In dit artikel hanteren we de volgende definitie voor IT-governance:

Governance Informatiemanagement als basis voor IT-governance

2 .5

Informatiemanagement als basis voor IT-governance

77

n dit artikel hanteren we de volgende definitie voor IT-governance:

I

“Het geheel van het toekennen van verantwoordelijkheden en het inrichten van de IT-organisatie, gericht op een efficiënte en effectieve toepassing van IT in de bedrijfsprocessen.” In feite hebben we het hier dus over de besturing van de IT in de bedrijfsprocessen. IT-governance is een verantwoordelijkheid van de business. Dus, met een goed ingericht IT-governance is de business in staat de IT zodanig aan te sturen dat zij op een effectieve en efficiënte wijze bijdraagt aan haar bedrijfsprocessen. De bijzondere aandacht die het onderwerp IT-governance de laatste jaren heeft gekregen, geeft aan dat er een toenemende behoefte is ontstaan bij de business om grip te krijgen op haar IT. We zullen in dit artikel een aantal redenen aangegeven waardoor deze behoefte is ontstaan. Ook zullen we aangeven waarom de besturing van IT door de business vaak als lastig wordt ervaren. In dit artikel zullen we verder uitleggen dat een oplossing hiervoor gevonden kan worden in Informatiemanagement. We zien namelijk in Informatiemanagement een eerste stap in het realiseren van meer besturingsmogelijkheden voor de business. Hierbij zullen we met name ingaan op het belang van informatie over de samenhang tussen bedrijfsobjecten en de manier waarop de inrichting van kadasters hierbij kan helpen. Om te laten zien hoe Informatiemanagement een rol kan spelen in de besturingsmogelijkheden van de business zullen we een case presenteren waarin Atos Origin bij KPN Telecom in Nederland dergelijke kadasters heeft ingericht.

2

Auteurs: Rolf Akker, Martin Paulissen en Eric Roovers - Atos Origin

IT LAAT ZICH MOEILIJK DIRECT BESTUREN DOOR DE BUSINESS Om uiteenlopende redenen wil de business meer invloed op de besturing van IT. De complexiteit en het specialistische karakter van IT laat dat echter niet zondermeer toe. Tussen dat waarop de business wil sturen (de Regelbehoefte) en de mate waarin de busi-

Regelbalans =

ness in staat is om te sturen (het Regelvermogen) moet een balans aangebracht worden (de Regelbalans). Een gezonde Regelbalans is een voorwaarde voor effectieve bestuurbaarheid van IT door de business. In formulevorm kunnen we dit als volgt weergeven:

Regelbehoefte ~ ~ 1 Regelvermogen

IT Service Management best practices, deel 3 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

78

In ons artikel gaan we ervan uit dat de Regelbehoefte van de business groter is dan het Regelvermogen. De balans kan dan op twee manieren worden hersteld: 1. Het reduceren van de Regelbehoefte van de Business. 2. Het vergroten van het Regelvermogen van de business. Reductie van de Regelbehoefte kan gerealiseerd worden door IT die niet van kritisch of strategisch belang is voor de ontwikkeling van de business buiten de besturingsscope van de business te plaatsen. Een voorbeeld van een interventie om de Regelbehoefte te verkleinen is outsourcing van non-core IT. Het Regelvermogen van de business is afhankelijk van de mate waarin de business mensen en middelen vrijmaakt om de IT direct te besturen. Echter, alle resources die zijn ingezet om IT aan te besturen, kunnen niet worden ingezet om nieuwe business te ontwikkelen. Een benadering voor het normaliseren van de Regelbalans kan bijvoorbeeld liggen in het delegeren van IT-besturing. Als we gaan sleutelen aan de parameters van de balans kunnen we een circulaire beweging waarnemen. We starten vanuit een positie waarin de Regelbehoefte groter is dan het Regelvermogen. Stel, we vergroten het Regelvermogen waardoor de bestuurbaarheid beter in balans zal zijn. Dit kan dan weer leiden tot een afname in Regelbehoefte, waardoor de balans weer de andere kant opslaat. Hiermee is bestuurbaarheid iets waarbij we voortdurend moeten zoeken naar de balans tussen Regelbehoefte en Regelvermogen. Het gaat hier om een balans die steeds in beweging is, waardoor steeds weer actief gezocht moet worden naar de juiste balans. Besturing van de IT is dus dynamisch. We zullen ons hieronder allereerst verdiepen in de vraag om welke redenen de business meer sturing op de IT wil uitoefenen. Vervolgens zullen we ingaan op de vraag

waarom het de business dan schort aan het besturingsvermogen.

REGELBEHOEFTE (HET WILLEN BESTUREN) Er zijn verschillende redenen te bedenken waarom de business meer sturing wil uitoefenen op de IT. Enkele voorbeelden daarvan zijn: • Door de invoering van Corporate Governance wordt ook nadrukkelijk gekeken naar IT. • Bedrijfsprocessen worden steeds afhankelijker van IT-toepassingen. • IT betreedt een andere fase binnen haar productlevenscyclus. • Veel IT-projecten mislukken of lopen uit de tijd of uit het geld. Compliance Management Door maatregelen als Sarbanes Oxley, Basel II en dergelijke wordt ook heel nadrukkelijk gekeken naar die informatiesystemen die een belangrijke rol spelen bij financiële transacties. Het beperken en het beheersen van de risico’s voor deze informatiesystemen is daarin een belangrijk onderwerp. Dit betekent dat er nadrukkelijk allerlei processen en procedures voor deze systemen moeten worden geregeld. Maar het betekent ook dat de financieel manager van de onderneming hiervoor aansprakelijk wordt gehouden. Hiermee krijgen de informatiesystemen van IT een duidelijke plaats in het ondernemen van het bedrijf, en dus is het ook begrijpelijk dat het bedrijf een bepaalde invloed wil uitoefenen op de IT. Slechte score IT-Projecten IT-projecten hebben een slechte naam. Bij veel van deze projecten vindt een aanzienlijke overschrijding van het budget plaats of wordt veel te laat opgeleverd. Toch wordt een aanzienlijk deel van het budget van een onderneming uitgegeven aan IT-projecten. Op zich is dat al een reden genoeg voor meer besturing door de business, maar in economisch barre tijden zal die behoefte alleen maar toenemen.

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net


Bedrijfsprocessen afhankelijk van IT Er is nauwelijks nog een bedrijf te vinden dat niet op één of andere manier IT-toepassingen heeft verwerkt in haar bedrijfsprocessen. ITtoepassingen hebben daarmee een rol gekregen die vrijwel direct verbonden is aan het toevoegen van waarde aan de producten van een onderneming. Nieuwe fase IT Life Cycle “IT is een commodity” is een kreet die regelmatig kan worden gehoord, “IT als water uit de kraan of als stroom uit een stopcontact” is een andere. Het is nog maar de vraag of IT zo rijp is dat ze als zodanig kan worden beschouwd. Bij een dergelijke volwassenheid hoort een aantal belangrijke kenmerken, zoals standaardisatie en efficiëntie. Dit betekent een zo hoog mogelijk rendement tegen zo laag mogelijke kosten. In het gebruik van IT-toepassingen zien we steeds meer signalen van deze standaardisatie en efficiëntie, duidelijke signalen dat IT steeds meer volwassen wordt. Voordat we toe zijn aan een fase waarin we IT als een commodity kunnen beschouwen moet er echter nog heel wat inspanning worden gepleegd in termen van besturing. Conclusie Er zijn uiteenlopende redenen waarom de business meer invloed wil uitoefenen op de IT. Hieronder zullen we ons gaan richten op de vraag waarom de business problemen ondervindt bij het besturen van de IT. Hiertoe zullen we ingaan op het onderwerp Regelvermogen.

REGELVERMOGEN (HET KUNNEN BESTUREN) Hierboven hebben we geconcludeerd dat er schijnbaar iets ontbreekt aan het Regelvermogen van bedrijven. De volgende zaken kunnen bijdragen aan het gebrek aan Regelvermogen: • verschillen tussen business en IT; • onduidelijkheid over wat nu precies IT is en wat niet; • technology push creëert afstand.

Verschillen tussen business en IT Informatietechnologie is een omvangrijk, complex en specialistisch kennisdomein. De combinatie van businesskennis en IT-kennis op een niveau dat effectieve integrale besturing van IT door de business mogelijk maakt, is schaars. Bij de ontwikkeling van nieuwe business zien we vaak dat ofwel de procesinrichting, ofwel de ontwikkeling van nieuwe IT het stiefkind van het project wordt. Integrale besturing van de drie dimensies (business, proces en IT) overvraagt in veel gevallen eenvoudigweg de capaciteit van de organisatie. Onduidelijkheid over de scope van ITbesturing en hidden IT De grenzen van wat nu wel en niet IT is, zijn soms moeilijk vast te stellen. IT is dusdanig geïntegreerd in alles om ons heen dat we het soms niet eens meer zien. Dat betekent ook dat het moeilijk is om vast te stellen of het nu tot het IT-domein of tot een ander domein behoort. De processor in het koffieautomaat is misschien nog gemakkelijk toe te wijzen, maar de processor in een verpakkingsmachine kan al aanleiding tot discussie geven. De IT kent grofweg twee werkgebieden. Het ene werkgebied bestaat uit het up-and-running houden van de IT-huishouding. Hierbij hoort standaard een vernieuwings- en investeringscyclus. Het andere werkgebied heeft te maken met het leveren van business-functionaliteit aan het bedrijf.

79

2

Integratie informatiesystemen Informatiesystemen bestaan bijna niet meer in isolement. Informatie wordt tussen diverse informatiesystemen van verschillende ondernemingen uitgewisseld. Het aan elkaar knopen van informatiesystemen neemt een steeds grotere vlucht. Tussen elk van deze systemen moeten interfaces worden gebouwd en beheerd. Tegelijkertijd neemt hierdoor de onderlinge afhankelijkheid toe. Zoals reeds genoemd heeft elk systeem zijn eigen vernieuwings- en investeringscyclus. Worden de systemen tot een keten gevormd, dan ontstaat al gauw een onbestuurbare kluwen van releases, deadlines en financieringsuitdagingen.


80

Technology push creëert grote afstand tussen business en IT Je vraagt je soms af wie nu wie bestuurt in een onderneming. Soms lijkt het alsof het de IT is die bepaalt wat de business wel en niet zou moeten doen ten aanzien van IT. Door de verregaande integratie van IT in bedrijfsprocessen heeft IT daarmee ook direct invloed op de bedrijfsactiviteiten. IT is een trein die voortraast, er moeten continue beslissingen genomen worden. Zolang de business er niet in slaagt haar prioriteiten te vertalen naar de IT, kan de IT-organisatie deze niet opnemen in haar eigen beleid. Conclusie Belangrijkste conclusie die uit het bovenstaande kan worden getrokken is dat duidelijkheid een belangrijke bron van Regelvermogen voor de business zal zijn. Het scheppen van duidelijkheid is één van de belangrijke activiteiten uit het onderwerp Informatiemanagement zoals we dat hieronder kort zullen toelichten.

INFORMATIEMANAGEMENT VOOR ALLE DUIDELIJKHEID Volgens Rik Maes kunnen we globaal twee categorieën onderscheiden als we het hebben over Informatiemanagement: 1. het managen van informatie als een ‘bedrijfsresource’ en 2. het managen van de business - ICT relatie. We kunnen de bestuurbaarheid van IT beschouwen als een onderdeel van de business - IT relatie. Hierboven hebben we geconcludeerd dat het daarvoor vooral aan overzicht en informatie ontbreekt bij de business. Met andere woorden: Informatiemanagement is een essentieel onderdeel van de bestuurbaarheid van IT.

Business

Informatie/ Communicatie

Technologie

Strategie (richten)

Structuur (inrichten)

Uitvoering (verrichten)

Figuur 1 Negenvlaksmodel

Door Maes is hierin op de volgende wijze Informatiemanagement gepositioneerd. Business

Informatie/ Communicatie Technologie

Strategie

Structuur

Operations

Figuur 2 Informatiemanagement

Het kruis in dit model bepaalt het domein van Informatiemanagement. Als we van links naar rechts kijken dan zien we een indeling volgens de tabel rechts. Je zou kunnen zeggen dat van rechts naar links data wordt omgezet in informatie die wordt omgezet in kennis (het kunnen nemen van beslissingen op basis van informatie).

De meesten zullen bekend zijn met het Negenvlaksmodel of het zogenaamde ‘Amsterdams raamwerk voor Informatiemanagement’, welke hieronder is weergegeven.



Positie West

Centrum

Oost

Toelichting Kennisdomein In dit domein vinden de bedrijfsprocessen plaats. Hierin worden op basis van informatie beslissingen genomen die resulteren in producten en/of diensten die worden geleverd aan afnemers. Informatiedomein In dit domein wordt geregeld hoe de juiste informatie op de juiste plaats in de bedrijfsprocessen wordt geleverd. Ook wordt bepaald hoe data moet worden omgezet in informatie. De volgende BiSL-processen kunnen we positioneren op het Informatiedomein: • Planning & Control - het plannen, bewaken en bijsturen van de activiteiten van de organisatie die te maken hebben met het verzorgen van de informatievoorziening, zodat noodzakelijke inzet van informatievoorziening in de organisatie op tijd gerealiseerd wordt met een optimale inzet van capaciteit. • Financieel Management - het maken, onderhouden en bewaken van een vanuit financieel en bedrijfsmatig perspectief kosteneffectieve informatievoorziening en een kosteneffectieve inzet van ICT-middelen voor ondersteuning en uitvoering van de bedrijfsprocessen van de organisatie. • Behoefte Management - het zorgdragen dat de bedrijfsprocessen van een organisatie ondersteund of ingevuld worden door een goede informatievoorziening en functioneelbeheerorganisatie. • Contract Management - het maken van goede en adequate afspraken over de geautomatiseerde informatievoorziening en de dienstverlening door de ICT-leverancier, alsmede het bewaken en verbeteren ervan. Gegevensdomein In dit domein vindt de daadwerkelijke opslag en verwerking van data plaats. Dit is het domein van de applicaties en van de technologische infrastructuur.

81

2

In het gegevensdomein kunnen we de volgende ASL- processen tegenkomen: • Planning & Control - de inzet van de middelen ten aanzien van planning, sturing en verantwoording. • Kostenmanagement - het proces dat zich bezighoudt met kostenbeheersing. • Kwaliteitsmanagement - draait om de interne kwaliteit, de kwaliteit van de organisatie, product, werkwijze en middelen. • Service Level Management - sturing op externe kwaliteit en afspraken met de klant. In het gegevensdomein kunnen we ook de volgende ITIL-processen terugvinden: • Service Level Management - proces waarin de afspraken over de dienstverlening tussen de leverancier en de afnemer van de dienst worden gemaakt en onderhouden. • IT Service Continuity Management - het ondersteunen van de continuïteit van de bedrijfsprocessen van de klant door te streven naar zo weinig mogelijk interrupties en door zeker te stellen dat de IT-infrastructuur en de IT-dienstverlening na een calamiteit volgens afspraak weer worden hersteld. • Capacity Management - het tijdig beschikbaar stellen van voldoende capaciteit voor het verwerken en opslaan van gegevens, volgens overeenkomst met de klant. • Financial Management for IT Services - faciliteren van een kosteneffectief beheer van de middelen, die nodig zijn voor het leveren van diensten. • Availability Management - zorgen voor een kosteneffectief en overeengekomen niveau van beschikbaarheid van de IT-dienstverlening. • Security Management - bereiken van een afdoende beveiligde informatievoorziening.


Positie Noord

82

Centrum

Zuid

Toelichting Richtinggevende domein In dit domein wordt het Informatiebeleid bepaald. Volgens BiSL houdt dit domein zich bezig met het schetsen waar de informatievoorziening heen moet. Hier horen de volgende onderwerpen bij: • Opstellen IV-organisatie strategie - definiëren op welke wijze de uitvoering van en de besluitvorming over de informatievoorziening worden georganiseerd. • Opstellen Informatiestrategie - richt zich op de toekomst van de informatievoorziening binnen de organisatie. Inrichtende domein In dit domein vindt het vertalen van het Informatiebeleid naar concrete Informatieplanning plaats. Volgens BiSL houdt dit domein zich bezig met kosten, opbrengsten, contracten en planningen. De processen die in dit domein worden uitgevoerd, zijn hierboven al beschreven. Verrichtende domein In dit domein vindt de daadwerkelijke levering van informatie plaats ten behoeve van de bedrijfsprocessen. Volgens BiSL houdt dit domein zich bezig met het gebruik van de informatievoorziening en het definiëren van de eisen waaraan deze informatievoorziening inhoudelijk moet voldoen. Hier horen de volgende onderwerpen bij: • Gebruiksbeheer - zorgen dat er een continue en optimale ondersteuning plaatsvindt bij het dagelijks gebruik van de informatievoorziening door de eindgebruikers. • Functionaliteitenbeheer - verantwoordelijk voor aansluiting van de informatievoorziening op het bedrijfsproces.

Als we van boven naar beneden kijken dan zien we een indeling volgens bovenstaande tabel. Aan de hand van het bovenstaande kunnen we concluderen: 1. dat Informatiemanagement een noodzakelijke voorwaarde is voor het besturen van de IT - In het Informatiemanagement-kruis worden veel parameters bepaald voor de IT. De ruimte voor deze parameters wordt uiteindelijk toegekend door de business. Informatiemanagement helpt de business om te bepalen voor welke parameters zij verantwoordelijkheden aan IT kan en moet delegeren. 2. dat informatie een noodzakelijke compoment is om te kunnen besturen We zien in het Informatiemanagementkruis dat daarin veel processen worden uitgevoerd en dat daarin veel beslissingen worden genomen. Hiervoor is de uitwisseling van informatie essentieel.

VOORWAARDEN VOOR SUCCESVOL INFORMATIEMANAGEMENT Het regelvermogen van de organisatie, in het bijzonder dat van de business over de ICT, vereist afstemming over: • waarop wordt gestuurd, • wat er wordt bestuurd, • hoe er wordt bestuurd. Waarop De noord-zuidrichting in het Negenvlaksmodel geeft aan hoe wordt bepaald waarop wordt gestuurd, dit wil zeggen op welke doelstellingen wordt gestuurd. Om te beginnen worden strategische doelstellingen vanuit de business vertaald naar strategische informatie- en communicatiedoelstellingen, en die zijn weer leidend voor de technologische strategie. De strategische doelstellingen worden verankerd in de organisatie door processen, skills en middelen naar de doelstellingen te structureren. Dit gebeurt in de business-kolom,



binnen de technologiekolom en bovenal daartussen in de informatie- en communicatiekolom. Tot slot worden in de organisatie de nodige wijzigingen doorgevoerd om het beheer en de uitvoering van de processen en het gebruik en beheer van IT te operationaliseren. Wat De Structuurlaag in het Negenvlak is essentieel voor de communicatie tussen business en IT. Hier wordt vastgesteld welke bedrijfsobjecten beheerd worden, hoe de veranderingsprocessen met betrekking tot de bedrijfsobjecten lopen en hoe de bedrijfsobjecten onderling gerelateerd zijn. Onder bedrijfsobjecten verstaan we in de Business-kolom: • klanten en markten, • producten en diensten. In de Technologiekolom herkennen we als bedrijfsobjecten: • applicaties, • IT-middelen (hardware en software). Zinvolle communicatie tussen business en IT kan alleen plaatsvinden als binnen de organisatie duidelijk is hoe bedrijfsobjecten uit de Business-kolom samenhangen met bedrijfsobjecten uit de Technologiekolom. De middelste kolom, de Informatie- en Communicatiekolom, geeft richting aan de wijze waarop die samenhang wordt gerealiseerd. De bedrijfsobjecten in de Informatie- en Communicatiekolom zijn: • processen, • informatie.

managementverantwoordelijkheden zoals die in het Negenvlaksmodel wordt beschreven, zijn de processen en overlegstructuren op de interfaces tussen de vlakken. Succesvol informatiemanagement hangt direct samen met de kwaliteit van de communicatie tussen de Business-kolom en de Informatie- en Communicatiekolom en tussen de Informatie- en Communicatiekolom en de Technologiekolom. Op de grenzen tussen de vlakken moet daarom helder worden beschreven: • Welke gezamenlijke definities hanteert men tussen de vlakken? • Hoe zijn de verantwoordelijkheden tussen de vlakken ontkoppeld? • Welke communicatiekanalen (overlegstructuur en besluitvormingsprocedure) worden gebruikt?

83

2

Met zijn sleutelrol tussen business en technologie is de Informatiemanager degene die de vertaalslag tussen business en technologie moet maken. De Informatiemanager is ervoor verantwoordelijk dat het doorlopende proces van vernieuwing en verandering van de business wordt vertaald in verandering in de informatie- & communicatiestructuur en in technologische verandering. Hij bestuurt de geïntegreerde levenscyclus van de bedrijfsobjecten van de business en de technologie in samenhang. Dit wordt inzichtelijk gemaakt in figuur 3.

Het managen van de middelste kolom, en in het bijzonder het centrale vlak Informatie- en Communicatiestructuur, behelst in hoofdzaak het beheren van de vertaalslag tussen bedrijfsobjecten uit de business naar bedrijfsobjecten uit de technologie en vice versa. Hoe Essentieel

voor

de

ontkoppeling

van


Klanten/ markten

84 Product/ diensten

Processen

Informatie

Applicaties

IT-middelen

Figuur 3 De vertaalslag tussen business en technologie

DE INRICHTING VAN KADASTERS In het voorgaande hebben we vastgesteld dat integrale besturing over de drie kolommen Business, Informatie & Communicatie en Technologie vereist dat de bedrijfsobjecten uit de verschillende kolommen en hun samenhang ergens worden vastgelegd. Daarnaast is het belangrijk om van die bedrijfsobjecten vast te leggen wie ervoor verantwoordelijk is, zodat bij problemen en veranderingen snel gecommuniceerd en dus effectiever gestuurd kan worden. Hiervoor zijn databases nodig die wij kadasters noemen, vanwege de analogie met het Kadaster, waarin objecten (percelen) en verantwoordelijkheden (eigenaars) worden geregistreerd. In de Businesskolom zijn dus kadasters nodig van producten/diensten en klanten/ markten, of een gecombineerd kadaster van product-marktcombinaties. In de Technologiekolom zijn kadasters nodig waarin de applicaties en de IT-middelen (hardware en software) worden geregistreerd (en hun onderlinge samenhang). Van applicaties kan voorts worden vastgelegd welke services zij leveren, volgens welke protocollen en onder welke leveringsvoorwaarden. Van IT-middelen kan bijvoorbeeld worden vastgelegd welke licentietypen zijn aangeschaft en wanneer de productsupport afloopt.

In de Informatie & Communicatie kolom zijn kadasters nodig waarin de bedrijfsprocessen en de bedrijfsinformatie wordt vastgelegd. Kadasters koppelen Nadat op deze manier helder is vastgelegd welke objecten in de business en in de IT worden beheerd, is het zaak om de relaties tussen de bedrijfsobjecten te inventariseren en vast te leggen. Tussen de businesskolom en de Informatie & Communicatie kolom moet van elke product-marktcombinatie worden vastgesteld welke processen zijn ingericht voor verkoop, levering, enzovoorts. Tussen de Informatie & Communicatie kolom en de Technologiekolom moet worden vastgesteld welke applicaties via welke services welke processen ondersteunen of automatiseren, en in welke systemen welke bedrijfsinformatie wordt vastgelegd en bewerkt. Om de kadasters effectief te kunnen koppelen is het noodzakelijk om consensus te verkrijgen over de wijze waarop bedrijfsobjecten worden gecategoriseerd en gestructureerd. Met andere woorden, er moet een minimale architectuur worden vastgesteld op de verschillende objectgebieden; begrippenkaders waarbinnen de processtructuur, de productstructuur en het applicatielandschap op een stabiele en (relatief) duurzame manier kan worden gerepresenteerd.



We zeggen met nadruk dat de architectuur minimaal moet zijn. Een bekende valkuil is dat gezocht wordt naar een integrale, bedrijfsonafhankelijke architectuur waarin de volledige bedrijfsstructuur in al haar facetten kan worden beschreven. Dat is om diverse redenen een schier onmogelijke opgave. Wat wel onder architectuur gebracht moet worden wordt ingegeven door de daadwerkelijke bestuurlijke (business)problemen die men wil oplossen door de inzet van Informatiemanagement. Zo verkrijgt men ook het nodige draagvlak voor de transparantie die wordt gecreëerd door kadasters op te zetten en te koppelen. Kadasterprocessen en kwaliteit Het belangrijkste breekpunt voor het succes van de inzet van gekoppelde kadasters, is de kwaliteit van het proces om de kadastergegevens actueel, volledig en consistent te maken en te houden. De meerwaarde van een kadaster is zo groot als de kwaliteit van de informatie die het bevat. Ook hier geldt als uitgangspunt dat gefocust moet worden op de bestuurlijke c.q. business-problemen die hebben geleid tot de inrichting van Informatiemanagement en het opzetten van de kadasters. De kwaliteit van het kadaster kan geborgd worden door twee mechanismen: • Het inbedden van de activiteiten om kadastergegevens te actualiseren in bestaande processen. • Het koppelen van de kwaliteit van de gegevens in de kadasters aan managementtargets. Zo kan bijvoorbeeld het up-to-date zijn van applicatiegegevens in het Applicatiekadaster een voorwaarde zijn voor de vrijgave van budgetten voor ontwikkeling of onderhoud aan de betreffende applicatie. In de hiernavolgende case worden hier voorbeelden van gegeven.

CASE Uitgangssituatie Veel systemen, diversiteit aan talen, platformen en versnipperde verantwoordelijkheden. Elke afdeling een eigen automatisering, eigen processen, eigen systemen en tools. Ging altijd goed, totdat meer elektronisch werd samengewerkt. Samenwerken betekent communiceren en communiceren vereist dezelfde taal. Gaandeweg gekomen tot gemeenschappelijke standaarden, gemeenschappelijke platformen. Om hier te komen moet je weten wat je in huis hebt. Voorbeeld: als je wilt standaardiseren op een groupwarepakket, is het nodig om te weten welke pakketten reeds gebruikt worden, en door welke applicaties. Maar dat is niet voldoende. Welke applicaties zijn nu echt belangrijk voor het bedrijf (en mogen dus niet stilstaan) en welke zijn minder belangrijk. Bekend is het voorbeeld van het POS, dat maandenlang besluitvorming domineerde (er is nog steeds 1 applicatie niet over), totdat het bleek te gaan om het Plantenbak Onderhouds Systeem, dat bijhield, wanneer de planten weer water nodig hadden. Niet onbelangrijk, maar laten we eerst sturen op de hoofdzaken.

85

2

Een ander voorbeeld: Bij de migratie van een kantoorsysteem werden meer dan 100 kantoorapplicaties voor veel geld gemigreerd. Na afloop bleek, dat slechts 13 van deze applicaties daadwerkelijk gebruikt werden. Weggegooid geld. En vanwege de tijdsdruk was er vooraf geen tijd om te onderzoeken wat echt nodig was. Ook zijn talloze voorbeelden bekend van niet-gedocumenteerde applicaties, met name ten aanzien van interfaces en verbindingen. Er is een voorbeeld bekend van een PC die in de hoek van een zaal keurig staat te zoemen, stofhoes er overheen. Niemand die meer weet wat die PC voor functie heeft, maar ook niemand die het besluit durft te nemen om deze uit te zetten. Gaat al jaren goed, dus 'niet aankomen' is het devies. Zo


86

zijn er in grote bedrijven veel processen, systemen, die of overbodig of dubbel werk doen. Anders dan bij die ene PC gaat het om grote bedragen die bespaard kunnen worden. Maar er is ook veel te winnen op het gebied van flexibiliteit en risicobeheersing. Als je niet weet hoe het zit, kun je ook niet sturen (laat die PC maar aan staan). Als je niet verandert, kun je niet snel reageren en wat nu als die PC vastloopt, zou je dan niet willen weten, van te voren, wat er dan gaat gebeuren? Keteninformatie als noodzakelijke voorwaarde Het is van belang om te realiseren dat voor de besturing van de IT uit verschillende omgevingen en vakgebieden informatie nodig is. Hierboven hebben we bij de beschrijving van het Informatiemanagement gezien dat binnen elk domein informatie aanwezig moet zijn en dat die informatie in het Negenvlaksmodel aan elkaar gekoppeld moet zijn om bestuurbaarheid te realiseren. Elk domein is verantwoordelijk voor haar eigen informatie, voor de initiële vulling en voor het up-to-date houden ervan. Door de koppeling ontstaan de doorzichten en ontstaan besturingsmogelijkheden. Bij de besturing van de IT van een organisatie spelen veel partijen een rol, partijen die veelal een eigen "taal" spreken. Daarom is het noodzakelijk verschillende views te creëren, die echter wel gebaseerd zijn op dezelfde data. Op die manier kan op elk niveau de noodzakelijke discussie plaats vinden, terwijl het systeem zorgt voor een vertaling naar de juiste views. We onderscheiden: • Business view - welke bedrijfsprocessen zijn er? • Applicatie view - welke applicaties zijn nodig om de data te managen? • Infrastructurele view - wat is nodig om de applicaties te kunnen draaien?

IT Governance Systeem Bij KPN Telecom is een IT Governance systeem gerealiseerd, dat voldoet aan de genoemde criteria. Via dit IT Governance systeem wordt informatie toegankelijk gemaakt op verschillende besturingsniveaus, op business-niveau, op procesniveau, op applicatieniveau en op middelenniveau. Al deze views zijn aan elkaar gerelateerd. Als bijvoorbeeld de business een SOX-compliancy eist, dan wordt deze eis opgelegd aan die applicaties die dat deel van de business bedienen, maar weten we ook welke systemen daarbij betrokken zijn. Omdat bekend is welke applicaties dat proces ondersteunen, is ook bekend welke applicaties en welke systemen SOX-compliant moeten zijn, et cetera. Het IT Governance systeem is opgebouwd rondom de Applicatie Portfolio. De Applicatie Portfolio houdt van alle gebruikte applicaties circa 87 informatie-items bij, zoals naam, contactpersoon (eigenaar, houder, functioneel beheerder, et cetera), status, belang voor de organisatie, interfaces met andere applicaties, gebruikte software en hardware. Ongeveer honderd beheerders in de verschillende afdelingen zijn verantwoordelijk voor het bijhouden van deze informatie. Via het interne intranet hebben zij toegang tot de beheerapplicatie. Het gaat hierbij om een kleine 1.300 applicaties en circa 3.000 interfaces. Een kwaliteitsproces bewaakt de kwaliteit van de opgeslagen gegevens en signaleert naar de beheerders en hun managers als de kwaliteit beneden de afgesproken norm dreigt te komen. Applicatie Portfolio Op directieniveau is vastgesteld, dat alle applicaties in het 'kadaster' geregistreerd moeten worden. De verantwoordelijkheid voor het dagelijks bijhouden van de opgeslagen informatie is belegd op operationeel niveau. De functioneel beheerder is in de praktijk verantwoordelijk voor het bijhouden van de gegevens. Er is een gebruikersoverleg dat nadenkt over het functioneren van de Applicatie Portfolio en dat nieuwe func-



tionaliteiten voorstelt. Kwaliteitsbeheer is bij de Applicatie Portfolio één van de belangrijkste issues. Hoe kan de kwaliteit van de gegevens getoetst worden en hoe kan daarop gestuurd worden. Hiervoor is een kwaliteitssysteem ontwikkeld. In overleg met de directie is vastgesteld aan welke criteria de Applicatie Portfolio moet voldoen. Zo moet elke applicatie bijvoorbeeld een eigenaar hebben. Klinkt logisch, maar aangezien reorganisaties absoluut noodzakelijk zijn om de dynamische markt te kunnen volgen, is het aan kunnen wijzen van een eigenaar absoluut geen trivialiteit. Hetzelfde geldt voor het hebben van heldere aanspreekpunten voor beheer. Zo is een aantal controls ontwikkeld op basis waarvan continue de kwaliteit van het systeem wordt bewaakt. De kwaliteit is een regelmatig terugkerend agendapunt voor de directie. De bedrijfsprocessen zijn centraal opgeslagen in de Proces Portfolio. Hier worden alle bedrijfsprocessen op een uniforme wijze gemodelleerd en opgesplitst in deelprocessen. Deze deelprocessen worden vervolgens gekoppeld aan de applicaties uit de Applicatie Portfolio. De processen worden onderhouden door een aparte groep medewerkers, de modelleurs. Voor het bewaken van de kwaliteit is een apart kwaliteitsproces ingericht. Door het koppelen van de Proces Portfolio aan de Applicatie Portfolio is het duidelijk welke applicaties binnen de bedrijfsprocessen worden gebruikt, maar ook welke bedrijfsprocessen gebruik maken van dezelfde applicaties. Naast de Applicatie Portfolio is een Middelen Portfolio ingericht. Het doel van de Middelen Portfolio is er voor te zorgen, dat bij het bedrijf werkt met marktconforme middelen, waar een adequate leveranciersondersteuning voor is. In de Middelen Portfolio zijn alle middelen die binnen de organisatie gebruikt worden opgenomen met een kleurcodering voor de levenscyclus. De kleurcodering is

gebaseerd op het stoplichten algoritme: Groen betekent doorgaan, geen probleem; Geel betekent oppassen, op korte termijn stoppen, beperkt risico bij doorgaan; Rood betekent stoppen, groot risico bij doorgaan. Het Portfolio Comité is verantwoordelijk voor een consistente portfolio van IT Middelen voor de middellange termijn. Met name door wildgroei van gebruikte middelen in te dammen, en bij voorkeur te voorkomen dat deze gebruikt gaan worden, levert dit overleg een wezenlijke bijdrage aan het bestrijden van legacy, maar vooral aan het voorkomen van nieuwe legacy. Bij de afwegingen wordt gekeken naar het totale bedrijfsbelang en niet naar individuele voor- dan wel nadelen. Zo is het bijvoorbeeld van belang om het aantal platformen te beperken. Dat levert kwantumvoordelen op en bundelt de beschikbare kennis, waardoor deze goedkoper wordt. Als nu het verzoek binnenkomt een nieuw platform in te voeren, dan is de vraag welke extra functionaliteit dit oplevert. En hoe essentieel deze functionaliteit voor de business is. Niet zelden worden nieuwe platformen gebruikt vanwege een voorkeur van de leverancier, danwel een beperkte visie van de leverancier. Na deze selectie blijft nog ongeveer de helft van de nieuwe aanvragen over. Omdat het aantal platformen in principe niet mag stijgen, moet een ander platform uitgefaseerd worden. Daar zijn kosten mee gemoeid en dat levert ‘overlast’ op voor tot nu toe goed lopende applicaties. Toch is dit nodig om ook op termijn een beheersbare infrastructuur te houden. Hiervoor wordt een business case opgesteld, waarin de consequenties voor het hele bedrijf worden meegenomen. Besluitvorming op directieniveau.

87

2

Een overleggroep van vertegenwoordigers van alle afdelingen bepalen tezamen de strategie met betrekking tot de levenscyclus van deze middelen. Bij de besluitvorming weegt het bedrijfsbelang van betrokken applicaties sterk mee. Een besluit om een bepaald mid-


del uit te faseren heeft direct invloed op een aantal applicaties en bedrijfsprocessen.

88

De Applicatie Portfolio wordt gevoed door de Middelen Portfolio. De Middelen Portfolio houdt van de IT-middelen bij welke support de leverancier op het betreffende middel (nog) geeft. Dit is een autonoom proces. In de regel zet de leverancier haar verjongingsbeleid door, ongeacht het gebruik en eventuele gevolgen voor bedrijven. Hier wordt dezelfde kleurcodering gebruikt: • groen - nog leverbaar en volledig ondersteund; • geel - niet meer leverbaar, nog wel ondersteund; • rood - niet meer ondersteund. De Middelen Portfolio neemt deze kleur zonder meer over. Hierover is geen discussie mogelijk, de leverancier is blijkbaar nog steeds koning. Via de koppelingen wordt de kleurwijziging doorgegeven naar applicatie en procesniveau. Als bijvoorbeeld Microsoft stopt met de ondersteuning van Windows NT, zal de middelenbeheerder dit gegeven in zijn portfolio opnemen. Nu treedt een soort domino-effect in werking. Windows NT krijgt de status 'Einde levenscyclus' en krijgt de toepasselijke kleur Rood: stoppen! Alle applicaties die gebruik maken van Windows NT krijgen nu automatisch de kleur Rood en de applicatiebeheerders krijgen een seintje dat een migratie naar een ander platform nodig is. De proceseigenaar wordt eveneens op de hoogte gesteld van de komende veranderingen. In de praktijk zullen de applicatie en proceseigenaren al eerder op het gele signaal hebben gereageerd en de technologische release hebben gecombineerd met een functionele release. De Middelen Portfolio is een optelling van de leverings-policies van alle gebruikte ITmiddelen. Het uitgangspunt voor de besturing is, dat alle gebruikte middelen een goede ondersteuning nodig hebben. Als de leverancier de ondersteuning gaat beëindi-

gen, moet daarop gereageerd worden door het ook intern te gaan uitfaseren. Voor het bedrijf is er maar één stuurmiddel en dan ook nog een beperkte, namelijk het 'extended support'. Als de leverancier besluit te stoppen met zijn ondersteuning, dan kan vaak tegen extra kosten 'extended support' worden aangekocht, of kan de ondersteuning bij een andere leverancier worden ondergebracht. Dat kan interessant zijn als het betreffende IT-middel alleen nog gebruikt wordt in applicaties die op korte termijn zullen uitfaseren. Case bevindingen In deze case zijn het proces, de data, de applicatie en de middelen gekoppeld. Zo is het mogelijk om met het proces als uitgangspunt informatie over applicaties op te vragen. Vanuit de Applicatie Portfolio kan zowel proces-, data-, als infrastructuurinformatie worden opgevraagd. Vanuit de Middelen Portfolio kan applicatie-informatie worden geraadpleegd, enzovoort. De portfolio’s zijn onderling gekoppeld, zodat onafhankelijk van de ingang, altijd dezelfde informatie wordt verkregen. De essentie is, dat er een coherente dataverzameling is gecreëerd, die toegankelijk is vanuit verschillende gezichtspunten en toepassingsgebieden (proces, data, applicatie, infrastructuur). Een simpel voorbeeld om de kracht van dit concept te illustreren. Op een gegeven moment ontstond er lekkage in één van de rekencentra van de onderneming met als gevolg dat een vijftal servers moest worden afgeschakeld. Via de Applicatie Portfolio werd achterhaald welke applicaties in deze locatie draaiden. De Proces Portfolio, die immers gekoppeld was, gaf snel inzicht welke processen hierdoor zouden kunnen stagneren. Door een relatief eenvoudige herallocatie van enkele applicaties naar andere servers was het mogelijk om bedrijfskritische processen te blijven ondersteunen, weliswaar ten koste van minder belangrijke processen. De business-beslissing “Dit proces moet blijven draaien” was doorvertaald naar een verplaatsing van executables op fysieke servers.



Tastbare en minder tastbare resultaten. Op korte termijn zijn direct incasseerbare voordelen te behalen. Bijvoorbeeld doordat alle financiële contracten op één punt opvraagbaar en daardoor vergelijkbaar zijn, kunnen direct keuzes gemaakt worden, en kunnen overbodige contracten worden beëindigd en te dure contracten heronderhandeld. Omdat centraal alle licenties bekend zijn, kunnen hiermee gemakkelijk schaalvoordelen worden behaald. Veel kwantumvoordelen worden niet benut, omdat niet bekend is hoeveel licenties een bedrijf heeft. En de leverancier geeft die informatie niet. Ook kunnen licenties die vrijkomen uit het ene project direct worden ingezet bij een volgend project. Voordelen die toe te schrijven zijn aan de totale IT Governance oplossing. De effecten van risico-reducerende maatregelen zijn altijd moeilijk concreet te maken. De positieve effecten zijn pas op lange termijn merkbaar. Toch zijn er voldoende concrete resultaten te melden.

CONCLUSIES Samengevat kunnen we de volgende conclusies trekken als het gaat om de besturing van IT door de business: 1. Informatiemanagement is een essentieel onderdeel om effectieve besturing door de business op de IT tot stand te brengen. Niet alleen slaat Informatiemanagement een brug tussen de business en de IT, ook voorziet het in de informatie die zo noodzakelijk is om te kunnen besturen. 2. Door verschillende kadasters met elkaar te verbinden ontstaat inzicht in de keten, maar ontstaan ook punten waar afstemming moet worden gerealiseerd. 3. Informatie is onmisbaar als het gaat om het nemen van beslissingen. 4. Door informatie over IT-middelen te kunnen koppelen aan bedrijfsprocessen, kunnen beslissingen over de IT-middelen gerelateerd worden aan deze bedrijfsprocessen. 5. Door BiSL te positioneren in de middenkolom van het Negenvlaksmodel kunnen we een goede invulling geven aan de

noord-zuid richting binnen Informatiemanagement. 6. Door het inrichten van kadasters in de middenrij van het Negenvlaksmodel kunnen we een goede invulling hebben aan de west-oost richting binnen Informatiemanagement.

89

LITERATUUR • Maes, Rik. Informatiemanagement in kaart gebracht. PrimaVera Working Paper 200302, http://primavera.fee.uva.nl • Backer, Yvette, en Remko van der Pols. Application Services Library - A management guide. Van Haren Publishing, 2003. • Bon, J. van (red.). IT Service Management - een samenvatting op basis van ITIL. ITSMF, Van Haren Publishing, 2004. • Pols, Remko van der, Ralph Donatz en Frank van Outvorst. BiSL, Een Framework voor Functioneel Beheer en Informatiemana-gement. ASLF, Van Haren Publishing, 2005.

2

Over de auteurs De auteurs van dit artikel hebben jarenlange ervaring met besturingsvraagstukken in de IT en met het inrichten van oplossingen voor effectievere IT-besturing, waaronder de realisatie van kadasters en de implementatie van besturingsprocessen. Rolf Akker is adviseur op de relatie tussen bedrijfsprocessen en de toepassing van IT. Rolf adviseert bedrijven bij het inrichten van hun IT-dienstverlening en bij het besturen van de IT. Rolf is de vertegenwoordiger van Atos Origin in de IT Governance Association (ITGA). Martin Paulissen is als adviseur en functioneel beheerder verantwoordelijk voor enkele grote 'kadasters' bij KPN Telecom. Rondom de kadasters richt Martin beheerprocessen in en organiseert hij de comités die beslissingen nemen ten aanzien van de kadasters en over het gebruik van de kadasters. Eric Roovers is als adviseur verantwoordelijk voor diverse kadasters voor IT-besturing. Daarnaast houdt hij zich bezig met het scheppen van voorwaarden voor effectief procesmanagement.



In dit artikel hanteren we de volgende definitie voor IT-governance:

Recommend Documents