Managers moeten beslissingen nemen over IT, maar hebben weinig kennis Eli de Vries
Managers moeten beslissingen nemen over IT, maar hebben weinig kennis Managers moeten beslissingen nemen over IT, maar hebben vaak te weinig kennis. Een risicoanalyse is onontbeerlijk. Maar wie voert die uit? De projectleider, controller, auditor of externe IT-deskundige? De beste benadering, zegt Eli de Vries, is een interactief proces waaraan vertegenwoordigers van alle stakeholders deelnemen. Managers hebben vaak weinig kennis van en ervaring met ICT. Zij komen uit de marketing, financiën of techniek maar zelden uit de ICT. Dat maakt het voor managers lastig om beslissingen te nemen over ICT. Waar moet ik in investeren, hoeveel mag het kosten, wat is een goede keus? Dat zijn vragen waar vrijwel iedere manager regelmatig mee wordt geconfronteerd. Daar komt bij dat managers het druk hebben. Er is altijd tijd tekort. Zij komen toe aan de belangrijkste onderdelen van hun werk: de omzet, de concurrentie en het marktaandeel. Als die aspecten zich positief ontwikkelen, valt een groot deel van de zorgen van de manager weg. Zaken die meer in detail gaan, veel tijd vergen en pas op langere termijn wat opleveren, zoals ICT, komen altijd als laatste en dus nooit aan de beurt. Risicoanalyse kan managers ondersteunen om op verantwoorde wijze met ICT om te gaan. Vragen die hierbij aan de orde komen zijn: Wat zijn de doelstellingen van het ICT-project, welke doelgroep moet ermee werken, hoeveel kost het, hoe zit het projectplan in elkaar en wat is de doorlooptijd? Aan al deze aspecten wordt door de projectleider en het projectteam zorgvuldig aandacht besteed. Kloppen deze zaken ook en loopt de manager geen onnodige risico’s? Dat vereist een systematische check op de bestaande processen. Risicoanalyse De manager kan zelf de risicoanalyse uitvoeren. Het probleem is echter dat een goede risicoanalyse kennis van ICT vraagt. De technische mogelijkheden moeten worden overzien, de kosten moeten kunnen worden vergeleken met de kosten van soortgelijke projecten, de architectuur van het project en de opname in de installed base komen aan de orde. Dit zijn allemaal vragen waar de manager geen antwoord op kan geven. Bovendien heeft de manager vaak de neiging om zo weinig mogelijk uit te geven. Soms kan het evenwel nodig zijn om fors te investeren om een betere concurrentiepositie te verkrijgen of een nieuw profiel in de markt. Een zuinige manager kan dan belangrijke voordelen over het hoofd zien. Goedkoop kan dan overgaan in duurkoop. De manager kan de projectleider van het betrokken ICT-project vragen een risicoanalyse uit te voeren. De projectleider weet alles van het project. Dagelijks is hij bezig om het tot succesvolle afronding te brengen. Hij kent ook alle zwakke plekken, want die bezorgen hem voortdurend hoofdbrekens. Een ideale situatie om een goede risicoanalyse uit te voeren. Alle relevante aspecten komen uiteraard aan bod. Alleen de weging, hoe staat het daarmee? De projectleider heeft per definitie een grote mate van eigenbelang bij het project. Iedere dag dat het loopt, verdient hij eraan. De projectleider heeft dus ook alle belang bij continuïteit van 1
het project. De zwakke plekken worden door de projectleider vanwege zijn kennis van zaken prima onderkend maar de weging is in het slechtste geval gematigd positief. Verbetering kan worden bereikt door iets meer middelen eraan te besteden, een iets langere doorloopperiode te hanteren en iets meer mensen in te zetten. Kortom, het wordt duurder, langer en wellicht nog meer risicovol. Dat is de projectleider niet te verwijten. Hij is volledig afhankelijk van het project. De manager kan ook de controller vragen zijn oordeel te geven. Die is bij vele andere trajecten betrokken geweest en kan redelijk overzien of een investering zinvol is of niet. De controller heeft in het algemeen echter weinig kennis van ICT. Hoe de verschillende onderdelen van het project zich tot elkaar verhouden is dan moeilijk te beoordelen. Of een eenvoudiger en daarmee goedkopere techniek kan worden gebruikt, valt buiten de scope van de controller. De controller heeft weliswaar geen eigenbelang zoals de projectleider maar heeft in het algemeen te weinig kennis van ICT om verantwoorde keuzes te maken tussen verschillende oplossingsrichtingen. De manager kan ook de auditor vragen zijn oordeel uit te spreken. Deze heeft vaak gedetailleerde kennis van ICT en heeft bij veel projecten achteraf geconstateerd dat zij mislukt zijn. Jammer dat een functionaris met zoveel kennis en ervaring vaak pas achteraf wordt ingezet. Wanneer managers de auditor vroegtijdig gedurende de loop van het project inzetten, is de kans veel groter dat hun adviezen bijdragen aan een positief verloop van het project. Ook kunnen externe ICT-deskundigen worden ingeschakeld. Deze komen meestal van een goed bekendstaand bureau met een onafhankelijke status. Vaak is het een tweetal, dat in een keurig donker pak door de organisatie wandelt. Zij gaan op bezoek bij de verschillende sleutelfunctionarissen en houden interviews. Zij vragen wat hun mening is over het lopende project. De grootste gemene deler van de interviewresultaten wordt verheven tot het verslag van deze bezoeken. Op grond hiervan concluderen de externe deskundigen dat met wat meer inzet en soms enkele kleine aanpassingen, een succesvolle afronding haalbaar moet zijn. Interactief Een benadering die meer recht doet aan de aanwezige kennis, is een interactief proces waaraan vertegenwoordigers van alle stakeholders deelnemen. In totaal kunnen er circa vijfentwintig verschillende stakeholders worden onderscheiden, die op de een of andere wijze bij een ICT-project zijn betrokken. Hierbij kan allereerst worden gedacht aan de gebruikers. Er zijn gegevensinvoerders, verwerkers en raadplegers. Zij hebben een direct belang bij de beschikbaarheid van actuele, juiste en volledige gegevens. Vervolgens kan worden gedacht aan de mensen van het ICT-projectteam, zoals de systeemontwerper, de informatieanalist en programmeur. Ook de bestaande beheerorganisatie speelt een rol met de netwerkbeheerder, systeembeheerder en databeheerder. Allerlei staffunctionarissen 2
binnen de organisatie zijn vaak ook betrokken, zoals de controller, EDP-auditor, informatiearchitect, personeelsconsulent en huisvestingsfunctionaris. Ook de lijnmanager en de concernmanager spelen een rol. Een interactief proces met een vertegenwoordiger per stakeholder onder leiding van een onafhankelijke externe ICT-expert biedt de mogelijkheid om aanwezige kennis en inzicht te mobiliseren. Hierdoor ontstaat ook een sfeer van saamhorigheid, afstemming van verwachtingspatronen en een beter inzicht in de risico’s. De verschillende benaderingen kunnen worden beoordeeld aan de hand van verschillende criteria. Er kan worden gedacht aan eigenbelang, doorlooptijd, kosten, saamhorigheid of cohesie, verdieping van risicobeeld (zie figuur). Alleen de interactieve methode scoort op alle onderkende criteria positief.
manager
projectleider
controller
auditor
expert
interactie
kennis ICT
-
+
-
+
+
+
belang
+
-
+
+
+
+
cohesie
-
-
-
-
-
doorloop
+
+
+
+
-
+
risicobeeld
-
-
-
-
-
+
kosten
+
+
+
+
-
+
+
Toepassing afhankelijk van situatie De toepassing van een risicoanalyse dient te zijn afgestemd op de situatie. Deze wordt bepaald door de levensfase van de ICT-voorziening, de aard van de voorziening en de omvang ervan. Meestal wordt ervan uitgegaan dat ICT-voorzieningen drie levensfasen hebben: planvorming, bouw en gebruik. ICT-voorzieningen hebben eigenlijk wel zeven levensfasen. Deze fasen verschillen sterk van elkaar. Er is vaak een initiatiefase, waarin het allereerste idee voor toepassing van ICT ontstaat. Wanneer sprake is van een daadwerkelijke start, vindt meestal eerst de planvorming plaats. Vervolgens wordt de bouw van een systeem uitgevoerd. Na voltooiing vindt ingebruikname plaats en breekt de meestal jarenlange gebruiksfase aan. Wanneer een ICT-voorziening deel uitmaakt van een groter 3
netwerk, vindt keteninformatisering plaats. Ten slotte kan het geheel aan ICT-voorzieningen zo omvangrijk en complex worden dat outsourcing plaatsvindt. Al deze fasen vereisen inzet van andere deskundigen, hebben een andere doorlooptijd en vereisen andere budgetten. Risicomanagement dient op deze verschillen te zijn afgestemd. Niet alleen de levensfase is bepalend voor de toepassing van risicomanagement. Ook de aard van de faciliteit speelt een belangrijke rol. ICT-projecten die inhouden dat er een groot aantal pc’s moet worden geplaatst, hebben uiteraard een heel ander karakter dan projecten die beogen een ingewikkeld programma op te leveren. Wanneer één pc succesvol is geïnstalleerd, betekent dit vaak dat de rest op dezelfde wijze kan volgen. Wanneer een softwareprogramma wordt gemaakt, is dit pas klaar als de laatste regel is geschreven. Dit stelt derhalve heel andere eisen aan risicoanalyse dan het installeren van hardware. Ook de omvang is een bepalende factor. Kleine overzichtelijke ICT-voorzieningen hebben een redelijke kans van slagen en behoeven geen risicoanalyse. Wanneer de omvang van voorzieningen toeneemt, neemt de kans op succes af en wordt het noodzakelijker risicomanagement toe te passen. ICT-voorzieningen met een projectbudget van 100.000 euro hebben al een beperkte kans op succes en wellicht zou vanaf die omvang moeten worden begonnen met risicoanalyse. Dat is zeker het geval bij projecten met een budget van meer dan 1 miljoen euro. De grote overheidsprojecten, die een projectbudget hebben van vele miljoenen, worden sinds enkele jaren onderworpen aan een Gateway-procedure. Deze procedure is eveneens een risicoanalyse, gericht op het in een vorig stadium onderkennen van risico’s. Het uitvoeren van deze procedure zorgt voor een belangrijk hogere kans van slagen.
4
