REGISSEREN VAN DE INFORMATIEVOORZIENING: WAT IS DAT EIGENLIJK?
Een zoektocht naar een theoretisch kader met praktische meerwaarde
E
Een toereikende informatievoorziening is essentieel voor het functioneren van moderne organisaties. Informatie is een randvoorwaarde voor zowel primaire als besturende en ondersteunende processen. Informatievoorziening wordt steeds complexer doordat deze steeds vaker geïntegreerd wordt in het primaire proces. Ook de organisatie van de informatievoorziening wordt steeds complexer. Er is sprake van een keten van partijen, zowel binnen als buiten de organisatie, die van elkaar afhankelijk zijn. In deze situatie ontstaat er behoefte aan een regisserende functie op de informatievoorziening. KEES VAN OOSTERHOUT
Omdat de behoefte aan regie vaak expliciet wordt in het geval van uitbesteding van IT-functies, hebben regiemodellen vaak een sterke nadruk op regie van de uitbestede IT-functie. Het vraagstuk van de regie doet zich echter ook voor in het geval van interne verzelfstandiging (shared service organisatie) en is zelfs aan de orde als de IT-functie niet (in- of extern) wordt verzelfstandigd. In het laatste geval gaat het om de afstemming tussen de vraag naar IT (vanuit de business) en het aanbod van IT (vanuit de IT-organisatie).
36
Maar informatievoorziening regisseren, wat is dat en hoe doe je dat eigenlijk? Mijn ervaring is dat de term ‘regisseur van de informatievoorziening’ vooral door consultants veelvuldig wordt gebruikt. Een onderbouwde omschrijving en invulling ervan tref je minder vaak aan. In het eerste deel van dit artikel wordt een bruikbaar referentiekader geschetst. IT-auditors zijn natuurlijk op de hoogte van de bekende normstelsels voor het besturen en beheersen van IT: Cobit, Valit, ISO 27001, BiSL, DYA, ASL en ITIL. Bij nader inzien blijken deze normstelsels in totaal meer dan 150 (genormeerde) processen te bevatten. Zonder selectie van de voor de regiefunctie essentiële processen, stuur je het verantwoordelijk management feitelijk het bos in. Ziet de IT-auditor door de bomen het bos en is hij of zij in staat op basis van het ontwikkelde referentiekader het management strategisch te adviseren over de invulling van de regiefunctie? De praktische meerwaarde van het referentiekader komt in het tweede deel van dit artikel aan bod. WAT IS REGISSEREN VAN INFORMATIEVOORZIENING? Regisseren van informatievoorziening bestaat uit de begrippen ‘regisseren’ en ‘informatievoorziening’. Beide
begrippen klinken bekend in de oren. Regisseren is een bekende activiteit in de theaterwereld. De regisseur regisseert de acteurs, die elk een eigen rol spelen, met de bedoeling de voorstelling tot een succes te maken voor het publiek. Het maken van producten of het leveren van diensten vindt vaak plaats in een keten, waarin meerdere organisaties of organisatieonderdelen een rol spelen om in de behoeften van het publiek (de klanten) te voorzien. Er wordt dan gesproken over de voortbrengingsketen. In het geval dat de keten complex is en er sprake is van concurrerende belangen, ontstaat er behoefte aan regie in de vorm van een ketenregisseur. Ook informatievoorziening is een dienst die, zeker in grote organisaties, vaak in een keten wordt geleverd, waarin meerdere partijen een rol spelen (keteninformatisering). Er is behoefte aan regie, in de vorm van informatiecoördinatie, die als volgt wordt gedefinieerd: ‘informatiecoördinatie zorgt ervoor dat de rollen, de onderlinge processen en de resultaten daarvan afgestemd en gecoördineerd worden’ [POLS05]. Een in het vakgebied accountancy gezaghebbende definitie van informatievoorziening luidt: ‘alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 36
09/11/10 7:08 PM
van informatie ten behoeve van het besturen (. . . ), doen functioneren en beheersen van een huishouding en ten behoeve van de verantwoordingen die daarover moeten worden afgelegd’ [STAR02]. Het vakgebied accountancy legt de nadruk op de financieeladministratieve processen die belangrijk zijn voor de financiële verantwoording. Dat is een behoorlijke inperking. Vanuit een breder perspectief dient informatievoorziening bekeken te worden vanuit de optiek van alle bedrijfsprocessen. De vraagkant bestaat uit het vaststellen van de informatiebehoefte van het management. De informatievoorziening kent naast de vraagkant ook een aanbodkant. De aanbodkant voorziet in deze behoefte, door middel van processen die bestaan uit procedures, informatietechnologie en menselijke handelingen. In de IT-praktijk domineert vaak de aanbodkant. Voor een goede inrichting van de informatievoorziening dient het perspectief van de gebruikersorganisatie voorop te staan en is de aanbodkant volgend. Combinatie van deze afzonderlijke, bekende begrippen leidt tot de volgende definitie van ‘regisseren van informatievoorziening’: het bijdragen aan de organisatiedoelstellingen (informatiestrategie), zoals ervaren door de gebruikersorganisatie, door de rollen, de processen en de resultaten ten aanzien van de gegevensverwerkende activiteiten (IT-processen) op elkaar af te stemmen en te coördineren (ITarchitectuur) ten behoeve van het verstrekken van informatie voor het besturen, doen functioneren en beheersen van de bedrijfsprocessen van de organisatie (business-organisatie). De kernbegrippen uit deze definitie (die tussen haakjes zijn vermeld) worden in de hierna volgende paragraaf verder uitgewerkt. EEN WETENSCHAPPELIJKE BASIS Nu het begrip ‘regisseren van de informatievoorziening’ is gedefinieerd, dient het verder te worden geconcretiseerd. Als basis gebruiken
we het Amsterdams Informatiemanagement Model. Er zijn meer basismodellen beschikbaar, die alle uitwerkingen zijn van het Strategisch Alignment Model van Henderson en Venkatraman [HEND93]. Het Amsterdams Informatiemanagement Model [ABCO06] is een wezenlijke uitbreiding, die het geschikt maakt om de relatie tussen organisatie en informatievoorziening te analyseren: het biedt een integrale manier van kijken, is generiek toepasbaar en wordt veelvuldig toegepast. Het Amsterdams Informatiemanagement Model wordt ook wel het negenvlaksmodel genoemd, omdat het bestaat uit drie rijen en drie kolommen. Van dit model wordt de middelste kolom en de middelste rij gebruikt, het zogenaamde ‘informatiemanagementkruis’, dat bestaat uit vier aspectgebieden en een kern. Dit is het primaire werkterrein van het infor-
matiemanagement. De vier hoekpunten van het negenvlak behoren niet primair tot het werkterrein van het informatiemanagement. Maar vanuit deze hoekpunten worden wel veranderingen geïnitieerd voor informatiemanagement.
businessstrategie
businessorganisatie
bedrijfsprocessen
informatiestrategie
regie
IT-processen
innovatie
IT-architectuur
ICT-middelen
Figuur 1: Het basismodel de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 37
37 09/11/10 7:08 PM
De vier aspectgebieden sluiten aan bij de hiervoor geïntroduceerde definitie van het begrip ‘regisseren van informatievoorziening‘ en de daarin opgenomen kernbegrippen, te weten: informatiestrategie, businessorganisatie, IT-architectuur en IT-processen. De koppelvlakken van deze aspectgebieden met de hoekpunten van het negenvlak zijn belangrijk om de ontwikkelingen in de hoekpunten te kunnen volgen, te weten innovatie, businessstrategie, bedrijfsprocessen en ICT-middelen. Centraal staat de regiefunctie, die zodanig moet worden ingericht, dat de aspectgebieden van de informatievoorziening kunnen worden aangestuurd. Het basismodel voor het regisseren van de informatievoorziening ziet er dan uit zoals in figuur 1 is aangegeven. DE INHOUDELIJKE INVULLING Nu de basis voor de regiefunctie is gelegd, dient deze verder inhoudelijk te worden uitgebouwd. Daarbij kan gebruik worden gemaakt van de bekende kaders en best practices voor het besturen en beheersen van IT: Cobit, Valit, ISO 27001, BiSL, DYA, ASL en ITIL. In feite is hier sprake van een groep verwante normstelsels. Alle stelsels bevatten zowel strategische, tactische als operationele aspecten. Cobit en Valit worden daarbij vaak gezien als het overall framework voor IT-governance. Daarom is dit normstelsel geselecteerd voor het aspectgebied informatiestrategie op strategisch niveau. Ook informatiebeveiliging is van strategisch belang voor het regisseren van de informatievoorziening in complexe organisaties, waarin informatievoorziening is geïntegreerd in het primair proces en partijen van elkaar afhankelijk zijn. Daarom is ook het betreffende normstelsel (ISO 27001) in hetzelfde aspectgebied gepositioneerd. De overige normstelsels zijn verdiepingsmodellen op tactisch en operationeel niveau. BiSL en DYA vertegenwoordigen de businesskant voor de uitwerking van functioneel beheer en archi-
38
tectuur en zijn daarom opgenomen in het aspectgebied businessorganisatie op tactisch niveau. ASL en ITIL vertegenwoordigen de aanbodkant en vertegenwoordigen (deels) gelijksoortige processen. In grotere organisaties, die met specifieke applicaties werken, verdient het de voorkeur applicatiebeheer apart te regelen. Omdat in dit geval de applicaties nauw moeten aansluiten bij de businessprocessen, is ASL op tactisch niveau geplaatst in het aspectgebied IT-architectuur. ITIL als normstelsel voor het meer algemene/technische beheer is op operationeel niveau geplaatst in het aspectgebied IT-processen. Om door de bomen het bos te kunnen blijven zien, zijn uit deze normstelsels de essentiële processen geselecteerd en geplaatst in de betreffende aspectgebieden van het basismodel. De geselecteerde processen uit Cobit/Valit en ISO 27001 zijn vooral de governanceprocessen (kaders en monitoren). Van de overige normstelsels zijn vooral de tactische en operationele processen geselecteerd. Met een aantal van deze processen kunnen de ontwikkelingen in de hoekpunten worden gevolgd. Daarover meer in de volgende paragraaf. Voor het regisseren van de informatievoorziening (de kern van het model) is nog geen standaard normstelsel beschikbaar. Hiervoor is gebruik gemaakt van een van de vele handreikingen uit de consultancywereld, ten aanzien van de domeinen die kenmerkend zijn voor het regisseren van de informatievoorziening: governance, businessvraag, ICT-inrichting en ICT-aanbod [BOS08]. Deze domeinen sluiten aan bij de vier aspectgebieden van het basismodel, te weten informatiestrategie, businessorganisatie, IT-architectuur en IT-processen. Het volledige referentiemodel ziet er dan uit zoals in figuur 2 is aangegeven. Door in plaats van de processen een daaraan gekoppelde kritische prestatie-indicator (KPI) op te nemen, ontstaat een dashboard, waaraan het succes van het regisseren van de
informatievoorziening kan worden afgelezen. Daarover meer in de volgende paragraaf. DE PRAKTISCHE MEERWAARDE De validiteit van het referentiemodel is in beperkte mate getoetst aan de praktijk, door middel van interviews met een aantal vertegenwoordigers uit de domeinen wetenschap, management en auditing. Hierbij zijn de volgende aspecten aan bod gekomen: t %FCSVJLCBBSIFJEJOBMMFGBTFOWBO volwassenheid: vernieuwing en beheersing. t %FUPFQBTCBBSIFJEWPPSTUSBUFHJTDI adviseren: de innovatiecyclus. t %FNFFUCBBSIFJETUBUJTDI TVDDFT of dynamisch (gerichte verbetering). t %F JNQMFNFOUBUJF BBOEBDIUTQVO ten. Elk aspect wordt hieronder toegelicht. Fasen van volwassenheid: vernieuwing en beheersing De vertegenwoordigers van het domein wetenschap vinden de concrete invulling van het referentiemodel vooral van toepassing op de semi-volwassenheidsfasen, waarin het accent ligt op (bureaucratische) beheersing. Ook de gebruikte normenkaders zijn vooral gericht op beheersing en spelen niet in op nieuwe, innovatieve ontwikkelingen. Beheer, stabiliteit en beheersing zijn vooral aan de orde in de onderste helft van het referentiemodel: het operationele niveau. Dit is bekend terrein voor de auditor in zijn controlerende functie. In de hoogste fasen van volwassenheid ligt het accent op flexibiliteit en lerend vermogen. De vertegenwoordigers van het domein wetenschap vragen zich af of de rol van IT als enabler (de strategische rol van IT) wel in voldoende mate in het referentiemodel is opgenomen. Innovatie, ontwikkeling en flexibiliteit zijn vooral aan de orde in de bovenste helft van het referentiemodel: het strategisch niveau. Dit terrein is minder bekend voor de auditor.
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 38
09/11/10 7:08 PM
Informatiestrategie t 0QTUFMMFOTUSBUFHJTDI#VTJOFTT*5QMBn t #FQBMFOUFDIOPMPHJTDIF POUXJLLFMEPFMTUFMMJOHFO t VBTUTUFMMFO*5QSPDFTTFO PSHBOJTBUJFFO SFMBUJFT t .BOBHFOWBO*5JOWFTUFSJOHFOFOLPTUFn t )3NBOBHFNFOU t *5SJTJDPNBOBHFNFOU t )FSLFOOFOWBO*5PQMPTTJOHFO t 4FSWJDFMFWFMNBOBHFNFOU t .BOBHFNFOUWBOMFWFSBODJFST t .POJUPSFOFOFWBMVFSFOWBO*5QSFTUBUJFT t .POJUPSFOFOFWBMVFSFOWBOJOUFSOF DPOUSPMF t *OGPSNBUJFCFWFJMJHJOHTCFMFJEFOoFJTFO t VFSBOUXPPSEFMJKLIFJEWPPS CFESJKGTNJEEFMFO t $MBTTJmDBUJFWBOJOGPSNBUJF t #FMFJEFOFJTFOOFUweSLCFWFJMJHJOH t 6JUXJTTFMJOHWBOJOGPSNBUJF t #FESJKGTFJTFOUBWUPFHBOHTCFIFFSTJOH t ƢPOJUPSFOFOFWBMVFSFOWBO JOGPSNBUJFCFWFJMJHJOHTJODJEFOUFO t #FMFJEFOFJTFOCFESJKGTDPOUJOVJUFJU
Businessorganisatie t 8JK[JHJOHFOCFIFFS t 5SBOTJUJF t (FCSVJLFSTPOEFSTUFVOJOH t #FIFFSCFESJKGTJOGPSNBUJF t 0QFSBUJPOFMF*$5BBOTUVSJOH t "SDIJUFDUVVSTFSWJDFT t OntXJLLFMFO [ POEFS BSDIJUFDUVVS t 1SPKFDUNBOBHFNFOU t OntXJLLFMFOWBOCVTJOFTTDBTFT
governance
businessvraag
ICT-inrichting
ICT-aanbod
IT-architectuur t 8JK[JHJOHFOCFIFFS t 1SPHSBNNBCFIFFSFO EJTUSJCVUJF t $BQBDJUFJUTCFIFFS t #FTDIJLCBBSIFJETCFIFFS t $POUJOVJUFJUTCFIFFS t *ODJEFOUCFIFFS t $POmHVSBUJFCFIFFS t 1SPKFDUNBOBHFNFOU
IT-processen t $BQBDJUFJUTNBOBHFNFOU t #FTDIJLCBBSIFJETNBOBHFNFOU t 4FSWJDFDPOUJOVJUFJUTNBOBHFNFOU t *ODJEFOUNBOBHFNFOU t $POmHVSBUJFNBOBHFNFOU t $IBOHFNBOBHFNFOU t 4FSWJDFEFTL
Figuur 2: Het referentiemodel voor het regisseren van de informatievoorziening De vertegenwoordigers van de auditpraktijk vinden dat de aandacht van de auditor moet worden verlegd van controleren aan de achterkant naar adviseren aan de voorkant en dan met name op strategisch niveau. Beide aspecten, vernieuwing en beheersing, zijn in een organisatie aan de orde. Op het tactisch niveau vindt de uitwisseling plaats tussen vernieuwing en beheersing. Daarbij kan zelfs worden gesproken van een innovatiecyclus.
Strategisch adviseren: de innovatiecyclus Vertegenwoordigers van de auditpraktijk vinden dat de aandacht van de auditor moet worden verlegd van controleren aan de achterkant naar adviseren aan de voorkant en dan met name op strategisch niveau. Dit is de bovenste laag van het referentiemodel. Het gaat dan om de afwegingen die de organisatie maakt om IT in te zetten (IT als enabler) en de organisatie daarop in te richten. Hierover kan de
auditor het management adviseren. Het gaat dan vooral om business-IT alignment. De domeinen IT-architectuur en IT-processen, dus het tactisch en operationeel niveau, zijn bekender terrein voor de auditor in zijn controlerende functie. Op operationeel niveau zullen processen steeds sneller aangepast moeten worden ter invulling van de strategische keuzes. Dan ontstaat een soort Deming cirkel of innovatiecyclus via de hoekpunten van het model: van ICT-innovatie (rechter de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 39
39 09/11/10 7:08 PM
businessstrategie
2
informatie strategie
1
3
5
businessorganisatie
ITarchitectuur
regie
4
bedrijfsprocessen
1. 2. 3. 4. 5. 6. 7. 8.
innovatie
6
8
ITprocessen
7
ICTmiddelen
Bepalen technologische ontwikkeling en Herkennen van IT-oplossingen Opstellen strategisch IT-plan Architectuurservices Ontwikkelen onder architectuur Wijzigingenbeheer Beschikbaarheidsbeheer Capaciteitsbeheer Service continuïteitsmanagement
Figuur 3: Regie op de innovatiecyclus bovenhoek) naar businessstrategie (linker bovenhoek) naar procesinrichting (linker benedenhoek) en technische IT-infrastructuur (rechter benedenhoek). Dit speelt vooral in de hogere fasen van volwassenheid. De auditor zal moeten bewaken dat deze cirkel goed wordt doorlopen. In het referentiemodel zijn de hoekpunten niet opgenomen. Het referentiemodel bevat wel een aantal processen om de ontwikkelingen in de hoekpunten te kunnen volgen. In figuur 3 zijn deze processen door middel van een nummer op de koppelvlakken van het referentiemodel met de hoekpunten geplaatst. Het nummer verwijst naar een van de processen die in een voetnoot bij de figuur zijn weergegeven. Met behulp van deze processen kan de genoemde innovatiecyclus worden bewaakt. Meetbaarheid: succes of verbetering De vertegenwoordigers van zowel de wetenschap als de auditpraktijk wijzen op het belang van monitoring door middel van een beperkte set meetbare KPI's. Het gaat dan vooral
40
om uitzonderingen met een grote impact, om de mate van tevredenheid van de gebruiker over de werking van het (IT-)proces en of geleerd wordt van fouten. Als aan elk proces uit het referentiemodel één of meer prestatie-indicatoren worden gekoppeld, kan een dashboard worden samengesteld, waaraan het succes van het regisseren van de informatievoorziening kan worden afgelezen. Indien een regieorganisatie niet wil volstaan met het meten van haar succes, maar dit ook wil verbeteren, is meer nodig dan een op meten gericht dashboard. Voor het verbeteren van prestaties is de balanced score card een bekend hulpmiddel. Dit hulpmiddel is oorspronkelijk ontwikkeld door Kaplan en Norton voor het evalueren van organisaties als geheel, maar het kan ook worden toegepast als meetinstrument voor de IT-prestaties van een organisatie en de mate waarin deze bijdragen aan de organisatiedoelstellingen: de IT-balanced score card [GREM09]. De IT-balanced score card onderscheidt vier perspectieven om naar de IT-prestaties van een organisatie te kijken: t %F UPFLPNTUHFSJDIUIFJE IPF HPFE is de IT gepositioneerd om toekomstige uitdagingen te beantwoorden? t %F PQFSBUJPOFMF FYDFMMFOUJF IPF effectief en efficiënt zijn de IT-processen ingericht? t %FHFCSVJLFSTPSJÑOUBUJFIPFLJKLFO de gebruikers tegen de IT-organisatie aan? t %FCJKESBHFBBOEFPSHBOJTBUJFEPFM stellingen: hoe kijkt het management tegen de IT-organisatie aan? Tussen deze perspectieven bestaat een oorzaak-gevolgrelatie: toekomstgerichtheid draagt bij aan de operationele excellentie die leidt tot gebruikerstevredenheid en daardoor bijdraagt aan de organisatiedoelstellingen. Door de prestatie-indicatoren behorend bij de geselecteerde processen te plaatsen in de organisatieperspectieven van de IT-prestaties, ontstaat een IT-balanced scorekaart voor het ver-
beteren van de regie-organisatie (zie figuur 4). Implementatie: de aandachtspunten De vertegenwoordigers uit het domein management vinden dat het referentiemodel een volledig overzicht biedt van de essentiële processen. Het is een praktisch communicatiemiddel, bijvoorbeeld bij de (verdere) implementatie van de regiefunctie in een organisatie. Het model is echter nog geen verklaring voor een goede werking. Bij de implementatie zijn met name de volgende punten van belang: t %FCFUSPLLFOIFJEWBOEFTUBLFIPM ders. t %FPWFSHBOHWBOBDUJFTUVSJOH AEPFOA naar resultaatsturing (‘denken‘). t )FUJOSJDIUFOWBOEFDPOUSPMDZDMVT t )FU BBOQBTTFO WBO EF PSHBOJTBUJF (van ‘zelf doen’ naar ‘anderen laten doen‘). t )FUJOWVMMFOFOCFTDISJKWFOWBOEF rollen en taken van de regie-organisatie. t .FEFXFSLFST NFU EF KVJTUF DPN petenties. TOT SLOT De essentie van het regisseren van de informatievoorziening bestaat uit het invulling geven aan de domeinen van de regiefunctie (governance, businessvraag, ICT-inrichting en ICT-aanbod), van daaruit toe te zien op de opzet en werking van de aspectgebieden van de informatievoorziening (informatiestrategie, business-organisatie, IT-architectuur en IT-processen) en open te staan voor de ontwikkelingen vanuit de omgeving (businessstrategie, bedrijfsprocessen, innovatie en ICT-middelen). Op de bovenste laag van het referentiemodel (het terrein van business-ITalignment) moet het businessmanagement (en niet het IT-management) zijn verantwoordelijkheid nemen voor het invullen van de regiefunctie en moet de IT-auditor in staat zijn het management hierover strategisch te adviseren. Het ontwikkelde referentiemodel kan daarbij behulpzaam zijn. ■
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 40
09/11/10 7:09 PM
De gebruikersoriëntatie t 1FSDFOUBHFWBOEFTUBLFIPMEFSTEBUUFWSFEFOJTPWFSEF SFBDUJFTOFMIFJEWBOEF*5PSHBOJTBUJF t 1FSDFOUBHFWBOEFHFCSVJLFSTEBUUFWSFEFOJTNFUEFHFMFWFSEF EJFOTUFO t 1FSDFOUBHFWBOEFLSJUJTDIFQSPDFTTFOEBUWPMEPFUBBOEF BGHFTQSPLFOQSFTUBUJFFJTFO t .BUFXBBSJOJOGPSNBUJFJTHFDMBTTJmDFFSE t .BUFXBBSJOVJUXJTTFMJOHWBOJOGPSNBUJFJTWBTUHFMFHEJO VJUXJTTFMJOHTPWFSFFOLPNTUFO t "BOXF[JHIFJEBDUVFMFXJK[JHJOHTLBMFOEFS t *O[JDIUJOHFNFMEFDBMMT t 1FSDFOUBHFQSPKFDUFOEBUHFXFOTUFSFTVMUBBUPQMFWFSU t 1FSDFOUBHFWBOEFBQQMJDBUJFTEBUWPMEPFUBBOEFBGHFTQSPLFO CFTDIJLCBBSIFJETFOCFUSPVXCBBSIFJETFJTFO
De bijdrage aan de organisatiedoelstellingen t 1FSDFOUBHFWBOEFJOWFTUFSJOHFOJOEFEJFOTUWFSMFOJOHEBUWPMEPFU BBOWFSXBDIUFWPPSEFMFO t 1FSDFOUBHFWBOIFUBBOUBMHFÕEFOUJmDFFSEFLSJUJTDIF HFCFVSUFOJTTFOEBUCFPPSEFFMEJT t 'SFRVFOUJFXBBSJOIFUJOGPSNBUJFCFWFJMJHJOHTCFMFJEXPSEU HFÑWBMVFFSE t 3FHFMNBBUXBBSNFFIFUCFESJKGTDPOUJOVÕUFJUTQMBOXPSEUHFUFTU FOBBOHFQBTU t "BOXF[JHIFJECFESJKGTJOGPSNBUJFNPEFM t "BOXF[JHIFJEWBOFFOBDUVFFMBSDIJUFDUVVSSBBNXFSL t 1FSDFOUBHFWBOEFLSJUJTDIFQSPDFTTFOXBBSWPPSFFO", BOBMZTFJTVJUHFWPFSE
De operationele excellentie t 1FSDFOUBHFWBOEFMFWFSBODJFSTEBUWPMEPFUBBOEFBGHFTQSPLFO TFSWJDFMFWFMT t .BUFXBBSJOOFUXFSLEJFOTUFOWPMEPFOBBOWBTUHFTUFMEFFJTFO t 1FSDFOUBHFWBOEFLSJUJTDIFCFESJKGTQSPDFTTFOEBUOJFUHFEFLU XPSEUEPPSFFOTFSWJDFBWBJMBCJMJUZQMBO t 'SFRVFOUJFWBOTUPSJOHFOJOLSJUJTDIFTZTUFNFO t .BUFWBOUFWSFEFOIFJEWBOHFCSVJLFSTPWFSEFHFCSVJLFST POEFSTUFVOJOH t 1FSDFOUBHFWBOEFJODJEFOUFOEBUJTPQHFMPTUCJOOFOEF BGHFTQSPLFOUJKE t "BOUBMBGXJKLJOHFOUVTTFOEFDPOmHVSBUJPONBOBHFNFOU EBUBCBTFFOEFXFSLFMJKLBBOXF[JHFDPOmHVSBUJPOJUFNT t "BOUBMDIBOHFTEBU[POEFSBEFRVBUFBDDPSEFSJOHJT HFÕNQMFNFOUFFSE
De toekomstgerichtheid t 1FSDFOUBHFBGXJKLJOHFOWBOUFDIOPMPHJTDIFTUBOEBBSE t 1FSDFOUBHFWBOIFUQFSTPOFFMEBUWPMEPFUBBOEFGVODUJFFJTFO t "BOEFFMBOUJDJQFSFOEFQSPKFDUFOJOIFUUPUBBMBBOUBM POUXJLLFMJOHTQSPKFDUFO
Figuur 4: Het regiedashboard-de verbeterversie Mijn eerste ervaringen met bestuurlijke informatievoorziening zijn inmiddels alweer zo’n 25 jaar oud. Hoewel ik tijdens mijn studie economie bewust had gekozen voor een sociaal-economische afstudeerrichting, kreeg ik na de start van mijn loopbaan in overheidsland, al snel te maken met activiteiten om het bedrijfsmatig functioneren van de overheid te verbeteren: verbetering comptabel bestel, beleidsen beheersintrumentarium, recht- en doelmatigheidsonderzoek en audit en control. De ambitie van mijn huidige werkgever (wij willen dé regisseur van de informatievoorziening van Rijkswaterstaat worden) heeft mij geinspireerd bij het kiezen van het onderwerp van mijn referaat. Naast de eis van een wetenschappelijke onderbouwing van het referentiemodel, heb ik ook de eis gesteld dat het referentiemodel praktisch hanteerbaar moet zijn. Die eis heb ik getoetst door middel van een aantal interviews met vertegenwoordigers uit de domeinen wetenschap, management en auditing. Dat heeft een aantal boeiende gesprekken opgeleverd, die hebben geleid tot aanvullingen en verduidelijkingen. De echte validering ontstaat echter pas door het referentiemodel in de praktijk toe te passen. Daartoe roep ik de lezer van dit artikel op en hou mij aanbevolen voor reacties uit de praktijk.
Literatuur [ABCO06] Abcouwer, Gels en Truijens; Informatie management en beleid; SDU Uitgevers; 2006 [BOS08] Van den Bos, Chin, Janmaat en Wijers; De businesscase voor regie; in Oosterhaven (red); Regie op outsourcing, Grip op uitbestedingsrelaties; Uitgeverij Tiem; 2008 [GREM09] Van Grembergen en De Haes; Enterprise Governance of Information Technology, Achieving Strategic Alignment and Value; Springer; 2009 [HEND93] Henderson en Venkatraman; Strategic Alignment: leveraging Information Technology for transfering organizations; in IBM Systems Journal; vol 32; nr 1; 1993 [POLS05] Van der Pols; Donatz, Van Outvorst; BiSL, Een framework voor Functioneel Beheer en Informatiemanagement; Van Haren Publishing; 2005 [STAR02] Starreveld, Van Leeuwen en Van Nimwegen; Bestuurlijke Informatieverzorging; Deel 1: Algemene Grondslagen; Stenfert Kroese; 2002
Drs. C.W.A.M. (Kees) van Oosterhout RO EMITA is werkzaam als coördinator audit en toezicht bij de Data ICT Dienst van Rijkswaterstaat. Op 1 maart 2010 rondde hij zijn studie executive master of IT auditing af met zijn referaat ‘Naar een referentiemodel voor het regisseren van de informatievoorziening’. Dit artikel is gebaseerd op het referaat.
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 41
41 09/11/10 7:09 PM