ITAG RESEARCH INSTITUTE

ITAG RESEARCH INSTITUTE

IT Governance & Business/IT Alignment Maturiteit gemeten in de Belgische financiële sector Steven De Haes Wim Van Grembergen

In het doctoraal onderzoek recent afgerond op UAMS komen Steven De Haes en Wim Van Grembergen tot de conclusie dat de Belgische financiële sector het niet zo slecht doet inzake IT governance en de afstemming van hun IT departement op de bedrijfsnoden (business/IT alignment). Dit thema staat hoog op de agenda in veel organisaties, zeker in de financiële wereld aangezien hun bedrijfsprocessen zeer afhankelijk zijn van IT en vermits een aanzienlijk deel van het operationele budget wordt besteed aan IT. De prangende vraag die dan naar boven komt, is hoe een bedrijf zich kan organiseren om ervoor te zorgen dat de grote investeringen in IT tegemoet komen aan de vragen van de organisatie. UAMS onderzocht welke IT governance mechanismen een organisatie in de praktijk kan inzetten en wat de impact ervan is op business/IT alignment. Enkele highlights uit het onderzoek…

www.uams.be/itag

1/6www.uams.be/itag

IT Governance & Business/IT Alignment Maturiteit in de Belgische financiële sector

2/6

Volgens de theorie… In veel organisaties staat IT governance hoog op de agenda, maar de uitdaging is groot om dit concept concreet te maken in de dagdagelijkse werking van de organisatie. Uit literatuur kunnen we afleiden dat IT governance kan worden uitgerold door gebruik te maken van een mix van verscheidene structuren, processen en relationele mechanismen, zoals voorgesteld in Figuur 1. Figuur 1: IT governance structuren, processen en relationele mechanismen Structuren

Processen

IT governance

Relationele mechanismen

Structuren behandelen het bestaan van verantwoordelijke functies, zoals IT directeuren en een reeks comités en raden. Processen verwijzen naar strategische besluitvorming en opvolging, zoals het continu meten en evalueren van de performantie van IT. Relationele mechanismen gaan over zaken zoals partnerships tussen IT en de organisatie, actieve participatie van alle betrokken partijen, strategische dialoog en gezamenlijk leren. Het basisidee bij dit laatste is dat een organisatie alle “harde” IT governance processen en structuren kan hebben geïmplementeerd, maar dat het geheel niet functioneert omdat de IT medewerkers eenvoudigweg de businessmensen niet begrijpen, of omdat beide partijen niet met elkaar (willen) samenwerken. Om het geheel te laten functioneren is het dus van groot belang om ook het relationele “zachte” aspect goed te beheren. Het vinden van de juiste combinatie van structuren, processen en relationele mechanismen zal natuurlijk afhangen van een reeks externe en interne factoren zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Het is dan ook vanzelfsprekend dat wat werkt voor de ene organisatie, daarom nog niet werkt voor andere organisaties. Verschillende organisaties zullen dus een verschillende mix nodig hebben van structuren, processen en relationele mechanismen. De ultieme doelstelling van IT governance het bereiken van een voldoende graad van business/IT alignment. Een goede combinatie van IT governance structuren, processen en relationele mechanismen moet dit dus mogelijk maken. Een belangrijk punt is dat we in dit onderzoek de IT governance aanpak als een holistisch geheel bekijken. We onderzoeken dus niet de impact van individuele structuren of processen op business/IT alignment, maar bekijken eerder of een geheel van beste praktijken tezamen een betere graad van alignering mogelijk maken. …en de resultaten uit wetenschappelijk praktijkonderzoek De Belgische bankwereld scoort relatief goed inzake business/IT alignment In dit onderzoek werd business/IT alignment gemeten in 10 representatieve Belgische financiële organisaties. In elk van die organisaties werd gevraagd aan 10 business en IT managers om een vragenlijst in te vullen opgebouwd uit 22 attributen, om de business/IT alignment maturiteit te meten. Uit de resultaten bleek dat de gemiddelde business/IT alignment maturiteit in de Belgische financiële sector zich bevindt op 2,69 op een schaal van vijf. Vergeleken met gelijkaardige studies is dit een relatief goede score, hoewel moet worden gesteld dat andere studies resultaten bekijken over

www.uams.be/itag

2/6www.uams.be/itag

IT Governance & Business/IT Alignment Maturiteit in de Belgische financiële sector

3/6

verschillende sectoren, en we toch voor de financiële sector een hogere maturiteit dan gemiddeld verwachten. G F Business/IT alignment maturity for Belgian Financial Sector (on a scale of 5)

IT governance alignment

praktijken

<< 1,8

A B 1,9

hebben

2,0

2,1

een

2,2

C D E 2,3

2,4

2,5

positieve

2,6

2,7

H 2,8

impact

2,9

3,0

op

I

J

3,1

3,2

>> 3,3

3,4

3,5

business/IT

In de bovenstaande business/IT alignment benchmark is verder onderzoek gedaan in de extreme cases. Meer bepaald werd getracht een verklaring te zoeken waarom organisaties A-B zo laag scoorden en organisaties I-J zo hoog scoorden in termen van business/IT alignment. Deze verklaring werd gezocht door te meten hoe deze organisaties een set van IT governance praktijken inzetten. Meer specifiek werd de maturiteit gemeten van 33 IT governance praktijken, die eerder uit case research en bevraging bij experten waren geïdentificeerd (zie onderstaande tabel)

Belangrijk om te vermelden is dat in dit onderzoek geen operationele praktijken werden meegenomen (bv. ITIL), maar enkel werd gekeken naar praktijken op het management (senior management en directiecomité) en strategisch niveau (raad van bestuur) van een organisatie. Dat betekent ook dat dit onderzoek ervan uitgaat dat de operationele processen en structuren reeds een zeker maturiteit moeten hebben vooraleer men aan de hogere niveaus kan werken. Uit het onderzoek bleek duidelijk dat de vier extreme gevalstudies veel van deze praktijken inzetten, maar dat de beste gealigneerde organisaties duidelijk meer mature IT governance praktijken hadden en de minst gealigneerde organisaties minder mature praktijken. (zie onderstaande figuur)

www.uams.be/itag

3/6www.uams.be/itag

3,6

IT Governance & Business/IT Alignment Maturiteit in de Belgische financiële sector

4/6

In dit resultaat wordt dus een duidelijke relatie vastgelegd tussen IT governance en business/IT alignment. Uit het onderzoek blijkt verder dat het gebruik van deze IT governance praktijken enkel maar een positief effect zal hebben op business/IT alignment als ze toegepast zijn op minimaal een maturiteitsniveau 2. Ook werd vastgesteld dat de belangrijkheid van relationele mechanismen afneemt over de tijd. Mechanismen zoals training en awareness campagnes zijn vooral van belang bij het initiëren van IT governance concepten in de organisatie, maar zodra de processen en structuren ingebed raken in de dagdagelijkse werking, worden deze relationele mechanismen uiteraard minder belangrijk. Op zoek naar de minimale set van IT governance praktijken Het belang van IT governance is in voorgaande duidelijk aangetoond, maar uiteraard erkennen we dat een organisatie niet zomaar alle 33 IT governance praktijken kan implementeren. Een belangrijke vraag in het onderzoek was dan ook of we een minimale set van praktijken konden definiëren die in elke organisatie nodig is. Op basis van de onderzoeksdata werden zeven IT governance praktijken geïdentificeerd als een “minimale” set van IT governance praktijken (key minimum baseline) voor een effectieve IT governance implementatie: Key minimum baseline for IT governance

IT Steering Committee IT Project Steering Committee Having the CIO reporting to the CEO/COO Portfolio Management IT Budget Control and Reporting Project Management Methodologies IT Leadership

Deze “minimale” set van IT governance praktijken moet aangevuld worden met andere elementen om op die manier een breder en vollediger IT governance raamwerk te hebben. Om deze aanvullingen te doen kan men in de eerste plaats focussen om die structuren, processen en relationele mechanismen die door een expert groep in het onderzoek werden gecatalogeerd als zijnde zeer effectief en relatief gemakkelijk te implementeren. Voorbeelden zijn “IT governance function /officer”, “service level management” en “business/IT account management.”, die allemaal terug te vinden zijn in het kwadrant rechts bovenaan in onderstaande figuur. De praktijken uit de key minimum baseline zijn terug te vinden in de bovenste gekleurde zone.

www.uams.be/itag

4/6www.uams.be/itag

High

IT Governance & Business/IT Alignment Maturiteit in de Belgische financiële sector

IT governance practices that are highly effective but difficult to implement

4,9

5/6

Key minimum baseline IT governance practices

4,8

S6

4,7 4,6 4,5 4,4 4,3 4,2

S1 S2 S3 S4

4,1 4

S5

3,9 3,8 3,7 3,6 3,5 3,4 3,3 3,2 3,1 3

Effectiveness

2,9

S6 S7 S8 S9 S10 S11 S12 P1 P2

2,8 2,7

P3

2,6 2,5 2,4 2,3 2,2 2,1 2 1,9 1,8 1,7 1,6 1,5 1,4 1,3 1,2 1,1

P4 P5 P6 P7 P8 P9 P10 P11 R1 R2 R3 R4 R5 R6

1 0,9 0,8 0,7 0,6

R7 R8 R9 R10

IT strategy committee at level of board of directors IT expertise at level of board of directors (IT) audit committee at level of board of directors CIO on executive committee CIO (Chief Information Officer) reporting to CEO (Chief Executive Officer) and/or COO (Chief Operational Officer) IT steering committee (IT investment evaluation / prioritisation at executive / senior management level) IT governance function / officer Security / compliance / risk officer IT project steering committee

S5 S4

P3

P8

P9 S9

P2 R8/R6 P1

R5 S1

R7

P5 R9

IT security steering committee Architecture steering committee Integration of governance/alignment tasks in roles&responsibilities Strategic information systems planning IT performance measurement (e.g. IT balanced scorecard) Portfolio management (incl. business cases, information economics, ROI, payback) Charge back arrangements - total cost of ownership (e.g. activity based costing) Service level agreements IT governance framework COBIT IT governance assurance and self-assessment Project governance / management methodologies IT budget control and reporting Benefits management and reporting COSO / ERM Job-rotation Co-location Cross-training Knowledge management (on IT governance) Business/IT account management Executive / senior management giving the good example Informal meetings between business and IT executive/senior management IT leadership Corporate internal communication addressing IT on a regular basis IT governance awareness campaigns

P6/P4

S8 S12 R4

S3

S2

S11 P10

S7 R3 R2 R10

P7

P11

R1

S10

IT governance practices that are highly effective and easy to implement

IT governance practices whose value is challenged

0,5

Low

0,4 0,3 0,2 0,1 0,1

0,2

0,3

0,4

0,5

0,6

0,7

0,8

0,9

11 Difficult to implement

1,0

1,1

1,2

1,3

1,4

1,5

1,6

1,7

1,8

1,9

2,0

2,1

2,2

2,3

2,4

2,5

2,6

2,7

2,8

2,9

Ease of implementation

3,0

3,1

3,2

3,3

3,4

3,5

3,6

3,7

3,8

3,9

4,0

4,1

4,2

4,3

4,4

4,5

4,6

Easy to implement

Stappen plan voor de praktijk Het is duidelijk dat er voor IT governance geen “silver bullet” aanpak bestaat. Elke organisatie zal zelf moeten definiëren wat het optimale IT governance raamwerk is. Op basis van de resultaten uit het onderzoek en de praktijkervaringen in de gevalstudies, werd volgende stappenplan opgesteld om in de praktijk met IT governance te starten: 1. identificeer een “IT governance” goeroe in de organisatie die er mee voor zorgt dat er voldoende sponsorship is op het niveau van business senior management 2. creëer betrokkenheid om alle niveaus in de organisatie, wat eventueel kan helpen is een “burning platform” 3. lanceer het IT governance project met een duidelijk project organisatie en project manager 4. beoordeel de huidige situatie (welke praktijken zijn er al) 5. definieer de gewenste situatie 6. start het IT governance initiatief met de implementatie van de zeven minimale IT governance praktijken 7. geef in het begin veel aandacht aan de relationele mechanismen (training, etc.) om weerstand te overwinnen 8. vul aan met andere IT governance praktijken in functie van grootte, cultuur, etc. en evolueer zo snel mogelijk naar maturiteitniveau 2. In het traject om IT governance te introduceren, zijn praktijkgerichte raamwerken zoals COBIT en VALIT ook zeer waardevol. Deze raamwerken bieden een enorme waaier aan goede praktijken en behandelen ook de processen en structuren behandeld in dit onderzoek. Een goed inzicht in deze raamwerken kan dus een enorme hulp zijn bij het concreet maken van IT governance in een organisatie.

www.uams.be/itag

5/6www.uams.be/itag

4,7

4

IT Governance & Business/IT Alignment Maturiteit in de Belgische financiële sector

6/6

About UAMS UAMS (University Antwerp Management School) has the ambition to be a “learning partner in management”, by offering a broad range of training programmes for future and current managers in the business world, in public services and social-profit organizations. The priorities cover optimal quality control, interactive teaching methods, an emphasis on research-based knowledge and best practice, an international orientation and a continuous adaptation of our programmes to the needs of the market.

About ITAG The Information Technology Alignment and Governance (ITAG) Research Institute, was established in within UAMS to host applied research in the domains of IT Governance and business/IT alignment. The research centre is an initiative of Prof. dr. Wim Van Grembergen and dr. Steven De Haes. Both have research and practical experience in the IT Governance and Strategic Alignment domains. Recently, this team was reinforced by senior researcher Hilde Van Brempt. Contact UAMS - ITAG Research Institute Sint-Jacobsmarkt 9-13 B-2000 Antwerpen Belgium www.uams.be/itag

Wim Van Grembergen, Ph.D. is a professor at the Information Systems Management Department of the University of Antwerp and an executive professor at the University of Antwerp Management School. He is academic director of the Information Technology and Alignment (ITAG) Research Institute and has conducted research in the areas of IT governance, value management and performance management. Over the past years, he has been involved in research and development activities of several COBIT products. He can be contacted at [email protected]. Steven De Haes, Ph.D. is responsible for the information systems management executive programs and research at the University of Antwerp Management School. He is managing director of the Information Technology and Alignment (ITAG) Research Institute and recently finalised a Ph.D. on IT governance and business/IT alignment. He has been involved in research and development activities of several COBIT products. He can be contacted at [email protected]. Authors’ Note:

The results reported in this article are based on Ph.D. research executed by Steven De Haes under direction of Professor Wim Van Grembergen at the University of Antwerp Management School. Meer informatie: in 2008 verscheen het boek “Implementing Information Technology Governance: models, practices and cases”. In dit boek beschrijven Van Grembergen en De Haes bestaande modellen en beste praktijken voor IT governance en bespreken 6 Belgische gevalstudies uit verschillende sectoren. Beschikbaar op www.amazon.com.

www.uams.be/itag

6/6www.uams.be/itag