IT-strategie
t
Beheersing volledige IT-keten essentieel
CobiT en 9-vlaksmodel als hulpmiddel
Om IT-projecten met succes uit te voeren is het van belang de gehele IT-keten, van businessstrategie tot operationele ITprocessen, te beheersen. IT-governance-frameworks zoals CobiT en het 9-vlaksmodel kunnen hierbij helpen.
informatie / januari|febaruari 2008
Ivo Kouters
38
Als IT-projecten mislukken, krijgt vaak de softwareleverancier, de implementerende partij of de projectleider ervan langs. IT-managers moeten het veld ruimen omdat ‘de IT’ niet loopt, maar niemand vraagt zich af waar tussen vraag en aanbod van IT-diensten de zwakste schakel zich bevindt. Men kijkt bij het verklaren van waarom er zoveel misgaat met IT-projecten in de praktijk veel te veel alleen naar oorzaken in het betreffende IT-project, zoals slecht testen of het ontbreken van goede technische ontwerpen. En in het slechtste geval kijkt men alleen of alle stappen van de projectmethodiek Prince2 goed doorlopen zijn. Zelden zijn alle problemen opgelost wanneer deze oorzaken zijn weggenomen. In onze visie moet je kijken naar de volledige IT-keten, die begint bij businessstrategie en eindigt bij operationele IT-processen. Alleen hierdoor krijgt de aansluiting van vraag en aanbod ten aanzien van IT voldoende aandacht. IT-activiteiten zijn een uitvloeisel van waar behoefte aan is in de business. Veel zogenaamde IT-projecten zijn geen IT-projecten, maar raken een groot deel van de hele organisatie en moeten daarom niet alleen in het domein van de IT worden uitgevoerd. Als zulke zogenaamde IT-projecten niet goed gaan, heeft dat vaak niet veel met IT te maken. IT-governance-frameworks zoals CobiT en het 9-vlaksmodel kunnen behulpzaam zijn om greep te krijgen op de volledige IT-keten. Ze kunnen richting geven aan het verbeteren van de aan-
sluiting tussen de wensen van de business en IT-activiteiten. Dit is uiteindelijk een belangrijke randvoorwaarde voor het uitvoeren van succesvolle IT-projecten, waarbij zowel opdrachtgever (de business) als opdrachtnemer (de IT) tevreden is met het projectresultaat.
IT-governance De definitie van IT-governance die wij hanteren, is ontwikkeld door het IT Governance Institute (www.itgi.org) en luidt als volgt: IT Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization’s IT sustains and extends the organization’s strategy and objectives. IT-governance is dus niet alleen een aangelegenheid van de IT-afdeling, maar een onderwerp dat thuishoort op de agenda van het topmanagement van de organisatie. Het is daarbij belangrijk onderscheid te maken tussen IT-governance en IT-management. ITmanagement is gericht op de effectieve en efficiënte levering van IT-diensten en -producten in de interne organisatie en op het beheer van huidige IT-operaties. IT-governance is een veel ruimer begrip. Het gaat over het functioneren en transformeren van IT, om te beantwoorden aan
Samenvatting Bij IT-projecten is het vanuit het oogpunt van projectbeheersing en verbetering van de alignment tussen business en IT nodig naar de volledige IT-keten te kijken. Vaak is er nog te weinig sturing op kwaliteit, geld en tijd en krijgt de vertaling van businesswensen naar IT-activiteiten onvoldoende aandacht. Modellen als CobiT en het 9-vlaksmodel kunnen helpen bij het oplossen van deze problemen.
CobiT
Figuur 1. Het CobiT-raamwerk
informatie / januari|februari 2008
Het IT-governance-framework CobiT (Control Objectives for Information and related Technology) is een internationaal gehanteerde standaard voor het gestructureerd inrichten en beoordelen van de geautomatiseerde informatievoorziening. CobiT is vanaf 1992 ontwikkeld door de Information Systems Audit and Control Association (ISACA) en het IT Governance Institute. In de huidige vierde versie van het CobiT-raamwerk worden 318 beheersdoelstellingen onderscheiden, die zijn gerangschikt naar vier beheerdomeinen (die weer zijn onderverdeeld in 34 aandachtsgebieden): Plan and Organise, Acquire and Implement, Deliver and Support, en Monitor and Evaluate (zie figuur 1). In december 2005 werd een nieuwe versie (4.0) uitgebracht, waarin de overlap met ITIL (Information Technology Infrastructure Library) werd weggenomen door aan te sluiten bij de ITIL-uitgangspunten. Ook werd voor de aspecten op het gebied van informatiebeveiliging aansluiting gevonden bij de Code voor Informatiebeveiliging. ITIL wordt in Nederland veruit het meest gebruikt als methode voor exploitatie van IT-voorzieningen (IT-management).
39
IT-strategie
t
zowel de huidige als de toekomstige behoeften van de organisatie en haar klanten. Om het nog duidelijker te maken onderscheiden wij binnen IT-governance de dimensies strategische IT-governance en operationele IT-governance. Operationele IT-governance valt dan weer samen met de definitie van IT-management zoals zojuist gegeven. Focus op beide dimensies is nodig om ten aanzien van de volledige IT-keten in control te zijn en dus goede IT-projecten te kunnen opleveren.
informatie / januari|februari 2008
CobiT en het 9-vlaksmodel: voordelen en valkuilen
40
Voor het beheersen van IT-projecten is de projectmethodiek Prince2 geschikt. Het gebruik van een geformaliseerde projectmethodiek is randvoorwaardelijk voor het slagen van IT-projecten. Organisaties die Prince2 hanteren, rekenen zich echter vaak rijk omdat zij ervan uitgaan dat wanneer de juiste stappen zijn gezet in Prince2, het project goed loopt. Een voorbeeld: er bestaat een geaccordeerd Project Initiatie Document (PID). Dat betekent dat er overeenstemming is over wat er moet gebeuren. Dit zegt echter niets over de vraag of de goede dingen gebeuren waar de betreffende organisatie behoefte aan heeft. Het probleem is dat Prince2 niet de volledige IT-keten afdekt, maar voornamelijk wordt gebruikt voor de besturing van de inhoudelijkheid van een IT-project. Binnen CobiT is projectsturing een van de 34 aandachtsgebieden (PO10 Manage Projects). CobiT reikt dus veel verder dan Prince2. Om vast te stellen of een IT-project goed loopt, moet je verder kijken dan alleen het IT-project. CobiT kan daarbij behulpzaam zijn. Wij observeren regelmatig dat IT-functionarissen door het gebruik van IT-frameworks dingen veel te ingewikkeld maken, wat ten koste gaat van de aansluiting met de rest van de organisatie. Dan wordt het middel van bijvoorbeeld CobiT invoeren een doel op zich. Deze mechanische aanpak, die losstaat van het ontplooien van activiteiten die uiteindelijk moeten leiden tot een hogere klanttevredenheid, komt meestal voort uit een slechte aansluiting tussen IT en de business. Een groot risico van de toepassing van CobiT is dus dat het op een instrumentele manier gebeurt, door sim-
pelweg alle beheersdoelstellingen ‘af te lopen’. Men is dan CobiT aan het invoeren zonder dat de doelstelling daarvan breed wordt gedragen. Tijdens recent gehouden interviews bij een klant confronteerden wij iemand uit de business ermee dat wij vernomen hadden dat de IT-afdeling had besloten CobiT te gaan invoeren. Verontwaardigd zei hij dat hij niet snapte hoe zoiets besloten kon worden zonder dat de business daarvan iets afwist. Daar waren wij het gelijk over eens. Tegelijkertijd waren de 318 beheersdoelstellingen al verdeeld over een groot aantal IT-functionarissen, die er driftig mee in de weer waren. Een duidelijk geval van langs
Het 9-vlaksmodel Het 9-vlaksmodel (ook wel het Amsterdamse Informatie managementmodel, van prof. ir. Rik Maes van de Universiteit van Amsterdam) is een praktisch hulpmiddel om verantwoordelijkheden, rollen, processen en relaties tussen vraag en aanbod in de IT-keten in ruime zin in kaart te brengen. Het model zoals wij het nu hanteren stamt uit 2003 (Abcouwer, Gels & Truijens, 2006). In ruime zin wil in dit verband zeggen dat het hele domein vanaf bedrijfsstrategie via de verbindende informatiemanagementfunctie tot en met operationele IT-processen wordt afgedekt. Het model onderscheidt drie besturingsdomeinen (dit zijn de kolommen in het model): organisatie, informatievoorziening en informatie technologie. Verder onderscheidt het model drie besturingsniveaus (dit zijn de rijen in het model): strategisch (richten), tactisch (inrichten) en operationeel (verrichten). Door deze rijen en kolommen in een matrix te plaatsen ontstaan negen vlakken: het 9-vlaksmodel (zie figuur 2). Het 9-vlaksmodel maakt duidelijk dat veranderingen in de bedrijfsstrategie vaak veranderingen in de informatiebehoefte teweegbrengen en dat hierdoor veranderingen noodzakelijk kunnen zijn in de inrichting van de IT. Nadrukkelijk wordt aandacht geschonken aan de zogenaamde koppelvlakken. Dit betekent dat tussen aangrenzende afdelingen goede afspraken moeten worden gemaakt over afbakening van taken en verantwoordelijkheden. organisatie
informatievoorziening
ICT
beleid
organisatiebeleid
informatiebeleid
ICT-beleid
inrichting
organisatieinrichting
inrichting informatievoorziening
ICT-inrichting
uitvoering
werken dag in, dag uit
gebruik informatie
ICT-uitvoering
Figuur 2. Rijen, kolommen en de negen vlakken in het 9-vlaksmodel (Tiadens, 2004)
CobiT en het 9-vlaksmodel: de groslijst In de praktijk zien wij geregeld dat een IT-project vastloopt, vastgelopen is of dreigt vast te lopen. Dit vastlopen van een project kan betrekking hebben op een te late oplevering, hogere kosten dan voorzien of het niet verkrijgen wat men heeft besteld.
Vaak is het echter een combinatie van deze drie. Helder krijgen waar de problemen vandaan komen, doen wij door een groslijst te maken. Een groslijst is een lijst met observaties en risico’s en daar direct aan gekoppeld uit te voeren acties door bijvoorbeeld de directie, de programmamanager of de stuurgroep. De groslijst komt (snel) tot stand door het afnemen van interviews met degenen die volgens ons een rol zouden moeten spelen in het project (dus inclusief directie c.q. raad van bestuur) en het bestuderen van aanwezige projectdocumentatie. De groslijst is gebaseerd op CobiT. Aangezien CobiT voorschrijft waar je aan moet voldoen om per aandachtsgebied in control te zijn, is CobiT een handig hulpmiddel bij de totstandkoming van de groslijst. Vaak groeperen wij een aantal aandachtsgebieden van CobiT en vatten deze samen in ongeveer acht tot tien onderwerpen die goed herkenbaar zijn voor de klant. Meestal is dat genoeg om bloot te leggen waar de problemen vandaan komen. De onderwerpen die geraakt worden in de groslijst, worden samen met de klant bepaald naar aanleiding van de specifieke probleemstelling. Wij volgen CobiT dus niet een op een: wat we nodig hebben om snel tot een goed resultaat te komen, gebruiken wij. De lijst met onderwerpen kan er als volgt uitzien, waarbij zoals gezegd variaties mogelijk zijn: • IT-strategie/relatie IT-activiteiten met businesswensen • Systeemontwikkeling • Het managen van IT-projecten: methodiek en organisatie • IT-beheerprocessen • Informatiebeveiliging • Informatiemanagement • IT-architectuur en -infrastructuur • Externe IT-dienstverlening • Kwaliteitsborging Bij het definiëren van de observaties, risico’s en acties stellen wij vast of de volledige IT-keten, die begint bij businessstrategie en eindigt bij operationele IT-processen, wordt afgedekt en er dus een goede invulling is van de koppelvlakken in het 9-vlaksmodel. CobiT en het 9-vlaksmodel gaan hand in hand bij het identificeren van problemen voor, tijdens en na uitvoering van IT-projecten.
De groslijst in de praktijk Een organisatie in de professionele dienstverlening probeerde met een groot IT-vernieuwingsprogramma een veelheid aan applicaties te vervangen
informatie / januari|februari 2008
elkaar heen werken. De koppelvlakken verdienden nog duidelijk wat aandacht. CobiT invoeren zonder het gedachtegoed van het 9-vlaksmodel te hanteren is dus onverstandig. Een praktisch gebruik van modellen als CobiT en het 9-vlaksmodel kan helpen om greep te krijgen op de volledige IT-keten, maar in de praktijk lukt dat vaak niet. Je moet de gedachte achter de modellen snappen en ermee kunnen ‘spelen’ om er concrete resultaten mee te kunnen behalen. Als de zogenaamde ‘experts’ op het operationele vlak er zonder sturing van het management, dat zich vaak weinig in inhoudelijke IT-zaken verdiept, mee aan de slag gaan, draagt het toepassen van modellen als CobiT en het 9-vlaksmodel weinig bij aan het verstevigen van het IT-governancebouwwerk van een organisatie. Het 9-vlaksmodel is logisch en goed te begrijpen, waardoor veel organisaties in staat zijn op basis ervan een goed fundament voor de informatiemanagement- en IT-functie te leggen en erover te communiceren. Het risico bestaat dat juist in de IT-operations de veranderingen niet allemaal goed worden doorgevoerd. Hiervoor biedt CobiT nu juist de handvatten, doordat per onderwerp in detail staat beschreven waar je aan moet voldoen om voor een bepaald onderwerp in control te zijn. Het 9-vlaksmodel invoeren zonder daarbij voldoende oog te hebben voor de kwaliteit van het operationaliseren, waarbij frameworks als CobiT kunnen helpen, is dus onverstandig. Het voordeel van standaarden is dat ze universeel zijn, wat de communicatie over ingewikkelde onderwerpen vergemakkelijkt. Daarnaast hoeft men niet opnieuw het wiel uit te vinden. Zoals hiervoor al duidelijk werd, is er een nauwe relatie tussen CobiT en het 9-vlaksmodel. Het 9-vlaksmodel bepaalt de mindset en is richtingbepalend voor de aansluiting tussen businesswensen en IT-activiteiten. Een juiste toepassing van het 9-vlaksmodel borgt de juiste toedeling van taken en verantwoordelijkheden op het gebied van IT binnen de gehele organisatie. CobiT schrijft vervolgens precies voor wat je moet doen, als er geen discussie meer is over richting, taken en verantwoordelijkheden.
41
»De vertaling van businesswensen naar IT-activiteiten krijgt nog steeds onvoldoende aandacht
«
Naar aanleiding van onze groslijst is een ‘freezeperiode’ afgekondigd. In deze periode is een nieuwe projectleider aan de slag gegaan om structuur aan te brengen in het programma en overeenstemming te krijgen binnen de organisatie over nut en noodzaak van onderdelen van het organisatieveranderingsprogramma. De uitkomst van deze periode is onder andere geweest om een groot aantal dingen niet te doen. Nu zet men een ITorganisatie op die een uitvloeisel is van het toepassen van het 9-vlaksmodel en waarbij onderdelen van CobiT kaderstellend zijn.
Conclusie Veel IT-projecten blijken eigenlijk niet alleen ITprojecten te zijn, maar raken juist een groot deel van de organisatie en haar processen. Vanuit het oogpunt van projectbeheersing en verbetering van de alignment tussen business en IT, is het nodig naar de volledige IT-keten te kijken. In veel gevallen blijkt dat er te weinig sturing is op de aspecten kwaliteit, geld en tijd vanwege het ontbreken van ‘echte’ projectleiding en te weinig bemoeienis vanuit het management. Het resultaat is in menig geval opdrachtgeverschap van onvoldoende kwaliteit, met soms desastreuze gevolgen. Verder blijkt de vertaling van businesswensen naar ITactiviteiten nog steeds onvoldoende aandacht te krijgen. Daarmee komt de doelstelling van veel IT-projecten om te voldoen aan de businesseisen onder druk te staan. Modellen als CobiT en het 9-vlaksmodel kunnen helpen bij het oplossen van deze problemen. Literatuur Abcouwer, T. H. Gels & J. Truijens (2006). Informatiemanagement en beleid. Den Haag. Academic Service. Grembergen, W. van & S. de Haes (2004). IT Governance mechanismen: COBIT en de balanced scorecard. Alphen aan den Rijn: Kluwer. Tiadens, T. (2004). Sturing en organisatie van ICT-voorzieningen: dé focus op vraaggestuurd leveren van ICT-voorzieningen. Zaltbommel: Van Haren. Link www.itgi.org Ivo Kouters is werkzaam bij Ernst & Young Advisory en houdt zich voornamelijk bezig met IT-governance- en programassurancevraagstukken. E-mail:
[email protected].
informatie / januari|februari 2008
door één maatwerkapplicatie. Tegelijkertijd zou de hele manier van werken onder de loep worden genomen. Ons was gevraagd een ‘aanjager’ te leveren aangezien het programma na twee jaar geen tastbaar resultaat had opgeleverd. Wij hebben de klant duidelijk kunnen maken dat dit de verkeerde vraag op het verkeerde moment was. In plaats daarvan hebben wij een groslijst opgesteld waarbij is gekeken naar de volledige IT-keten en waarin de onderstaande punten aan de orde kwamen. Het programma was grotendeels uitbesteed aan een externe partij, dus de projectorganisatie werd voornamelijk bemand door externen. Het opdrachtgeverschap richting de externe partij had dus pas goed moeten beginnen bij aanvang van het programma, maar werd uit handen gegeven. Aan de kant van de klant zat een projectleider zonder enige ervaring op dit vlak, die te vrij werd gelaten door de directie. Er was een stuurgroep die slechts in geval van problemen bij elkaar kwam, maar deze signaleerde de problemen niet en liet zich overtuigen door de projectorganisatie (intern en extern) die zaken te optimistisch voorspiegelde. Er waren geen duidelijke afspraken gemaakt met de externe partij, waardoor de organisatie ten onrechte de overtuiging had dat zij een resultaatverplichting was aangegaan met de externe partij. Uit het contract bleek niet meer dan een inspanningsverplichting. Een plan van aanpak waarin stond wat de doelstelling en de scope van het programma was ontbrak, laat staan dat was vastgelegd wat moest gebeuren. De aansluiting met de businessstrategie was door het ontbreken van een plan van aanpak niet duidelijk. Of ‘iets’ af was, was niet eenduidig vast te stellen aangezien het ‘iets’ niet was gespecificeerd. Door het ontbreken van een breed gedragen plan van aanpak waren er verschillende interpretaties van waar het programma over ging. Dit varieerde van een IT-systeemvervanging tot een volledige kanteling van de organisatie. Vanuit de klant werd het programma te veel ‘getrokken’ door de IT-afdeling. Zij waren voortdurend bezig de externe partij te vertellen wat in hun ogen het gewenste procesverloop was. De functionarissen uit de business die wel betrokken waren in het project, spraken niet de (IT-)taal van de externe partij.
43