Informatiemanagement onderzoek 2014
Report
Business Information Management
Contents 1. Inleiding
3
1.1 Context
3
2. Ontwikkelingen in de markt
5
2.1 Trendanalyse & ontwikkelingen
5
2.1.1 Terugblik vorige onderzoeken
5
2.1.2 Het Quint Informatiemanagement Model (QIMM 2.0 ) in een nieuw jasje
5
2.2 De informatiemanager van de toekomst
7
2.3 CIO Office 2020: Samenwerking is cruciaal
8
2.4 Architectuur in samenwerking met informatiemanagement
9
2.5 Information Risk Management
10
3. Onderzoeksresultaten
12
3.1 Demografische informatie
12
3.2 Positionering en focus
14
3.3 Omvang en volwassenheid
17
3.4 Innovatie
19
3.5 Succesfactoren en belang voor de business
20
3.6 Onzekerheid en wendbaarheid
21
3.7 Architectuur
21
3.8 Information Risk Management: Vertrouwelijkheid en privacy
23
4. Conclusies
24
5. Doorkijk naar 2015: Samenwerking cruciaal
25
Verder lezen
27
Artikelen & websites
27
2
Quint Wellington Redwood
Report
Informatiemanagement onderzoek 2014 1. Inleiding 1.1 Context De informatievoorziening (IV) blijft een niet weg te denken onderdeel van de primaire bedrijfsvoering. Wil een organisatie succesvol zijn, dan kan dat niet meer zonder een optimaal gebruik van de mogelijkheden die IV biedt. Tegenwoordig weet de afnemer van IV (de business) steeds beter wat zij wil en wordt verwacht dat de IT afdeling dit first time right en op heel korte termijn regelt. De informatiemanager blijft de spin in het web, die de business behoeften en de IV mogelijkheden op een goede manier aan elkaar moet verbinden; enabled door IT. Hierbij is de verwachting over de kwaliteit van dienstverlening hoog en de time to market moet zo kort mogelijk zijn. Speelt IT hier onvoldoende op in, dreigt een organisatie haar marktpositie te verliezen aan concurrenten die meer wendbaar zijn. Een informatiemanager moet zijn basis dus op orde hebben. Hij moet weten welke competenties binnen zijn huidige organisatie bijdragen aan het succes en dit combineren met zijn nieuwsgierigheid naar de toekomst. Wat is er mogelijk om de wereld te ‘shapen’? De informatiemanager gaat - in een ideale wereld - vanuit een stabiele IV organisatie die werkt onder architectuur, samen met de business en IT op zoek naar nieuwe marktcombinaties. Enerzijds om snel in te spelen op de behoeften uit de business en anderzijds om met IT innovatie de business te ondersteunen in haar slag met de concurrentie. In hoeverre dit bewaarheid wordt in de praktijk, blijkt uit dit onderzoeksrapport.
1.2 Aanleiding onderzoek Het Quint Research Center voert jaarlijks een onderzoek uit naar de stand van zaken rondom informatiemanagement. In de afgelopen jaren heeft dit onderzoek zich gericht op: • de positionering en focus van informatie– management binnen een organisatie, • de omvang en volwassenheid van informatie– management, • de succesfactoren voor informatiemanagement,
• innovatie, • omgaan met onzekerheid. De trends die voor deze onderwerpen worden gesignaleerd, zijn in paragraaf 2.1 verder beschreven. Naast deze terugkerende thema’s is in het onderzoek 2014 aandacht besteed aan de status van architectuur en Information Risk Management in organisaties. Deze onderwerpen zijn onlosmakelijk verbonden met het vak van de informatiemanager.
Informatiemanagement onderzoek 2014
3
1.3 Opzet & aanpak Het onderzoek kent, naast de algemene vragen, elk jaar een bijzonder thema. Zo was het onderzoek in 2013 gericht op de toegevoegde waarde van informatiemanagement en de wijze waarop wordt omgegaan met veranderingen en innovaties. Dit jaar ligt de focus van het onderzoek op de rol die de onderwerpen Architecture, Information Risk Management spelen voor een informatiemanager. In het onderzoek van dit jaar staan de volgende onderzoeksvragen centraal: 1. Wat zijn de belangrijkste focusgebieden van informatiemanagement? 2. Is de volwassenheid van de IM processen toegenomen? 3. Wat zijn de aandachtsgebieden van de architect? 4. Wat is de rol van IM binnen innovatie? 5. Wat is het belang van vertrouwelijkheid en privacy? Dit jaar is een uitgebreide enquête uit gestuurd naar 800 respondenten. 10% daarvan heeft alle
4
Quint Wellington Redwood
vragen ingevuld. Aanvullend op deze enquête zijn ruim 20 verdiepingsinterviews uitgevoerd waar aanvullende informatie verzameld is.
Leeswijzer In Hoofdstuk 2 wordt ingegaan op de ontwikkelingen die Quint signaleert in de markt. Er wordt teruggekeken op de trends vanaf 2009. Daarnaast wordt ingegaan op de verschillende onderwerpen van het huidige onderzoek. Hoofdstuk 3 richt zich op de resultaten van het huidige onderzoek. In hoeverre zijn de onderzoeksresultaten in lijn met de trendanalyses sinds 2009? En wat zeggen de respondenten over de onderwerpen innovatie, werken onder architectuur en Information Risk Management? Tot slot wordt in Hoofdstuk 4 antwoord gegeven op de onderzoeksvragen. Er wordt een aantal conclusies getrokken en er wordt vooruit gekeken naar de onderwerpen waarvan Quint ziet dat ze relevant zijn voor de informatiemanager in 2015 en verder. Er wordt een voorproefje gegeven van de visie van Quint op de toekomst.
2. Ontwikkelingen in de markt Dit hoofdstuk gaat in op de ontwikkelingen die Quint signaleert bij haar klanten in de markt. Er wordt teruggekeken naar de onderwerpen die in eerdere onderzoeken relevant waren en de ontwikkeling die informatiemanagement heeft door gemaakt. Vervolgens wordt het Quint Informatiemanagement Model (QIMM) kort toegelicht. Dit model geldt als handvat om informatiemanagementvraagstukken structuur te geven. Ten slotte gaat dit onderzoek in op de thema’s: wendbaarheid, de CIO van de toekomst (CIO office 2020) en Information Risk Management (IRM).
2.1 Trendanalyse & ontwikkelingen Informatiemanagement richt zich op de rol die informeren en communiceren speelt binnen de actualiteit van organisaties. Hiertoe richt informatiemanagement zich op de afstemming tussen business en IT. In deze paragraaf wordt eerst terug geblikt op de eerdere onderzoeken waarna verder ingaan wordt op het begrip informatiemanagement.
2.1.1 Terugblik vorige onderzoeken In de laatste vier onderzoeken die het Quint Research Center heeft uitgevoerd komt duidelijk naar voren dat de positie en rol van informatiemanagement zich heeft ontwikkeld. In het eerste onderzoek in 2009 bleek dat de focus van informatiemanagement met name lag op het verwerven van een positie binnen de organisatie en dat zichtbaarheid en bekendheid belangrijke aandachtspunten waren. Er lag een sterke nadruk op de operationele (functioneel beheer) processen en de aandacht lag meer op IT dan op de business. In de afgelopen jaren is de informatiemanagement functie gegroeid waarbij bekendheid en zichtbaarheid inmiddels geen issues meer zijn. Informatiemanagement heeft een duidelijke positie binnen organisaties verworven. Daarnaast is de focus verschoven naar meer tactische en strategische activiteiten (zonder de operationele activiteiten los te laten) en is er meer focus op de business.
Uit het onderzoek van 2011 bleek dat informatiemanagement worstelt met de toegevoegde waarde die ze kan leveren. In veel gevallen lag de toegevoegde waarde volgens de informatiemanagers en de omgeving met name op control (kosten en risico’s), terwijl informatiemanagers meer toegevoegde waarde aan de business wilden leveren in termen van innovatie en groei. Deze trend heeft zich voortgezet in het onderzoek van 2013 waarin naar voren kwam dat de behoefte aan wendbaarheid groot is en dat de informatiemanager voor zichzelf een actieve makelaarsrol ziet weggelegd in het bevorderen van wendbaarheid.
2.1.2 Het Quint Informatiemanagement Model (QIMM 2.0 ) in een nieuw jasje De wijze, waarop door het Quint Research Center in dit onderzoek naar informatiemanagement wordt gekeken, is gebaseerd op het Amsterdams Negenvlaks model waarin twee belangrijke aspecten van informatiemanagement naar voren komen (zie figuur 2.1): 1. Business-IT alignment. 2. Managen van IV als asset. Hierbij is de doelstelling van informatiemanagement om te zorgen dat: ‘informatie en informatietechnologie optimaal bijdragen aan het succes van de business’. Deze doelstelling is mede bepalend voor de activiteiten die door informatiemanagement en de rollen die binnen informatiemanagement worden uitgevoerd. Op basis van deze doelstelling en de voornoemde twee aspecten is een aantal IM relevante activiteiten te benoemen. Deze activiteiten geplot op het negenvlaksmodel levert het nieuwe Quint Informatiemanagement Model (QIMM 2.0) op (zie figuur 2.2). Hoofdonderwerpen in dit model zijn: 1. Weten waar je naartoe wil 2. Weten wat je nodig hebt 3. Krijgen wat je nodig hebt 4. (Be)Houden wat je hebt 5. Goede samenwerking Wanneer deze hoofdonderwerpen in het QIMM 2.0 model verder worden uitgewerkt, ontstaat Informatiemanagement onderzoek 2014
5
Business
IV
IT
Structuur (Inrichten)
Managen IV als asset
Strategie (Richten)
Business
IT Alignment
Operatie (Verrichten) Figuur 2.1: Informatiemanagement binnen het negenvlaksmodel
een breed scala van sub-onderwerpen die allen relevant zijn voor informatiemanagement en de rollen binnen informatiemanagement (zoals o.a. informatiemanager en functioneel beheerder): 1. Weten waar je naartoe wil: • Wat is de visie en strategie van de organisatie? • Is er een up-to-date informatieplan? • (Hoe) is de (IT-)architectuur beschreven? 2. Weten wat je nodig hebt: • (Hoe) is het projectportfolio management georganiseerd?
IV 1. Weten waar je naar toe wil
Strategie (Richten)
Structuur 2. Weten wat je nodig hebt (Inrichten)
Business
Operatie (Verrichten)
Managen IV als asset
Business
• Wordt er gewerkt met een standaard methodiek voor programma- en/of projectmanagement? • Worden er business cases opgesteld voor (grote) changes? • (Hoe) is het requirement management georganiseerd? 3. Krijgen wat je nodig hebt: • (Hoe) is het (IT-)stuurgroep management georganiseerd? • (Hoe) is het demand management georganiseerd?
5. Goede IT Alignment samenwerking
4. (Be) Houden wat je hebt
Figuur 2.2: Quint Informatiemanagement Model 2.0 (QIMM2.0)
6
Quint Wellington Redwood
IT
3. Krijgen wat je nodig hebt
• (Hoe) is het change management georga– niseerd? 4. (Be)Houden wat je hebt: • Vindt er monitoring plaats op operationele zaken? • Hoe vindt de gebruikersondersteuning plaats? • Hoe worden bedrijfsgegevens beheert? 5. Goede samenwerking: Weten waar je naar toe wil
Weten wat je nodig hebt
• Hoe verloopt de samenwerking binnen de keten? • Hoe verloopt de samenwerking met de business? • Hoe verloopt de samenwerking met IT? Dit is in Figuur 2.3 schematisch weergegeven: (in schema staat waar de naar toe wil ipv wilt.)
Krijgen wat je nodig hebt
(be) Houden wat je hebt
Goede samenwerking
Visie en strategie
Project-en service portfolio management
Stuurgroepmanagement
Monitoring
In ketens
Informatieplan (in één dag)
Programmamanagement
Demand management
Gebruikersondersteuning
Met business
Innovatiemanagement
Business case
Change management
Beheer bedrijfsgegevens
Met IT
Architectuur
Requirements management
Met IM onderling
Risk management
Figuur 2.3: Onderwerpen QIMM 2.0
Dit QIMM 2.0 model geeft de verschillende (theoretische) inzichten ten aanzien van de ontwikkelingen van het informatiemanagement. In de volgende paragrafen wordt ingegaan op een aantal ontwikkelingen die Quint ziet in de markt.
2.2 De informatiemanager van de toekomst Zoals al eerder in dit onderzoek aangegeven verandert onze wereld ingrijpend en snel. We leven middenin een keerpunt van de geschiedenis. De IT-organisatie van de toekomst moet wendbaar zijn en innovatief vermogen hebben. En de organisatie moet dat aangrijpen en gebruiken om zelf wendbaar en innovatief te zijn. Dat stelt nieuwe eisen aan de informatiemanager.
Een organisatie moet zich minder focussen op het vasthouden aan bestaande processen. Processen geven houvast, maar zijn niet goed bestand tegen het onverwachte. Belangrijker is dat een organisatie juiste structuren heeft. Deze helpen een organisatie optimaal te reageren op het onverwachte en toch haar doelen te bereiken. De wereld rondom organisaties is, bezien vanuit het perspectief van de organisatie, onvoorspelbaar en haar omgeving complex en dynamisch. Om hierbinnen te overleven moet een onderneming een goed beeld hebben van zichzelf. Je kunt alleen maar snel reageren als je voldoende mandaat hebt, maar je kunt binnen dat mandaat alleen maar consistent reageren als je een gezamenlijk zelfbeeld hebt. Daarom is vraag: “wie zijn we en waar gaan we naartoe?” van essentieel belang. Een beschrijving van het merk, een brand Informatiemanagement onderzoek 2014
7
guide, helpt ook goed om consistent te reageren. Juist de verinnerlijking van het zelfbeeld is de basis van consistent gedrag. Het is niet voor niets dat authenticiteit ineens zo’n hot begrip aan het worden is. Het is aan de informatiemanager (en nog meer aan de CIO) om veel met IT af te stemmen en om de ambities en de middelen met elkaar af te stemmen. Zonder een realistisch zelfbeeld, een duidelijke ambitie en een begrijpelijke, bij iedereen bekende tactiek, win je niet vaak. Er wordt veel overlegd en de vraag is steeds: Hoe pakken we dit soort dingen voortaan aan? Die gesprekken gaan eigenlijk altijd over de toekomst, want die kun je nog veranderen. Een heldere richting stelt een team in staat om het onverwachte een plek te geven als het zich voordoet. En zo ontstaan afspraken: Zó en zó gaan we om met verandering, en dan doe jij dit en ik doe dat. De informatiemanager en IT moeten momenten van rust creëren, opdat ook deze samenwerking steeds beter wordt en steeds beter reageert op veranderingen. Want de tijd dat je die samenwerking in contracten, SLA’s en processen vormgeeft, is definitief voorbij. Het bereiken van het gewenste resultaat is in grote mate afhankelijk van de kwaliteiten van de medewerkers. Een goed team bestaat uit medewerkers met verschillende kwaliteiten die optimaal worden benut. Iedere medewerker heeft een duidelijke rol, een duidelijke opdracht (als teamspeler, niet als individu met individuele KPI’s) en daarbij passend mandaat. Tot slot moet een organisatie realistisch zich voorbereiden op tegenslagen en gevaar. Risicomanagement is een belangrijk onderdeel van de gesprekken tussen informatiemanagement en IT; maar je moet aanvallen om te kunnen scoren. Meer dan ooit is kansenmanagement (“opportunity management”) bepalend voor het succes van de onderneming.
2.3 CIO Office 2020: Samenwerking is cruciaal Naast de hiervoor benoemde samenwerking met (Informatie) Risk Management is ook de samenwerking met architectuur van groot belang. Dit is een belangrijke ontwikkeling die we zien in de CIO Office. In 2020 bestaat de klassieke IT-afdeling as-we-know-it bij organisaties vrijwel
8
Quint Wellington Redwood
niet meer. Een al enkele jaren geleden in gang gezette beweging leidt tot een nieuw soort IT-afdeling: de CIO Office. Het belangrijkste verschil is dat de traditionele technologiefocus, waarbij met name geredeneerd werd vanuit technische mogelijkheden, heeft plaatsgemaakt voor een business focus. De business focus gaat uit van de (functionele) behoeften van de business en bepaalt op welke wijze de IT deze behoefte mogelijk kan maken. Hiermee verandert de positie van de afdeling is in een facilitaire. Binnen de CIO Office worden vier verschillende functies onderscheiden, te weten: • Architect • Informatiemanager • Chief Information Security Officer • Chief Information Officer In het huidige onderzoek wordt primair de functie van informatiemanager beschreven en de veranderingen die wij verwachten richting 2020. Het is niet bedoeld als stappenplan, maar om informatiemanagers te helpen bij het uiterst lastige veranderingstraject dat voor ze ligt. De CIO Office 2020 herbergt mensen die informatiemanager worden genoemd. Het werk van de moderne informatiemanager heeft meerdere facetten: hij of zij weet welke richting de organisatie op wil gaan en baseert dat op de vastgestelde visie en strategie welke is vastgesteld in een business informatie plan. De informatiemanager is verder op de hoogte van wat er nodig is om de visie en strategie op IV-gebied te gaan bewerkstellingen. Hierbij werkt hij nauw samen met functioneel beheerders, architecten, de CISO en uiteraard de CIO. De volgende rollen zijn hierbij benodigd: • Informatiestrateeg • Organisatieadviseur • Business consultant • Demand Manager • Innovatiemanager (en aanjager) • Trendwatcher De informatiemanager vervult een brugfunctie tussen de functionele vraagstelling vanuit de business en de praktische invulling hiervan door de IT-afdeling. De informatiemanager wordt steeds meer de eigenaar van de business vraag en weet, door steeds frequentere samenwerking met architectuur, waar de verschillende koppel-
vlakken zitten en of business vragen wel of niet invulbaar zijn. Daarnaast voorzien wij dat de informatiemanager meer en meer rechtstreeks rapporteert aan de board – en dit in business taal gaat doen. Hij heeft kennis op verschillende niveaus, zowel van de bedrijfsprocessen als van het functioneren van de eigen infrastructuur. Daarnaast moet hij beschikken over andere competenties dan de informatiemanager van nu: hoe presenteert en gedraagt hij zich? Hoe acteert hij als hij zich moet buigen over een vraagstuk dat op de directietafel ligt? Anno nu heeft hij daarin een minimale rol, maar in 2020 is deze veel groter . Kortom, de informatiemanager van de toekomst laat zich het best omschrijven als de moderne en complete IV Business Manager, die zowel de business begrijpt als de vertaalslag naar moderne informatievoorzieningen kan maken. Het uitgangspunt van de CIO Office 2020 is niet ‘no, can’t do’, maar het probleem kundig en slagvaardig aan te pakken en op te lossen. Het is van belang de business gebruikers goed te instrueren omtrent gebruik en onderhoud. Medewerkers vanuit de CIO Office moeten voorkomen dat er een oplossing wordt binnengehaald die op langere termijn legacy wordt. Dat is een andere houding en benadering dan bij de klassieke IT-afdeling. Een business gebruiker die een probleem heeft wordt daar niet bepaald met open armen ontvangen en meestal van een koude kermis thuiskomen. Was er vroeger geen alternatief, in 2014 zijn via het internet legio oplossingen aan te schaffen – en dat is dan ook wat de teleurgestelde business gebruiker vandaag de dag regelmatig doet. Door een faciliterende en oplossingsgerichte houding aan te nemen zoals hiervoor geschetst zal de business gebruiker geen enkele behoefte hebben zelf op zoek te gaan naar IT-ondersteuning. De informatiemanager heeft, evenals de CIO, eindverantwoordelijkheid voor de informatievoorziening binnen de organisatie. Hierbij schuift de informatiemanager, zo verwachten wij, op richting een staffunctie onder de directie. Dit alles betekent dat het profiel van de informatiemanager anno 2020 stevig gaat veranderen en langzaam groeit naar een business partner en trusted advisor functie, zoals deze al binnen de groteren Amerikaanse bedrijven zichtbaar is.
2.4 Architectuur in samenwerking met informatiemanagement In het Informatiemanagement Onderzoek uit 2013 is al een trend gesignaleerd die duidt op een nauwere samenwerking tussen informatiemanagement en architectuur. Deze trend wordt bevestigd door de resultaten van het huidige onderzoek, maar ook door praktijksituaties bij klanten waar Quint actief is. Doordat de veranderingen op inhoud en besturing van organisaties steeds sneller gaan, is het van belang dat de kennis die in een organisatie aanwezig is wordt vastgelegd en bijgehouden. De rol van architect is daarin steeds prominenter aanwezig. Informatiemanagement heeft, naast de functie van het in praktijk brengen van vastgestelde architectuurprincipes, een sturende rol om architectuuraspecten mee te nemen in het business informatie plan. Het ontwikkelen van een toekomstvisie met behulp van een BIP, ziet Quint bij haar klanten toenemen. Bij het uitwerken van het informatieplan is men automatisch aangewezen op de architect die informatie ter beschikking heeft over de as-is en to-be situatie op infrastructuur- en applicatie-architectuur gebied. Echter, de informatiemanager zien we anno 2014 primair acteren aan de business zijde door sturing te geven aan business processen en gebruik van informatievoorziening. De architect richt zich nog steeds primair op het inhoudelijke kennisniveau van processen, applicaties, data en infrastructuur. Beide werelden zijn nog onvoldoende met elkaar geïntegreerd. Verwachtingen vanuit diverse bedrijfsonderdelen van architecten en architectuurmanagers zijn meestal gericht op ‘inzicht, overzicht en samenhang’. Daarbij kijkt de architect over de domeinen heen en verbindt zaken met elkaar, gericht op vragen vanuit business en IT. Dit moet ertoe leiden dat de architect helpt in het wegnemen van onzekerheden en onduidelijkheden. In deze ondersteuning is het niet de architect die de beslissing neemt. Maar hij schetst wel de relevante en gemeenschappelijke context waarin een beargumenteerde keuze gemaakt kan worden. Belangrijk aandachtspunt hierbij is dat architecten ervoor moeten zorgen dat ze niet te snel op een te gedetailleerd niveau gaan communiceren waardoor het lastig wordt om ze te volgen. Maar op basis van building blocks de omgeving meeneemt in de (on)mogelijkheden en Informatiemanagement onderzoek 2014
9
consequenties van te kiezen architectuur voor de toekomst. De verwachting is dat architectuur- en informatiemanagementfuncties steeds meer complementair aan elkaar gaan worden. Zij gaan ieder, rekening houdend met hun specifieke aandachtsgebieden, meer samenwerken en gezamenlijk gaan zorgen voor richtinggevende strategieën en planvorming.
2.5 Information Risk Management Het laatste thema wat van belang is voor de veranderende rol van de informatiemanager is het domein van de Information Risk Manager (IRM). De Nederlandse Wet Bescherming Persoonsgegevens, afgekort BP, geeft regels ter bescherming van de privacy van burgers. De wet is op 1 september 2001 in werking getreden en verving de Wet persoonsregistratie (1989). De WBP is voor een groot deel gebaseerd op de Europese data protectie richtlijn (95/46/EG) Organisaties die persoonsgegevens verwerken hebben bepaalde plichten. Zo mogen persoonsgegevens, kort gezegd, verzameld en verder verwerkt worden, mits daarvoor welbepaalde en uitdrukkelijk omschreven doelen zijn en deze doelen gerechtvaardigd zijn door bijvoorbeeld toestemming van de betrokken burger. Ook moeten zij - uitzonderingsgevallen daargelaten de burger laten weten wat zij met zijn gegevens (gaan) doen. De wet is van toepassing op alle vormen van het verwerken van persoonsgegevens, ongeacht of die verwerking nu op papier of in computerbestanden gebeurt. Verwerken is een heel ruim begrip: het omvat het gehele proces van verkrijgen, combineren, bewerken, opslaan, doorgeven tot vernietigen van gegevens. Het geheel of gedeeltelijk geautomatiseerd verwerken van persoonsgegevens moet in principe gemeld worden aan het College Bescherming Persoonsgegevens (CBP). Het CBP neemt die meldingen op in een openbaar register. Deze opname is geen rechtmatigheidstoets, dat wil zeggen opname betekent niet dat het CBP vindt dat de verwerking plaatsvindt in overeenstemming met de WBP.
Kader 2.1: Wet Bescherming Persoonsgegevens
10
Quint Wellington Redwood
Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het CBP. Het CBP houdt toezicht op de naleving van de WBP. Artikel 13 van de WBP eist dat bedrijven en overheden die persoonsgegevens verwerken, ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen. Het uitgangspunt om tot een passende beveiliging te komen is dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en beveiliging gezamenlijk nadenken over de wijze van beveiliging, al vóórdat ze persoonsgegevens gaan verzamelen. De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een informatiesysteem punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van het laatste back-up bestand na afloop van de bewaartermijn. De beveiliging past binnen het bredere verband van privacy by design, waarbij de bescherming van persoonsgegevens en de borging van de rechten van de betrokkenen vanaf het allereerste begin in de informatiesystemen wordt ingebouwd.
‘Plan-Do-Check-Act’ Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten Plan Do Check Act cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt op het volgende neer:
1. Beoordeel de risico’s Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.
2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, standaarden en maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het
nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.
3. Controleer en evalueer regelmatig Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of
het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging.
4. Stel bij waar nodig Op basis van de controle en evaluatie van de beveiligingsmaatregelen, worden deze aangepast.
Informatiemanagement onderzoek 2014
11
3. Onderzoeksresultaten Dit hoofdstuk bevat de belangrijkste en meest interessante resultaten van het onderzoek. Er wordt onder andere aandacht besteed aan thema’s die ook in voorgaande jaren aan bod zijn gekomen, zoals positionering en focus van informatiemanagement, volwassenheid van processen en innovatie en wendbaarheid. Hierbij ligt de focus op de ontwikkelingen die zichtbaar zijn ten opzichte van voorgaande jaren. Zoals beschreven in Hoofdstuk 2, zien we in de praktijk dat de vakgebieden architectuur en Information Risk Management steeds meer in samenhang met informatiemanagement worden georganiseerd. Dat is de reden dat we in dit
onderzoek ook ingaan op de stand van zaken op het gebied van architectuur en Information Risk Management (IRM).
3.1 Demografische informatie De deelnemers aan het onderzoek zijn verdeeld over verschillende sectoren. De organisaties waarvoor zij werken zijn van verschillende omvang qua personeel en IT-budget. Zie Figuur 3.1, Figuur 3.2 en Figuur 3.3. Deze verdeling biedt een voldoende gebalanceerde basis voor het onderzoek en is ook vergelijkbaar met die van afgelopen jaren.
Verdeling naar sectoren
21%
6%
43%
Overheid Zorg Industrie Finance Dienstverlening
19% 11% Figuur 3.1: Verdeling naar sectoren
In het onderzoek van dit jaar wordt antwoord gegeven op de onderzoeksvragen, zoals die in paragraaf 1.3 zijn benoemd. Ten eerste is gevraagd naar het belang dat de deelnemers hechten aan de (voor informatiemanagement) relevante onderwerpen en waar binnen hun organisatie de meeste focus op ligt (zie Tabel 3.1). Hieruit komt naar voren dat in meer dan twee derde van de organisaties de onderwerpen ‘positionering en focus’ en ‘omvang en volwassenheid’ de meeste aandacht krijgen. Ook innovatie is een belangrijk 12
Quint Wellington Redwood
onderwerp: 59% van de respondenten geeft aan dat hier de focus ligt. Deze trend, die vorig jaar al werd waargenomen, zet zich daarmee door. Aan de andere kant is de aandacht voor de interne onderwerpen (positionering en focus en omvang en volwassenheid) nog steeds groot. Dit wordt bevestigd in de aanvullende interviews, waaruit blijkt dat veel organisaties in het kader van reorganisaties kritisch kijken naar de omvang van de informatiemanagementactiviteiten en daarmee ook de positionering en volwassenheid
Verdeling omvang organisatie (#fte) 3%
5%
30%
11%
0-10 10-100 100-500 500-1000 1000-5000 > 5000
16%
35% Figuur 3.2: Verdeling naar omvang organisatie (#fte)
Verdeling: percentage IT budget van totale budget 1% 5% 26% 44%
0-1% 1-5% 5-10% 10-25% >25%
24%
Figuur 3.3: Verdeling naar percentage IT-budget
een belangrijk onderwerp is. In de gesprekken wordt aangegeven dat dit een spanningsveld oplevert, aangezien men het belang van innovatie zeker inziet en daar ook (nog) meer aandacht
aan wil geven, maar dat hier gezien de interne focus niet altijd ruimte voor is. In de volgende paragrafen zijn de bovenstaande thema’s verder uitgewerkt. Informatiemanagement onderzoek 2014
13
Onderwerp
Percentage
Positionering en focus
69%
Omvang en volwassenheid
69%
Innovatie
59%
Succesfactoren voor informatiemanagement
36%
Omgaan met onzekerheid
19%
Tabel 3.1: Belang onderwerpen
3.2 Positionering en focus Organisatie Conform de reeds gesignaleerde trend is informatiemanagement in nagenoeg alle organisaties een volwaardig aandachtsgebied. De wijze waarop hier invulling aan wordt gegeven (functies en activiteiten) varieert echter. In alle organisaties zijn er functies belegd die invulling geven aan de activiteiten van informatiemanagement. De wijze waarop informatiemanagement is gepositioneerd en georganiseerd varieert, maar is veelal gekoppeld aan de besluitvormingsstructuur binnen de organisaties. Ook dit jaar zien we in de interviews dat binnen organisaties steeds bewustere keuzes worden gemaakt over de organisatie van informatiemanagement. Dit bevestigt de trend die we vorig
jaar geconstateerd hebben. Wat opvalt is dat het aandeel organisaties met een hybride (zowel centrale als decentrale) organisatie van informatiemanagement is afgenomen (van 49% naar 37%) en het aandeel centraal (38% naar 45%) en decentraal (13% naar 18%) is toegenomen. Deze verschuiving lijkt te zijn ingegeven doordat organisaties steeds bewustere keuzes maken over de organisatie van informatiemanagement. In organisaties die vrij decentraal (of federatief) georganiseerd zijn is het informatiemanagement in veel gevallen decentraal georganiseerd. Hierbij is er in diverse organisaties sprake van een ‘staf-achtige’ informatiemanagementafdeling die overkoepelend op tactisch en strategisch niveau informatiemanagementactiviteiten uitvoert. De overall verdeling qua organisatievorm is weergegeven in Figuur 3.4.
Organisatie IM
18%
45%
37%
Figuur 3.4: Organisatie informatiemanagement
14
Quint Wellington Redwood
Centraal Combinatie Decentraal
Uit de interviews blijkt dat bij de inrichting van informatiemanagement vaak een strikte scheiding wordt gemaakt tussen de strategische (richtinggevende) activiteiten die als informatiemanagement worden gelabeld, en de meer operationele taken die vaak functioneel beheer worden genoemd. Functioneel beheer wordt in veel gevallen dicht op de bedrijfsprocessen (dus decentraal) georganiseerd. De tactisch en zeker de strategische processen (informatiemanagement) worden meer op centraal niveau georganiseerd.
In diverse organisaties komt een hybride rapportagelijn voor die verband houdt met de wijze waarop informatiemanagement is georganiseerd. Uit de verdiepende interviews blijkt dat informatiemanagement in diverse organisaties binnen de IT-organisatie is gepositioneerd (en daar ook hiërarchisch aan rapporteert), maar feitelijk in klant/business gerichte teams met de business samenwerkt en op inhoudelijke aspecten (functioneel) rapporteert aan de business.
Verantwoording en rapportagelijnen
We hebben ook gekeken naar de MT’s waar informatiemanagement in participeert. Dit is ten opzichte van vorig jaar niet veel verschoven. De verdeling is weergegeven in Figuur 3.6.
Een ander belangrijk aandachtspunt voor de positionering van informatiemanagement zijn de rapportagelijnen en de management teams waarin informatiemanagement vertegenwoordigd is. Ten opzichte van vorig jaar zien we een kleine verschuiving qua rapportagelijnen. Het aandeel informatiemanagers dat zowel naar business als IT rapporteert is hetzelfde gebleven, maar het aandeel informatiemanagers dat rapporteert naar IT is licht gestegen (van 15% in 2013 naar 22% in 2014).
In Figuur 3.5 is de verdeling van de verantwoordingslijnen weergegeven.
Uiteindelijk is de wijze waarop informatiemanagement wordt gepositioneerd niet ‘goed’ of ‘fout’. Als er maar een onderbouwde argumentatie bestaat voor de gemaakte keuze en de gekozen inrichtingsprincipes consequent gehanteerd worden. Op deze wijze kan informatiemanagement ervoor zorgen dat informatie en IT binnen de organisatie efficiënter en effectiever ingezet wordt.
IM rapporteert aan...
19%
59% 22%
Business IT Business - IT
Figuur 3.5: Rapportagelijnen informatiemanagement Informatiemanagement onderzoek 2014
15
In welk MT participeert IM?
19%
56% 25%
Business IT Business - IT
Figuur 3.6: Participatie in MT’s
Focus en aandachtsgebieden Om een duidelijk beeld te krijgen van de activiteiten die door informatiemanagement worden uitgevoerd is gebruik gemaakt van het QIMM model dat in Hoofdstuk 2 is toegelicht. Hierbij is allereerst gekeken naar het percentage respondenten dat daadwerkelijk actief is op het betreffende aandachtsgebied. Uit het totaalplaatje blijkt dat de focus iets meer ligt op Strategisch- (‘Weten waar je naartoe wilt’) en Business (‘Weten wat je nodig hebt’) gerichte activiteiten en iets minder op de operationele (‘(be) houden wat je je hebt’) en IT-gerichte (‘krijgen wat je nodig hebt’) activiteiten. Dit is weergegeven in Tabel 3.2 en Figuur 3.7.
Deze afzonderlijke percentages geven echter nog geen inzicht hoe dit in samenhang met elkaar eruit ziet. Interessant is om te kijken welke combinaties van deze activiteiten binnen organisaties voorkomen. Als we per organisatie kijken welke activiteiten er uitgevoerd worden valt op dat: • In één derde van de organisaties alle (5) activiteiten door de informatiemanagementorganisatie worden uitgevoerd. • In 59% van de organisaties in ieder geval de Strategische (‘Weten waar je naartoe wilt’) en de Business (‘Weten wat je nodig hebt’) activiteiten door de informatiemanagementafdeling worden uitgevoerd. • Het percentage organisaties dat zich in ieder geval richt op de operationele activiteiten (‘(Be) houden wat je hebt’) 50% bedraagt
Hoofdonderwerpen IM
% IM actief
Weten waar je naartoe wil
70%
Weten wat je nodig hebt
73%
Krijgen wat je nodig hebt
64%
(Be)Houden wat je hebt
50%
Goede samenwerking
70%
Tabel 3.2: Verdeling hoofdonderwerpen informatiemanagement (volgens QIMM).
16
Quint Wellington Redwood
IV 1. Weten waar je naar toe wil
Strategie (Richten)
Structuur 2. Weten wat je nodig hebt (Inrichten)
Operatie (Verrichten)
Business
IT
Managen IV als asset
Business
5. Goede IT Alignment samenwerking
3. Krijgen wat je nodig hebt
4. (Be) Houden wat je hebt
Figuur 3.7: Verdeling informatiemanagement activiteiten
• Het percentage organisaties waar de informatiemanagementafdeling zich puur beperkt tot de Strategische (‘Weten waar je naartoe wil’) en de Business (‘Weten wat je nodig hebt’) activiteiten slechts 2,5% is. • Het percentage organisaties dat zich niet richt op de Strategische (‘Weten waar je naartoe wil’) en de Business (‘Weten wat je nodig hebt’) activiteiten 16% is. We zien hier dat de trend van de afgelopen jaren zich voortzet. De focus verschuift van operationele en IT-activiteiten naar strategische en business activiteiten. In de praktijk blijkt ook dat de operationele en IT-gerelateerde activiteiten vaak in een ander organisatieonderdeel (veelal IT) zijn ondergebracht en informatiemanagement Uit het onderzoek is naar voren gekomen dat de volgende factoren van invloed zijn op de inrichting en omvang van informatiemanagement: • Omvang van de organisatie; • Omvang IT-budget; • Organisatiestructuur informatiemanagement (centraal / decentraal); • Aard en complexiteit van het IT-landschap; • Informatie-intensiteit van de processen binnen de organisatie;
zich met name richt op Strategie (‘Weten waar je naartoe wil’) en Business (‘Weten wat je nodig hebt’).
3.3 Omvang en volwassenheid Dit jaar is niet in detail gekeken naar de omvang van informatiemanagement en is met name naar de volwassenheid van de informatiemanagementprocessen gekeken. De ervaring van afgelopen jaren is dat het verzamelen van voldoende kwalitatieve gegevens lastig is omdat er onvoldoende eenduidigheid over de benodigde definities (zoals rollen en functies) is. In de interviews hebben we wel gevraagd naar de factoren die van invloed zijn op de omvang van de informatiemanagementorganisatie. De factoren die in • Volwassenheid van de informatiemanagement– processen. In de markt is zichtbaar dat er behoefte is om het functioneel beheer en informatiemanagement te organiseren op basis van benchmarkgetallen. Hiervoor is al opgemerkt dat hierover geen generieke en algemeen geldende uitspraken zijn te doen. Verhoudingsgetallen zijn in dit verband het best beschikbare hulpmiddel, zoals bijvoorbeeld in een ontwikkelproces.
Kader 3.1: Factoren die de omvang van informatiemanagement bepalen Informatiemanagement onderzoek 2014
17
het onderzoek van 2013 naar voren zijn gekomen (zie inzet) worden nog steeds als richtinggevend beschouwd voor het bepalen van de omvang van een informatiemanagementafdeling. Ten aanzien van de volwassenheid van de informatiemanagementprocessen valt op dat deze vergelijkbaar en voor bepaalde processen zelfs iets lager zijn dan die van vorig jaar. De gemiddelde volwassenheid ligt op 2,15 (zie Tabel 3.3 voor de resultaten en het kader voor toelichting op volwassenheidsniveaus). Uit de gesprekken blijkt dat de informatiemanagers niet een expliciete focus of doelstelling
hebben om een bepaald volwassenheidsniveau te realiseren. De informatiemanagers zijn wel continu op zoek naar het mogelijkheden om de processen te optimaliseren, waarbij de focus ligt op tools en templates die in de uitvoering van de processen gehanteerd kunnen worden. Een voorbeeld hiervan is het informatieplanningsproces. Een traditionele benadering is om een uitgebreide analyse uit te voeren en dit vast te leggen in een onderbouwd plan, waarin ook de verschillende architecturen in detail worden uitgewerkt. Dit is een tijdrovend proces en strijdig met de huidige wens is om snel inzicht te
2011 Taak
2013
2014
Gem
Gem
Stdev
Gem
Stdev
2
1,4
1,2
1,4
1,1
Contracten
2,28
2,2
0,9
2,2
0,9
Kwaliteitsmeting
2,24
1,9
1,2
1,7
1,2
Monitoring dienstverlening
2,52
2,5
0,9
-
-
Samenwerking leveranciers
3,12
2,9
0,9
2,6
0,8
Sourcing
2,6
2,7
0,8
-
-
Architectuur
2,52
2,4
1,3
2,3
1,4
Projectportfolio management
3
2,4
1,8
2,4
1,3
Informatieplanningsproces
-
-
-
2,3
1,4
Requirementsmanagement
-
-
-
1,7
0,9
Gebruikersondersteuning
-
-
-
2,8
1,1
Baten management
Tabel 3.3: Volwassenheid informatiemanagementprocessen
Voor het volwassenheidsniveau maken we gebruik van de definities uit Cobit 5:
adjusted) and its work products are appropriately established, controlled and maintained.
• Incomplete process. The process is not implemented or fails to achieve its process purpose. At this level, there is little or no evidence of any systematic achievement of the process purpose.
• Established process. The previously described managed process is now implemented using a defined process that is capable of achieving its process outcomes.
• Performed process. The implemented process achieves its process purpose. • Managed process. The previously described performed process is now implemented in a managed fashion (planned, monitored and
Kader 3.2: Toelichting volwassenheidsniveaus
18
Quint Wellington Redwood
• Predictable process. The previously described established process now operates within defined limits to achieve its process outcomes. • Optimising process. The previously described predictable process is continuously improved to meet relevant current and projected business goals.
krijgen in de belangrijkste ontwikkelingen en van daaruit de uit te voeren projecten te bepalen (denk hierbij aan de noodzaak om wendbaar te zijn). De ervaring van Quint in het doen van Business Informatieplanning (BIP) stelt de strategie vast voor informatie en IT vanuit business-perspectief. Waar organisaties vroeger behoefte hadden aan een blauwdruk, hebben ze tegenwoordig behoefte aan richting. De omgeving van ondernemingen verandert in een hoog tempo en wordt ook nog eens steeds complexer. Een blauwdruk is onder die omstandigheden te star, nooit af en altijd achterhaald, maar aan richting is er meer behoefte dan ooit. Business Informatie Planning moet continu richting kunnen geven in een almaar veranderende wereld. Tegelijkertijd is BIP vaak een tijdrovend proces, zodat een BIP bijna altijd
workshop-achtige sessies (‘Informatieplanning in 1 dag’, zie kader 3.3) is dat snellere vormen van informatieplanning aansluiten bij de wens om sneller inzicht te verkrijgen. achterhaald is. En dus nutteloos. Tenzij we een BIP kunnen beperken tot de essentie… CIO’s die vaak beslissen op basis van intuïtie, hebben vaker succes dan CIO’s die besluiten op basis van feiten. Een informatieplan in één dag is op dat gegeven gebaseerd. In een workshop en onder strakke begeleiding wordt ruimte gecreërd voor goede ideeën, juist omdat de eerste indruk vaak de beste is. In de workshop is voldoende ruimte om goed na te denken, maar te weinig om die goede ideeën weer aan compromissen ten onder te laten gaan. Na precies één dag staat de essentie op papier: de redenering, de keuzes, de prioriteiten. Alles wat nodig is om te sturen.
Kader 3.3: Toelichting op IP in 1 dag.
3.4 Innovatie In paragraaf 2.2 is al naar voren gekomen dat innovatie van groot belang is voor de informatiemanager om zijn organisatie naar een hoger plan te tillen. Het Quint Research Center definieert innovatie als: “sprongsgewijze verandering of verbetering”. Innovatie onderscheidt zich daarmee van evolutionaire vernieuwing en “onderhoud”. In het onderzoek is allereerst ingegaan op de vraag voor welk doel innovatie binnen de organisatie wordt ingezet en daarnaast is aandacht besteed aan de wijze waarop innovatie tot stand komt: wie neemt het initiatief, is er een innovatieproces en welke rol speelt informatiemanagement in dat proces.
Net als afgelopen jaar, worden verbeteren van de kwaliteit van producten en diensten en het verlagen van de kosten, als de belangrijkste doelstellingen voor innovatie genoemd (zie Tabel 3.4). In vergelijking met afgelopen jaar wordt het verbeteren van samenwerking wel vaker genoemd en is dit in twee derde van de organisaties één van de doelstellingen voor innovatie. Uit de interviews blijkt dat het hebben van een innovatieproces of innovatiebeleid geen doorslaggevende succesfactor is voor het bevorderen van het innovatievermogen. Het creëren van een innovatief klimaat door een hierop gerichte
Doel innovatie
%
Verbetering van service aan klanten
77%
Kwaliteit van diensten en/of producten verbeteren
74%
Lagere kosten
68%
Samenwerking (intern, extern, keten) verbeteren
66%
Aanbieden van nieuwe producten en/of diensten
55%
Wendbaarheid vergroten
54%
Omzet vergroten
30%
Duurzaamheid (ecologische belasting van producten of diensten van uw organisatie)
28%
Tabel 3.4: Doelstellingen voor innovatie Informatiemanagement onderzoek 2014
19
bedrijfsstrategie daarentegen wel. Hoewel minder dan een kwart van de respondenten aangeeft dat er een innovatieproces in de organisatie aanwezig is, vormt dit geen belemmering is voor het doorvoeren van innovaties in de overige 75% van de organisaties. Ten aanzien van de rol die informatiemanagement hierbij inneemt, moet worden geconstateerd dat deze rol in een groot deel van de gevallen als “volgend” of als deelnemer wordt gekenschetst (totaal 48%). In 17% van de gevallen vervult informatiemanagement de rol van trekker of eigenaar, dit is een lichte stijging t.o.v. vorig jaar toen dit 12% was. Wat opvalt is dat bij het initiëren of doorvoeren van innovaties er nog weinig gebruik wordt gemaakt van de mogelijkheden die ‘social business’ biedt. Minder dan een kwart van de organisaties geeft aan dat ze gebruik maken van social media, interactieve platforms of de crowd.
3.5 Succesfactoren en belang voor de business Net als vorig jaar is specifiek gevraagd naar de successen die informatiemanagement heeft gerealiseerd. Waar we vorig jaar met name gevraagd hebben naar specifieke successen hebben we dit jaar gestructureerd gevraagd naar successen op bepaalde gebieden. Vorig jaar kwam naar voren dat de concrete successen zich met name richtten
op de strategische aspecten zoals architectuur, portfoliomanagement en informatieplanning en er ook meer focus lag op de business aspecten zoals integratie van processen, verbeteren van (digitale) dienstverlening en time to market. Dit beeld wordt dit jaar bevestigd (zie Figuur 3.8). Ten aanzien van de successen zet de trend van vorig jaar zich dit jaar door (zie Figuur 3.8). Veel respondenten (> 50%) noemen successen op het gebied van strategie, informatieplanning en project portfoliomanagement. Successen op het gebied van kostenbesparing en het verbeteren van de stabiliteit worden minder (25%) genoemd. Naast successen die informatiemanagement heeft bereikt is dit jaar ook specifiek gevraagd naar het belang dat de business in bepaalde aspecten toekent (zie Tabel 3.5). Wat hierbij opvalt is dat de aspecten die te maken hebben met het ondersteunen van de huidige processen en organisatie (betrouwbaarheid en continuïteit) zeer belangrijk worden gevonden en dat aspecten als wendbaarheid en innovatie daar minder hoog op scoren. Daarnaast is ook de hoge score van het aspect vertrouwelijkheid opvallend. Dit bevestigt de trend dat het aandachtsgebied IRM ook vanuit de informatiemanagementdiscipline steeds meer aandacht krijgt en ook steeds belangrijker wordt gevonden (zie ook Hoofdstuk 2).
Successen IM
Figuur 3.8: Successen van informatiemanagement
20
Quint Wellington Redwood
Aspect
Zeer belangrijk
Belangrijk
Enigszins belangrijk
Niet belangrijk
Betrouwbaarheid
66%
31%
3%
0%
Continuïteit
58%
38%
4%
0%
Vertrouwelijkheid
45%
38%
15%
1%
Wendbaarheid
21%
41%
34%
4%
Efficiëntie
20%
56%
23%
1%
Effectiviteit
20%
58%
21%
1%
Innovatie
13%
44%
41%
3%
Tabel 3.5: Belang aspecten voor business
3.6 Onzekerheid en wendbaarheid Wendbaarheid is het vermogen van richting te veranderen, wanneer dat noodzakelijk is. Innovatie kan daartoe een middel zijn, maar de focus bij wendbaarheid betreft het aanpassingsvermogen aan de veranderende omstandigheden. Enerzijds heeft dit te maken met het “sensen” van de omgeving, met betrekking tot deze aanstaande veranderingen (hoe vroeger waargenomen, hoe meer tijd de onderneming heeft om te reageren), anderzijds heeft dit te maken met de snelheid van besluitvorming en de executie van een besluit. In dat kader kan onderscheid worden gemaakt in strategische wendbaarheid (om zich
te kunnen herpositioneren in nieuwe markten), tactische wendbaarheid (om zicht te kunnen herpositioneren binnen een bestaande markt) en operationele wendbaarheid (het snel kunnen reageren op operationele veranderingen). Net als afgelopen jaar hebben we gekeken of de gepercipieerde behoefte aan wendbaarheid is toegenomen of afgenomen. In vergelijking met vorig jaar is het totaal beeld dat deze behoefte is afgenomen (zie Tabel 3.6). Waar vorig jaar werd aangegeven dat deze behoefte in 79% van de organisaties is toegenomen is dit nu gedaald naar 68%.
Behoefte aan wendbaarheid
2013
2014
Sterk toegenomen
32 %
19 %
Toegenomen Gelijk gebleven
47 % 22 %
49 % 23 %
Afgenomen
3%
10 %
Sterk afgenomen
3%
0%
Tabel 3.6: Behoefte aan wendbaarheid
3.7 Architectuur In de praktijk zien we een steeds grotere samenhang tussen informatiemanagement, architectuur en IRM. Dit jaar hebben we daar in het onderzoek ook specifiek aandacht aan besteed. Ten aanzien van architectuur is enerzijds gekeken naar de vormen van architectuur die gehanteerd worden, maar ook naar de toepassingsgebieden en de wijze waarop architectuur binnen de organisatie wordt toegepast.
Uit de vragenlijst blijkt dat er ten aanzien van architectuurvorm meer focus ligt op de technische architecturen (infrastructuur en applicaties) en minder op informatie en enterprise architectuur (zie Tabel 3.7 voor resultaten en Kader 3.4 voor toelichting). Dit wordt ook bevestigd door de toepassingsgebieden van de verschillende architecturen (zie Tabel 3.8). Hier valt op dat in het merendeel (78%) van de organisaties architectuur wordt gebruikt om sturing te geven aan de ontwikkelingen op infrastructuur en technisch gebied, hetgeen ook in overeenstemInformatiemanagement onderzoek 2014
21
Architectuurvorm
Percentage
Infrastructuur architectuur
76%
Applicatie/data architectuur
63%
Informatie architectuur
50%
Enterprise architectuur
43%
Anders
9%
Tabel 3.7: Architectuurvormen die toegepast worden
Architectuur heeft verschillende verschijningsvormen, allemaal met eigen voordelen en karakteristieken. Analyseren, conceptualiseren en visualiseren zijn de instincten van de architect van vandaag. En zet je een paar architecten bij elkaar, dan kunnen ze heel snel virtueel opschakelen en de complete wereld van morgen definiëren. Enterprise Architectuur vormt hier wellicht de eredivisie. Met
een redelijk arsenaal aan methodes en gereedschappen komen er dan doorsnedes over bijna elke gewenste dimensie. Als Quint hanteren we de volgende definitie van architectuur: “De fundamentele organisatie van een systeem bestaande uit haar componenten, hun relatie met elkaar en de omgeving en de principes die haar ontwerp en evolutie richting geven”
Kader 3.4: Architectuurvormen
ming is met het hiervoor genoemde percentage van organisaties die zich richten op infrastructuur architectuur. Daarnaast wordt architectuur ook veel (71%) gebruikt om sturing te geven aan de ontwikkelingen in de informatievoorziening. In het geval dat de organisatie wil sturen op de inrichting van de informatievoorziening (bestaande uit data en applicaties) is kennis van en aandacht voor applicatie- en data-architectuur noodzakelijk. Het percentage organisaties dat architectuur inzet om sturing te geven aan de ontwikkelingen in de bedrijfsvoering (organisatie, processen en producten) is nog laag (18%), hetgeen ook een verklaring is voor het beperktere gebruik van Enterprise architectuur. Als we vervolgens kijken op welke wijze de architect en architectuur binnen de organisatie en de toepassingsgebieden wordt ingezet (zie Tabel 3.9) valt op dat dit zich met name (60 %) richt op de Toepassingsgebied
begeleiding en ondersteuning van bouwprojecten. Dit wordt veelal vormgegeven door een projectarchitect aan het project te koppelen en middels een PSA (Project Start Architectuur) een vertaling te maken van de generieke architectuur naar het project (zie Figuur 3.9). Daarnaast komt naar voren dat architectuur in veel gevallen (meer dan 50%) wordt gebruikt voor het adviseren van management bij inhoudelijke vraagstukken en in het opstellen van de toekomstvisie of strategie (middels een IT/IV strategie of een informatieplan). Uit de gesprekken blijkt dat de architect daarbij met name ondersteunt in de visie en inrichting op de gebieden die eerder al als aandachtsgebieden naar voren kwamen (infrastructuur, applicaties en data) en minder op het visie en inrichting van de bedrijfsvoering. Een voorbeeld van advisering van het management is ondersteuning bij investeringsbeslissingen, waarbij
Percentage
Infrastructuur en techniek
78%
Informatievoorziening
71%
Bedrijfsvoering
18%
Anders
8%
Tabel 3.8: Toepassingsgebied architectuur
22
Quint Wellington Redwood
Rol
Percentage
Begeleidt en ondersteunt (bouw)projecten
60%
Adviseert over inhoudelijke vraagstukken
58%
Ontwikkelt mee aan de toekomstvisie
51%
Bedenkt nieuwe concepten / highlevel designs
39%
Houdt ontwerp- en architectuurdocumenten bij en actualiseert deze
39%
Toetst resultaten
29%
Anders
10%
Tabel 3.9: Architectuur speelt de volgende rollen binnen de organisatie:
Betrokkenheid bij projecten 11% 11% 43% 15%
20%
Allen grotere projecten worden onder architectuur uitgevoerd Het architectuurteam ondersteund alle projecten Alle of het meredeel van de projecten wordt niet onder architectuur uitgevoerd Er is aparte projectarchitect, die een PSA schrijft Alleen de deliverables van projecten worden getoetst onder architectuur
Figuur 3.9: De rol van de architect bij projecten
de architect de ICT technische implicaties van een project in kaart brengt die vervolgens meegenomen worden in de business case.
3.8 Information Risk Management: Vertrouwelijkheid en privacy Om een beter beeld te krijgen van de wijze waarop informatiemanagement omgaat met IRM in het algemeen en het aspect vertrouwelijkheid en privacy in het bijzonder, is dit in het onderzoek meegenomen. Wat opvalt is dat het overgrote deel van de organisaties (> 90%) te maken heeft met persoonsgegevens die vallen onder de wet
bescherming persoonsgegevens (WBP). Dit geeft aan dat men zich bewust is van het feit dat dit specifieke aandacht behoeft, maar dat hier nog lastig invulling aan gegeven kan worden aangezien net iets meer dan de helft (54%) van de respondenten aangeeft op de hoogte te zijn van de WBP en een minderheid (25%) goed op de hoogte is van de aankomende verandering op dat gebied. Aangezien de financiële (boetes) en imago schade bij het niet juist omgaan met persoonsgegevens groot zijn en dit dus voor organisaties een risico vormt, is dit een belangrijk aandachts- en ontwikkelgebied voor de komende periode.
Informatiemanagement onderzoek 2014
23
4. Conclusies In Hoofdstuk 3 zijn de afzonderlijke onderzoeksresultaten weergegeven en besproken. De belangrijkste en meest opvallende conclusies worden hieronder opgesomd en toegelicht en geven richting aan de informatiemanagement functie en de informatiemanagers.
Conclusie 1: Steeds meer focus van IM op Strategie en Business De constatering dat in 70% van de organisaties de focus ligt op de strategische en business gerichte activiteiten bevestigt de trend dat informatiemanagement zich steeds meer richt op de business en steeds meer aandacht besteed aan het leveren van toegevoegde waarde in business termen. Door nauw samen te werken met de business stakeholders kan informatiemanagement daadwerkelijk de business inspireren en de informatievoorziening inzetten om de business nog succesvoller te maken. De noodzaak voor samenwerking met de business wordt ook in het merendeel van de organisaties onderkend.
Conclusie 2: IM niet volwassener geworden? De constatering dat dat de volwassenheid van IM-processen gemiddeld gelijk is gebleven ten opzichte van 2013 lijkt erop te duiden dat professionalisering van IM processen geen focus heeft. Als we echter verder kijken blijkt dat er voldoende basis is om de processen professioneel uit te voeren. De processen bevinden zich op een volwassenheidsniveau 2 hetgeen betekent dat de processen zodanig zijn ingericht dat de benodigde producten op een gecontroleerde manier gerealiseerd kunnen worden. Dit geeft de informatiemanager ruimte om de aandacht te richten op de samenwerking met de business en een strategische bijdrage te leveren aan het succes van de organisatie. Hoewel deze strategische inbreng van groot belang is, is het net zo belangrijk dat IM op passende wijze blijft werken aan de inrichting van de processen, om continue verbetering te realiseren. Hogere volwassenheid duidt dan niet zozeer op meer formele en beschreven processen, maar op het consequent uitvoeren en herijken van deze processen.
Conclusie 3: Technische architec– tuur vs. Informatie architectuur Architectuur is in het onderzoek van 2014 voor het eerst uitgebreid als aandachtsgebied meegenomen. 24
Quint Wellington Redwood
Uit de resultaten blijkt dat de technische architectuurvormen (infrastructuur architectuur en applicatie-/ data architectuur) het meest voorkomend zijn in organisaties. De meer business-gerichte vormen van architectuur (informatie en enterprise architectuur) blijven hierbij nog achter. De toenemende aandacht van IM voor business en strategie en de nauwere samenwerking tussen IM en architectuur zijn een belangrijke driver om binnen de architectuur discipline ook meer aandacht te besteden aan enterprise architectuur. De technologische mogelijkheden bieden hiervoor ook de ruimte. Door de toe toenemende beweging richting de Cloud zal het belang van de technische architecturen minder worden en de focus meer op integratie en dus op enterprise architectuur komen liggen.
Conclusie 4: Innovatie nog te traditioneel en teveel van binnenuit gedreven Innovatieprocessen leveren te weinig op. Om innovatie succesvol te maken is een uitwisseling van ideeën en mogelijkheden van groot belang. De informatiemanager speelt hierin een steeds belangrijkere rol, maar de mogelijkheden die er momenteel zijn om van buitenaf ideeën en mogelijkheden op te pikken wordt nog te weinig gebruikt. Door meer gebruik te maken van social media, interactieve platforms of de crowd kan de informatiemanager gechallenged worden met nieuwe ideeën die het onderscheidend vermogen van de organisatie kunnen vergroten.
Conclusie 5: Vertrouwelijkheid van data steeds belangrijker, kennis op dit gebied blijft achter De constatering dat de onderwerpen continuïteit en vertrouwelijkheid door de business als belangrijk worden aangemerkt bevestigt de trend dat de aandachtsgebieden security en information risk management (IRM) steeds belangrijker worden. Daarnaast blijkt dat deze onderwerpen ook op de agenda van de informatiemanager staan, maar dat de benodigde kennis vanuit de IM-discipline ten aanzien van deze onderwerpen nog beperkt is. Gelet op de risico’s die te maken hebben met bijvoorbeeld de bescherming van persoonsgegevens is het voor de informatiemanager cruciaal om kennis op dit gebied te organiseren.
5. Doorkijk naar 2015: Samenwerking cruciaal We zien dat de wereld snel en ingrijpend verandert, hierbij spelen een aantal ontwikkelingen een belangrijke rol: 1. Technology push: cloud technologie, mobile. 2. Information push: big data, business intelligence, door data gedreven, personificerende processen, internet of things; 3. Society push of de crowd push: social media, de crowd die de expert vervangt. Allemaal veranderingen die nauw zijn verbonden met informatie en IT, waarbij de juiste inzet hiervan bepalend is voor het succes van een organisatie. Zoals we in dit onderzoek hebben aangegeven is samenwerking tussen de disciplines Informatiemanagement (IM), Architectuur en Information Risk Management (IRM) cruciaal. Door deze multidisciplinaire samenwerking (‘CIO Office 2020’) goed vorm te geven zijn beslissers binnen organisaties in staat om richting te geven, kaders te stellen en een balans te vinden tussen kansen en risico’s. Hiermee is de organisatie in staat om de juiste koers te varen en ervoor te zorgen dat informatie en IT optimaal bijdraagt aan het succes van de organisatie. Door in samenwerking invulling te geven aan de stappen ‘Denken’, ‘Durven’ en ‘Doen’ stellen IM, architectuur en IRM de organisatie in staat om koers te bepalen en te houden.
denken durven doen 1. Denken. Ervoor zorgen dat er een praktische visie en strategie wordt omgezet naar een realistisch en haalbaar actieplan (zie kader 4.1). 2. Durven. Ervoor zorgen dat de strategie en het actieplan ook daadwerkelijk wordt omgezet in acties die gerealiseerd worden. 3. Doen. Ervoor zorgen dat de organisatie inhoudelijk de regie kan nemen om met nieuwe technologie, samenwerken in ketens en een toenemende mix van intern en extern betrokken diensten vragen om te kunnen gaan. Voor de afzonderlijke disciplines IM, architectuur en IRM betekent dit wel een duidelijke focus waarbij informatiemanagement de lead moet nemen bij innovaties, architectuur de stap naar business moet maken en IRM naast risico’s ook nadrukkelijk naar opportunity’s moet kijken.
Om een realistisch actieplan op te stellen hanteren we als Quint de volgende 10 principes:
4. De driehoek IM/architectuur en IRM is responsible.
1. Stel je zelf regelmatig de vraag waar ben je van?
5. Voor een actieplan is samenwerking cruciaal en dit is een teamsport.
2. Strategie is een voortdurende bezigheid
6. Zorg voor een bewuste balans tussen Betrouwbaarheid, Efficiëntie, Effectiviteit, Wendbaarheid en Innovatief vermogen.
3. De strategische agenda bestaat uit: • Inzicht in de knelpunten en ambities. • Een architectuur die richting geeft aan het realiseren van ambities en het oplossen van knelpunten. • Een veranderportfolio waarin knelpunten worden opgelost en ambities worden gerealiseerd.
7. Architectuur = beleid. 8. Risk management richt zich op bedreigingen én opportunities. 9. Verkaveling maakt overzichtelijk. 10. IT-issues bestaan niet.
Kader 4.1: Principes voor een actieplan Informatiemanagement onderzoek 2014
25
1. Architectuur moet de stap naar de business maken Architectuur moet zich steeds meer richten op informatie- en enterprise architectuur om zo ook sturend te zijn voor de business. Door gebruik te maken van de technologische mogelijkheden van bijvoorbeeld cloud oplossingen, is een grote mate van standaardisatie te realiseren. Hiermee kan de architect zich gaan richten op het integreren van oplossingen in plaats van het ontwerpen van oplossingen. Daarnaast biedt dat de architect ook de ruimte om zich te richten op verbeteringen in de business en de processen. Dit betekent dat de architect proactief van mogelijkheden voor standaardisatie aandraagt en vervolgens met de IM, IRM en de business gaat kijken naar de integratie en de inzet hiervan. Dit betekent voor de architect dat er naast kennis van de technologie ook kennis van de (business) processen noodzakelijk wordt.
2. IRM moet de balans bewaken tussen kansen en risico’s In old school IRM zijn de doelstellingen voor security het borgen van Beschikbaarheid, Integriteit en Vertrouwelijkheid. Hierbij wordt genegeerd dat het borgen van bijvoorbeeld vertrouwelijkheid ten koste gaat van efficiency en effectiviteit. Dit is één van de redenen dat IRM niet apart te organiseren is en iedere dag zien we bij onze klanten tot wat voor onwerkbare situaties het leidt als je dat wel doet. IRM moet zich echter naast Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) nadrukkelijk bezig houden met effectiviteit
26
Quint Wellington Redwood
en efficiency. Dit betekent dat IRM inzichtelijk moet maken welke kansen en risico’s er zijn zodat er een afgewogen besluit genomen kan worden hoe met deze risico’s en kansen wordt omgegaan. Security mag geen belemmering vormen voor de doelstellingen van een organisatie, anders ia security een risico. Als wendbaarheid steeds meer een strategische doelstelling is, moet je als organisatie, ondanks security, nog steeds razendsnel op veranderingen kunnen inspringen om kansen te kunnen grijpen.
3. IM moet het initiatief nemen bij innovaties Om innovaties mogelijk te maken is een innovatief klimaat noodzakelijk. Drie belangrijke elementen beïnvloeden de informatiemanager: 1. Creëer urgentie voor verandering. 2. Zorg voor diversiteit, ook wel veelzijdigheid. 3. Zorg voor verbinding binnen en buiten de organisatie en stimuleer het gebruik van platformen zodat er uitwisseling en adoptie van ideeën ontstaat en er geëxperimenteerd kan worden met deze ideeën. Continue aandacht voor deze elementen leidt tot het gewenste innovatieve klimaat en daarmee tot echte innovatie. In ons onderzoek van 2015 richten we ons specifiek op de samenwerking tussen IM, architectuur en IRM en kijken welke stappen hierin gezet zijn en welke concrete ervaringen en resultaten dit heeft opgeleverd!
Verder lezen Whitepapers van het Quint Research Center: Onderzoeksrapport Informatiemanagement 2009. Onderzoeksrapport Informatiemanagement 2010. Onderzoeksrapport Informatiemanagement 2011. Onderzoeksrapport Regie: Trends & ontwikkelingen 2011. Onderzoeksrapport Informatiemanagement 2013. Informatie Management is een Teamsport, 2014 Bart Stofberg. Privacy in de Cloud, 2014, Rolf Kuijpers. Cloud Readiness Assessment, 2014, Alfred de Jong.
Artikelen & websites Abcouwer, A. W., Truijens, J., & Gels, H. (2006). Informatiemanagement en Informatiebeleid. Den Haag: SDU. Toon Abcouwer & Tanja Goense, De dynamiek van organisatieverandering en de impact op IM, Informatie, juli-augustus 2010. Roel de Graaf & Niels Loader, Informatiemanagement: een goed begin met een lange weg te gaan, Informatie, juni 2009. Roel de Graaf & Mark Kahlmann, Tijd voor informatieplanning, Informatie, april 2010. Luftman, J., & Ben-Zvi, T. (2010). Key issues for IT executives 2010: judicious IT investments continue post-recession. MIS Quarterly Executive, 9(4), 263-273. Luftman, J., & Ben-Zvi, T. (2011). Key issues for IT executives 2011: Cautious optimism in Uncertain Economic Times. MIS Quarterly Executive, 10(4), 203-212. Corné Pol: IT & strategische focus: Een pijnlijke spagaat, TIEM, februari 2010. Quint IM blog: http://quintinformatiemanagement.net/. Wiki: The adaptive Cycle: www.adaptivecycle.nl. Bart Stofberg, De toekomst van de IT-organisatie. 7-delige serie artikelen in ICT Magazine. Bart Stofberg, Hans Smorenburg en Leo Oudshoorn, bijdragen aan Liber Amicorum voor Remco van der Pols, 2012. Toon Abcouwer & Tanja Goense, Balanceren tussen innovatie en traditie, Informatie, januari-februari 2013. Jan Hendriks, Hans Smorenburg, Bart Stofberg, Lean informatiemanagement: Wendbaarder, sneller, goedkoper, Tijdschrift voor IT Management, november 2012. Leo Oudshoorn, Tanja Goense en Toon Abcouwer, Meer aandacht voor innovatie en Businesswaarde’, Tijdschrijft voor IT Management, jaarboek 2012. Ronald Israels, Juriaan Rijnbeek en Hans Smorenburg, Crowdsourcing, de nieuwe manier van outsourcing, Outsourcingsmagazine Jaarboek 2013. Jan Hendrik, Hans Smorenburg en Bart Stofberg, Lean Information Management, Tijdschrift voor IT Management, november 2012. Dragana Mijatovic en Hans Smorenburg, Lean Visual management, Tijdschrift voor IT Management, juni/juli 2012. Informatiemanagement onderzoek 2014
27
Hans Smorenburg, Innovatie in de “Connected World; de uitdaging voor elke adviesorganisatie.” Thesis EMIM, 2012. Jolanta Woś, The application of Edge of Chaos in Scenario Planning practices for ICT sector, Master Thesis of Master of Science Business Information Systems Track, University of Amsterdam. Bart Stofberg, Artikelen reeks Het ZieQenhuis, ICT magazine, 2014. Frank de Vries en Martijn Veldkamp, CIO kies Hybride Model, 2014, CIO Magazine, augustus 2014. Frank de Vries en Maurice Boon, De Volwassenheid en toepasbaarheid van Cloud Sourcing, Informatie, 2011. Bart Stofberg, Calculerend gedrag, ICT magazine, 2014. Bart Stofberg, Serie artikelen Crowd of Out, ICT magazine, 2014. Bart Stofberg en Eelco Rouw, Nieuwsgierigheid is de 5e productie factor, ICT magazine, 2014. Rob Swinkels en Mark de Bruin, De Architect van de Toekomst, Informatie, 2014. Tanja Goense en Toon Abcouwer (UvA), Balanceren tussen innovatie en traditie, Informatie, 2014. Alfred de Jong en Eelco Rouw, Serie artikelen Bring Youw Own Device, Informatie, 2013.
Quint Wellington Redwood (kortweg Quint) is een onafhankelijk boutique adviesbedrijf. Al sinds 1992 richt onze portfolio zich op adviezen en opleidingen op gebied van het inrichten en optimaliseren van IT intensieve pro‑ cessen, -dienstverlening en -organisaties. Quint levert zelf geen IT diensten. Wij zien het als onze taak en uitdaging om onze opdrachtgevers te helpen om het maximale uit hun bestaande en nieuwe IT te halen. We leveren onze adviesopdrachten op basis van resultaatverantwoordelijkheid. Hierbij richten we ons op: • het effectief sourcen van IT intensieve processen en diensten (Sourcing Advies) • het optimaal en compliant inrichten van IT processen (IT Service Management) • het implementeren en vooral verankeren van klantgericht en effectief werken (Lean IT) • het outputgericht en effectief aansturen van IT Demand & IT Supply (IT Governance en Regie) • de stuurbaarheid van de marktconformiteit van geproduceerde en/of ingekochte IT producten en diensten (Benchmarking)
© Copyright 2014, Quint Wellington Redwood. All rights reserved. No part of this publication may be reproduced, transferred and/or shown to third parties without prior written consent of The Quint Wellington Redwood Group. Please Recycle
28
Quint Wellington Redwood
• de veilige en toekomstvaste inrichting van IT (Architectuur en Security) • het opzetten en invullen van succesvol informatiemanagement (Informatie Management) Quint is een mensenbedrijf. Onze medewerkers en onze klanten zijn onze grootste waarden. Open communicatie, transparantie in het scheppen en waarmaken van verwachtingen en het ‘samen uit, samen thuis’ gevoel zorgen ervoor dat zowel medewerkers als ook klanten zich thuis en gewaardeerd voelen bij Quint. Ons motto is ‘Dare to Challenge’ Vanuit dit motto dagen we onszelf maar ook onze opdrachtgevers uit om continu te verbeteren. Als bewijs voor deze drive en om onze betrokkenheid aan onze opdrachtgevers te tonen, contracteren we onze diensten op basis van de resultaten en/of waarde die we leveren. Quint committeert zich aan uw succes. De verbeteringen die we leveren worden ondersteund vanuit onze best practices. Deze best practices en vooral het delen ervan met onze klanten ,vormen het bewijs van onze thought leadership en dit heeft onder meer geleid tot de wereldwijde nummer 1 positie als onafhankelijke outsourcingsadviseur (IAOP ranking 2014).
Quint Wellington Redwood Quint Research Center De Oude Molen 1, 1184 VW Amstelveen The Netherlands Tel: +31 (0) 20 305 37 00, Fax: + 31 (0) 20 305 37 01 www.quintgroup.com
[email protected]