IT GOVERNANCE IN DE LIFT

Transcriptie

1 Informatiemanagement Methodes om tot een goed werkmodel te komen IT GOVERNANCE IN DE LIFT Uit verschillende IT-onderzoeken blijkt dat IT governance volop in de belangstelling staat van Nederlandse organisaties. Zij vragen IT-specialisten steeds vaker om te adviseren over IT governance. Het ontbreken van een goed beschreven werkwijze maakte echter de communicatie over dit onderwerp met organisaties moeilijk. De auteur presenteert daarom een concreet handvat om IT governance te structureren en te beoordelen. DOOR WILCO LEENSLAG Uit een onderzoek van het Kennisplatform Topmanagement IT blijkt dat de kwaliteit van IT governance in veel gevallen nog ontoereikend is (zie figuur 1). Bij vier op de tien ondernemingen is deze onvoldoende of matig. Slechts 22 procent van de ondernemingen karakteriseert de kwaliteit van de eigen IT governance als goed. Uit een onderzoek van het IT Governance Institute (ITGI) blijkt dat vooral organisaties in de financiële en telecommunicatiesector beter presteren op het gebied van IT governance dan andere typen organisaties. Dit heeft te maken met de strategic importance of IT in deze sectoren. Dat het onderwerp IT governance populair is blijkt ook wel als we kijken naar de intentie om deze te verbeteren (zie figuur 2). Zeker vier op de vijf ondernemingen hebben de intentie om op korte termijn de kwaliteit ervan te verbeteren. Iedere onderneming die zich realiseert dat de kwaliteit nu onvoldoende of matig is, wil snel actie ondernemen om deze te verhogen. Ook organisaties waar de IT governance nu op orde is, willen de kwaliteit nog verder verhogen om de grip op IT te verbeteren. De belangrijkste vraag hierbij is natuurlijk: hoe krijgen we daar meer grip op? 22% 0% 11% 30% Onvoldoende Matig Voldoende 37% Goed Zeer goed Figuur 1 Kwaliteit IT governance Bron: Governance van IT en Outsourcing 0% 2% 19% 37% Ja, zeer zeker Ja, waarschijnlijk Nee, waarschijnlijk niet Nee, zeker niet 42% Geen zicht op Figuur 2 Intentie verbetering kwaliteit IT governance Bron: Governance van IT en Outsourcing 6 FEBRUARI 2007

2 Wat is IT governance? Omdat IT governance op een abstract niveau speelt, is het voor veel organisaties onduidelijk hoe dit onderwerp concreet gemaakt kan worden. Een belangrijke rol is in deze fase weggelegd voor IT auditors. Vanuit deze insteek heb ik een onderzoek uitgevoerd met als doel een werkwijze te ontwikkelen waarmee de kwaliteit van besturing (Governance) van de automatisering (IT) bij organisaties wordt beoordeeld op basis van geaccepteerde methodes op het terrein van IT Governance. (Voor het gehele onderzoek, zie de Finance ControlBase). NOREA, de beroepsorganisatie van IT auditors, beschrijft dat de essentie van corporate governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Kort gezegd gaat het erom: ~ wat goed bestuur inhoudt; ~ hoe daarop adequaat kan worden toegezien; ~ hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden, ook wel stakeholders genoemd. De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst. Het onderdeel IT governance (binnen het governance-vraagstuk) geeft aan hoe een organisatie de activiteiten bestuurt of beheerst die een verband hebben met IT en het gebruik daarvan. Werkwijze Veel organisaties hebben nog geen duidelijk beeld van wat IT governance precies is en wat het inhoudt. Het probleem om IT governance te omschrijven begint eigenlijk al bij het zoeken van een toepasbare definitie. Om het onderzoeksgebied van IT governance te verkennen omvat mijn onderzoek daarom ook een uitgebreide literatuurstudie (zie voor details het onderzoek in de Finance ControlBase) Voor een goede omschrijving van IT governance hoeft overigens niet zo ver gezocht te worden. Het boek IT Governance: A Pocket Guide geschreven door Brand et al. (2004) bevat een heel bondige beschrijving van het begrip. Zij stellen dat IT governance ervoor dient te zorgen dat de IT aansluit op bedrijfsprocessen en dat deze op de juiste manier wordt georganiseerd, bestuurd en beheerst. IT governance verschaft de structuur die een link legt tussen IT-processen, IT resources en informatie met de organisatiestrategie en -doelen. Dit geeft de essentie van IT governance in een paar zinnen heel duidelijk weer, zij het op een zeer abstract en strategisch niveau. Een organisatie heeft een zo concreet mogelijke vertaling nodig om IT governance te kunnen toepassen. Met deze definitie in het achterhoofd heb ik een werkwijze ontwikkeld die organisaties in staat stelt om inzicht te krijgen in de kwaliteit van de IT governance. Hiervoor heb ik eerst de bestaande IT governance-benaderingen van bekende auteurs en instanties bestudeerd en vergeleken. Tijdens het onderzoek bleek al snel dat het vergelijken van verschillende benaderingen zonder een uniforme structurering onmogelijk was, aan- Wie: (type) stakeholders Figuur 3 Metamodel toegepast op Weill et al. Wat/waarover: domeinen IT bepaalt wat men wil Algemeen management geeft vraag aan Algemeen management, Business en IT bepalen samen IT-beleid IT-architectuur IT-infrastructuur Business en IT bepalen samen Business maakt eigen besluiten Iedere stakholder heeft eigen agenda Besluitvormingswijzen Alignment processen Formele communicatie Applicatiebehoeften Hoe: mechanismen Prioriteitstelling FEBRUARI

3 gezien elke benadering anders is beschreven. Ik heb ervoor gekozen om een multidimensionaal metamodel op te zetten om verschillende IT governance-benaderingen te structureren. Hiervoor heb ik drie dimensies geïdentificeerd die dienden als invalshoeken van IT governance. De dimensies zijn gebruikt om een metamodel (model van een model) op te zetten. Ik heb gekozen voor deze techniek omdat het anders appels met peren vergelijken is. Het metamodel is een driedimensionaal model (een kubus) waarbij elke zijde een dimensie representeert. Figuur 3 geeft dit metamodel weer. Met het metamodel is het mogelijk geweest om een drietal IT governance-benaderingen te bestuderen: 1. De research based benadering van Weill et al. richt zich voornamelijk op de beslissingen die genomen moeten worden. 2. In tegenstelling tot de practitioners based benadering van de ITGI wordt door Weill et al. niet uitvoerig gesproken over uit te voeren processen. Dit is juist een sterk punt van het CoBiT framework, ontworpen door de ITGI. 3. De educated based benadering, beschreven door Thiadens, bevat duidelijke house-in-order-methodes. Daarnaast maakt deze benadering als enige een duidelijk onderscheid tussen de vraag- en aanbodorganisatie, wat weer niet expliciet het geval is in de benadering van de ITGI. Op deze manier is dus heel inzichtelijk te maken wat de voor- en nadelen zijn van de verschillende IT governance-benaderingen. Omdat niet één benadering in zijn volledigheid voldeed aan de doelstelling van de opdracht, heb ik een eigen IT governance-benadering met framework ontwikkeld, gebruikmakend van bestaande benaderingen. De toegevoegde waarde van deze benadering ten opzichte van bestaande benaderingen is dat het expliciet onderscheid maakt tussen de vraag- en aanbodorganisatie in combinatie met CoBiT-aandachtsgebieden. De sterke kant van deze IT governance-benadering is dat het mogelijk is een aantal aandachtsgebieden methodisch in te vullen om zo IT-gerelateerde onderwerpen te ondersteunen (bijvoorbeeld functioneel beheer, beveiliging, projectmanagement, enzovoort). Toepassing IT governance framework met methodes Voor het ontwikkelde framework zijn methodes nodig om het model concreet toepasbaar te maken binnen organisaties (figuur 4). Om invulling te geven aan het framework heb ik voor dit onderzoek een aantal methodes geselecteerd. Leidraad bij de keuze van deze methodes was de gangbaarheid van de betreffende methodes en het af te dekken gebied. De gekozen methodes zijn te rubriceren in drie categorieën. Deze zijn: 1. methodes die de vraag- en aanbodorganisatie ondersteunen (algemene aspecten); 2. methodes die specifieke IT-aspecten ondersteunen; 3. methodes die beoordelingen en evaluaties mogelijk maken. Een opsomming van de tijdens het onderzoek geselecteerde methodes volgt hierna. Dit heeft geresulteerd in het IT governance-werkmodel (figuur 5). Algemeen management Business management Gebruikersorganisatie Monitor evaluatie Planning organisatie CIO Vraag organisatie Functioneel beheer Acquisitie implementatie Deliver support Methode Leveranciersorganisatie IT management Aanbod organisatie Applicatiebeheer Exploitatie Methode Methode Methode Methode Methode Methode Methode Methode Methode Monitor evaluatie Planning organisatie Corporate contribution perspective Vraag organisatie Functioneel beheer Acquisitie implementatie Deliver support BiSL CoBiT IT BSC Aanbod organisatie Applicatiebeheer Exploitatie ASL Methode Prince 2 ITIL BiSL ASL ITIL ISPL BiSL ASL ISO ITIL Internal perspective Figuur 4 IT governance framework Figuur 5 IT governance-werkmodel 8 FEBRUARI 2007

4 Aandachtsgebieden CoBiT Aspecten Perspectieven IT BSC Plan Organise Functioneel beheer Corporate contribution Acquire Implement Applicatiebeheer Internal/operational Deliver Support Technisch beheer User/customer Monitor Evaluate Projectmanagement Future/innovation learning Inkoop Beveiliging Figuur 6 Structuur werkwijze Aandachtsgebied: Plan Organise Proces: (PO1) Define a Strategic IT Plan Aspect Nummer Item Perspectief FB 3 Concrete plannen voor de lange termijn zijn opgesteld Corporate om verbeteringen aan te brengen in bedrijfsprocessen, contribution organisatie, ondersteunende informatievoorziening (IV) en de aansluiting daartussen Figuur 7 Voorbeeld norm uit normenkader Score Kwalificatie Omschrijving 0 N.v.t. De norm is niet van toepassing op de organisatie 1 Onvoldoende De norm wordt niet gehaald, verbeteringen zijn relatief omvangrijk 2 Matig De norm wordt niet gehaald, verbeteringen zijn relatief eenvoudig 3 Voldoende De norm wordt gehaald Figuur 8 Scoresnorm In dit werkmodel is een aantal methodes op een specifieke manier toegepast. In wezen kan iedere organisatie zijn eigen IT governance-werkmodel creëren vanuit het framework. In dit geval heb ik de volgende methodes gebruikt om de drie eerder besproken categorieën in te vullen: ~ Ondersteunen van de vraag- en aanbodorganisatie. Functioneel beheer (BiSL). Applicatiebeheer (ASL). Technisch beheer (ITIL). ~ Ondersteunen van specifieke IT-aspecten. Projectmanagement (PRINCE2). Inkoop (ispl). Beveiliging (ISO 17799). ~ Beoordelingen mogelijk maken. CoBiT. IT BSC (Balanced ScoreCard). Voor de gekozen aspecten heb ik methodes geselecteerd die bruikbaar zijn om processen binnen de aandachtsgebieden te beoordelen. Hiervoor is een gedetailleerde koppeling gemaakt tussen methodes en IT-processen. Om te voorkomen dat beoordelingen van de kwaliteit van IT governance maar vanuit één oogpunt benaderd worden, is ervoor gekozen om meerdere perspectieven te selecteren (IT BSC). Zo ontstaat een benadering waarbij alle relevante perspectieven bij beoordelingen evenwichtig aan bod komen. De aandachtsgebieden, aspecten en perspectieven zijn weergegeven in figuur 6. Het werkmodel representeert op een concrete manier de eerder genoemde IT governance-concepten en -hulpmiddelen. Het is een gestructureerd model dat gebruikmaakt van mechanismen (methodes) om processen te beoordelen. De geselecteerde methodes hebben ten opzichte van CoBiT, maar ook ten opzichte van elkaar een sterke samenhang. Veel organisaties hebben nog geen duidelijk beeld van wat IT governance precies is en wat het inhoudt Vanuit de theorie is op deze manier een werkwijze ontwikkeld die het mogelijk maakt om op een gestructureerde, overzichtelijke en pragmatische manier de kwaliteit van IT governance te beoordelen. Het resultaat is een IT governance-normenkader met +/- 200 normen (zie figuur 7). Dit normenkader vormt de concrete vertaling van het IT governance-werkmodel naar normen. Het normenkader stelt IT auditors in staat om de kwaliteit van IT governance bij organisaties te beoordelen. Organisaties kunnen het IT governance-normenkader (en werkmodel) tevens gebruiken bij het inrichten van hun IT governance-structuur en bij het uitvoeren van self assessments. FEBRUARI

5 De focus van de werkwijze ligt op het vergelijken van de feitelijke situatie met de norm. Een andere toepassing van de werkwijze is de mogelijkheid om verschillende analyses uit te voeren. Met het toewijzen van scores aan de normen kan een beoordeling gemaakt worden (zie figuur 8). Wanneer het IT governance-normenkader volledig is ingevuld, kan een uitspraak gedaan worden over de kwaliteit op verschillende manieren: ~ Een uitspraak over de kwaliteit van processen binnen de aandachtsgebieden. ~ Een uitspraak over de kwaliteit van verschillende aspecten (in combinatie met de processen). ~ Een uitspraak over de verhouding van perspectieven. Waarbij het mogelijk is te beoordelen of de organisatie te weinig of te veel aandacht besteedt aan een of meerdere perspectieven (in combinatie met IT-aspecten en/of -aandachtsgebieden). Wanneer een organisatie slecht scoort op een aantal perspectieven in een bepaald aandachtsgebied, dan duidt dat onder andere op een matige integratie van IT-strategie met bedrijfsdoelen en matig beheer van de information system-portfolio. Wanneer soortgelijke conclusies getrokken zijn, kan de volgende stap worden genomen: het adviseren/selecteren van acties om afwijkingen op te heffen. Case study Om het nut van voorgaande werkwijze te demonstreren, geef ik hierna twee analyses van de toepassing van de werkwijze. In deze case study is aan de respondent gevraagd om zijn eigen organisatie te beoordelen. Bij toepassing van deze werkwijze kan de IT auditor helpen om een onafhankelijk en onpartijdig oordeel te geven over de scores. Voorbeeld 1. Figuur 9 geeft de toegewezen scores weer gerangschikt per IT-aspect. Een sterk punt van deze analyse is dat het heel expliciet de onderscheiden IT-aspecten laat zien. De meerwaarde van deze analyse ten opzichte van het gebruik van CoBiT, is dat nu expliciet gemaakt wordt waar zich problemen voordoen. In dit specifieke voorbeeld is te zien dat applicatiebeheer minder goed scoort ten opzichte van functioneel en technisch beheer. Bij een beoordeling van alleen de CoBiT-aandachtsgebieden is zonder verdere bestudering niet helder of de problemen in de vraag- of aanbodorganisatie zitten. De reden dat het aspect inkoop laag scoort, heeft te maken met het feit dat de persoon in kwestie dit aspect niet volledig heeft ingevuld. Corporate Contribution PO Future Internal Voorbeeld 2. Figuur 10 laat de scores per aandachtsgebied en perspectief zien. Het aandachtsgebied Plan Organise (PO) behandelt de strategie en de tactische vraagstukken en onderzoekt hoe IT het beste kan bijdragen tot het behalen van de bedrijfsdoelstellingen. Het aandachtsgebied Acquire Implement (AI) identificeert IT-oplossingen die nodig zijn om bedrijfsdoelstellingen te realiseren. Daarnaast is dit aandachtsgebied verantwoordelijk voor het bouwen, aankopen en implementeren van de oplossingen. Het aandachtsgebied Deliver Support (DS) behandelt vraagstukken rond de eigenlijke levering van IT-diensten zoals het beheer van data en de operationele afdelingen. In het aandachtsgebied plan organise scoren bepaalde perspectieven matig. Bij bestudering blijkt dat vooral de aanbodorganisatie 'verantwoordelijk' is voor de lage scores. In figuur 9 was al te zien dat applicatiebeheer minder goed scoorde. De matige score van applicatiebeheer zit voornamelijk in het (strategische en tactische) aan- Functioneel beheer Applicatiebeheer Technisch beheer Projectmanagement Inkoop Beveiliging 0% 20% 40% 60% 80% 100% percentage van scoren Score Figuur 9 Score per aspect User/Customer Corporate Contribution AI Future Internal User/Customer Corporate Contribution Future DS Internal User/Customer 0% 20% 40% 60% 80% 100% percentage van scoren Score Figuur 10 Score per aandachtsgebied en perspectief 10 FEBRUARI 2007

6 dachtsgebied plan organise. Het tweede dat opvalt in figuur 10 is de hoge score van de 'extern' gerichte perspectieven in het aandachtsgebied acquire implement. Dit toont onder andere aan dat de aansluiting van individuele applicaties/systemen met behoeften vanuit de gebruikersorganisatie groot is. Tevens zijn de gebruikers voldoende betrokken als het om een onderwerp als wijzigingsbeheer gaat. De conclusie die uit deze twee observaties kan worden getrokken is dat de ontwikkelde/ gewijzigde IT-systemen van goede kwaliteit zijn en aansluiten op de bedrijfsbehoeften (per product) maar dat de totale integratie van informatiesystemen met IT-strategie nog onvoldoende bijdraagt aan de doelstellingen van de organisatie. Eenvoudig gezegd, ontwikkelen ze goede, opzichzelf staande, systemen die onvoldoende geïntegreerd zijn. Vanuit het aandachtsgebied plan organise zijn voor deze organisatie nog verbeterpunten te bedenken. Samenvatting In de vorm van een framework, concreet werkmodel en IT governance-normenkader heb ik in dit artikel een werkwijze gepresenteerd die kan dienen om de kwaliteit van IT governance bij organisaties te beoordelen en te verbeteren. De gepresenteerde werkwijze omvat een aantal specifiek toepasbare methodes om aan de doelstelling van mijn onderzoek te kunnen voldoen. Het staat de lezer vrij om dezelfde of andere methodes toe te passen om een eigen IT governance-werkmodel te creëren met een eigen normenkader. De bovenstaande werkwijze is hier zeer geschikt voor. Het is mogelijk om andere aspecten (ingevuld door methodes) toe te voegen om zo het framework toepasbaar te maken voor de eigen organisatie. doelen naar concrete, formele normen. Daarnaast biedt het de mogelijkheid voor een bottom-up-aanpak om de vertaalslag terug te maken van scores (van normen) naar conclusies en uitspraken over de kwaliteit van IT governance (schematisch weergegeven in figuur 11). Hierbij zijn bestaande, geaccepteerde methodes toegepast om het generieke framework concrete invulling te geven. W. Leenslag is afgestudeerd aan de Universiteit Twente. Hij is werkzaam als junior adviseur bij KPMG Information Risk Management in De Meern. FINANCE BASE Een uitgebreide versie van dit artikel kunt u vinden in de Finance Control Base, onder de titel 'Werkwijze ter beoordeling van IT Governance'. Daarin ook een uitgebreide lijst van literatuur en bronnen die aan dit artikel ten grondslag liggen. advertentie Een sterk punt van deze aanpak is dat het een top-downbenadering kent bij het vertalen van abstracte, strategische Top-down benadering Strategisch Metamodel Conclusies Tactisch Methodische invulling Analyse Operationeel Framework Checklist Beoordeling Scores Bottom-up benadering Figuur 11 Toepassing werkwijze FEBRUARI