIII hebben wij de resultaten van onze analyse op de interviews opgenomen welke uitgevoerd zijn in het kader van het praktijkonderzoek. De resultaten en namen van de representanten zijn anoniem verwerkt vanwege de bedrijfsgevoelige aard van de informatie. De gespreksverslagen zijn met de representanten afgestemd en opgenomen in het onderzoeksdossier. Indien nodig kunnen deze met de scriptiecommissie besproken worden. Voor de uitwerking van het praktijkonderzoek hebben wij een aantal criteria gedefinieerd die gehanteerd zijn bij de analyse van de resultaten. Deze criteria hebben wij vastgesteld op basis van onze theoretische studie naar business en IT alignment en IT risk management en zijn in de volgende tabel uitgezet: Financieel Logistiek Productie Besturing Een alignment steering group is aanwezig met representanten uit het topmanagement, de business en IT Er is geen alignment steering group is aanwezig waarin de business en IT zijn vertegenwoordigd. Een Steering Group Committee is aanwezig op strategisch en tactisch niveau met representanten uit de business en IT is. Op operationeel niveau werken de business en IT projectmatig samen. Overleg organen zijn op strategisch en tactisch niveau aanwezig. Op operationeel niveau is kan de alignment niet bereikt worden tussen de gecentraliseerde IT organisatie en de gedecentraliseerde business. 29

30 Een standaard raamwerk voor IT risico beheersing is aanwezig Een standaard raamwerk specifiek gericht op de beheersing van IT risico s is niet aanwezig Een standaard raamwerk specifiek gericht op de beheersing van IT risico s is niet aanwezig Een standaard raamwerk specifiek gericht op de beheersing van IT risico s is niet aanwezig Beoordeling & Beheersing Communicatie tussen business en IT is sterk aanwezig Communicatie tussen business en IT vindt in klassikale vorm plaats Een Steering Group committee is aanwezig met representanten uit de business en IT is. Overleg organen zijn op strategisch en tactisch niveau aanwezig IT activiteiten worden projectmatig aangestuurd met betrokkenheid van de business IT projecten worden projectmatig aangestuurd zonder business betrokkenheid IT projecten worden projectmatig aangestuurd (Prince II) waarbij zowel business analisten als IT specialisten deelnemen aan projectteams (operationeel). Aansturing vindt plaats zowel op strategisch (management board) als op tactisch niveau (Steering Group committee) IT projecten worden projectmatig aangestuurd. De business is hierbij betrokken op strategisch en tactisch niveau IT risico s worden geïdentificeerd beoordeeld Identificatie van IT risico s is overgelaten aan IT en wordt getriggerd door weten regelgeving. Dit wordt echter niet uitgevoerd op basis van een raamwerk specifiek gericht op IT risico s. Identificatie van IT risico s vindt plaats in samenwerking tussen de business en IT. Dit wordt echter niet uitgevoerd op basis van een raamwerk specifiek gericht op IT risico s. Identificatie van IT risico s is overgelaten aan IT. Dit wordt echter niet uitgevoerd op basis van een raamwerk specifiek gericht op IT risico s. IT risico s worden beoordeeld Beoordeling van IT risico s wordt uitgevoerd op basis van een risico analyse (specifiek gericht op Beoordeling van IT risico s wordt uitgevoerd op basis van een risico analyse waarbij zowel de Een risico analyse gebaseerd op IT security policies is aanwezig. Echter deze risico analyse wordt 30

31 wet- en regelgeving). business als IT zijn betrokken. niet altijd toegepast. Monitoring & Evaluatie IT risico s worden periodiek gemonitored Monitoring van IT risico s vindt niet plaats. Monitoring van IT risico s wordt beperkt uitgevoerd. Actiehouders zijn aangewezen om risico s te minimaliseren onder toezicht van een Steering Group Committee. Een aparte tool voor het verzamelen van gegevens omtrent risico s is niet aanwezig. Monitoring van geïdentificeerde IT risico s wordt uitgebreid uitgevoerd. IT risico s worden geëvalueerd waarbij getroffen maatregelen beoordeeld worden of deze de business/it alignment waarborgen Evaluatie van IT risico s in het kader van business/it alignment vindt niet plaats. Evaluatie van IT risico s in het kader van business/it alignment vindt niet plaats. Evaluatie van IT risico s in het kader van business/it alignment vindt niet plaats. Mis-alignment tussen business en IT wordt geïdentificeerd Er wordt geen specifieke aandacht besteed aan het identificeren van misalignment tussen de business en IT Er wordt geen specifieke aandacht besteed aan het identificeren van misalignment tussen de business en IT Er wordt geen specifieke aandacht besteed aan het identificeren van misalignment tussen de business en IT Een gedetailleerde beschrijven van de interview uitkomsten is in bijlage VIII opgenomen. 31

32 5.2 Analyse van de uitkomsten Business en IT alignment Naar aanleiding van ons praktijkonderzoek komen wij tot de conclusie dat de ambitie om te komen tot een optimale alignment tussen business en IT onvoldoende bij organisaties aanwezig is. Deze staat van alignment wordt door de meeste organisaties gezien als utopisch en te abstract. Organisaties streven echter wel naar een betere alignment tussen business en IT waarbij kostenbesparing door de inzet van IT een belangrijke pijler is die een prominente positie inneemt op de agenda van de board. Een proactieve houding van IT is het voornaamste kenmerk is dat de business aan IT toeschrijft. Het bewustzijn dat IT een enabler voor business concepten kan zijn en waardecreatie kan leveren voor de organisaties is sterk aanwezig. Het gebruik van een (gestandaardiseerd) model van alignment vindt niet plaats. Wij constateren dat de organisaties een eigen invulling geven aan het alignment proces en dit allen op verschillende wijze inrichten. Dit verklaart het abstracte karakter dat alignment heeft bij bestuurders. De beheersing en besturing van IT wordt vanuit het topmanagement bij alle ondervraagde organisaties door de CIO geleid. De door ons geformuleerde alignment steering group wordt ingevuld door de CIO, CEO en CFO en senior management dat vanuit de business en IT rapporteert. Wij constateren dat het bewustzijn voor een centraal orgaan in deze formatie in voldoende mate aanwezig is. Er wordt echter geen specifieke aandacht besteed aan het identificeren van mis-alignment tussen de business en IT Alignment tussen business en IT vindt vooral plaatst op strategisch niveau. Op dit niveau wordt de strategische richting van de business afgestemd op die van IT. Op tactisch niveau vindt vervolgens een vertaalslag plaats van de eisen en wensen van de business naar de inzet van IT. Om tegengestelde belangen tussen IT en de business te stroomlijnen en de onderlinge communicatie te optimaliseren worden vertegenwoordigers van de business en IT betrokken in een centrale werkgroep die tactisch niveau opereert en rapporteert aan senior management. Operationele alignment tussen business en IT is niet direct aanwezig. Business en IT blijken ver uit elkaar te liggen als het gaat om operationele activiteiten. IT risk management Op basis van onze theoretische studie naar IT risk management komen wij op de volgende aspecten uit welke onderdeel moeten uitmaken van een adequate inrichting en integratie van IT gerelateerde risico s binnen de organisatie. Het gaat om de aspecten: risico identificatie, beoordeling en beheersing, monitoring en evaluatie waarbij de betrokkenheid tussen de business en IT en het risicobewustzijn binnen de organisatie van groot belang zijn. Alle bedrijven die wij hebben onderzocht voldoen niet strikt aan al door ons vastgestelde criteria in bovenstaande tabel. Een aantal componenten van het ideaal IT risk management raamwerk zien wij terug bij deze organisaties maar in de praktijk levert dit nog geen zekerheid of IT risico s in voldoende mate worden beheerst, zodat deze geen belemmering vormen voor het behalen van IT doelstellingen. Dit kan directe impact hebben op de business. 32

33 6 Aanbevelingen 6.1 Inleiding Op basis van de door ons bestudeerde business en IT alignment modellen zijn wij van mening dat de balanced scorecard een geschikte methode is om te komen tot business en IT alignment in combinatie met fundamenten van IT risk management. De balanced scorecard voorziet erin om organisatie en IT doelstellingen op elkaar af te stemmen. Door doelstellingen op alle niveaus van de organisatie in relatie te brengen met succesfactoren, en de hierbij behorende risico s (faalfactoren) te identificeren kunnen gerichte maatregelen getroffen worden die van belang zijn om deze doelstellingen te behalen. Om dit proces effectief te laten werken is het vanuit onze visie noodzakelijk dat interactie en afstemming tussen business en IT op alle niveaus van de organisatie plaats moet vinden. Het abstracte karakter van de balanced scorecard en de fundamenten uit het ITGI Risk IT raamwerk bieden geen praktische handvatten voor management om deze in een organisatie in te voeren. Wij komen met een praktische benadering in de vorm van een Business IT Alignment IT Risk Management model (hierna BSC-IRM) waarin de balanced scorecard gecombineerd wordt met fundamenten uit Risk IT. Aanvullend hierop introduceren wij een stappenplan waarmee in de praktijk het management aan de slag kan om business en IT alignment te realiseren vanuit een perspectief van IT risk management. Hiermee wordt de deelvraag welke handvatten zijn vanuit het perspectief van IT risk management aanwezig om alignment tussen business en IT te realiseren beantwoord. 6.2 BSC-IRM model De invulling die wij aan het BSC-IRM model geven is bedoeld om topmanagement inzicht te geven in de belangrijkste randvoorwaarden waar de organisatie minstens aan moet voldoen voordat het proces van alignment en IT risicobeheersing in werking gesteld kan worden. Figuur 13: BSC-IRM model 33

34 De IT balanced scorecard bestaat uit een IT ontwikkeling scorecard en een IT operational scorecard. Deze twee scorecards fungeren als basispilaren voor de strategische IT balanced scorecard. Het linken van een business balanced scorecard aan een IT balanced scorecard blijkt een praktisch mechanisme te zijn in de praktijk om business en IT alignment te bereiken. Het gelaagde model van de IT balanced scorecard levert zowel top-down als bottom-up IT afstemming binnen het IT domein. Operationele IT activiteit zijn namelijk gebaseerd op tactische plannen, en projecten worden door IT management aangestuurd. Dezelfde vorm van interactie is aanwezig tussen de tactisch en strategisch niveaus. Afstemming tussen de business en IT wordt tevens mogelijk gemaakt op elk niveau van de organisatie. In de praktijk kan hier invulling aan worden gegeven door: - het samenstellen van multidisciplinaire teams bij de uitvoering van projecten (operationeel); - het aanwijzen van een steering group met representanten uit de business en IT voor de aansturing en besluitvorming rondom projecten (tactisch); - het vormen van een topmanagement steering group voor de afstemming van strategische doelstellingen en bewaking van alignment (strategisch). Vanuit de balanced scorecard domeinen worden IT kritische succes- en faalfactoren geïdentificeerd die een directe invloed hebben op het behalen van doelstellingen. Risico s kunnen daarbij direct worden gerelateerd aan de succes- en faalfactoren. Op basis van het principe van afgeleide balanced scorecards (BSc IT Dev BSc IT Ops BSc) wordt het mogelijk om op alle niveaus van de organisatie doelstellingen te relateren aan IT risico s. IT risk management kan met de balanced scorecards als geïntegreerd onderdeel toegepast worden. Het voordeel bij deze aanpak is dat IT risicobeheersing continu en op alle organisatieniveaus kan worden uitgevoerd waarbij tevens de business voldoende bij is betrokken. Om het BSC-IRM model verder toe te lichten, geven wij een voorbeeld van een bevinding die wij in de praktijk tijdens een reguliere jaarrekening controle hebben vastgesteld. Bij een massaproductie bedrijf dat sterk afhankelijk is van de beschikbaarheid van informatiesystemen hebben wij geconstateerd dat er geen IT beleid is opgesteld, waarin de korte en lange termijn doelstellingen van de inzet van IT zijn geformuleerd. Tevens is vastgesteld dat er geen overkoepelend informatiebeveiligingsbeleid aanwezig is. Deze constatering impliceert dat op strategisch niveau geen afstemming is geweest tussen IT en de business. Het ontbreken van dergelijke beleidsplannen levert voor de operationele activiteiten het risico op dat getroffen beveiligingsmaatregelen niet op elkaar zijn afgestemd of dat essentiële maatregelen niet zijn getroffen. Hierdoor kan het totale niveau van beveiliging een lager dan gewenst niveau hebben. Uiteindelijk levert dit voor de business een verborgen risico op verstoringen van de business processen. Randvoorwaarden Wij stellen een aantal randvoorwaarden waar een organisatie aan dient te voldoen alvorens gestart kan worden met het gebruiken van de balanced scorecards in combinatie met IT risk management. Deze randvoorwaarden hebben betrekking op besturing en beheersing van de IT organisatie. 34

35 Strategisch niveau Randvoorwaarde Acties Betrokken functionarissen Commitment van de board Board neemt in de charter van de organisatie Board en topmanagement het belang op van: (CEO/CFO/CIO) - IT Governance; - alignment tussen business en IT; - IT risk management. Risicobewuste cultuur in de gehele organisatie IT strategisch plan is aanwezig. Business en IT alignment als continue proces IT risk management als continue proces Bewustzijn bij de business en IT creëren door presentaties, nieuwsbrieven, aandacht op het intranet, trainingen en opleidingen te verzorgen IT stemt het IT strategisch plan af op het business strategisch plan Een steering group is gevormd en bewaakt het alignment proces middels de IT strategic balanced scorecard Een steering group is gevormd en bewaakt het IT risk management proces middels periodieke rapportages Senior business management Senior IT management Board en topmanagement Board en topmanagement Senior business management Senior IT management Board en topmanagement Senior business management Senior IT management Tactisch niveau Randvoorwaarde Acties Betrokken functionarissen IT jaarplan is aanwezig IT jaarplan is afgeleid uit van het IT strategisch plan Topmanagement (CIO) Senior IT management IT management IT policies zijn aanwezig Beheersingsraamwerk voor IT organisatie is aanwezig IT risico beheersingsraamwerk is aanwezig Business en IT alignment en IT risk management als continue proces IT policies worden op basis van het IT strategisch plan opgesteld Een IT beheersingsraamwerk (bijv. Cobit) wordt toegepast Een IT risk management raamwerk (bijv. Risk IT) wordt toegepast Een steering group is gevormd en bewaakt het alignment proces middels de IT developing balanced scorecard. Het IT risk management proces wordt bewaakt in een IT risk management tool (bijv. Bwise) Senior IT management IT management Senior IT management IT management Senior IT management IT management Risk specialist Senior business management Senior IT management IT management Risk specialist 35

36 Operationeel niveau Randvoorwaarde Acties Betrokken functionarissen IT procesbeschrijvingen, IT procesbeschrijvingen, procedures en IT management procedures en werkinstructies zijn aanwezig werkinstructies zijn afgeleid uit het IT jaarplan en policies Operationele IT functionarissen Beheer- en projectorganisatie is ingericht Beheerorganisatie is ingericht conform best practices en standaarden (bijv. ITIL, PRINCE II) IT management Operationele IT functionarissen IT activiteiten en projecten worden uitgevoerd met betrokkenheid van de business IT betrekt de business bij de dagelijkse activiteiten door bijv. projecten in multidisciplinair uit te voeren of door periodiek te rapporteren aan de business Operationele IT functionarissen Operationele business functionarissen De juiste tools en applicaties zijn beschikbaar gesteld voor beheersing van IT Operationele IT functionarissen beschikken over de juiste tools voor het uitvoeren van de dagelijkse operationele activiteiten (bijv. ticketing applicatie tbv ITIL of Bwise tbv IT risk management) IT management Operationele IT functionarissen 6.3 Stappenplan Het BSC-IRM model hebben wij verder geconcretiseerd in een praktisch stappenplan waarmee topmanagement alignment tussen business en IT kan bereiken vanuit het perspectief van IT risk management. Uigaande van de randvoorwaarden welke in de vorige paragraaf zijn beschreven wordt het stappenplan opgedeeld in activiteiten die plaatsvinden op alle niveaus van een organisatie. De relevante stappen definiëren wij als volgt: 1 Een board steering group is gevormd en bestaat uit het topmanagement van zowel de business als IT (CEO/CFO/CIO, Senior business management, Senior IT management). De board steering group stemt het IT strategisch plan af op het business strategisch plan; 2 De board steering group komt periodiek bij elkaar (minimaal één keer per kwartaal), bespreekt relevante IT aandachtspunten en bepaalt de richting van IT activiteiten (projecten, implementaties, etc.). Tevens wordt het BSC-IRM implementatie bewaakt door periodieke rapportages; 3 IT risico s op strategisch niveau zijn geïdentificeerd door de board steering group en zijn gecommuniceerd naar de aangewezen Risk Specialist binnen de organisatie die deze meeneemt bij de uitvoering van de overall risicoanalyse; 4 De board steering group neemt besluit over IT risico s met een hoge risicofactor (zie NIST weergave in figuur 10, pagina 24) waarbij significante maatregelen moeten worden getroffen. Besluitvorming vindt plaats op basis van de input die wordt gegeven door de management steering 36

37 group van het lagere organisatieniveau. Bij de besluitvorming is voldoende informatie gegeven en zijn relevante IT risico s in kaart gebracht; 5 Een management steering group is gevormd en bestaat uit business en IT management/senior management en een Risk Specialist. De management steering group komt periodiek bij elkaar (minimaal één keer per twee weken) en bespreekt het voortgang van IT projecten. In dit kader worden o.a. IT risico s die in relatie staan tot de business doelstellingen besproken en vindt aansturing plaats. De aanpak van het IT management vindt plaats binnen de gestelde strategie en richtlijnen welke afgeleid zijn vanuit het strategisch IT plan is. 6 IT risico s op tactisch niveau zijn geïdentificeerd door de management steering group en zijn gecommuniceerd naar de aangewezen Risk Specialist binnen de organisatie die deze meeneemt bij de uitvoering van de overall risicoanalyse; 7 De management steering group neemt besluit over IT risico s op basis van de input die wordt gegeven door het projectteam van het lagere organisatieniveau. Bij de besluitvorming is voldoende informatie gegeven en zijn relevante IT risico s in kaart gebracht. De management steering group neemt besluit over alle IT risico s (met uitzondering van risico s met een hoge risicofactor en waarbij tevens significante maatregelen moeten worden getroffen. Betrokkenheid van de board steering group bij deze risico s is dan noodzakelijk. De management steering group rapporteert periodiek aan de board steering group (minimaal één keer per maand). 8 Een projectteam is gevormd en bestaat uit mensen uit de business, IT specialisten en business- en informatieanalisten. Het projectteam komt periodiek bij elkaar (gemiddeld twee keer per week) om de voortgang en ontwikkelingen rondom het project te bespreken. Daarnaast komen de projectteamleden bij elkaar voor het in kaart brengen van de business processen en het definiëren van de IT functionele eisen. Tevens worden hierbij IT risico s zowel vanuit de operationele IT als vanuit de businessprocessen geïdentificeerd. Het projectteam rapporteert periodiek (minimaal één keer per twee weken) aan de management steering group over geïdentificeerde risico s. De Risk Specialist die tevens ook lid is van de management steering group gebruikt deze rapportages als input bij de uitvoering van de overall risicoanalyse. De aanpak van IT specialisten bij de uitvoering van operationele activiteiten vindt plaats binnen de gestelde procedurebeschrijvingen en richtlijnen welke afgeleid zijn vanuit het IT jaarplan en policies. 9 De aangewezen IT Risk Specialist voert een risicoanalyse uit op basis van de input die hij krijgt inzake geïdentificeerde risico s vanuit het projectteam, de management steering group en de board steering group. De risicoanalyse dient gebaseerd te zijn op de risico classificatie van NIST en controle maatregelen dienen te worden vertaald naar de IT risk management tool (bijv. Bwise). Hierbij zijn actiehouders aangewezen en is een response termijn opgegeven; 10 Via de IT risk management tool geven IT specialisten (actiehouders) aan in hoeverre maatregelen zijn getroffen om de geïdentificeerde risico s te mitigeren. Deze input wordt gebruikt voor de monitoring en evaluatie van risicobeheersing; 37

38 11 De IT Risk Specialist draagt zorg voor het bijhouden van de risicoanalyse en het verzorgen van periodieke rapportages ten behoeve van het management zodat risico s tijdig worden gemitigeerd, verlaagd of geaccepteerd. 12 De board steering group bewaakt het proces van IT risk management op basis van managementrapportages en zorgt ervoor dat het proces van afstemming en risicobeheersing volgens het BSC-IRM model wordt uitgevoerd. De management steering group zorgt ervoor dat risico s in voldoende mate worden beheerst zodanig dat deze geen belemmering vormen voor het behalen van IT doelstellingen teneinde organisatie doelstellingen. Bij de periedieke overleggen van de management steering group vindt monitoring en evaluatie plaats van IT risico s waarbij getroffen maatregelen worden beoordeeld of deze de realisatie van doelstellingen waarborgen. De adequate aansturing van het IT risk management proces en beheersing van IT risico s waarbij de business direct bij betrokken is levert een sterke basis voor de beoogde alignment. 38

39 7 Conclusie De inzet van IT om waardecreatie voor de organisatie te bereiken staat hoog bovenaan de agenda van topmanagement. Organisaties zien stroomlijning, oftewel alignment, van de IT functie met de business als een proces dat zich moet evolueren. Met ons onderzoek willen wij inzicht verkrijgen in de alignment tussen business en IT voor de realisatie van organisatiedoelstellingen en de afhankelijke relatie met IT risk management. Uit de gestelde onderzoeksvraag Op welke wijze is het mogelijk om alignment tussen IT en Business te bereiken vanuit het perspectief van IT risk management? concluderen wij dat IT risk management een sterke correlatie kan hebben met de alignment tussen business en IT. In ons onderzoek is naar voren gekomen dat de balanced scorecard in combinatie met IT risk management hierbij een belangrijke brugfunctie speelt. Met deze combinatie worden IT risico s geïdentificeerd en voorzien van beheersmaatregelen teneinde het behalen van de organisatiedoelstellingen. Randvoorwaardelijk hierbij is dat een organisatie voldoende aandacht dient te besteden aan de besturing en beheersing van de IT functie. Om de onderzoeksvraag goed te onderbouwen, zijn een drietal deelvragen gedefinieerd: 1. Wat is business en IT alignment en hoe verhoudt dat zich tot IT risk management? 2. Wat is het huidige inzicht van business en IT alignment in de praktijk? 3. Welke handvatten zijn vanuit het perspectief van IT risk management aanwezig om alignment tussen business en IT te realiseren? In de volgende paragrafen wordt antwoord gegeven op de deelvragen. Wat is Business en IT alignment en hoe verhoudt dat zich tot IT risk management? De impact van het falen van IT heeft directe gevolgen voor de gehele business. Dit vormt tevens een van de redenen voor een adequate beheersing van IT risico s. De fundamenten die ten grondslag moeten liggen aan een risicobeheersingsraamwerk bestaan uit de identificatie, beoordeling, beheersing, monitoring en evaluatie van IT risico s. Wij zijn van mening dat ongeacht het soort raamwerk dat toegepast wordt (standaard of zelf ontwikkeld), dit diep en breed genoeg moet zijn om alle IT risico s te beheersen. Randvoorwaardelijk hierbij is dat voldoende aandacht besteed dient te worden vanuit het topmanagement aan het effectief en efficiënt besturen van IT (risicobewustzijn, taken en verantwoordelijkheden, etc.). Op basis van de theoretische verkenning is gebleken dat er geen eenduidige definitie van het begrip business en IT alignment is. Alignment dient vanuit onze perceptie niet te worden gezien als doel, maar als proces om IT te laten acteren als enabler voor het behalen van organisatiedoelstellingen. Een nadere invulling die wijzelf kunnen geven op business en IT alignment is Het proces van besturen en beheersen van de IT functie om continu in overeenstemming te zijn met de business. Uit de theoretische verkenning is gebleken dat diverse theoretische modellen ontwikkeld zijn die hebben geleid tot een conceptuele benadering van het alignment vraagstuk. De belangrijkste modellen op dit gebied zijn het Strategic Alignment Model van Venkatraman en het 9-vlaks informatiemanagement model van Maes. Maes heeft een semantische laag geïntroduceerd als wezenlijke aanvulling op het model van 39

40 Venkatraman. Het 9-vlaks informatiemanagement model past beter in hedendaagse organisaties met complexe IT infrastructuren. Uit de theorie blijkt dat de balanced scorecard een beproefde methode om het proces van alignment tussen business en IT in te richten. Een voorbeeld van een organisatie die de IT balanced scorecard succesvol toepast is de Canadese bank Great-West Life. In onze dagelijkse praktijk zien wij dat vele organisaties gebruik maken van de balanced scorecard gezien de mogelijkheden die deze biedt voor het afstemmen van IT aan business doelstellingen op strategische, tactische en operationele organisatie niveaus. De methodologie voorziet erin dat op elk organisatieniveau zowel top-down als bottom-up IT doelstellingen worden afgestemd. Wat is het huidige inzicht van Business en IT alignment in de praktijk? Wij constateren dat de ambitie om te komen tot een optimale alignment tussen business en IT onvoldoende bij organisaties aanwezig is. Deze staat van alignment wordt door de meeste organisaties gezien als utopisch en te abstract. Organisaties streven echter wel naar een betere alignment waarbij kostenbesparing en concurrentievoordeel door de inzet van IT belangrijke drivers zijn. De organisaties geven elk eigen invulling aan het alignment proces en richten deze in naar het beoogde volwassenheidsniveau. Alignment tussen business en IT vindt bij de door ons onderzochte organisaties plaatst op strategisch niveau. De vertaalslag van de strategische doelstellingen naar tactisch en operationeel niveau wordt uitgevoerd door functionarissen uit de business en IT die in voldoende mate kennis hebben van elkaars domein. Om de onderlinge communicatie tussen business en IT te optimaliseren worden vertegenwoordigers van beide partijen betrokken in een centraal orgaan. Wij constateren dat bij de door ons ondervraagde organisaties de business en IT wel ver uit elkaar liggen als het gaat om de afstemming van doelstellingen en het beheersen van risico s. Het proces van IT risico beheersing, zoals dat aanwezig is bij de door ons onderzochte organisaties hebben wij getoetst aan de in hoofdstuk 4 gedefinieerde criteria voor IT risk management. Wij concluderen dat deze organisaties niet strikt voldoen aan de gestelde criteria. Een aantal elementen van IT risk management worden toegepast maar in de praktijk levert dit nog geen zekerheid of IT risico s in voldoende mate worden beheerst. Met name de informatie die hierbij aan het management beschikbaar wordt gesteld kan geen volledige beeld geven over de IT risico s en impact die deze op de business heeft. Welke handvatten zijn vanuit het perspectief van IT risk management aanwezig om alignment tussen business en IT te realiseren? Tijdens ons praktijkonderzoek zijn wij geen concrete modellen tegengekomen die de alignment tussen business en IT in directe relatie plaatsen met IT risk management. Dit werd tevens bevestigd door de organisaties die wij in het kader van ons praktijkonderzoek hebben geïnterviewd met de vraag hoe het alignment proces in de organisatie is ingericht. Wij constateren dat organisaties naar eigen invulling van het alignmentproces de IT activiteiten binnen de organisatie in relatie brengen tot de business. Onderdeel van de invulling betrof ook de uitvoering van een risicoanalyse. Hierbij werd niet gebruik gemaakt van een specifiek model. 40

41 Wij zijn van mening dat organisaties met het gebruik van de balanced scorecard methodiek tot een gedegen aanpak kunnen komen om de alignment tussen business en IT te realiseren. De balanced scorecard voorziet er namelijk in om business en IT doelstellingen op elkaar af te stemmen. Door op alle niveaus van de organisatie de doelstellingen in relatie te brengen met succesfactoren, en de hier bijbehorende risico s (faalfactoren) te identificeren kunnen specifieke maatregelen getroffen worden die van belang zijn om deze doelstellingen te behalen. Met het integreren van de fundamenten van IT risk management in de balanced scorecard methodologie is de organisatie in staat om IT risico s op beheerste wijze te mitigeren wat direct een bijdrage levert aan het alignment proces. Alvorens de balanced scorecards gebruikt kan worden, dient de organisatie echter wel te voldoen aan een aantal randvoorwaarden die betrekking hebben op de besturing en beheersing van de IT organisatie. Het gebruik van de balanced scorecard methodiek is pas zinvol als deze randvoorwaarden in werking zijn gesteld. In hoofdstuk 6 hebben wij een stappenplan opgenomen waarin wij de belangrijkste randvoorwaarden, de bijbehorende acties en betrokken functionarissen beschrijven. 41

42 Bijlage I: Literatuurlijst Publicaties en artikelen J. Henderson en N. Venkatraman; Strategic Alignment: Leveraging Information Technology for Transforming Organizations; IBM Systems Journal vol.32 nr.1; N. Venkatraman; Alignment in the 21st Century, SAP Users Maastricht; I. Kouters; Beheersing volledige IT-keten essentieel: Cobit en het 9-vlaksmodel; R. Maes, D. Rijsenbrij, O. Truijens en H. Goedvolk; Redefining business IT alignment through a unified framework; mei R. Maes; Informatiemanagement in kaart gebracht: 9-vlaksmodel; R. Maes; Redefining business IT alignment through a unified framework; W. Van Grembergen en Steven De Haes; IT Governance- de correcte mix vinden van structuren, processen en relationele mechanismen; W. Van Grembergen; The Balanced Scorecard and IT Governance. W. Van Grembergen, Taylor & Francis Group; ISM Journal; J. Luftman; Assessing Business-IT alignment maturity; J. Biekart en E. Rosheuvel; Behoorlijk bestuur van IT: aangeleerd of aangeboren?; IT Governance de oorzaak voor het falen hiervan; J. de vries; Scriptie: Werkwijze ter beoordeling van IT Governance; 23 augustus G. Spafford; The benefits of standard IT Governance; D. Elieson; Construction of an IT Risk Framework; april IT Governance Institute; Enterprise Risk: Identify, Govern and Manage IT Risk; The Risk IT Framework Exposure Draft; v 0.1; 3 februari IT Governance Institute; ISO 38500; IT Governance Institute; Board briefing on IT governance; IT Governance Institute; Understanding How Business Goals Drive ITGoals; 15 oktober IT Governance Institute; Cobit 4.1: Framework, Control Objectives, Management Guidelines, Maturity Models;

43 National Institute of Standards and Technology; Risk Management Guide for Information Technology Systems; Special Publication ; juli NOREA; De kennisgroep IT-Governance; IT-Governance: Een verkenning; juni ISACA; The Hidden Values of IT Risk Management; vol 2; 2009; Symantec; IT Risk Management Report 2: Myths and Realities; vol.2; Boeken Boek: van Praat en Suerink, Inleiding EDP-Auditing; Boek: Christiaanse en van Praat, Inrichten en beheersen van organisaties; Syllabi Schrijfhulp voor IT audit rapporten; VU; File 2-B. Scriptiewijzer; Derde jaar slotexamen 2008/2009; 13 augustus

44 Bijlage II Figurenlijst FIGUUR 1 IT GOVERNANCE DOMEINEN 13 FIGUUR 2: ROL VAN EEN ALIGNMENT STEERING GROUP 14 FIGUUR 3 STRATEGIC ALIGNMENT MODEL 15 FIGUUR 49-VLAKS INFORMATIEMANAGEMENT MODEL 17 FIGUUR 5: KETEN VAN BALANCED SCORECARDS 18 FIGUUR 6: LUFTMAN MODEL CRITERIA 20 FIGUUR 7: RELATIE IT DOELSTELLINGEN EN IT RISK MANAGEMENT 22 FIGUUR 8: RISICOCATEGORIEËN DOOR HET ITGI 22 FIGUUR 9: DE VIER SYMANTEC ELEMENTEN VAN IT RISICO S 23 FIGUUR 10: RISICO CLASSIFICATIE DOOR NIST 24 FIGUUR 11: RELATIE TUSSEN HET RISK IT RAAMWERK EN COBIT 27 FIGUUR 12: RISICO SCENARIOS 27 FIGUUR 13: BSC-IRM MODEL 33 44

45 Bijlage III: IT Strategic alignment maturity model of Luftman 45

46 Bijlage IV: ITGI onderzoek naar de relatie: business en IT doelstellingen Bron: Understanding How BusinessGoals Drive IT Goals, IT Governance Institute, Het ITGI heeft een onderzoek uitgevoerd naar de relatie tussen business en IT doelstellingen van organisaties die opereren in verschillende sectoren: - Financial; - Manufacturing and Pharmaceuticals; - IT Professional Services; - Telecommunications and Media; - Government,Utilities and Healthcare - Retail, Distribution and Transportation. De basis aan dit onderzoek was een lijst van 17 (IT gerelateerde) business doelstellingen en 18 IT doelstellingen uit Cobit 4.0. Deze doelstellingen zijn door de onderzoekers in perspectief geplaatst onder de balanced scorecard categorien: - Financieel; - Klanten; - Interne bedrijfsvoering; - Ontwikkeling en groei. De lijst van doelstellingen bleek generiek toepasbaar te zijn in alle onderzochte sectoren. Organisaties kunnen deze generieke business en IT doelstellingen gebruiken als startpunt bij de identificatie van de meest belangrijke doelstellingen welke tussen de business en IT gealigned dienen te worden. De organisatie dient de lijst van generieke doelstellingen te specificeren naar de eigen situatie. In onderstaande tabel is de generieke lijst van doelstellingen opgenomen: 46

47 Het ITGI is gekomen tot een top 10 lijst van business en IT doelstellingen geconsolideerd vanuit de sectoren. Deze zijn opgenomen in de onderstaande tabel: 47

48 Bijlage V: Cobit P09 Assess and Manage IT Risks PO9.1 IT Risk Management Framework Establish an IT risk management framework that is aligned to the organisation s (enterprise s) risk management framework. PO9.2 Establishment of Risk Context Establish the context in which the risk assessment framework is applied to ensure appropriate outcomes. This should include determining the internal and external context of each risk assessment, the goal of the assessment, and the criteria against which risks are evaluated. PO9.3 Event Identification Identify events (an important realistic threat that exploits a significant applicable vulnerability) with a potential negative impact on the goals or operations of the enterprise, including business, regulatory, legal, technology, trading partner, human resources and operational aspects. Determine the nature of the impact and maintain this information. Record and maintain relevant risks in a risk registry. PO9.4 Risk Assessment Assess on a recurrent basis the likelihood and impact of all identified risks, using qualitative and quantitative methods. The likelihood and impact associated with inherent and residual risk should be determined individually, by category and on a portfolio basis. PO9.5 Risk Response Develop and maintain a risk response process designed to ensure that cost-effective controls mitigate exposure to risks on a continuing basis. The risk response process should identify risk strategies such as avoidance, reduction, sharing or acceptance; determine associated responsibilities; and consider risk tolerance levels. PO9.6 Maintenance and Monitoring of a Risk Action Plan Prioritise and plan the control activities at all levels to implement the risk responses identified as necessary, including identification of costs, benefits and responsibility for execution. Obtain approval for recommended actions and acceptance of any residual risks, and ensure that committed actions are owned by the affected process owner(s). Monitor execution of the plans, and report on any deviations to senior management. 48

49 Bijlage VI: IT risk management raamwerk van Risk IT

50 Bijlage VII: Taken en verantwoordelijkheden binnen het Risk IT raamwerk 50