Information Auditing

Information Auditing Jeffrey van den Haak (1690582) Ilse J. van der Tol (1691066) VU EDP-Audit Scriptie 927

Kerngegevens Opleiding VU EDP Audit Referentienummer VU 927 Student 1 Jeffrey van den Haak (1690582) Mobiel: 06 13 57 52 69 E-mail: Jeffrey.van.den.Haak@nl.pwc.com Student 2 Ilse J. van der Tol (1691066) Mobiel: 06 51 29 34 76 E-mail: Ilse.J.van.der.Tol@nl.pwc.com Bedrijfscoach Michael Zuur Mobiel: 06 13 09 49 96 E-mail: Michael.Zuur@nl.pwc.com VU-coach Abbas Shahim Mobiel: 06 53 84 97 89 E-mail: Abbas.Shahim@atosorigin.com Datum 27-11-2009 Versie Final 2

You generally hear that what a man doesn't know doesn't hurt him, but in business what a man doesn't know does hurt. E. St. Elmo Lewis (1872-1948). 3

Inhoudsopgave I Voorwoord... 6 I Voorwoord... 6 II Managementsamenvatting... 7 1 Omgevingsraming en projectieraamwerk... 8 1.1 Aanleiding... 8 1.2 Definitie... 9 1.3 Probleemstelling... 9 1.3.1 Doelstelling... 9 1.3.2 Centrale vraagstelling... 9 1.3.3 Onderzoeksmodel... 10 1.3.4 Afbakening... 11 1.4 Leeswijzer... 12 2 Theorie Information Auditing... 13 2.1 Inleiding in IA... 13 2.2 Definities IA... 14 2.3 Scope van een IA... 15 2.4 Doel van een IA... 17 2.5 Stakeholders... 17 3 IA Begrippenkader... 19 3.1 Inleiding... 19 3.2 ICT-strategie... 19 3.3 Informatiemanagement... 20 3.4 Alignment... 21 3.5 Informatiesysteemarchitectuur... 23 3.5.1 InformatieSysteemArchitectuur (ISA)... 23 3.5.2 Zachman Architectual Framework... 24 3.5.3 TOGAF... 25 3.5.4 IA en ISA... 26 3.6 IT-Governance... 27 4 IA Methodologie... 28 4.1 Inleiding... 28 4.2 IA methodologie... 28 4.3 Beslisfactoren... 30 4.4 Randvoorwaarden... 30 5 Resultaten empirisch onderzoek... 33 5.1 Inleiding... 33 5.2 Opzet empirisch onderzoek... 33 5.3 Onderzoeksresultaten... 35 5.3.1 Stakeholders en belangen... 35 5.3.2 Beslisfactoren... 36 5.3.3 Nieuwe beslisfactoren... 36 5.3.4 Randvoorwaarden... 38 5.3.5 Nieuwe randvoorwaarden... 38 6 Samenvatting en conclusie... 40 6.1 Samenvatting... 40 6.2 Conclusie... 41 6.3 Bijdrage aan de literatuur... 42 6.4 Suggesties voor verder onderzoek... 42 Literatuur... 43 III Appendix... 45 Appendix 1 IA Methodologie... 46 Appendix 2 IT-Alignment... 51 Appendix 3 Vragenlijst... 53 Appendix 4 Gespreksverslagen... 57 Appendix 5 Information Audit definities... 70 Appendix 6 Modellen... 71 4

Tabellen en figuren Figuur 1: Onderzoeksmodel.... 10 Figuur 2: Schematische weergave hoofdstukindeling... 12 Figuur 3: Tijdlijn IA definities en onderzoekers... 13 Figuur 4: Audit typologiemodel (Buchanan & Gibb (1998))... 15 Figuur 5: Stakeholders.... 18 Figuur 6: ICT-strategie en informatiemanagement (gebaseerd op Earl (2000)).... 20 Figuur 7: Strategic Alignment Model (gebaseerd op Henderson en Venkatraman (1999))... 21 Figuur 8: Negenvlaksmodel Maes (2005).... 22 Figuur 9: Zachman raamwerk (1992).... 24 Figuur 10: Onderdelen van TOGAF (2009)... 25 Figuur 11: TOGAF Raamwerk voor architectuurontwikkeling (2009)... 25 Figuur 12: ICT-strategie en architectuur (Buchanan & Gibb (2007)).... 26 Figuur 13: Toolset, scoping en stadia IA methodologie (gebaseerd op Buchanan en Gibb (2007) )... 29 Figuur 14: Vergelijking IA scope. (gebaseerd op Buchanan & Gibb (2007)).... 29 Figuur 15: Randvoorwaarden in de literatuur... 32 Figuur 16: Onderzoeksmodel.... 33 Figuur 17: Schematische weergave verschillende stadia IA methoden... 46 Figuur 18: Vergelijking IA scope (gebaseerd op Buchanan & Gibb (2007)).... 49 Figuur 19: Strategic Alignment Model. (gebaseerd op Henderson & Venkatraman (1999)).... 51 Figuur 20: Tol-model (van Leeuwen (1996))... 71 Figuur 21: Klaverbladmodel (Kaplan & Norton (1996)).... 72 5

I Voorwoord De invloed van ICT op organisaties is in der loop de tijd steeds groter geworden. De mogelijkheid om informatie te ontsluiten is daarbij toegenomen, evenals de behoefte aan informatie bij het maken van strategische beslissingen. Om hierop in te spelen is een trend waarneembaar waarbij het spanningsveld tussen IT-technologie en organisatiedoelstellingen steeds meer wordt overbrugd. Information Audit maakt onderdeel uit van deze trend, door de informatiebronnen en stromen te inventariseren en de informatie output te evalueren op relevatie voor de operationele en strategische informatiebehoefte. Ondanks de toegevoegde waarde van de Information Audit, is tot op heden nog relatief weinig (praktijk) onderzoek is gedaan naar dit onderwerp. Dit onderzoek gaat nader in op beslisfactoren van de directie en (senior) management voor het uitvoeren van een Information Audit en randvoorwaarden om een Information Audit succesvol te doen verlopen. De samenwerking tijdens het scriptietraject hebben wij als zeer prettig ervaren en heeft veel toegevoegde waarde gehad. Met elkaar van gedachte wisselen over het scriptieonderwerp en onze visie bespreken over specifieke onderdelen heeft geleid tot synergie en nieuwe inzichten wat onze scriptie ten goede is gekomen. Middels deze weg willen wij alle betrokkenen bedanken voor de hulp, inzichten en steun welke bijgedragen hebben aan dit onderzoek. In het bijzonder willen wij onze coaches bedanken, te weten heer dr. ing. Abbas Shahim MSc. RE vanuit de Vrije Universiteit en heer drs. Michael Zuur EMIA vanuit PricewaterhouseCoopers. Abbas, hartelijk dank voor de interessante discussies welke hebben geholpen om Information Auditing in een breder kader te plaatsen. Michael, hartelijk dank voor het zijn van ons klankbord tijdens het schrijven van de scriptie en het geven van relevante tussentijdse feedback. Amsterdam, 31 maart 2009, Jeffrey van den Haak MSc. Ilse J. van der Tol MSc. 6

II Managementsamenvatting De informatie- en communicatietechnologie (ICT) heeft de afgelopen decennia een sterke groei doorgemaakt en is in onze huidige samenleving niet meer weg te denken. Veel organisaties zijn afhankelijk geworden van ICT voor hun bedrijfsuitvoering en om te voorzien in hun informatiebehoefte. ICT wordt vandaag de dag daarom steeds vaker als een middel gezien waarmee een strategisch voordeel kan worden behaald. Om dit te bewerkstelligen wordt aansluiting gezocht tussen de (strategische) informatiebehoefte van de organisatie en de informatievoorziening geleverd door ICT. De Information Audit faciliteert deze afstemming door de informatiebronnen en stromen te inventariseren en evalueren op aansluiting met de informatiebehoefte afkomstig uit de organisatiedoelstellingen. In de praktijk blijkt dat Information Audits nog weinig uitgevoerd, terwijl deze juist bij kunnen dragen aan het overbruggen van de discrepantie tussen ICT-strategie en organisatiestrategie. Dit onderzoek is gericht op welke beslisfactoren van invloed zijn op het laten uitvoeren van een Information Audit en welke randvoorwaarden hiervoor aanwezig dienen te zijn. De resultaten van het onderzoek zijn weergegeven in de onderstaande tabel. De onderzoekers merken op dat er rekening mee moet worden gehouden dat er naast deze generieke randvoorwaarden en beslisfactoren ook casus specifieke randvoorwaarden en beslisfactoren van invloed kunnen zijn op de uitvoer van een Information Audit. Tabel 1: IA Beslisfactoren en randvoorwaarden. Beslisfactoren Randvoorwaarden Prijs Onafhankelijkheid van de opdrachtnemer/ derde partij Kosten-baten IA methodologie en scope Risicoprofiel van de opdrachtgever Communicatieve vaardigheden auditor Intern politiek belang Helder gedefinieerde organisatiestrategie Complexiteit Missie en de onderliggende doelstellingen Kennis en kunde Support directie Tijd Beschikbaarheid relevante informatie Onvoldoende beschikbaarheid interne resources Beschikbaarheid medewerkers Tijd en budget Multidisciplinaire vaardigheden opdrachtnemer Beslisstrategie Helder gedefinieerd interne controle raamwerk Support directie Behalve het in kaart brengen van de randvoorwaarden en beslisfactoren heeft dit onderzoek ook een bijdrage geleverd aan het EDP-vakgebied door vier recente modellen voor het uitvoeren van een Information Audit te inventariseren. Hierbij valt op dat er veel onderlinge overeenkomsten zijn maar dat er nog geen eenduidige definitie is van Information Auditing. Tevens ontbreekt het nog aan een generiek, overeengekomen raamwerk voor het uitvoeren van een dergelijke Audit. Voor de verdere ontwikkeling en bekendheid van de Information Audit is dit een belangrijke volgende stap die in de nabije toekomst genomen dient te worden. 7

1 Omgevingsraming en projectieraamwerk Dit hoofdstuk beschrijft de aanleiding van het onderzoek naar Information Auditing en de relevantie voor het vakgebied. Ook wordt de gehanteerde definitie van Information Auditing geïntroduceerd. Vervolgens wordt de vraagstelling beschreven. Ten slotte wordt het onderzoeksmodel uiteengezet welke gebruikt is om de probleemstelling te beantwoorden. 1.1 Aanleiding De afgelopen decennia heeft de informatie- en communicatietechnologie (ICT) zich snel ontwikkeld en is het diep doorgedrongen in onze samenleving. ICT heeft het aanbod, de beschikbaarheid en de toepassingsmogelijkheden van informatie exponentieel laten groeien. Bedrijven, organisaties en de overheden zijn afhankelijk geworden van ICT voor hun bedrijfsuitvoering en om aan hun informatiebehoefte te kunnen voldoen. De informatiebehoefte verschilt per situatie en is sterk afhankelijk van de organisatie en haar (strategische) doelstellingen. Het inzetten van ICT maakt steeds meer onderdeel uit van de strategische keuzes die door organisaties gemaakt worden. Er is een verschuiving waarneembaar van traditioneel ICT-management, waarbij de focus ligt op het beheer van informatietechnologie, naar een nieuwe vorm van ICT-management die aansluiting zoekt tussen informatietechnologie, informatieaanbod en de informatiebehoefte van de organisatie. Om deze aansluiting te realiseren is een multidisciplinaire aanpak nodig (Buchanan, 1998) die informatiebronnen, -stormen en behoeften in kaart brengt en afstemt. Een veelbelovend, jong vakgebied, voor het realiseren van afstemming tussen ICT en informatiebehoefte is Information Auditing, waarbij het ondermeer gaat over het in kaart brengen van informatiestromen, -bronnen en organisatiedoelstellingen. De kennis van de EDP-auditor op het gebied van bedrijfsprocessen, BIV/AO, ICT en risicobeheersing maken hem of haar bij uitstek geschikt voor de uitvoer van de Information Audit. Niet alleen kan de EDP-auditor de informatiebehoefte inventariseren en aansluiten met het informatieaanbod, ook kan hij of zij toezien op de betrouwbaarheid, integriteit en continuïteit van de uiteindelijk te ontwikkelen informatievoorziening en beheerorganisatie. Hoewel er diverse boeken en artikelen gepubliceerd zijn over Information Auditing (hierna IA) lijkt het in de praktijk nog nauwelijks te worden uitgevoerd. Dit onderzoek is daarom ook relevant doordat het een bijdrage levert aan de ontwikkeling van het EDP-audit vakgebied; door inzichtelijk te maken welke randvoorwaarden en beslisfactoren van belang zijn bij het laten uitvoeren van een Information Audit. In aanvulling hierop wordt een inventarisatie gemaakt van de beschikbare Information Audit modellen. 8

1.2 Definitie Voor dit onderzoek wordt onderstaande Information Audit definitie van Buchanan en Gibb (2007) gehanteerd: ( ) a holistic approach to identifying and evaluating an organisation s information resources and information flow in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to Information System Architecture (ISA) development. In paragraaf 2.2 Definities IA wordt de keuze voor deze definitie toegelicht. De term Audit suggereert dat er een beoordeling van de informatievoorziening plaatsvindt, om zekerheid (Assurance) te geven over de kwaliteit van de informatie. Deze term is echter verraderlijk. IA is niet primair bedoeld voor het verlenen van Assurance over informatie, maar als een instrument voor het inventariseren en identificeren van informatiestromen en -bronnen (informatieaanbod). Vervolgens evalueert IA de effectiviteiten en efficiëntie bij het behalen van strategische, tactische en operationele doelstellingen van de organisatie (informatiebehoefte). 1.3 Probleemstelling In deze paragraaf wordt aan de hand van de doelstelling de centrale vraag met bijbehorende deelvragen geïntroduceerd. De onderzoeksvraag wordt middels een specifieke onderzoeksmethode beantwoord, in het onderzoeksmodel is dit schematisch weergegeven. De subparagraaf Afbakening beschrijft de scope van dit onderzoek. 1.3.1 Doelstelling Het doel van dit onderzoek is om een bijdrage te leveren aan het EDP-vakgebied door inzichtelijk te maken: 1. Welke randvoorwaarden aanwezig moeten zijn om voor het uitvoeren van een IA. 2. Welke beslisfactoren doorslaggevend zijn voor de beslissing van het management om een IA uit te laten voeren. 1.3.2 Centrale vraagstelling Op basis van onze onderzoeksdoelstellingen is de centrale vraagstelling als volgt geformuleerd: Welke randvoorwaarden dienen aanwezig te zijn en welke beslisfactoren zijn doorslaggevend om een Information Audit te laten uitvoeren. Onder randvoorwaarde wordt verstaan de voorwaarde waaraan voldaan moet zijn, wil het beoogde doel ooit bereikt kunnen worden. Onder beslisfactoren wordt verstaan de omstandigheden (krachten, etc.) die invloed op de uitslag van iets uitoefenen of medebepalende elementen hiervoor zijn (Van Dale, 2008). 9

Deelvragen Om de centrale vraagstelling te beantwoorden zijn een aantal deelvragen opgesteld. Deze deelvragen zullen door middel van het literatuur- en empirisch onderzoek beantwoord worden. 1. Welke IA definities en raamwerken zijn er in de literatuur? 2. Welke stakeholders en belangen spelen een rol in het beslisproces rondom Information Auditing? 3. Welke beslisfactoren zijn voor de bedrijfsvoering doorslaggevend om een Information Audit uit te laten voeren? 4. Welke randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information Audit? 1.3.3 Onderzoeksmodel Onderstaand figuur geeft een schematische weergave van de opbouw van het onderzoek. In dit model is zichtbaar hoe de verschillende onderdelen van het onderzoek samenhangen. Figuur 1: Onderzoeksmodel. Na een eerste verkenning van het onderwerp en het formuleren van een plan van aanpak zijn de onderzoeksvragen geformuleerd. Voor het beantwoorden van de onderzoeksvragen is het onderzoeksmodel als volgt opgesteld: 1. Allereerst zal aan de hand van literatuuronderzoek het onderwerp van IA nader worden onderzocht om zo inzicht te krijgen in IA methoden, stakeholders, belangen, randvoorwaarden en beslisfactoren. 2. De resultaten van het literatuuronderzoek en de onderzoeksvragen zullen worden gebruikt voor het opstellen van een vragenlijst ten behoeve van het empirisch onderzoek. 3. Het empirisch onderzoek, dat kwalitatief van aard is, zal bestaan uit semigestructureerde interviews met IA stakeholders aan de hand van de vragenlijsten. 4. De resultaten van het literatuuronderzoek en de interviews worden gebruikt voor het opstellen van een lijst met beslisfactoren en randvoorwaarden die voor een IA van belang zijn. 10

5. De geïnventariseerde beslisfactoren en randvoorwaarden worden getoetst bij de geïnterviewden en zij zullen worden gevraagd een persoonlijke rangschikking aan te brengen van belangrijkste factoren en voorwaarden. De analyse van deze toetsing levert een overzicht op van randvoorwaarden die aanwezig moeten zijn voor het uitvoeren van de IA en een overzicht van beslisfactoren die van invloed zijn op de beslissing van het management om een IA te laten uitvoeren. 1.3.4 Afbakening Door de brede definitie van IA en de verschillende raakvlakken die het onderwerp heeft met vakgebieden zoals auditing, ICT-management en bedrijfskunde is het noodzakelijk het onderzoeksdomein goed af te bakenen. De scope van dit onderzoek is daarom als volgt: Het literatuuronderzoek is gericht op recente academische onderzoeken, literatuur, artikelen en theorieën. Beïnvloedingsfactoren en randvoorwaarden die buiten de scope van dit onderzoek vallen zijn: sociaal-culturele, (externe) economische en technologische factoren. De beïnvloedingsfactoren en randvoorwaarden worden bekeken vanuit de organisatie die het object van onderzoek is. Dit onderzoek heeft niet tot doel om te komen tot een IA raamwerk of een beoordeling van IA raamwerken. Wel zullen recente modellen op hoofdlijnen worden behandeld. Dit onderzoek is gericht op het strategische perspectief van IA en is kwalitatief van aard. De informatiebehoefte binnen een organisatie verschilt per functionaris, voor dit onderzoek is het managementperspectief gehanteerd. 11

1.4 Leeswijzer De leeswijzer geeft een korte beschrijving van de opbouw van deze scriptie. In figuur 2 is schematisch de structuur van de scriptie weergegeven. De scriptie start met het voorwoord en de managementsamenvatting. In hoofdstuk 1 worden de centrale vraagstelling en de deelonderzoeksvragen gepresenteerd. Vervolgens is het literatuuronderzoek verwerkt in de hoofdstukken 2, 3 en 4. In hoofdstuk 2 wordt vanuit de academische literatuur ingegaan op de theorie over IA en wordt de deelvraag over IA definities en de deelvraag over stakeholders en hun belangen beantwoord. In hoofdstuk 3 wordt IA in een bredere context geplaatst, daarbij wordt de relatie met andere disciplines zoals ICT-strategie, IT-Governance, informatiemanagement en architectuurontwikkeling uiteengezet. In hoofdstuk 4 is vanuit een academisch perspectief uiteengezet uit welke onderdelen een IA opgebouwd dient te zijn. Tevens wordt de literatuur gepresenteerd welke betrekking heeft op de deelvragen over IA raamwerken, randvoorwaarden en beslisfactoren. Aansluitend wordt in hoofdstuk 5 het empirisch onderzoek uiteengezet. Hierin wordt middels de onderzoeksresultaten van het kwalitatief onderzoek ingegaan op de beantwoording van de deelvragen met betrekking tot de stakeholders, randvoorwaarden en beslisfactoren. Hoofdstuk 6 bevat een samenvatting van het onderzoek en beantwoordt de centrale onderzoeksvraagstelling. In de appendices is achtergrond informatie te vinden welke ter onderbouwing en ondersteuning van de scriptie dient. Figuur 2: Schematische weergave hoofdstukindeling 12

2 Theorie Information Auditing Dit hoofdstuk beschrijft de theorie over IA. Eerst wordt de evolutie van IA op hoofdlijnen uiteengezet. Vervolgens worden de meest recente IA definities behandeld. Hieruit wordt een definitie geselecteerd die voor onderzoek gehanteerd zal worden. Daarna komen de scope en het doel van de IA aan bod. De laatste paragraaf beschrijft de (interne en externe) stakeholders van een IA. Dit hoofdstuk beantwoordt (deels) de volgende deelvragen: 1. Welke IA definities en raamwerken zijn er in de literatuur? 2. Welke stakeholders en belangen spelen een rol in het beslisproces rondom Information auditing? 2.1 Inleiding in IA IA is een relatief jong vakgebied, ontstaan in 1976. Sinds de jaren tachtig heeft de definitie van IA diverse veranderingen ondergaan. Zo waren de eerste definities van IA (Burk & Horton, 1988; Reynolds, 1980; Riley, 1976) voornamelijk gericht op het identificeren van (schriftelijke) informatiebronnen, met een nadruk op documentmanagement. Geleidelijk is de definitie van IA geëvolueerd (verruimd) door ook het belang van het bredere organisatieperspectief (bijvoorbeeld organisatiestatie en bedrijfsprocessen) en de samenhang met informatiebronnen en -stromen hier in op te nemen (Orna, 2004; Wood, 2004; Henczel, 2001). Volgens Henczel (2001) is de groei in aandacht voor IA te wijten aan de behoefte om de organisatiedoelen beter te realiseren. IA maakt het mogelijk om inzicht te verkrijgen in de tot standkomst van informatie welke ten grondslag ligt aan managementbeslissingen en in hoeverre deze informatie aansluit op organisatiedoelstellingen. Daarbij worden discrepanties tussen de informatiebehoefte vanuit de organisatiestrategie en het aanbod vanuit de huidige informatievoorziening blootgelegd. Onderstaande tijdlijn geeft een overzicht van de belangrijkste IA denkers die sinds 1976 onderzoek gedaan hebben naar IA en hier definities voor hebben opgesteld. Een overzicht van IA definities is opgenomen in Appendix 5 Information Audit definities Reynolds (1980) Henderson (1980) Orna (1990) Barker (1990) Buchanan en Gibb (2007) Worlock (1987) Buchanan en Gibb (1998) Riley (1976) Quinn (1979) (1976) Burk en Horton (1988) Best (1985) Henczel (2001) Orna (2004) Wood (2004) Figuur 3: Tijdlijn IA definities en onderzoekers. 13

2.2 Definities IA In de literatuur zijn diverse definities van IA te vinden, een overzicht hiervan is opgenomen in de appendix (zie Information Audit definities). Uit de recente literatuur blijkt dat er veel onderlinge overeenkomsten zijn tussen de IA definities, maar er is geen consensus over de exacte definitie. Recente en in de literatuur vaak aangehaalde definities zijn afkomstig van Botha en Boon, ASLIB en Buchanan en Gibb. Botha en Boon (2003) definiëren IA als: ( ) the systematic examination of the information resources, information use, information flows and the management of these in an organisation. It involves the identification of users information needs and how effectively (or not) these are being met. In addition to this, the (monetary) cost and the value of the information resources to the organisation are calculated and determined. ( ) determining whether the organisational information environment contributes to the attainment of the organisational objectives and furthermore, to the establishment and implementation of effective information management principles and procedures. ( ) so that information can be used to help the organisation maintain its competitive edge. Het ASLIB Information Resources Management Network (2008 website) ziet in IA: ( ) a systematic examination of information use, resources and flows, with a verification by reference to both people and existing documents, in order to establish the extent to which they are contributing to an organisation's objectives Volgens Buchanan en Gibb (2007) is IA: ( ) a holistic approach to identifying and evaluating an organisation s information resources and information flow in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to Information System Architecture (ISA) development. Op basis van deze definities kan gesteld worden dat IA betrekking heeft op het systematisch analyseren van de aanwezigheid en het gebruik van informatiestromen en informatiebronnen, zowel binnen als buiten de organisatie, in relatie tot de (strategische) doelstellingen van de organisatie. De definitie van Botha en Boon (2003) positioneert IA als een methodiek die kan bijdragen aan het realiseren van concurrentievoordeel door te beoordelen of de informatievoorziening bijdraagt aan het behalen van de organisatiedoelstellingen. Ook de definitie van ASLIB positioneert IA als een methodiek die inzichtelijk kan maken in hoeverre de informatie bij draagt aan het behalen van de organisatie doelstellingen. In tegenstelling tot voorgaande definities, positioneren Buchanan en Gibb (2007) IA als richtinggevend voor de organisatie door een directe relatie te leggen tussen de informatiebronnen en -stromen en de strategische en operationele doelstellingen van een organisatie en de hiervoor benodigde informatiesysteemarchitectuur (ISA). In het kader van dit onderzoek zijn wij van mening dat IA de grootste waarde kan toevoegen aan een organisatie door als basis te dienen voor het opstellen van ICT-strategie en het inrichten van de bijbehorende 14

informatiesysteemarchitectuur. In de definitie van Buchanan en Gibb komt dit het sterkst naar voren. Voor ons onderzoek kiezen wij daarom dan ook voor de IA definitie van Buchanan en Gibb. 2.3 Scope van een IA Uit de verschillende definities van IA blijkt dat het een zeer breed en omvangrijk onderwerp is. Dit maakt het vaststellen van de scope van een IA complex. Een specifieke scheidslijn tussen een IA en andere Audits is ook moeilijk aan te brengen. De IA kan namelijk bestaan uit onderdelen van verschillende Audits of zelf onderdeel kan zijn van een overkoepelende Audit. In 1998 hebben Buchanan en Gibb een Audit typologiemodel ontwikkeld om de onderlinge samenhang tussen de verschillende Audit duidelijk te maken (Figuur 4). Figuur 4: Audit typologiemodel (Buchanan & Gibb (1998)). De Audits worden op hoofdlijnen als volgt getypeerd: De Organisatie Audit: maakt inzichtelijk of het product- en dienstenaanbod van de organisatie voldoet aan de marktvraag, door het beoordelen van de huidige strategie, doelstellingen, marktbenadering, producten en diensten, etc. De Communicatie Audit: beoordeelt managementstijl en methoden van de organisatie en gericht op de sociologische en organisatorische aspecten van informatiestromen. De Information Audit: inventariseert en evalueert de aansluiting tussen de informatiebehoefte van de organisatie en het aanbod van informatie door onderliggende informatiestromen, bronnen. De Systeem Audit: evalueert de functionaliteit, gebruiksvriendelijkheid en effectiviteit van specifieke applicaties. De Technologie Audit: evalueert de gebruikte en benodigde hardware om te voorzien in de informatiebehoefte en is voornamelijk gericht op asset management. De definitie van IA is in de loop der jaren geëvolueerd (verruimd) om ook het belang van het bredere organisatieperspectief (bijvoorbeeld organisatiestatie, bedrijfsprocessen) en de samenhang met informatiebronnen en -stromen hier in op te nemen. Uitgaande van Buchanan en Gibbs huidige (2007) definitie van IA, zou IA dus alle in Figuur 4 genoemde audits kunnen integreren in een benadering om zo de maximale toegevoegde waarde voor de organisatie te leveren. De uiteenlopende IA definities en 15

de mogelijke overlap tussen IA en andere Audits maakt het moeilijk om IA eenduidig af te bakenen. Om deze afbakening te faciliteren hebben Buchanan en Gibb (2007) een indeling gemaakt van componenten waaruit een IA kan bestaan. Deze indeling maakt het mogelijk om onderscheid te maken tussen: Informatiemanagement (overkoepelend management van al de informatiebronnen, stromen en infrastructuur). Informatietechnologie (ICT-infrastructuur); Informatiesystemen (ondersteuning van bedrijfsprocessen); Content (informatie gegenereerd door de organisatie); Afhankelijk van de specifieke situatie van een organisatie kan het wenselijk zijn om een van bovenstaande componenten te onderzoeken of juist een combinatie hiervan. In aanvulling hierop stellen Buchanan en Gibb (2007) voor om onderstaande organisatieperspectieven te gebruiken voor het verder afbakenen van de IA scope: Strategisch: focus op het realiseren van strategische doelen door middel van het inventariseren, mappen en analyseren van informatiebronnen en de relatie met strategische doelstellingen van de organisatie. Dit perspectief resulteert in een afgestemde ICT-strategie. Proces: focus op werk- en informatiestromen door middel van het modelleren van organisatieprocessen. (waarbij een proces gezien wordt als een aaneenschakeling van activiteiten die een output opleveren). Het resultaat van dit perspectief is mapping en analyse van informatiestromen en gerelateerde informatiebronnen op basis waarvan informatievoorziening, -ondersteuning en -management geoptimaliseerd kan worden. Bron: focus op het identificeren, classificeren en evalueren van informatiebronnen. In tegenstelling tot het strategisch en procesgericht perspectief, richt dit perspectief zich op alle informatiebronnen en niet alleen op diegene die relevant worden geacht voor de strategie of specifieke operationele processen. Dit perspectief resulteert in een gedetailleerde inventarisatie, evaluatie en waardering van informatiebronnen binnen de organisatie. De combinatie van de componenten en de organisatieperspectieven wordt weergegeven in de IA Scope Matrix (tabel 2). Tabel 2: IA Scope matrix (Buchanan & Gibb (2007)). Management Technologie Systemen Content Strategie Proces Bron Voor het vaststellen van de uiteindelijke IA scope, stellen Buchanan en Gibb voor om eerst het gewenste organisatieperspectief (verticale as in tabel 2) te definiëren en vervolgens de gewenste informatiemanagement componenten te kiezen (horizontale as). 16

Zoals aangegeven in paragraaf 2.2 zijn wij van mening dat IA de grootste toegevoegde waarde kan leveren op het strategisch niveau. Voor dit onderzoek wordt IA dan ook vanuit het strategisch organisatieperspectief behandeld. 2.4 Doel van een IA Generaliserend kan gesteld worden dat IA ten doel heeft om de organisatie te voorzien van een geïntegreerde (strategische) richting voor het managen van informatiestromen en -bronnen die dient bij te dragen aan het realiseren van de organisatiedoelstellingen. Daarbij opmerkend dat het doel van een IA en de gewenste resultaten afhankelijk zijn van de gekozen scope. Vertaald naar onderliggende doelstellingen kan onder andere gedacht worden aan: Het identificeren van de informatiebronnen van een organisatie; Het identificeren van de informatiebehoeften van een organisatie; Identificeren van kosten en baten van informatiebronnen; Identificeren van mogelijkheden om informatiebronnen te gebruiken als strategisch voordeel; Integratie van IT-investeringen met strategische bedrijfsinitiatieven; Identificeren van informatiestromen en processen; Ontwikkelen en integreren van informatie strategie en/of beleid; Bewustwording creëren van het belang van Informatie Resource Management (IRM) en het definiëren van de management rol; Monitoren en evalueren van compliance met informatie gerelateerde standaarden, regelgeving en beleidsrichtlijnen. Generieke doestellingen zoals hierboven weergegeven kunnen in eerste instantie gebruikt worden om tijdens de planningsfase van de Audit draagvlak te creëren bij stakeholders. Wie deze stakeholders zijn wordt besproken in paragraaf 2.5 Stakeholders. Echter is het voor een succesvolle uitvoering van de IA en het vergoten van de acceptatiegraad van de uiteindelijke bevindingen, noodzakelijk om de doelstellingen te specificeren (bijvoorbeeld door deze SMART 1 te maken) en onderling overeen te komen (Henzcel, 2007). 2.5 Stakeholders Wie de stakeholders van een IA zijn is afhankelijk van de gekozen doelstelling en scope. Een eenduidig en volledig overzicht van stakeholders kan dus niet gegeven worden. Wel is duidelijk dat voor een succesvolle uitvoering van de IA en een grotere acceptatie van de IA resultaten de IA doelstellingen specifiek zijn gemaakt en overeengekomen met de verschillende stakeholders. De ondersteuning van de stakeholders wordt gezien als randvoorwaarde voor het succesvol uitvoeren van de IA (Henzcel, 2007). De invloed van stakeholders op een IA blijkt volgens Henzcel onder andere uit: Interne cultuur: gevormd door de medewerkers van de organisatie, deze bepaalt welke timing en manier/methodiek van data verzamelen het meest schikt is voor de IA. 1 SMART: Specifiek, Meetbaar, Actie gericht/haalbaar, Realistisch en Tijdig. 17

Interne politieke: situatie en managementstructuur, deze heeft impact op de niveaus van ondersteuning/draagvlak, beschikbaarheid van resources en stakeholder buy-in. Externe omgeving: van de organisatie (wetgeving, politiek, economie), deze heeft impact op hoe en wanneer de Audit wordt uitgevoerd, de hoeveelheid ondersteuning die de audit krijgt en de acceptatiegraad van de bevindingen. Een indicatie van mogelijke interne en externe stakeholders wordt geven in Figuur 5. Figuur 5: Stakeholders. Ook de specifieke stakeholderbelangen worden niet expliciet genoemd in de literatuur. De voornaamste reden hiervoor is dat de doelstellingen van een IA en daarmee ook de stakeholders en hun belangen verschillen. Daarnaast spelen ook externe factoren zoals marktregulering een belangrijke rol in wie de stakeholders zijn en wat hun belangen inhouden. Gezien de voor dit onderzoek gehanteerde definitie van IA en het gekozen strategisch organisatieperspectief, wordt gesteld dat de stakeholders van een IA bestaan uit alle partijen die er belang bij hebben dat de betreffende organisatie zijn strategische doelen behaald. Als belangrijkste interne stakeholder voor IA wordt gekozen voor de directie van de organisatie, aangezien zij verantwoordelijk zijn voor het realiseren van de organisatiestrategie en de onderliggende organisatiedoelstellingen. Nu nader inzicht verkregen is in de theorie over IA, is het relevant om IA in een breder kader te kunnen plaatsen. Dit wordt in het volgende hoofdstuk gedaan. 18

3 IA Begrippenkader 3.1 Inleiding Dit hoofdstuk beschrijft op hoofdlijnen een aantal belangrijke begrippen die gerelateerd zijn aan IA. Allereerst wordt ingegaan op de termen ICT-strategie en informatiemanagement. Vervolgens wordt de afstemming tussen ICT-strategie en organisatiestrategie besproken. Daarna wordt bekeken hoe IA kan bijdragen aan het ontwikkelen van de informatiesysteemarchitectuur. Ten slotte wordt de inrichting van de IT-beheerorganisatie (IT-Governance) besproken die nodig is voor het onderhouden van de informatievoorziening. 3.2 ICT-strategie In de literatuur wordt met de term ICT-strategie verschillende begrippen geassocieerd. De ICTstrategie betreft de uiteenzetting van de gekozen richting en de te bereiken ICT-doestellingen op de midden- en lange termijn. Het ICT-beleid geeft vervolgens invulling aan de strategie door inzet van middelen te beschrijven (inrichting). De plannen vertalen de besluiten uit het beleid naar concrete acties op de korte en middellange termijn. Zij beschrijven het samenhangend geheel van benodigde activiteiten om de in de strategie beschreven doelen te behalen (verrichting). Met management wordt gedoeld op het monitoren en (bij)sturen van het geheel van activiteiten om de strategische doelen te bereiken. Oosterhaven (2003) heeft de onderlinge samenhang van de ICT-strategiebegrippen samengevat, zie tabel 3. In de indeling van Oosterhaven betreft de vraagkant de informatiebehoefte van de organisatie en in het bijzonder dat van het management. De aanbodkant heeft weliswaar betrekking op het aanbod van informatie maar is met name gefocust op de techniek die dit aanbod mogelijk maakt. Tabel 3: ICT-strategiebegrippen en hun samenhang (gebaseerd op Oosterhaven, (2003) Vraagkant (opsteller: lijnmanagement) Aanbodkant (opsteller: IT-management) ICT-strategie (richting) Informatiestrategie Automatiseringsstrategie ICT-beleid (inrichting) Informatiebeleid Automatiseringsbeleid ICT-plan (verrichting) Informatieplan Automatiseringsplan ICT-management (sturing) Informatiemanagement Automatiseringsmanagement Volgens de indeling van Oosterhaven bestaat ICT-strategie uit de combinatie van informatiestrategie (vraag) en automatiseringsstrategie (aanbod). De informatiebehoefte van de organisatie dient dus afgestemd te worden met het ICT-aanbod. Dit valt binnen de doelstellingen van informatiemanagement. 19

3.3 Informatiemanagement Generaliserend kan gesteld worden dat informatiemanagement zich bezighoudt met de wijze waarop organisaties nu en in de toekomst op een effectieve en efficiënte wijze in hun informatiebehoefte kunnen voorzien. Om invulling te geven aan informatiemanagement heeft Earl (2000) een aantal componenten opgesteld waaruit informatiemanagement bestaat. Hieronder volgt een opsomming van deze componenten met een beschrijving op hoofdlijnen: Informatiemanagement (IM) strategie: verzorgt de overkoepelende tactische en operationele richtlijnen voor effectief management van de informatiebronnen van een organisatie. Het is gericht op de rol en de structuur van de ICT-activiteiten in de organisatie en houdt zich bezig met het waartoe, op welke manier, wie doet het, en waar is het gelokaliseerd. Informatiesysteem (IS) strategie: verzorgt het aansluiten van de ontwikkeling van IS op de behoeften van de organisatie en het zoeken van strategisch voordeel door middel van ICT. De IS strategie is gebaseerd op bedrijfsfuncties, vraaggericht en wordt veelal op het niveau van divisies en strategische bedrijfseenheden gedefinieerd. Informatie Technologie (IT) strategie: geeft richting aan het technologiebeleid en is aanbod gericht. De IT-strategie vormt het technologische raamwerk ( architectuur ) waardoor de ICTinfrastructuur bepaald, gevormd en beheerd wordt. De onderlinge samenhang tussen de componenten is in Figuur 6 gevisualiseerd. Figuur 6: ICT-strategie en informatiemanagement (gebaseerd op Earl (2000)) 20

3.4 Alignment Volgens Maatman (2005) is de afstemming van ICT- en organisatiestrategie in 1988 geïntroduceerd door Parker, Benson en Trainer bij het ingaan op het formuleren van een ICT-planning ter ondersteuning van de bedrijfsvoering. Door de introductie in van het Strategic Alignment model (Henderson & Venkatraman, 1991) is het begrip Alignment doorgebroken in de vakgebieden van organisatiemanagement en het ICT-management. Henderson en Venkatraman (1999,1993 en 1991) stellen dat de moeilijkheid van het realiseren van waarde door middel van investeringen in ICT, in de eerste plaats wordt veroorzaakt door het gebrek aan afstemming tussen de bedrijfsstrategie en de ICT-strategie. Ten tweede wordt het veroorzaakt door een gebrek aan een dynamisch administratief proces om ononderbroken afstemming tussen de bedrijfs- en ICT-domeinen te waarborgen. Om afstemming toch mogelijk te maken is het Strategic Alignment model ontwikkeld. Het Strategic Alignment model (Figuur 7) beschrijft vier afstemmingsdomeinen: extern, intern organisatie en IT. De onderlinge afstemming tussen deze domeinen bepaalt de mate van strategische fit (intern en extern domein) en de functionele integratie tussen organisatie en IT. Figuur 7: Strategic Alignment Model (gebaseerd op Henderson en Venkatraman (1999)). Een uitgebreidere beschrijving van het model is opgenomen in appendix, appendix 2 IT-Alignment. Het afstemmingsmodel van Henderson en Venkatraman (1999) wordt bij toepassing in de praktijk als te theoretisch ervaren en stelt het geen prioriteit aan de volgorde van de ontwikkeling van organisatieen IT-strategie (Shahim, 2006). Er zijn dan ook variaties ontwikkeld op dit model, zoals het Negenvlaksmodel van Maes (2005), zie Figuur 8. 21

Figuur 8: Negenvlaksmodel Maes (2005). Op de verticale as staan de drie besturingsniveaus: strategisch (richten), tactisch (inrichten) en operationeel (verrichten). Op de horizontale as staan de drie besturingsdomeinen: Bedrijfsvoering en Organisatie: de reguliere bedrijfsvoering met al haar facetten, zoals mensen, middelen, processen, etc. Informatievoorziening (vraag): informatie als ondersteunend middel voor het bedrijfsdomein. Hier wordt de vraag naar informatievoorziening vanuit het bedrijfsdomein vertaald in een vraag naar ICT (-technologie). ICT-Services (aanbod): de ontwikkeling en exploitatie van ICT(technologie). Ook Maes geeft geen beste volgorde aan voor het ontwikkelen van een IT-strategie door te stellen dat alle deelgebieden van het Negenvlaksmodel even belangrijk zijn (Shahim 2006). Gezien de voor dit onderzoek gekozen definitie moet IA geplaatst worden op het strategische besturingsniveau (inrichten) van het domein Informatievoorziening. IA kan op dit niveau bijdragen aan de afstemming van informatievoorziening en informatiebehoefte door het inventariseren en evalueren van de informatiestromen, -bronnen in relatie tot de organisatiedoelstellingen. 22

3.5 Informatiesysteemarchitectuur Wanneer de informatiebehoefte eenmaal is geïnventariseerd en afgestemd met de organistdoelstellingen kan de informatiesysteemarchitectuur ingericht worden die de basis vormt voor de informatievoorziening. Volgens Buchanan en Gibb (2008) is er sprake van een natuurlijke synergie tussen de achtereenvolgende input/output van informatiestrategie en systeeminfrastructuur. Hierdoor kan IA (in combinatie met architectuurraamwerken als Zachman en TOGAF) ook een bijdrage leveren aan de ontwikkeling van de informatiesysteeminfrastructuur. Om deze relatie nader te illustreren wordt in de volgende paragraaf kort ingegaan op de hoofdlijnen van informatiesysteeminfrastructuur ontwikkeling. 3.5.1 InformatieSysteemArchitectuur (ISA) Een veel terugkerende definitie van ISA is die van de IEEE. Deze organisatie verstaat onder ISA the fundamental organisation of a system, embodied in its components, their relationships to each other en the environment, and the principles governing its design and evolution -IEEE standard 1471-2000. Er bestaan diverse standaardmodellen voor het beschrijven en vormgeven van een informatiesysteemarchitectuur, zoals TOGAF en Zachman. Het Zachman model vormt de basis voor een groeiend aantal architectuurmethodieken die technische, informatorische maar ook bedrijfsmatige aspecten integreren met als doel flexibele en schaalbare oplossingen te creëren. Deze overkoepelende benadering vormt het uitgangspunt voor verschillende deelarchitecturen die een organisatie doorgaans kent, zoals informatie- en data-architectuur. Op een technisch niveau zien wij ook architectuurbenaderingen voor de software, de infrastructuur, beveiliging, etc. maar deze vallen buiten de scope van ons onderzoek. Het modelleren van een ISA betreft een holistische benadering van zowel een strategisch als operationeel perspectief en gaat vooraf aan meer technisch gedetailleerd informatiesysteemontwikkeling. De Open Group identificeert vier componenten van ISA, die overeenkomsten vertonen met Earls definitie van informatiestrategie en bestaan uit: Bedrijfsproces: kernbedrijfsprocessen binnen de strategische-, governance- en organisatorische raamwerken. Applicatie: individuele applicaties, onderlinge interacties en relatie met de bedrijfsprocessen. Data: logische en fysieke data assets en management bronnen/resources. Technologie: De software infrastructuur die de applicaties ondersteunt. Twee populaire modellen voor architectuurontwikkeling zijn: Zachman Architectual Framework; The Open Group Architecture Framework (TOGAF). 23

De raamwerken hebben doorgaans twee dimensies, soms aangevuld met een extra derde dimensie om bijvoorbeeld thema's als informatiebeveiliging erbij te betrekken. De onderzoekers realiseren zich dat beveiliging van informatie essentieel is voor organisaties en zeker dient te worden meegenomen in de ontwikkeling van een informatiesysteemarchitectuur. Echter valt dit buiten de scope van het huidige onderzoek. 3.5.2 Zachman Architectual Framework Het architectuurraamwerk van Zachman is 1987 geïntroduceerd en in 1992 verder uitgebreid. Het raamwerk dient als hulpmiddel voor het vaststellen van organisatiebrede architectuur voor informatiesystemen (zie Figuur 9). Figuur 9: Zachman raamwerk (1992). Het Zachman raamwerk wordt bepaald door twee dimensies: Gezichtspunten: deze zijn gekoppeld aan partijen (rollen) die bij de realisatie van ICTsystemen een rol spelen. Abstracties: dit zijn in feite vragen die gesteld worden betreffende de eerder genoemde gezichtspunten (wat, hoe, waar, wie, wanneer en waarom). Het model van Zachman is een logisch raamwerk dat niet een specifieke ontwikkelmethode voorschrijft. Volgens The Open Group geeft het model van Zachman een gestructureerde manier van denken over organisaties, zodat het beschreven en geanalyseerd kan worden. Het model benadrukt dat goede ICT gerelateerde keuzen worden overwogen vanuit een groot aantal verschillende aspecten (van technische en organisatorische aard) en vanuit een aantal perspectieven (vanuit alle betrokken stakeholders). Naast het Zachman raamwerk zijn er nog vele anderen, in meer of mindere mate bekend en gebruikt. TOGAF is bijvoorbeeld een raamwerk dat vooral in Amerika populair is. Het is gebaseerd op het Zachman framework, maar voegt daar onder andere een architectuurontwikkelaanpak aan toe en een repository van standaarden, patronen en best practices. 24

3.5.3 TOGAF In 1995 verscheen de eerste versie van The Open Group s Architecture Framework TOGAF. Deze versie was gebaseerd op het Technical Architecture Framework for Information Management ontwikkeld door het Amerikaanse Ministerie van Defensie. Figuur 10: Onderdelen van TOGAF (2009). TOGAF beschouwt een architectuur raamwerk als een hulpmiddel voor het ontwikkelen van een breed scala aan verschillende architecturen (zie Figuur 11). Zo n raamwerk dient een methode te beschrijven voor het ontwerp van een informatiesysteem in termen van een bouwstenen, waarbij aangegeven wordt hoe deze bouwstenen samenhangen. Het raamwerk dient vervolgens ondersteunende hulpmiddelen te bevatten en een gemeenschappelijk vocabulaire te leveren. Figuur 11: TOGAF Raamwerk voor architectuurontwikkeling (2009). 25

3.5.4 IA en ISA In tegenstelling tot Zachman geeft TOGAF een methodiek voor ISA-planning, -ontwikkeling en -veranderingbeheer. Waar Zachman relatief eenvoudig is en niet voorschrijvend, is TOGAF gedetailleerd en wel voorschrijvend. Beide modellen moeten als aanvulling op elkaar worden gezien voor een aanpak van ISA ontwikkeling. Zachman geeft richtlijnen voor representatie, analyse en ontwikkeling van een ISA en TOGAF levert een methodologisch stap-voor-stap ontwikkelproces. Om integratie met IA te verkrijgen moet volgens Buchanan en Gibb (2007) afstemming worden gezocht tussen output van IA en respectievelijk de input voor informatiestrategie en ISA ontwikkeling. De link tussen IA en informatiestrategie is in de literatuur geaccepteerd (Buchanan & Gibb, 1998; Orna 1990), de link tussen IA en architectuurontwikkeling (nog) niet. Om dit gat te dichten en de toegevoegde waarde van IA te vergroten, stellen Buchanan en Gibb voor om IA te integreren met ISA zoals Figuur 12. Figuur 12: ICT-strategie en architectuur (Buchanan & Gibb (2007)). De output van een IA kan bijvoorbeeld gemapt worden met de twee bovenste rijen van het Zachman raamwerk (zie Figuur 9) scope en bedrijfsmodel, en zo bijdragen aan de applicatiearchitectuur component van het systeemmodel van TOGAF (zie Figuur 11). De overige blokken van het Zachman raamwerk zijn meer gerelateerd aan systeemontwikkeling (de technische, gedetailleerde uitwerking van systeemarchitectuur) en niet direct in scope met IA. Echter, volgens Buchanan en Gibb (2007) kunnen er wellicht verdere synergievoordelen behaald worden in specifieke gevallen (casu), met name op de systeemmodel rij van TOGAF. 26

3.6 IT-Governance Wanneer de organisatie- en ICT-strategie in lijn met elkaar zijn opgesteld en het informatiesysteem is ontwikkeld, dient de ICT-organisatie ingericht te worden voor het beheren van de informatievoorziening. Hiervoor kan gebruik worden gemaakt van IT-Governance. IT-Governance is noodzakelijk om alle (ICT-) processen binnen de organisatie goed te beheren, het geeft de structuur die ICT-processen, -middelen en informatie verbindt deze met de strategieën en doelstellingen van de organisatie (Vaassen, 2005). In de literatuur zijn diverse modellen te vinden, welke op verschillende wijze invulling geven aan IT-Governance. Het meest bekende goverance model is COBIT en heeft volgens Vaassen als uitgangspunt dat ICT in een logisch samenhangend stelsel van processen moet worden gemanaged om aan de informatiebehoefte van de organisatie te voldoen. Om dit te bereiken zijn 34 ICT-processen en beheerdoelstellingen geformuleerd. Elk van deze beheerdoelstellingen kan worden gekoppeld aan een element van het interne control raamwerk COSO (Committee of Sponsoring Organizations). Voor de daadwerkelijke invulling van de ITbeheerprocessen kan een model zoals ITIL (Information Technology Infrastructure Library) als referentie worden gebruikt (waarbij opgemerkt wordt dat ITIL versie 3 (2007) ICT-services als uitgangspunt gebruikt in plaats van processen). IA levert een bijdrage aan IT-Governance door het inventariseren van informatiestromen en bronnen, op basis hiervan kan invulling gegeven worden aan Vaassens visie op IT-Governance door de ITbeheerorganisatie in te richten die nodig is voor het onderhouden van de informatievoorziening. Daarnaast biedt de door IA gefaciliteerde afstemming tussen ICT en organisatiedoelstellingen als bijkomend voordeel dat het de bedrijfskant meer belicht dan de traditionele goverance en alignment modellen die voornamelijk IT gedreven zijn. Hoewel een nadere behandeling buiten de scope van dit onderzoek ligt, is in de literatuur een verschuiving van IT-Governance naar Enterprise Governance of IT, waarbij het vaststellen en inbedden van processen en structuren door de gehele organisatie centraal staan, zodat iedereen binnen de organisatie zijn werkzaamheden kan uitvoeren en het rendement op IT-investeringen gemaximaliseerd wordt (Grembergen & de Haes, 2009). 27

4 IA Methodologie 4.1 Inleiding Dit hoofdstuk vergelijkt de verschillende IA methoden uit de literatuur. Daarna worden de randvoorwaarden en beslisfactoren beschreven die voor een IA relevant zijn. Dit hoofdstuk beantwoordt (deels) de volgende deelvragen: 1. Welke IA definities en raamwerken zijn er in de literatuur? 3. Welke beslisfactoren zijn voor de bedrijfsvoering doorslaggevend om een Information Audit uit te laten voeren? 4. Welke randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information Audit? 4.2 IA methodologie Uit het literatuuronderzoek blijkt dat er nog geen algemeen geaccepteerde methodologie is voor het uitvoeren van een IA. Buchanan en Gibb (2007) hebben een vergelijking gemaakt van de IA modellen Orna (2004), Henczel (2001), van Burk en Horton (1998), en hun eigen model (1998). In appendix 1 is een beknopte beschrijving opgenomen van de stadia de per model worden doorlopen. Hoewel de vier IA methodes andere termen gebruiken om de stadia en activiteiten te beschrijven, komen zij inhoudelijk sterk overeen. Op basis van deze vier methodieken hebben Buchanan en Gibb (2008) zeven basis stadia gedefinieerd voor het uitvoeren van een IA: 1. Voorbereiding: het voorbereidingstraject voor het starten van een IA. Binnen planning valt o.a. goedkeuring van de business case, projectplanning, inlichten van betrokkene. 2. Review: uitvoeren van een strategische interne en externe analyse en een organisatie analyse. 3. Onderzoek: in kaart brengen van de informatiegebruikers, de identificatie en inventarisatie van informatiehulpbronnen en informatiestromen. 4. Kosten baten analyse: in dit stadium wordt vastgesteld wat de kosten zijn van informatie(hulp)bronnen en wat de toegevoegde waarde van desbetreffende (hulp)bron is. 5. Analyse: analyseren van de bevindingen. 6. Rapportage: opstellen van een rapportage waarin de bevindingen naar voor komen en aanbevelingen worden gedaan. 7. Opvolging door de organisatie: opstellen van een informatiebeleid en/of de ontwikkeling van de informatiestrategie en aansluiting met ICT-strategie en organisatiestrategie. De implementatie van de aanbevelingen en het periodiek laten uitvoeren van een IA. Deze stadia vormden de basis voor de vergelijking van de vier IA modellen, door Buchanan en Gibb (2007) zoals weergegeven in Figuur 13. De nummering komt overeen met de stadia van de verschillende IA methoden, zoals beschreven in appendix 1. 28