it-governance
t
Een raamwerk voor de besturing van it
De juiste mix van structuren, processen en relationele mechanismen
De auteurs gaan in op de vraag hoe een organisatie kan starten met de invoering van it-governance. Zij beschrijven een raamwerk van methoden en middelen.
informatie / maart 2004
Wim Van Grembergen en Steven De Haes
50
It-governance is een concept dat recent een belangrijk thema is geworden, zowel in de academische als in de bedrijfswereld. We weten niet exact wanneer het is ontstaan, of wie deze term voor het eerst heeft gedefinieerd, zeker is wel dat het momenteel een discussiethema is in organisaties. Heel wat bedrijven en overheidsinstellingen hebben intussen it-governanceprojecten opgestart, om een betere fusie tussen it en de organisatie te bereiken, en om de noodzakelijke betrokkenheid van senior management te verkrijgen. Uit enquêtes blijkt dat chief information officers (cio’s) it-governance zien als een managementprioriteit. Zo staat bijvoorbeeld in Gartners toptien cio-managementprioriteiten voor 2003 ‘it-governance verbeteren’ voor het eerst gerangschikt en wel op de derde plaats. Op de eerste plaats staat het aanverwante thema ‘een leidraad opstellen voor de Raad van Bestuur en de directie’. De vraag is natuurlijk hoe deze prioriteiten pragmatisch kunnen worden toegepast in een concrete omgeving.
2. It-governance is het door de Raad van Bestuur, de directie en het it-management uitgeoefende vermogen van de organisatie om de formulering en implementatie van it-strategie te beheersen en zo de fusie van business en it te verzekeren (Van Grembergen, 2002).
Definitie
Juiste combinatie
Verscheidene auteurs hebben de laatste jaren een it-governancedefinitie ontwikkeld. Voor dit artikel hanteren we twee definities: 1. It-governance is de verantwoordelijkheid van de Raad van Bestuur en de directie. Het is een integraal onderdeel van ondernemingsbestuur en bestaat uit het leiderschap, organisatiestructuren en processen die garanderen dat de it van de organisatie haar strategie en doelen ondersteunt en versterkt (IT Governance Institute, 2001).
De vraag is hoe organisaties pragmatisch kunnen starten met de implementatie van it-governance. It-governance kan worden uitgerold door gebruik te maken van een mix van verscheidene structuren, processen en relationele mechanismen. Het vinden van de juiste combinatie hangt natuurlijk af van een reeks externe en interne factoren zoals sector en bedrijfsstrategie. Het is dan ook vanzelfsprekend dat wat werkt voor de ene organisatie, nog niet werkt voor andere
Kernpunten die duidelijk in beide definities terugkomen zijn de fusie tussen it en de organisatie, en de primaire verantwoordelijkheid van de Raad van Bestuur. De definitie van het IT Governance Institute stelt ook dat it-governance integraal deel moet uitmaken van corporate governance, het bestuur van de onderneming. Als een organisatie haar corporate governance principes wil huldigen, is het inderdaad noodzakelijk dat ze in de eerste plaats haar it op een deugdelijke manier beheert. We kunnen deze relatie nog duidelijker maken door specifieke corporategovernancevragen te vertalen naar overeenstemmende it-governancevragen (Shleifer & Vishny, 1997). Zie figuur 1.
Samenvatting De auteurs geven een definitie van it-governance en verklaren de relatie van dit concept met corporate governance, ondernemingsbestuur. Ook beschrijven ze een raamwerk van structuren, processen en relationele mechanismen die een organisatie in de praktijk kan inzetten. Ze concluderen dat elke organisatie haar eigen optimale mix kent voor de besturing van haar it.
1
Vragen corporate en it-governance
»In Gartners toptien ciomanagementprioriteiten voor 2003 staat ‘itgovernance verbeteren’ voor het eerst gerangschikt«
actieve participatie van alle betrokken partijen, strategische dialoog en gezamenlijk leren.
Rollen en verantwoordelijkheden Duidelijk afgebakende rollen en verantwoordelijkheden voor alle betrokken partijen zijn onontbeerlijk in het it-governanceraamwerk. Het is de taak van de Raad van Bestuur en de directie om deze rollen met de hele organisatie te communiceren, en om ervoor te zorgen dat iedereen – op alle niveaus – zijn of haar rol begrijpt (zie ook Duffy, 2002, IT Governance Institute; 2001). Zowel de Raad van Bestuur als het it- en businessmanagement speelt een belangrijke rol in het itgovernanceproces. De cio is een heel belangrijke maar zeker niet de enige betrokkene in dit verhaal. De chief executive officer (ceo) heeft de verantwoordelijkheid om het strategische beleid en plan uit te voeren zoals het werd goedgekeurd door de Raad van Bestuur. De ceo zou er ook voor moeten zorgen dat de cio volwaardig deelneemt aan het besluitvormingsproces op het hoogste niveau. Zowel de cio als de ceo moet op regelmatige tijdstippen rapporteren aan de Raad van Bestuur, de Raad van Bestuur speelt de rol
informatie / maart 2004
organisaties. Verschillende organisaties hebben dus een verschillende mix nodig van structuren, processen en relationele mechanismen. In figuur 2 zijn structuren, processen en relationele mechanismen in een begrijpelijk kader ten opzichte van elkaar geplaatst. Het raamwerk is gebaseerd op onderzoek van Peterson (2003). Het geeft de tactische aanpak en concrete mechanismen. Structuren behandelen het bestaan van verantwoordelijke functies, zoals it-directeuren en een reeks comités en raden. Processen verwijzen naar strategische besluitvorming en opvolging. Relationele mechanismen gaan over zaken zoals partnerships tussen it en de organisatie,
51
it-governance
t
van onafhankelijke toezichthouder. De leden van de Raad van Bestuur moeten ervoor zorgen dat ze op de hoogte blijven van hedendaagse bedrijfsmodellen, managementtechnieken, it-technologieën en natuurlijk de potentiële waarden en risico’s die eraan verbonden zijn.
It-organisatiestructuur De effectiviteit van een it-governanceraamwerk wordt mede bepaald door de manier waarop de it-afdeling zelf is georganiseerd. Belangrijk hierbij is de manier waarop de organisatie de beslissingsmacht over it verdeelt. In het verleden zijn verschillende modellen ontwikkeld, zoals een gecentraliseerde, een gedecentraliseerde en een federale it-organisatie. Een dominant model in hedendaagse organisaties is vaak het federale model, dat een hybride combinatie is van gecentraliseerde controle over de it-infrastructuur en een gedecentraliseerde controle over het ontwikkelen van applicaties. Dit model tracht het beste van het gecentraliseerde en gedecentraliseerde systeem te combineren, meer bepaald de efficiëntie en standaardisatie van de it-infrastructuur en de effectiviteit en flexibiliteit voor het ontwikkelen van applicaties.
Comité en stuurgroep Zoals eerder vermeld, moet it-governance integraal deel uitmaken van het ondernemingsbestuur. En aangezien ondernemingsbestuur de verantwoordelijkheid is van de Raad van Bestuur, is ook it-governance zijn verantwoordelijkheid. Een Raad van Bestuur kan tegemoetkomen aan deze verantwoordelijkheden door zich te laten ondersteunen door een comité dat zich specifiek buigt over it-gerelateerde zaken. Dat comité wordt aangeduid met ‘comité it-strategie’ (it strategy committee). Het moet ervoor zorgen dat de Raad van Bestuur it op een gestructureerde manier behandelt en dat het regelmatig op de agenda staat. Het comité voor it-strategie moet nauw samenwerken met andere comités van de Raad van Bestuur (zoals bijvoorbeeld het auditcomité) en met managementcomités zoals de it-stuurgroep (it steering committee). Een dergelijke it-stuurgroep is vooral verantwoordelijk voor het beheren van grote projecten, voor het vastleggen van itprioriteiten, het toewijzen van middelen enzovoort. Terwijl het comité voor it-strategie eerder op het strategische niveau van de Raad van Bestuur werkt, werkt de it-stuurgroep eerder op het uitvoerend het niveau van de directie.
Balanced scorecard Een ander effectief instrument om meer integratie tussen business en it te bereiken, is de balanced scorecard (bsc). Dit concept werd in 1992 door Kaplan en Norton geïntroduceerd (Kaplan & Norton, 1992). Hun veronderstelling is dat
informatie / maart 2004
Structuren, processen en relationele mechanismen voor it-governance
52
2
Information economics De methode van ‘information economics’ werd ontwikkeld door Benson en Parker (Parker, 1996) en kan worden gebruikt als een techniek voor alignment en governance. De techniek vereist dat iten businessmensen samen scores gaan bepalen voor it-projecten (meestal van 0 tot 5), om op die manier projecten te selecteren en prioriteren. Men vertrekt van een score voor de traditionele return on investment (roi) van een project en die score wordt dan geoptimaliseerd op basis van bijkomende scores voor tal van niet-financiële waarde- en risico-indicatoren zoals ‘de mate waarin het project past in de bedrijfsstrategie’, ‘de mate waarin het project past in de huidige itarchitectuur’, ‘risico dat it-dienstverlening onderbroken wordt’ enzovoort. Waarde-indicatoren krijgen een positieve score, risico-indicatoren een negatieve. Al deze scores worden geaggregeerd in één gewogen gemiddelde per project, dat dan kan dienen voor selectie en prioritering.
Cascade van balanced scorecards
3
Service level agreements In een mature it-governanceomgeving moeten service level agreements (sla’s) en het ondersteunende proces voor service level management (slm) een belangrijke rol spelen. De functie van sla’s zijn ten eerste het definiëren van serviceniveaus die aanvaardbaar zijn voor de gebruiker en haalbaar voor de serviceleverancier en ten tweede het definiëren van voor beide partijen aanvaardbare indicatoren en maatstaven voor het meten van de kwaliteit van de geleverde diensten. Het slm-proces betreft het vastleggen van een slaraamwerk, het definiëren van sla’s inclusief hun maatstaven en metrieken, de opvolging en rapportering over de geleverde diensten en geregistreerde problemen, het herzien van de sla’s en het opstellen van een verbeteringsprogramma. De grootste uitdaging van it-governance is dat de service levels uitgedrukt moeten worden in voor de business verstaanbare termen, en dat de juiste sla/slm-processen geïmplementeerd worden (zie ook Van Grembergen, De Haes & Amelinckx, 2003).
CobiT and ITIL CobiT (Control Objectives for Information and Related Technologies) is een open standaard die de it-activiteiten organiseert rond 34 it-processen (meer info: www.isaca.org). Voor elk proces heeft CobiT beheerdoelen en corresponderende management guidelines. In deze guidelines staan maturiteitsmodellen en hun corresponderen scorecards in de vorm van key-goal- en key-performance-indicatoren, wat handige instrumenten zijn in het governancetraject. Een voorbeeld van een CobiT it-proces is ‘it-klanten bijstaan en adviseren’. Beheerdoelen voor dit proces zijn onder meer ‘registratie van klanteisen’ en ‘een helpdesk vestigen’. Deze doelstellingen kunnen gereali-
informatie / maart 2004
organisaties zich niet mogen beperken tot louter financiële performancemetingen en -evaluaties. Zij stellen voor om deze financiële analyses uit te breiden met maatstaven voor klanttevredenheid, interne processen en de innovatiecapaciteit van de onderneming. Op die manier ontstaan er vier perspectieven, en als een organisatie erin slaagt om in de drie toegevoegde (niet-financiële) perspectieven resultaten te boeken, dan zullen de financiële resultaten automatisch volgen. Dit concept kan worden toegepast op de itfunctie en haar processen. (zie bijvoorbeeld Van Grembergen, Saull & De Haes, 2003). De vier perspectieven moeten wel lichtjes aangepast worden, rekening houdend met de eigenheid van de it-afdeling als interne dienstenleverancier. In Van Grembergen & Van Bruggen (1997) werd vastgelegd dat voor it de vier perspectieven het best als volgt vertaald kunnen worden: contributie aan de organisatie, gebruikerstevredenheid, operationele uitmuntendheid en toekomstgerichtheid. Het balanced-scorecardconcept kan een echt alignmentinstrument worden door een cascade van scorecards te implementeren. Om dit bereiken moet er een duidelijk relatie bestaan tussen de scorecard voor it-operaties en die voor itontwikkeling en it-strategie. De scorecard voor itstrategie kan dan op zijn beurt verbonden worden met de business balanced scorecard (zie figuur 1).
53
it-governance
t
seerd worden met bijvoorbeeld Itil (IT Infrastructure Library) van Central Computer and Telecommunications Agency. De helpdeskmodule van Itil bijvoorbeeld levert informatie over het implementeren van een helpdeskproces, inclusief de planning, implementatie, post-implementatie, kosten en opbrengsten, tools enzovoort. Waar CobiT zegt wat er moet gebeuren, zegt Itil meer hoe het moet gebeuren.
Relationele mechanismen Relationele mechanismen zijn heel belangrijk maar vaak onderschat. Het kan zijn dat een organisatie alle it-governanceprocessen en structuren heeft geïmplementeerd, maar dat het geheel niet functioneert omdat de it-medewerkers eenvoudigweg de businessmensen niet begrijpen, of omdat beide partijen niet met elkaar samenwerken. Het kan ook zijn dat er zeer weinig appreciatie is voor de business in de itafdeling en vice versa. Om het geheel te laten werken is het dus van groot belang om goede interactieve communicatie te hebben, relaties tussen it- en businessmensen in de vorm van partnerships en collaboratie, en het continu delen van kennis, jobrotatie en gezamenlijke huisvesting.
informatie / maart 2004
Maturiteitsmodellen
54
Om te weten hoe ver men staat in het traject van it-governance en strategische alignment, kan de organisatie gebruik maken van een maturiteitsmodel (zoals het Capability Maturity Model van het Software Engineering Institute). Dit is een scoremethode die de organisatie in staat stelt om zichzelf te beoordelen op een schaal van ‘nietbestaand’ (score 0) tot ‘geoptimaliseerd’ (score 5). Op die manier kan de organisatie bepalen waar ze momenteel staat en wat haar toekomstige doelstellingen zijn. Het verschil tussen waar men staat en wat men wil bereiken kan dan geanalyseerd worden en vertaald worden in concrete verbeteringsprojecten. Goede voorbeelden van dergelijke maturiteitsmodellen zijn ontwikkeld door onder anderen Luftman (2000) en het IT Governance Institute (www.itgi.org). Deze modellen definiëren voor elk maturiteitsniveau een reeks attributen waarop men kan meten.
It-governance maturity model 0 Non-existent 1 Initieel/ad hoc De organisatie heeft erkend dat it-governance-issues bestaan en aangepakt moeten worden. Er zijn echter geen gestandaardiseerde inspectieprocessen; wel neemt het management issues op een individuele basis in beschouwing, per geval. De benadering van het management is ongestructureerd en er is inconsistente communicatie over issues en de aanpak ervan om de problemen die zich voordoen aan te pakken. Hoewel wordt erkend dat de performance van de itfunctie gemeten zou moeten worden, zijn er geen geëigende metrieken voorhanden – inspecties zijn gebaseerd op verzoeken van individuele managers. It-monitoring is alleen reactief geïmplementeerd, na een incident dat enig verlies of hinder voor de organisatie heeft veroorzaakt. Governance is moeilijk te initiëren en misschien staan de centrale it-organisatie en business-units zelfs vijandig tegenover elkaar. De organisatie probeert het vertrouwen te verhogen tussen it en de business en er zijn gewoonlijk periodieke gezamenlijke vergaderingen om operationele issues en nieuwe projecten te bespreken. Het hogere management is hier alleen bij betrokken als er grote problemen of successen zijn.
2 Herhaalbaar maar intuïtief 3 Beschreven proces 4 Beheerst en meetbaar 5 Geoptimaliseerd Er is gevorderd en vooruitziend inzicht in it-governance-issues en oplossingen. Training en communicatie worden ondersteund met
Tijdens de meting is het belangrijk om te voldoen aan het basisprincipe van maturiteitsmeting: men kan enkel naar een hoger maturiteitsniveau gaan als alle voorwaarden van een lager niveau vervuld zijn. In het kader staan de maturiteitsbeschrijvingen van niveau 1 en 5 van het it-governancemodel van het IT Governance Institute geïllustreerd. Het voorbeeld in het kader beschrijft een algemeen maturiteitsmodel voor it-governance. We kunnen echter ook dieper gaan kijken naar de maturiteit van bepaalde processen die een cruciale rol spelen bij it-governance. Hiervoor verwijzen we graag terug naar de 34 it-processen van CobiT. Het eerste van die processen is ‘stel een plan op voor strategische informatietechnologie’, wat uiteraard een zeer belangrijk it-governanceproces is. Zoals aangegeven beschrijft CobiT ook maturiteitsmodellen voor elk proces. In 2002 heeft Isaca voor 15 van de CobiT-processen een onderzoek uitgevoerd naar de maturiteit van deze processen in de praktijk, onder andere voor ‘stel een plan op voor strategische informatietechnologie’ (zie Guldentops, Van Grembergen & De
Haes, 2002). De doelstelling was om organisaties een referentie aan te bieden voor hun eigen maturiteit (hoe presteer ik vergeleken met andere organisaties in mijn sector, regio, grootte van organisatie). Het gemiddelde maturiteitsniveau van dit proces lag op 2,48. Het bleek ook dat grote organisaties en organisaties uit de financiële sector hier gemiddeld een hogere maturiteit haalden.
Verder onderzoek In het kader van onderzoek naar it-governance en strategische alignment heeft de Universiteit Antwerpen Management School recent het Information Technology Alignment and Governance Research Institute opgericht. Doelstelling van dit centrum is bij te dragen tot het begrijpen en verspreiden van de it-governanceconcepten en het onderzoek naar it-governance te intensifiëren. Verder onderzoek is nodig om zicht te krijgen op welke structuren, processen en relationele mechanismen effectief zijn in het kader van itgovernance en welke combinaties geschikt zijn voor welke types organisaties.
Literatuur Duffy, J. (2002). IT governance and business value part 2: Who’s responsible for what? IDC document # 27807. Guldentops, E., W. Van Grembergen & S. De Haes (2002). Control and Governance Maturity survey: establishing a reference benchmark and a self-assessment tool. Information Systems Control Journal, vol. 6. IG Governance Institute (2001). Board briefing on IT governance. On-line beschikbaar op www.itgi.org. IT Governance Institute (2002). IT Strategy Committee. On-line beschikbaar op www.itgi.org. Kaplan, R. & D. Norton (1992). The balanced scorecard – measures that drive performance. Harvard Business Review, January/February, pp. 71-79. Luftman, J. (2000). Assessing Businessit alignment Maturity. Communications of AIS, vol. 4. Parker, M. (1996). Strategic transformation and information technology. Upper Saddle River (NJ). Peterson, R. (2003). Information strategies and tactics for information technology governance. In Van Grembergen, W. (eds.). Strategies for information technology governance. Hershey (PA): Idea Group Publishing. Shleifer, A. & W. Vishny (1997). A survey on corporate governance. Journal of Finance, vol. 52, no.2. Van Grembergen, W. & R. Saull (2001). Aligning Business and Information Technology through the Balanced Scorecard at a Major Canadian Financial Group: its Status measured with and it BSC Maturity Model. In Proceedings of the 34the Hawaiï International Conference on System Sciences (HICCS). Cd-rom, Maui. Van Grembergen, W. & R. Van Bruggen (1997). Measuring and improving corporate Information Technology through the balanced scorecard technique. In Proceedings of the European Conference on the Evaluation of Information Technology. Delft. Van Grembergen, W. (2002). Introduction to the minitrack itgovernance and its Mechanisms. Proceedings of the 35th Hawaii International Conference on System Sciences (HICSS). Van Grembergen, W. (ed.) (2003). Strategies for Information Technology Governance. Hershey, US: Idea Group Publishing. Van Grembergen, W., R. Saull & S. De Haes (2003). Linking the IT balanced scorecard to the business objectives at a major Canadian financial group. Journal of Information Technology Cases and applications, vol. 5, no. 1, pp. 23-50. Van Grembergen, W., S. De Haes & I. Amelinckx (2003). Using COBit and the balanced scorecard as instruments for Service Level Management. Journal of Information Systems Control, vol. 4, pp. 56-62. Links www.itgi.org www.isaca.org www.uams.be/itag
Prof.dr. Wim Van Grembergen is gewoon hoogleraar aan de Universiteit Antwerpen (UA) en Universiteit Antwerpen Management School (UAMS). E-mail: wim.vangrembergen @ua.ac.be Steven De Haes is programmacoördinator Beleidsinformatica aan de Universiteit Antwerpen Management School (UAMS). E-mail: Steven.DeHaes@ufsia. ac.be
informatie / maart 2004
geavanceerde concepten en technieken. Processen zijn verfijnd tot een niveau van externe best practice, gebaseerd op resultaten van continue verbetering en ontwikkeling van maturiteitsmodellen samen met andere organisaties. De implementatie van dit beleid heeft geleid tot een organisatie, medewerkers en processen die snel zijn aan te passen en die de eisen van it-governance volledig ondersteunen. Van alle problemen en ongeregeldheden worden de oorzaken geanalyseerd en efficiënte actie wordt effectief bepaald en geïnitieerd. It wordt gebruikt in een groots opgezette, geïntegreerde en geoptimaliseerde manier om de workflow te automatiseren en in gereedschap te voorzien om de kwaliteit en effectiviteit te verbeteren. De risico’s en opbrengsten van de it-processen zijn vastgesteld, uitgebalanceerd en bekend gemaakt in de gehele onderneming. Externe experts zijn ingeschakeld en benchmarks worden als richtlijn gebruikt. De organisatie is actief bezig met monitoring, self-assessment en communicatie over governanceverwachtingen. Technieken die meting, analyse, communicatie en training ondersteunen worden optimaal gebruikt. Ondernemingsbestuur en it-governance zijn strategisch met elkaar verbonden, met inzet van technologie en menselijke en financiële middelen om de competitieve voorsprong van de onderneming te vergroten. Het concept en de structuur van governance liggen ten grondslag aan het orgaan dat de ondernemings-it bestuurt. Ook de mogelijkheden voor verandering van de ondernemingsstrategie, organisatie of nieuwe technologieën zijn hierdoor verbeterd.
55