Information Auditing
Jeffrey van den Haak (1690582) Ilse J. van der Tol (1691066) VU EDP-Audit Scriptie 927
Kerngegevens Opleiding
VU EDP Audit
Referentienummer VU
927
Student 1
Jeffrey van den Haak (1690582) Mobiel: 06 13 57 52 69 E-mail:
[email protected]
Student 2
Ilse J. van der Tol (1691066) Mobiel: 06 51 29 34 76 E-mail:
[email protected]
Bedrijfscoach
Michael Zuur Mobiel: 06 13 09 49 96 E-mail:
[email protected]
VU-coach
Abbas Shahim Mobiel: 06 53 84 97 89 E-mail:
[email protected]
Datum
27-11-2009
Versie
Final
2
‘You generally hear that what a man doesn't know doesn't hurt him, but in business what a man doesn't know does hurt.’ E. St. Elmo Lewis (1872-1948).
3
Inhoudsopgave I Voorwoord ............................................................................................................................................. 6 I Voorwoord ............................................................................................................................................. 6 II Managementsamenvatting ................................................................................................................... 7 1 Omgevingsraming en projectieraamwerk ....................................................................................... 8 1.1 Aanleiding............................................................................................................................... 8 1.2 Definitie .................................................................................................................................. 9 1.3 Probleemstelling..................................................................................................................... 9 1.3.1 Doelstelling .................................................................................................................... 9 1.3.2 Centrale vraagstelling.................................................................................................... 9 1.3.3 Onderzoeksmodel ....................................................................................................... 10 1.3.4 Afbakening................................................................................................................... 11 1.4 Leeswijzer ............................................................................................................................ 12 2 Theorie Information Auditing......................................................................................................... 13 2.1 Inleiding in IA........................................................................................................................ 13 2.2 Definities IA .......................................................................................................................... 14 2.3 Scope van een IA ................................................................................................................. 15 2.4 Doel van een IA.................................................................................................................... 17 2.5 Stakeholders ........................................................................................................................ 17 3 IA Begrippenkader ........................................................................................................................ 19 3.1 Inleiding ................................................................................................................................ 19 3.2 ICT-strategie......................................................................................................................... 19 3.3 Informatiemanagement ........................................................................................................ 20 3.4 Alignment ............................................................................................................................. 21 3.5 Informatiesysteemarchitectuur ............................................................................................. 23 3.5.1 InformatieSysteemArchitectuur (ISA) .......................................................................... 23 3.5.2 Zachman Architectual Framework............................................................................... 24 3.5.3 TOGAF ........................................................................................................................ 25 3.5.4 IA en ISA ..................................................................................................................... 26 3.6 IT-Governance ..................................................................................................................... 27 4 IA Methodologie ............................................................................................................................ 28 4.1 Inleiding ................................................................................................................................ 28 4.2 IA methodologie ................................................................................................................... 28 4.3 Beslisfactoren....................................................................................................................... 30 4.4 Randvoorwaarden ................................................................................................................ 30 5 Resultaten empirisch onderzoek .................................................................................................. 33 5.1 Inleiding ................................................................................................................................ 33 5.2 Opzet empirisch onderzoek ................................................................................................. 33 5.3 Onderzoeksresultaten .......................................................................................................... 35 5.3.1 Stakeholders en belangen........................................................................................... 35 5.3.2 Beslisfactoren .............................................................................................................. 36 5.3.3 Nieuwe beslisfactoren ................................................................................................. 36 5.3.4 Randvoorwaarden ....................................................................................................... 38 5.3.5 Nieuwe randvoorwaarden ........................................................................................... 38 6 Samenvatting en conclusie ........................................................................................................... 40 6.1 Samenvatting ....................................................................................................................... 40 6.2 Conclusie.............................................................................................................................. 41 6.3 Bijdrage aan de literatuur ..................................................................................................... 42 6.4 Suggesties voor verder onderzoek ...................................................................................... 42 Literatuur................................................................................................................................................ 43 III Appendix............................................................................................................................................ 45 Appendix 1 IA Methodologie ............................................................................................................. 46 Appendix 2 IT-Alignment................................................................................................................... 51 Appendix 3 Vragenlijst ...................................................................................................................... 53 Appendix 4 Gespreksverslagen ........................................................................................................ 57 Appendix 5 Information Audit definities............................................................................................. 70 Appendix 6 Modellen......................................................................................................................... 71
4
Tabellen en figuren Figuur 1: Onderzoeksmodel. ................................................................................................................. 10 Figuur 2: Schematische weergave hoofdstukindeling. .......................................................................... 12 Figuur 3: Tijdlijn IA definities en onderzoekers...................................................................................... 13 Figuur 4: Audit typologiemodel (Buchanan & Gibb (1998))................................................................... 15 Figuur 5: Stakeholders. ......................................................................................................................... 18 Figuur 6: ICT-strategie en informatiemanagement (gebaseerd op Earl (2000)). .................................. 20 Figuur 7: Strategic Alignment Model (gebaseerd op Henderson en Venkatraman (1999)). ................. 21 Figuur 8: Negenvlaksmodel Maes (2005). ............................................................................................ 22 Figuur 9: Zachman raamwerk (1992). ................................................................................................... 24 Figuur 10: Onderdelen van TOGAF (2009)........................................................................................... 25 Figuur 11: TOGAF Raamwerk voor architectuurontwikkeling (2009).................................................... 25 Figuur 12: ICT-strategie en architectuur (Buchanan & Gibb (2007)). ................................................... 26 Figuur 13: Toolset, scoping en stadia IA methodologie (gebaseerd op Buchanan en Gibb (2007) ). .. 29 Figuur 14: Vergelijking IA scope. (gebaseerd op Buchanan & Gibb (2007)). ....................................... 29 Figuur 15: Randvoorwaarden in de literatuur. ....................................................................................... 32 Figuur 16: Onderzoeksmodel. ............................................................................................................... 33 Figuur 17: Schematische weergave verschillende stadia IA methoden................................................ 46 Figuur 18: Vergelijking IA scope (gebaseerd op Buchanan & Gibb (2007)). ........................................ 49 Figuur 19: Strategic Alignment Model. (gebaseerd op Henderson & Venkatraman (1999)). ............... 51 Figuur 20: Tol-model (van Leeuwen (1996)). ........................................................................................ 71 Figuur 21: Klaverbladmodel (Kaplan & Norton (1996)). ........................................................................ 72
5
I Voorwoord De invloed van ICT op organisaties is in der loop de tijd steeds groter geworden. De mogelijkheid om informatie te ontsluiten is daarbij toegenomen, evenals de behoefte aan informatie bij het maken van strategische beslissingen. Om hierop in te spelen is een trend waarneembaar waarbij het spanningsveld tussen IT-technologie en organisatiedoelstellingen steeds meer wordt overbrugd. ‘Information Audit’ maakt onderdeel uit van deze trend, door de informatiebronnen en –stromen te inventariseren en de informatie output te evalueren op relevatie voor de operationele en strategische informatiebehoefte. Ondanks de toegevoegde waarde van de Information Audit, is tot op heden nog relatief weinig (praktijk) onderzoek is gedaan naar dit onderwerp. Dit onderzoek gaat nader in op beslisfactoren van de directie en (senior) management voor het uitvoeren van een Information Audit en randvoorwaarden om een Information Audit succesvol te doen verlopen. De samenwerking tijdens het scriptietraject hebben wij als zeer prettig ervaren en heeft veel toegevoegde waarde gehad. Met elkaar van gedachte wisselen over het scriptieonderwerp en onze visie bespreken over specifieke onderdelen heeft geleid tot synergie en nieuwe inzichten wat onze scriptie ten goede is gekomen. Middels deze weg willen wij alle betrokkenen bedanken voor de hulp, inzichten en steun welke bijgedragen hebben aan dit onderzoek. In het bijzonder willen wij onze coaches bedanken, te weten heer dr. ing. Abbas Shahim MSc. RE vanuit de Vrije Universiteit en heer drs. Michael Zuur EMIA vanuit PricewaterhouseCoopers. Abbas, hartelijk dank voor de interessante discussies welke hebben geholpen om Information Auditing in een breder kader te plaatsen. Michael, hartelijk dank voor het zijn van ons klankbord tijdens het schrijven van de scriptie en het geven van relevante tussentijdse feedback. Amsterdam, 31 maart 2009, Jeffrey van den Haak MSc. Ilse J. van der Tol MSc.
6
II Managementsamenvatting De informatie- en communicatietechnologie (ICT) heeft de afgelopen decennia een sterke groei doorgemaakt en is in onze huidige samenleving niet meer weg te denken. Veel organisaties zijn afhankelijk geworden van ICT voor hun bedrijfsuitvoering en om te voorzien in hun informatiebehoefte. ICT wordt vandaag de dag daarom steeds vaker als een middel gezien waarmee een strategisch voordeel kan worden behaald. Om dit te bewerkstelligen wordt aansluiting gezocht tussen de (strategische) informatiebehoefte van de organisatie en de informatievoorziening geleverd door ICT. De Information Audit faciliteert deze afstemming door de informatiebronnen en –stromen te inventariseren
en
evalueren
op
aansluiting
met
de
informatiebehoefte
afkomstig
uit
de
organisatiedoelstellingen. In de praktijk blijkt dat Information Audits nog weinig uitgevoerd, terwijl deze juist bij kunnen dragen aan het overbruggen van de discrepantie tussen ICT-strategie en organisatiestrategie. Dit onderzoek is gericht op welke beslisfactoren van invloed zijn op het laten uitvoeren van een Information Audit en welke randvoorwaarden hiervoor aanwezig dienen te zijn. De resultaten van het onderzoek zijn weergegeven in de onderstaande tabel. De onderzoekers merken op dat er rekening mee moet worden gehouden dat er naast deze generieke randvoorwaarden en beslisfactoren ook casus specifieke randvoorwaarden en beslisfactoren van invloed kunnen zijn op de uitvoer van een Information Audit. Tabel 1: IA Beslisfactoren en randvoorwaarden. Beslisfactoren
Randvoorwaarden
Prijs
Onafhankelijkheid van de opdrachtnemer/ derde partij
Kosten-baten
IA methodologie en scope
Risicoprofiel van de opdrachtgever
Communicatieve vaardigheden auditor
Intern politiek belang
Helder gedefinieerde organisatiestrategie
Complexiteit
Missie en de onderliggende doelstellingen
Kennis en kunde
Support directie
Tijd
Beschikbaarheid relevante informatie
Onvoldoende beschikbaarheid interne resources
Beschikbaarheid medewerkers Tijd en budget Multidisciplinaire vaardigheden opdrachtnemer Beslisstrategie Helder gedefinieerd interne controle raamwerk Support directie
Behalve het in kaart brengen van de randvoorwaarden en beslisfactoren heeft dit onderzoek ook een bijdrage geleverd aan het EDP-vakgebied door vier recente modellen voor het uitvoeren van een Information Audit te inventariseren. Hierbij valt op dat er veel onderlinge overeenkomsten zijn maar dat er nog geen eenduidige definitie is van Information Auditing. Tevens ontbreekt het nog aan een generiek, overeengekomen raamwerk voor het uitvoeren van een dergelijke Audit. Voor de verdere ontwikkeling en bekendheid van de Information Audit is dit een belangrijke volgende stap die in de nabije toekomst genomen dient te worden. 7
1 Omgevingsraming en projectieraamwerk Dit hoofdstuk beschrijft de aanleiding van het onderzoek naar Information Auditing en de relevantie voor het vakgebied. Ook wordt de gehanteerde definitie van Information Auditing geïntroduceerd. Vervolgens wordt de vraagstelling beschreven. Ten slotte wordt het onderzoeksmodel uiteengezet welke gebruikt is om de probleemstelling te beantwoorden.
1.1 Aanleiding De afgelopen decennia heeft de informatie- en communicatietechnologie (ICT) zich snel ontwikkeld en is het diep doorgedrongen in onze samenleving. ICT heeft het aanbod, de beschikbaarheid en de toepassingsmogelijkheden van informatie exponentieel laten groeien. Bedrijven, organisaties en de overheden zijn afhankelijk geworden van ICT voor hun bedrijfsuitvoering en om aan hun informatiebehoefte te kunnen voldoen. De informatiebehoefte verschilt per situatie en is sterk afhankelijk van de organisatie en haar (strategische) doelstellingen. Het inzetten van ICT maakt steeds meer onderdeel uit van de strategische keuzes die door organisaties gemaakt worden.
Er is een verschuiving waarneembaar van ‘traditioneel’ ICT-management, waarbij de focus ligt op het beheer van informatietechnologie, naar een nieuwe vorm van ICT-management die aansluiting zoekt tussen informatietechnologie, informatieaanbod en de informatiebehoefte van de organisatie. Om deze aansluiting te realiseren is een multidisciplinaire aanpak nodig (Buchanan, 1998) die informatiebronnen, -stormen en –behoeften in kaart brengt en afstemt. Een veelbelovend, jong vakgebied, voor het realiseren van afstemming tussen ICT en informatiebehoefte is ‘Information Auditing’, waarbij het ondermeer gaat over het in kaart brengen van informatiestromen, -bronnen en organisatiedoelstellingen. De kennis van de EDP-auditor op het gebied van bedrijfsprocessen, BIV/AO, ICT en risicobeheersing maken hem of haar bij uitstek geschikt voor de uitvoer van de Information Audit. Niet alleen kan de EDP-auditor de informatiebehoefte inventariseren en aansluiten met het informatieaanbod, ook kan hij of zij toezien op de betrouwbaarheid, integriteit en continuïteit van de uiteindelijk te ontwikkelen informatievoorziening en beheerorganisatie. Hoewel er diverse boeken en artikelen gepubliceerd zijn over Information Auditing (hierna IA) lijkt het in de praktijk nog nauwelijks te worden uitgevoerd. Dit onderzoek is daarom ook relevant doordat het een bijdrage levert aan de ontwikkeling van het EDP-audit vakgebied; door inzichtelijk te maken welke randvoorwaarden en beslisfactoren van belang zijn bij het laten uitvoeren van een Information Audit. In aanvulling hierop wordt een inventarisatie gemaakt van de beschikbare Information Audit modellen.
8
1.2 Definitie Voor dit onderzoek wordt onderstaande Information Audit definitie van Buchanan en Gibb (2007) gehanteerd: ‘(…) a holistic approach to identifying and evaluating an organisation’s information resources and information flow in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to Information System Architecture (ISA) development.’ In paragraaf 2.2 Definities IA wordt de keuze voor deze definitie toegelicht. De term Audit suggereert dat er een beoordeling van de informatievoorziening plaatsvindt, om zekerheid (Assurance) te geven over de kwaliteit van de informatie. Deze term is echter verraderlijk. IA is niet primair bedoeld voor het verlenen van Assurance over informatie, maar als een instrument voor het inventariseren en identificeren van informatiestromen en -bronnen (informatieaanbod). Vervolgens evalueert IA de effectiviteiten en efficiëntie bij het behalen van strategische, tactische en operationele doelstellingen van de organisatie (informatiebehoefte).
1.3 Probleemstelling In deze paragraaf wordt aan de hand van de doelstelling de centrale vraag met bijbehorende deelvragen geïntroduceerd. De onderzoeksvraag wordt middels een specifieke onderzoeksmethode beantwoord, in het onderzoeksmodel is dit schematisch weergegeven. De subparagraaf Afbakening beschrijft de scope van dit onderzoek.
1.3.1 Doelstelling Het doel van dit onderzoek is om een bijdrage te leveren aan het EDP-vakgebied door inzichtelijk te maken: 1. Welke randvoorwaarden aanwezig moeten zijn om voor het uitvoeren van een IA. 2. Welke beslisfactoren doorslaggevend zijn voor de beslissing van het management om een IA uit te laten voeren.
1.3.2 Centrale vraagstelling Op basis van onze onderzoeksdoelstellingen is de centrale vraagstelling als volgt geformuleerd: ‘Welke randvoorwaarden dienen aanwezig te zijn en welke beslisfactoren zijn doorslaggevend om een Information Audit te laten uitvoeren’. Onder randvoorwaarde wordt verstaan de voorwaarde waaraan voldaan moet zijn, wil het beoogde doel ooit bereikt kunnen worden. Onder beslisfactoren wordt verstaan de omstandigheden (krachten, etc.) die invloed op de uitslag van iets uitoefenen of medebepalende elementen hiervoor zijn (Van Dale, 2008).
9
Deelvragen Om de centrale vraagstelling te beantwoorden zijn een aantal deelvragen opgesteld. Deze deelvragen zullen door middel van het literatuur- en empirisch onderzoek beantwoord worden. 1. Welke IA definities en raamwerken zijn er in de literatuur? 2. Welke stakeholders en belangen spelen een rol in het beslisproces rondom Information Auditing? 3. Welke beslisfactoren zijn voor de bedrijfsvoering doorslaggevend om een Information Audit uit te laten voeren? 4. Welke randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information Audit?
1.3.3 Onderzoeksmodel Onderstaand figuur geeft een schematische weergave van de opbouw van het onderzoek. In dit model is zichtbaar hoe de verschillende onderdelen van het onderzoek samenhangen.
Figuur 1: Onderzoeksmodel. Na een eerste verkenning van het onderwerp en het formuleren van een plan van aanpak zijn de onderzoeksvragen geformuleerd. Voor het beantwoorden van de onderzoeksvragen is het onderzoeksmodel als volgt opgesteld: 1. Allereerst zal aan de hand van literatuuronderzoek het onderwerp van IA nader worden onderzocht om zo inzicht te krijgen in IA methoden, stakeholders, belangen, randvoorwaarden en beslisfactoren. 2. De resultaten van het literatuuronderzoek en de onderzoeksvragen zullen worden gebruikt voor het opstellen van een vragenlijst ten behoeve van het empirisch onderzoek. 3. Het empirisch onderzoek, dat kwalitatief van aard is, zal bestaan uit semigestructureerde interviews met IA stakeholders aan de hand van de vragenlijsten. 4. De resultaten van het literatuuronderzoek en de interviews worden gebruikt voor het opstellen van een lijst met beslisfactoren en randvoorwaarden die voor een IA van belang zijn.
10
5. De geïnventariseerde beslisfactoren en randvoorwaarden worden getoetst bij de geïnterviewden en zij zullen worden gevraagd een persoonlijke rangschikking aan te brengen van belangrijkste factoren en voorwaarden. De analyse van deze toetsing levert een overzicht op van randvoorwaarden die aanwezig moeten zijn voor het uitvoeren van de IA en een overzicht van beslisfactoren die van invloed zijn op de beslissing van het management om een IA te laten uitvoeren.
1.3.4 Afbakening Door de brede definitie van IA en de verschillende raakvlakken die het onderwerp heeft met vakgebieden
zoals
auditing,
ICT-management
en
bedrijfskunde
is
het
noodzakelijk
het
onderzoeksdomein goed af te bakenen. De scope van dit onderzoek is daarom als volgt: •
Het literatuuronderzoek is gericht op recente academische onderzoeken, literatuur, artikelen en theorieën.
•
Beïnvloedingsfactoren en randvoorwaarden die buiten de scope van dit onderzoek vallen zijn: sociaal-culturele, (externe) economische en technologische factoren.
•
De beïnvloedingsfactoren en randvoorwaarden worden bekeken vanuit de organisatie die het object van onderzoek is.
•
Dit onderzoek heeft niet tot doel om te komen tot een IA raamwerk of een beoordeling van IA raamwerken. Wel zullen recente modellen op hoofdlijnen worden behandeld.
•
Dit onderzoek is gericht op het strategische perspectief van IA en is kwalitatief van aard.
•
De informatiebehoefte binnen een organisatie verschilt per functionaris, voor dit onderzoek is het managementperspectief gehanteerd.
11
1.4 Leeswijzer De leeswijzer geeft een korte beschrijving van de opbouw van deze scriptie. In figuur 2 is schematisch de structuur van de scriptie weergegeven. De scriptie start met het voorwoord en de managementsamenvatting. In hoofdstuk 1 worden de centrale vraagstelling en de deelonderzoeksvragen gepresenteerd. Vervolgens is het literatuuronderzoek verwerkt in de hoofdstukken 2, 3 en 4. In hoofdstuk 2 wordt vanuit de academische literatuur ingegaan op de theorie over IA en wordt de deelvraag over IA definities en de deelvraag over stakeholders en hun belangen beantwoord. In hoofdstuk 3 wordt IA in een bredere context geplaatst, daarbij wordt de relatie met andere disciplines zoals ICT-strategie, IT-Governance, informatiemanagement en architectuurontwikkeling uiteengezet. In hoofdstuk 4 is vanuit een academisch perspectief uiteengezet uit welke onderdelen een IA opgebouwd dient te zijn. Tevens wordt de literatuur gepresenteerd welke betrekking heeft op de deelvragen over IA raamwerken, randvoorwaarden en beslisfactoren. Aansluitend wordt in hoofdstuk 5 het empirisch onderzoek uiteengezet. Hierin wordt middels de onderzoeksresultaten van het kwalitatief onderzoek ingegaan op de beantwoording van de deelvragen met betrekking tot de stakeholders, randvoorwaarden en beslisfactoren. Hoofdstuk
6
bevat
een
samenvatting
van
het
onderzoek
en
beantwoordt
de
centrale
onderzoeksvraagstelling. In de appendices is achtergrond informatie te vinden welke ter onderbouwing en ondersteuning van de scriptie dient.
Figuur 2: Schematische weergave hoofdstukindeling
12
2 Theorie Information Auditing Dit hoofdstuk beschrijft de theorie over IA. Eerst wordt de evolutie van IA op hoofdlijnen uiteengezet. Vervolgens worden de meest recente IA definities behandeld. Hieruit wordt een definitie geselecteerd die voor onderzoek gehanteerd zal worden. Daarna komen de scope en het doel van de IA aan bod. De laatste paragraaf beschrijft de (interne en externe) stakeholders van een IA.
Dit hoofdstuk beantwoordt (deels) de volgende deelvragen: 1. Welke IA definities en raamwerken zijn er in de literatuur? 2. Welke stakeholders en belangen spelen een rol in het beslisproces rondom Information auditing?
2.1 Inleiding in IA IA is een relatief jong vakgebied, ontstaan in 1976. Sinds de jaren tachtig heeft de definitie van IA diverse veranderingen ondergaan. Zo waren de eerste definities van IA (Burk & Horton, 1988; Reynolds, 1980; Riley, 1976) voornamelijk gericht op het identificeren van (schriftelijke) informatiebronnen, met een nadruk op documentmanagement. Geleidelijk is de definitie van IA geëvolueerd (verruimd) door ook het belang van het bredere organisatieperspectief (bijvoorbeeld organisatiestatie en bedrijfsprocessen) en de samenhang met informatiebronnen en -stromen hier in op te nemen (Orna, 2004; Wood, 2004; Henczel, 2001). Volgens Henczel (2001) is de groei in aandacht voor IA te wijten aan de behoefte om de organisatiedoelen beter te realiseren. IA maakt het mogelijk om inzicht te verkrijgen in de tot standkomst van informatie welke ten grondslag ligt aan managementbeslissingen en in hoeverre deze informatie
aansluit
informatiebehoefte
op
organisatiedoelstellingen.
vanuit
de
Daarbij
organisatiestrategie
en
worden het
discrepanties
aanbod
vanuit
tussen de
de
huidige
informatievoorziening blootgelegd. Onderstaande tijdlijn geeft een overzicht van de belangrijkste IA ‘denkers’ die sinds 1976 onderzoek gedaan hebben naar IA en hier definities voor hebben opgesteld. Een overzicht van IA definities is opgenomen in Appendix 5 Information Audit definities Reynolds (1980) Henderson (1980)
Orna (1990) Barker (1990) Worlock (1987)
Riley (1976)
Quinn (1979) (1976)
Burk en Horton (1988) Best (1985)
Buchanan en Gibb (2007)
Buchanan en Gibb (1998)
Henczel (2001) Orna (2004) Wood (2004)
Figuur 3: Tijdlijn IA definities en onderzoekers.
13
2.2 Definities IA In de literatuur zijn diverse definities van IA te vinden, een overzicht hiervan is opgenomen in de appendix (zie Information Audit definities). Uit de recente literatuur blijkt dat er veel onderlinge overeenkomsten zijn tussen de IA definities, maar er is geen consensus over de exacte definitie. Recente en in de literatuur vaak aangehaalde definities zijn afkomstig van Botha en Boon, ASLIB en Buchanan en Gibb. Botha en Boon (2003) definiëren IA als: ‘(…) the systematic examination of the information resources, information use, information flows and the management of these in an organisation. It involves the identification of users’ information needs and how effectively (or not) these are being met. In addition to this, the (monetary) cost and the value of the information resources to the organisation are calculated and determined. (…) determining whether the organisational information environment contributes to the attainment of the organisational objectives and furthermore, to the establishment and implementation of effective information management principles and procedures. (…) so that information can be used to help the organisation maintain its competitive edge.’ Het ASLIB Information Resources Management Network (2008 website) ziet in IA: ‘(…) a systematic examination of information use, resources and flows, with a verification by reference to both people and existing documents, in order to establish the extent to which they are contributing to an organisation's objectives’ Volgens Buchanan en Gibb (2007) is IA: ‘(…) a holistic approach to identifying and evaluating an organisation’s information resources and information flow in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to Information System Architecture (ISA) development.’ Op basis van deze definities kan gesteld worden dat IA betrekking heeft op het systematisch analyseren van de aanwezigheid en het gebruik van informatiestromen en informatiebronnen, zowel binnen als buiten de organisatie, in relatie tot de (strategische) doelstellingen van de organisatie. De definitie van Botha en Boon (2003) positioneert IA als een methodiek die kan bijdragen aan het realiseren van concurrentievoordeel door te beoordelen of de informatievoorziening bijdraagt aan het behalen van de organisatiedoelstellingen. Ook de definitie van ASLIB positioneert IA als een methodiek die inzichtelijk kan maken in hoeverre de informatie bij draagt aan het behalen van de organisatie doelstellingen. In tegenstelling tot voorgaande definities, positioneren Buchanan en Gibb (2007) IA als richtinggevend voor de organisatie door een directe relatie te leggen tussen de informatiebronnen en -stromen en de strategische en operationele doelstellingen van een organisatie en de hiervoor benodigde informatiesysteemarchitectuur (ISA). In het kader van dit onderzoek zijn wij van mening dat IA de grootste waarde kan toevoegen aan een organisatie door als basis te dienen voor
het
opstellen
van
ICT-strategie
en
het
inrichten
van
de
bijbehorende
14
informatiesysteemarchitectuur. In de definitie van Buchanan en Gibb komt dit het sterkst naar voren. Voor ons onderzoek kiezen wij daarom dan ook voor de IA definitie van Buchanan en Gibb.
2.3 Scope van een IA Uit de verschillende definities van IA blijkt dat het een zeer breed en omvangrijk onderwerp is. Dit maakt het vaststellen van de scope van een IA complex. Een specifieke scheidslijn tussen een IA en andere Audits is ook moeilijk aan te brengen. De IA kan namelijk bestaan uit onderdelen van verschillende Audits of zelf onderdeel kan zijn van een overkoepelende Audit. In 1998 hebben Buchanan en Gibb een Audit typologiemodel ontwikkeld om de onderlinge samenhang tussen de verschillende Audit duidelijk te maken (Figuur 4).
Figuur 4: Audit typologiemodel (Buchanan & Gibb (1998)). De Audits worden op hoofdlijnen als volgt getypeerd: •
De Organisatie Audit: maakt inzichtelijk of het product- en dienstenaanbod van de organisatie voldoet aan de marktvraag, door het beoordelen van de huidige strategie, doelstellingen, marktbenadering, producten en diensten, etc.
•
De Communicatie Audit: beoordeelt managementstijl en –methoden van de organisatie en gericht op de sociologische en organisatorische aspecten van informatiestromen.
•
De
Information
Audit:
inventariseert
en
evalueert
de
aansluiting
tussen
de
informatiebehoefte van de organisatie en het aanbod van informatie door onderliggende informatiestromen, –bronnen. •
De Systeem Audit: evalueert de functionaliteit, gebruiksvriendelijkheid en effectiviteit van specifieke applicaties.
•
De Technologie Audit: evalueert de gebruikte en benodigde hardware om te voorzien in de informatiebehoefte en is voornamelijk gericht op asset management.
De definitie van IA is in de loop der jaren geëvolueerd (verruimd) om ook het belang van het bredere organisatieperspectief (bijvoorbeeld organisatiestatie, bedrijfsprocessen) en de samenhang met informatiebronnen en -stromen hier in op te nemen. Uitgaande van Buchanan en Gibbs huidige (2007) definitie van IA, zou IA dus alle in Figuur 4 genoemde audits kunnen integreren in een benadering om zo de maximale toegevoegde waarde voor de organisatie te leveren. De uiteenlopende IA definities en 15
de mogelijke overlap tussen IA en andere Audits maakt het moeilijk om IA eenduidig af te bakenen. Om deze afbakening te faciliteren hebben Buchanan en Gibb (2007) een indeling gemaakt van componenten waaruit een IA kan bestaan. Deze indeling maakt het mogelijk om onderscheid te maken tussen: •
Informatiemanagement (overkoepelend management van al de informatiebronnen, –stromen en infrastructuur).
•
Informatietechnologie (ICT-infrastructuur);
•
Informatiesystemen (ondersteuning van bedrijfsprocessen);
•
Content (informatie gegenereerd door de organisatie);
Afhankelijk van de specifieke situatie van een organisatie kan het wenselijk zijn om een van bovenstaande componenten te onderzoeken of juist een combinatie hiervan. In aanvulling hierop stellen Buchanan en Gibb (2007) voor om onderstaande ‘organisatieperspectieven’ te gebruiken voor het verder afbakenen van de IA scope: •
Strategisch: focus op het realiseren van strategische doelen door middel van het inventariseren, mappen en analyseren van informatiebronnen en de relatie met strategische doelstellingen van de organisatie. Dit perspectief resulteert in een afgestemde ICT-strategie.
•
Proces: focus op werk- en informatiestromen door middel van het modelleren van organisatieprocessen. (waarbij een proces gezien wordt als een aaneenschakeling van activiteiten die een output opleveren). Het resultaat van dit perspectief is mapping en analyse van
informatiestromen
en
gerelateerde
informatiebronnen
op
basis
waarvan
informatievoorziening, -ondersteuning en -management geoptimaliseerd kan worden. •
Bron: focus op het identificeren, classificeren en evalueren van informatiebronnen. In tegenstelling tot het strategisch en procesgericht perspectief, richt dit perspectief zich op alle informatiebronnen en niet alleen op diegene die relevant worden geacht voor de strategie of specifieke operationele processen. Dit perspectief
resulteert in een gedetailleerde
inventarisatie, evaluatie en waardering van informatiebronnen binnen de organisatie. De combinatie van de componenten en de organisatieperspectieven wordt weergegeven in de IA Scope Matrix (tabel 2). Tabel 2: IA Scope matrix (Buchanan & Gibb (2007)). Management
Technologie
Systemen
Content
Strategie Proces Bron Voor het vaststellen van de uiteindelijke IA scope, stellen Buchanan en Gibb voor om eerst het gewenste organisatieperspectief (verticale as in tabel 2) te definiëren en vervolgens de gewenste informatiemanagement componenten te kiezen (horizontale as).
16
Zoals aangegeven in paragraaf 2.2 zijn wij van mening dat IA de grootste toegevoegde waarde kan leveren op het strategisch niveau. Voor dit onderzoek wordt IA dan ook vanuit het strategisch organisatieperspectief behandeld.
2.4 Doel van een IA Generaliserend kan gesteld worden dat IA ten doel heeft om de organisatie te voorzien van een geïntegreerde (strategische) richting voor het managen van informatiestromen en -bronnen die dient bij te dragen aan het realiseren van de organisatiedoelstellingen. Daarbij opmerkend dat het doel van een IA en de gewenste resultaten afhankelijk zijn van de gekozen scope. Vertaald naar onderliggende doelstellingen kan onder andere gedacht worden aan: •
Het identificeren van de informatiebronnen van een organisatie;
•
Het identificeren van de informatiebehoeften van een organisatie;
•
Identificeren van kosten en baten van informatiebronnen;
•
Identificeren van mogelijkheden om informatiebronnen te gebruiken als strategisch voordeel;
•
Integratie van IT-investeringen met strategische bedrijfsinitiatieven;
•
Identificeren van informatiestromen en processen;
•
Ontwikkelen en integreren van informatie strategie en/of beleid;
•
Bewustwording creëren van het belang van Informatie Resource Management (IRM) en het definiëren van de management rol;
•
Monitoren en evalueren van ‘compliance’ met informatie gerelateerde standaarden, regelgeving en beleidsrichtlijnen.
Generieke doestellingen zoals hierboven weergegeven kunnen in eerste instantie gebruikt worden om tijdens de planningsfase van de Audit draagvlak te creëren bij stakeholders. Wie deze stakeholders zijn wordt besproken in paragraaf 2.5 Stakeholders. Echter is het voor een succesvolle uitvoering van de IA en het vergoten van de acceptatiegraad van de uiteindelijke bevindingen, noodzakelijk om de 1
doelstellingen te specificeren (bijvoorbeeld door deze SMART te maken) en onderling overeen te komen (Henzcel, 2007).
2.5 Stakeholders Wie de stakeholders van een IA zijn is afhankelijk van de gekozen doelstelling en scope. Een eenduidig en volledig overzicht van stakeholders kan dus niet gegeven worden. Wel is duidelijk dat voor een succesvolle uitvoering van de IA en een grotere acceptatie van de IA resultaten de IA doelstellingen specifiek zijn gemaakt en overeengekomen met de verschillende stakeholders. De ondersteuning van de stakeholders wordt gezien als randvoorwaarde voor het succesvol uitvoeren van de IA (Henzcel, 2007). De invloed van stakeholders op een IA blijkt volgens Henzcel onder andere uit: •
Interne cultuur: gevormd door de medewerkers van de organisatie, deze bepaalt welke timing en manier/methodiek van data verzamelen het meest schikt is voor de IA.
1
SMART: Specifiek, Meetbaar, Actie gericht/haalbaar, Realistisch en Tijdig. 17
•
Interne politieke: situatie en managementstructuur, deze heeft impact op de niveaus van ondersteuning/draagvlak, beschikbaarheid van resources en stakeholder buy-in.
•
Externe omgeving: van de organisatie (wetgeving, politiek, economie), deze heeft impact op hoe en wanneer de Audit wordt uitgevoerd, de hoeveelheid ondersteuning die de audit krijgt en de acceptatiegraad van de bevindingen.
Een indicatie van mogelijke interne en externe stakeholders wordt geven in Figuur 5.
Figuur 5: Stakeholders. Ook de specifieke stakeholderbelangen worden niet expliciet genoemd in de literatuur. De voornaamste reden hiervoor is dat de doelstellingen van een IA en daarmee ook de stakeholders en hun belangen verschillen. Daarnaast spelen ook externe factoren zoals marktregulering een belangrijke rol in wie de stakeholders zijn en wat hun belangen inhouden. Gezien de voor dit onderzoek gehanteerde definitie van IA en het gekozen strategisch organisatieperspectief, wordt gesteld dat de stakeholders van een IA bestaan uit alle partijen die er belang bij hebben dat de betreffende organisatie zijn strategische doelen behaald. Als belangrijkste interne stakeholder voor IA wordt gekozen voor de directie van de organisatie, aangezien zij verantwoordelijk zijn voor het realiseren van de organisatiestrategie en de onderliggende organisatiedoelstellingen. Nu nader inzicht verkregen is in de theorie over IA, is het relevant om IA in een breder kader te kunnen plaatsen. Dit wordt in het volgende hoofdstuk gedaan.
18
3 IA Begrippenkader 3.1 Inleiding Dit hoofdstuk beschrijft op hoofdlijnen een aantal belangrijke begrippen die gerelateerd zijn aan IA. Allereerst wordt ingegaan op de termen ICT-strategie en informatiemanagement. Vervolgens wordt de afstemming tussen ICT-strategie en organisatiestrategie besproken. Daarna wordt bekeken hoe IA kan bijdragen aan het ontwikkelen van de informatiesysteemarchitectuur. Ten slotte wordt de inrichting van de IT-beheerorganisatie (IT-Governance) besproken die nodig is voor het onderhouden van de informatievoorziening.
3.2 ICT-strategie In de literatuur wordt met de term ICT-strategie verschillende begrippen geassocieerd. De ICTstrategie betreft de uiteenzetting van de gekozen richting en de te bereiken ICT-doestellingen op de midden- en lange termijn. Het ICT-beleid geeft vervolgens invulling aan de strategie door inzet van middelen te beschrijven (inrichting). De plannen vertalen de besluiten uit het beleid naar concrete acties op de korte en middellange termijn. Zij beschrijven het samenhangend geheel van benodigde activiteiten om de in de strategie beschreven doelen te behalen (verrichting). Met management wordt gedoeld op het monitoren en (bij)sturen van het geheel van activiteiten om de strategische doelen te bereiken. Oosterhaven (2003) heeft de onderlinge samenhang van de ICT-strategiebegrippen samengevat, zie tabel 3. In de indeling van Oosterhaven betreft de vraagkant de informatiebehoefte van de organisatie en in het bijzonder dat van het management. De aanbodkant heeft weliswaar betrekking op het aanbod van informatie maar is met name gefocust op de techniek die dit aanbod mogelijk maakt.
Tabel 3: ICT-strategiebegrippen en hun samenhang (gebaseerd op Oosterhaven, (2003) Vraagkant (opsteller: lijnmanagement)
Aanbodkant (opsteller: IT-management)
ICT-strategie (richting)
Informatiestrategie
Automatiseringsstrategie
ICT-beleid (inrichting)
Informatiebeleid
Automatiseringsbeleid
ICT-plan (verrichting)
Informatieplan
Automatiseringsplan
ICT-management (sturing)
Informatiemanagement
Automatiseringsmanagement
Volgens de indeling van Oosterhaven bestaat ICT-strategie uit de combinatie van informatiestrategie (vraag) en automatiseringsstrategie (aanbod). De informatiebehoefte van de organisatie dient dus afgestemd
te
worden
met
het
ICT-aanbod.
Dit
valt
binnen
de
doelstellingen
van
informatiemanagement.
19
3.3 Informatiemanagement Generaliserend kan gesteld worden dat informatiemanagement zich bezighoudt met de wijze waarop organisaties nu en in de toekomst op een effectieve en efficiënte wijze in hun informatiebehoefte kunnen voorzien. Om invulling te geven aan informatiemanagement heeft Earl (2000) een aantal componenten opgesteld waaruit informatiemanagement bestaat. Hieronder volgt een opsomming van deze componenten met een beschrijving op hoofdlijnen: •
Informatiemanagement (IM) strategie: verzorgt de overkoepelende tactische en operationele richtlijnen voor effectief management van de informatiebronnen van een organisatie. Het is gericht op de rol en de structuur van de ICT-activiteiten in de organisatie en houdt zich bezig met het ‘waartoe’, ‘op welke manier’, ‘wie doet het’, en ‘waar is het gelokaliseerd’.
•
Informatiesysteem (IS) strategie: verzorgt het aansluiten van de ontwikkeling van IS op de behoeften van de organisatie en het zoeken van strategisch voordeel door middel van ICT. De IS strategie is gebaseerd op bedrijfsfuncties, vraaggericht en wordt veelal op het niveau van divisies en strategische bedrijfseenheden gedefinieerd.
•
Informatie Technologie (IT) strategie: geeft richting aan het technologiebeleid en is aanbod gericht. De IT-strategie vormt het technologische raamwerk (‘architectuur’) waardoor de ICTinfrastructuur bepaald, gevormd en beheerd wordt.
De onderlinge samenhang tussen de componenten is in Figuur 6 gevisualiseerd.
Figuur 6: ICT-strategie en informatiemanagement (gebaseerd op Earl (2000))
20
3.4 Alignment Volgens Maatman (2005) is de afstemming van ICT- en organisatiestrategie in 1988 geïntroduceerd door Parker, Benson en Trainer bij het ingaan op het formuleren van een ICT-planning ter ondersteuning van de bedrijfsvoering. Door de introductie in van het Strategic Alignment model (Henderson & Venkatraman, 1991) is het begrip ‘Alignment’ doorgebroken in de vakgebieden van organisatiemanagement en het ICT-management. Henderson en Venkatraman (1999,1993 en 1991) stellen dat de moeilijkheid van het realiseren van waarde door middel van investeringen in ICT, in de eerste plaats wordt veroorzaakt door het gebrek aan afstemming tussen de bedrijfsstrategie en de ICT-strategie. Ten tweede wordt het veroorzaakt door een gebrek aan een dynamisch administratief proces om ononderbroken afstemming tussen de bedrijfs- en ICT-domeinen te waarborgen. Om afstemming toch mogelijk te maken is het Strategic Alignment model ontwikkeld. Het Strategic Alignment model (Figuur 7) beschrijft vier afstemmingsdomeinen: extern, intern organisatie en IT. De onderlinge afstemming tussen deze domeinen bepaalt de mate van strategische fit (intern en extern domein) en de functionele integratie tussen organisatie en IT.
Figuur 7: Strategic Alignment Model (gebaseerd op Henderson en Venkatraman (1999)). Een uitgebreidere beschrijving van het model is opgenomen in appendix, appendix 2 IT-Alignment. Het afstemmingsmodel van Henderson en Venkatraman (1999) wordt bij toepassing in de praktijk als te theoretisch ervaren en stelt het geen prioriteit aan de volgorde van de ontwikkeling van organisatieen IT-strategie (Shahim, 2006). Er zijn dan ook variaties ontwikkeld op dit model, zoals het Negenvlaksmodel van Maes (2005), zie Figuur 8.
21
Figuur 8: Negenvlaksmodel Maes (2005). Op de verticale as staan de drie besturingsniveaus: strategisch (richten), tactisch (inrichten) en operationeel (verrichten). Op de horizontale as staan de drie besturingsdomeinen: •
Bedrijfsvoering en Organisatie: de reguliere bedrijfsvoering met al haar facetten, zoals mensen, middelen, processen, etc.
•
Informatievoorziening (vraag): informatie als ondersteunend middel voor het bedrijfsdomein. Hier wordt de vraag naar informatievoorziening vanuit het bedrijfsdomein vertaald in een vraag naar ICT (-technologie).
•
ICT-Services (aanbod): de ontwikkeling en exploitatie van ICT(technologie).
Ook Maes geeft geen ‘beste’ volgorde aan voor het ontwikkelen van een IT-strategie door te stellen dat alle deelgebieden van het Negenvlaksmodel even belangrijk zijn (Shahim 2006). Gezien de voor dit onderzoek gekozen definitie moet IA geplaatst worden op het strategische besturingsniveau (inrichten) van het domein Informatievoorziening. IA kan op dit niveau bijdragen aan de afstemming van informatievoorziening en –informatiebehoefte door het inventariseren en evalueren van de informatiestromen, -bronnen in relatie tot de organisatiedoelstellingen.
22
3.5 Informatiesysteemarchitectuur Wanneer
de
informatiebehoefte
eenmaal
is
geïnventariseerd
en
afgestemd
met
de
organistdoelstellingen kan de informatiesysteemarchitectuur ingericht worden die de basis vormt voor de informatievoorziening. Volgens Buchanan en Gibb (2008) is er sprake van een natuurlijke synergie tussen de achtereenvolgende input/output van informatiestrategie en systeeminfrastructuur. Hierdoor kan IA (in combinatie met architectuurraamwerken als Zachman en TOGAF) ook een bijdrage leveren aan de ontwikkeling van de informatiesysteeminfrastructuur. Om deze relatie nader te illustreren wordt in de volgende paragraaf kort ingegaan op de hoofdlijnen van informatiesysteeminfrastructuur ontwikkeling.
3.5.1 InformatieSysteemArchitectuur (ISA) Een veel terugkerende definitie van ISA is die van de IEEE. Deze organisatie verstaat onder ISA ‘the fundamental organisation of a system, embodied in its components, their relationships to each other en the environment, and the principles governing its design and evolution’ -IEEE standard 14712000. Er
bestaan
diverse
standaardmodellen
voor
het
beschrijven
en
vormgeven
van
een
informatiesysteemarchitectuur, zoals TOGAF en Zachman. Het Zachman model vormt de basis voor een groeiend aantal architectuurmethodieken die technische, informatorische maar ook bedrijfsmatige aspecten integreren met als doel flexibele en schaalbare oplossingen te creëren. Deze overkoepelende benadering vormt het uitgangspunt voor verschillende deelarchitecturen die een organisatie doorgaans kent, zoals informatie- en data-architectuur. Op een technisch niveau zien wij ook architectuurbenaderingen voor de software, de infrastructuur, beveiliging, etc. maar deze vallen buiten de scope van ons onderzoek. Het modelleren van een ISA betreft een holistische benadering van zowel een strategisch als operationeel
perspectief
en
gaat
vooraf
aan
meer
technisch
gedetailleerd
informatiesysteemontwikkeling. De Open Group identificeert vier componenten van ISA, die overeenkomsten vertonen met Earls definitie van informatiestrategie en bestaan uit: •
Bedrijfsproces:
kernbedrijfsprocessen
binnen
de
strategische-,
governance-
en
organisatorische raamwerken. •
Applicatie: individuele applicaties, onderlinge interacties en relatie met de bedrijfsprocessen.
•
Data: logische en fysieke data ‘assets’ en management bronnen/resources.
•
Technologie: De software infrastructuur die de applicaties ondersteunt.
Twee populaire modellen voor architectuurontwikkeling zijn: •
Zachman Architectual Framework;
•
The Open Group Architecture Framework (TOGAF).
23
De raamwerken hebben doorgaans twee dimensies, soms aangevuld met een extra derde dimensie om bijvoorbeeld thema's als informatiebeveiliging erbij te betrekken. De onderzoekers realiseren zich dat beveiliging van informatie essentieel is voor organisaties en zeker dient te worden meegenomen in de ontwikkeling van een informatiesysteemarchitectuur. Echter valt dit buiten de scope van het huidige onderzoek.
3.5.2 Zachman Architectual Framework Het architectuurraamwerk van Zachman is 1987 geïntroduceerd en in 1992 verder uitgebreid. Het raamwerk dient als hulpmiddel voor het vaststellen van organisatiebrede architectuur voor informatiesystemen (zie Figuur 9).
Figuur 9: Zachman raamwerk (1992). Het Zachman raamwerk wordt bepaald door twee dimensies: •
Gezichtspunten: deze zijn gekoppeld aan partijen (rollen) die bij de realisatie van ICTsystemen een rol spelen.
•
Abstracties: dit zijn in feite vragen die gesteld worden betreffende de eerder genoemde gezichtspunten (wat, hoe, waar, wie, wanneer en waarom).
Het model van Zachman is een logisch raamwerk dat niet een specifieke ontwikkelmethode voorschrijft. Volgens The Open Group geeft het model van Zachman een gestructureerde manier van denken over organisaties, zodat het beschreven en geanalyseerd kan worden. Het model benadrukt dat goede ICT gerelateerde keuzen worden overwogen vanuit een groot aantal verschillende aspecten (van technische en organisatorische aard) en vanuit een aantal perspectieven (vanuit alle betrokken stakeholders). Naast het Zachman raamwerk zijn er nog vele anderen, in meer of mindere mate bekend en gebruikt. TOGAF is bijvoorbeeld een raamwerk dat vooral in Amerika populair is. Het is
gebaseerd
op
het
Zachman
framework,
maar
voegt
daar
onder
andere
een
architectuurontwikkelaanpak aan toe en een repository van standaarden, patronen en best practices.
24
3.5.3 TOGAF In 1995 verscheen de eerste versie van ‘The Open Group’s Architecture Framework’ TOGAF. Deze versie was gebaseerd op het ‘Technical Architecture Framework for Information Management’ ontwikkeld door het Amerikaanse Ministerie van Defensie.
Figuur 10: Onderdelen van TOGAF (2009). TOGAF beschouwt een architectuur raamwerk als een hulpmiddel voor het ontwikkelen van een breed scala aan verschillende architecturen (zie Figuur 11). Zo’n raamwerk dient een methode te beschrijven voor het ontwerp van een informatiesysteem in termen van een bouwstenen, waarbij aangegeven wordt hoe deze bouwstenen samenhangen. Het raamwerk dient vervolgens ondersteunende hulpmiddelen te bevatten en een gemeenschappelijk vocabulaire te leveren.
Figuur 11: TOGAF Raamwerk voor architectuurontwikkeling (2009). 25
3.5.4 IA en ISA In tegenstelling tot Zachman geeft TOGAF een methodiek voor ISA-planning, -ontwikkeling en -veranderingbeheer. Waar Zachman relatief eenvoudig is en niet voorschrijvend, is TOGAF gedetailleerd en wel voorschrijvend. Beide modellen moeten als aanvulling op elkaar worden gezien voor een aanpak van ISA ontwikkeling. Zachman geeft richtlijnen voor representatie, analyse en ontwikkeling van een ISA en TOGAF levert een methodologisch stap-voor-stap ontwikkelproces. Om integratie met IA te verkrijgen moet volgens Buchanan en Gibb (2007) afstemming worden gezocht tussen output van IA en respectievelijk de input voor informatiestrategie en ISA ontwikkeling. De link tussen IA en informatiestrategie is in de literatuur geaccepteerd (Buchanan & Gibb, 1998; Orna 1990), de link tussen IA en architectuurontwikkeling (nog) niet. Om dit gat te dichten en de toegevoegde waarde van IA te vergroten, stellen Buchanan en Gibb voor om IA te integreren met ISA zoals Figuur 12.
Figuur 12: ICT-strategie en architectuur (Buchanan & Gibb (2007)). De output van een IA kan bijvoorbeeld gemapt worden met de twee bovenste rijen van het Zachman raamwerk (zie Figuur 9) scope en bedrijfsmodel, en zo bijdragen aan de applicatiearchitectuur component van het systeemmodel van TOGAF (zie Figuur 11). De overige ‘blokken’ van het Zachman raamwerk zijn meer gerelateerd aan systeemontwikkeling (de technische, gedetailleerde uitwerking van systeemarchitectuur) en niet direct in scope met IA. Echter, volgens Buchanan en Gibb (2007) kunnen er wellicht verdere synergievoordelen behaald worden in specifieke gevallen (casu), met name op de systeemmodel rij van TOGAF.
26
3.6 IT-Governance Wanneer de organisatie- en ICT-strategie in lijn met elkaar zijn opgesteld en het informatiesysteem is ontwikkeld,
dient
de
ICT-organisatie
ingericht
te
worden
voor
het
beheren
van
de
informatievoorziening. Hiervoor kan gebruik worden gemaakt van IT-Governance. IT-Governance is noodzakelijk om alle (ICT-) processen binnen de organisatie goed te beheren, het geeft de structuur die ICT-processen, -middelen en informatie verbindt deze met de strategieën en doelstellingen van de organisatie (Vaassen, 2005). In de literatuur zijn diverse modellen te vinden, welke op verschillende wijze invulling geven aan IT-Governance. Het meest bekende goverance model is COBIT en heeft volgens Vaassen als uitgangspunt dat ICT in een logisch samenhangend stelsel van processen moet worden gemanaged om aan de informatiebehoefte van de organisatie te voldoen. Om dit te bereiken zijn 34 ICT-processen en beheerdoelstellingen geformuleerd. Elk van deze beheerdoelstellingen kan worden gekoppeld aan een element van het interne control raamwerk COSO (Committee of Sponsoring Organizations). Voor de daadwerkelijke invulling van de ITbeheerprocessen kan een model zoals ITIL (Information Technology Infrastructure Library) als referentie worden gebruikt (waarbij opgemerkt wordt dat ITIL versie 3 (2007) ICT-services als uitgangspunt gebruikt in plaats van processen). IA levert een bijdrage aan IT-Governance door het inventariseren van informatiestromen en –bronnen, op basis hiervan kan invulling gegeven worden aan Vaassens visie op IT-Governance door de ITbeheerorganisatie in te richten die nodig is voor het onderhouden van de informatievoorziening. Daarnaast biedt de door IA gefaciliteerde afstemming tussen ICT en organisatiedoelstellingen als bijkomend voordeel dat het de bedrijfskant meer belicht dan de ‘traditionele’ goverance en alignment modellen die voornamelijk IT gedreven zijn. Hoewel een nadere behandeling buiten de scope van dit onderzoek ligt, is in de literatuur een verschuiving van IT-Governance naar Enterprise Governance of IT, waarbij het vaststellen en inbedden van processen en structuren door de gehele organisatie centraal staan, zodat iedereen binnen de organisatie zijn werkzaamheden kan uitvoeren en het rendement op IT-investeringen gemaximaliseerd wordt (Grembergen & de Haes, 2009).
27
4 IA Methodologie 4.1 Inleiding Dit hoofdstuk vergelijkt de verschillende IA methoden uit de literatuur. Daarna worden de randvoorwaarden en beslisfactoren beschreven die voor een IA relevant zijn.
Dit hoofdstuk beantwoordt (deels) de volgende deelvragen: 1. Welke IA definities en raamwerken zijn er in de literatuur? 3. Welke beslisfactoren zijn voor de bedrijfsvoering doorslaggevend om een Information Audit uit te laten voeren? 4. Welke randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information Audit?
4.2 IA methodologie Uit het literatuuronderzoek blijkt dat er nog geen algemeen geaccepteerde methodologie is voor het uitvoeren van een IA. Buchanan en Gibb (2007) hebben een vergelijking gemaakt van de IA modellen Orna (2004), Henczel (2001), van Burk en Horton (1998), en hun eigen model (1998). In appendix 1 is een beknopte beschrijving opgenomen van de stadia de per model worden doorlopen. Hoewel de vier IA methodes andere termen gebruiken om de stadia en activiteiten te beschrijven, komen zij inhoudelijk sterk overeen. Op basis van deze vier methodieken hebben Buchanan en Gibb (2008) zeven ‘basis’ stadia gedefinieerd voor het uitvoeren van een IA: 1. Voorbereiding: het voorbereidingstraject voor het starten van een IA. Binnen planning valt o.a. goedkeuring van de business case, projectplanning, inlichten van betrokkene. 2. Review: uitvoeren van een strategische interne en externe analyse en een organisatie analyse. 3. Onderzoek: in kaart brengen van de informatiegebruikers, de identificatie en inventarisatie van informatiehulpbronnen en informatiestromen. 4. Kosten baten analyse: in dit stadium wordt vastgesteld wat de kosten zijn van informatie(hulp)bronnen en wat de toegevoegde waarde van desbetreffende (hulp)bron is. 5. Analyse: analyseren van de bevindingen. 6. Rapportage: opstellen van een rapportage waarin de bevindingen naar voor komen en aanbevelingen worden gedaan. 7. Opvolging door de organisatie: opstellen van een informatiebeleid en/of de ontwikkeling van de informatiestrategie en aansluiting met ICT-strategie en organisatiestrategie. De implementatie van de aanbevelingen en het periodiek laten uitvoeren van een IA. Deze stadia vormden de basis voor de vergelijking van de vier IA modellen, door Buchanan en Gibb (2007) zoals weergegeven in Figuur 13. De nummering komt overeen met de stadia van de verschillende IA methoden, zoals beschreven in appendix 1.
28
Figuur 13: Toolset, scoping en stadia IA methodologie (gebaseerd op Buchanan en Gibb (2007) ). Uit deze vergelijking blijkt dat onder andere de methode van Burk en Horton (1998) niet in gaat op voorbereiding, het analyseren van de organisatie en strategie en het ontbreekt aan opvolging van de Audit door middel van het ontwikkelen van een informatie/organisatie strategie of beleid. Deze methode is de enige die nog een bottom-up benadering hanteert en wordt daarvoor sterk bekritiseerd in de literatuur. Hoewel de methode van Buchanan en Gibb (1998) geen voorbereidingsfase heeft opgenomen, komt deze sterk overeen met die van Orna (2004) en Henczel (2001), met als belangrijkste onderscheid dat Buchanan en Gibb een uitgebreide ‘toolset’ aandragen voor de uitvoering van de IA. Geen van de methodes geeft duidelijke richtlijnen voor het afbakenen van de scope van de IA. Om hier toch invulling aan te geven, kan de in paragraaf 2.3 (Tabel 2) reeds voorgestelde scope matrix van Buchanan en Gibb (2007) worden gehanteerd. Figuur 14 geeft een onderlinge vergelijking van modellen en hun (mogelijke) scope. Uit het overzicht blijkt dat het model van Burk en Horton gefocust is op het aspect van bedrijfsmiddelen en geen aandacht besteed aan het proces- en strategisch perspectief. Dit is voornamelijk te wijten aan de eerder genoemde bottom-up benadering en het gebrek aan strategische- en organisatorische analyse. De overige drie methodes gebruiken een top down aanpak en hebben in hun methode zowel aandacht voor het strategie-, proces- als het bedrijfsmiddelenperspectief.
Figuur 14: Vergelijking IA scope. (gebaseerd op Buchanan & Gibb (2007). 29
Uit het literatuuronderzoek blijkt dat het procesperspectief een onderbelicht deel is van de huidige IA methoden. Procesmodellering wordt vaak als optioneel beschouwd en het ontbreekt aan concrete handvaten voor uitvoering. Daarnaast wordt er voornamelijk gefocust op ‘harde’ factoren zoals missie, strategie, doelstellingen, doelen en structuren. Zogenaamd ‘zachte’ factoren als managementstijl en cultuur worden in geen van de methoden onderkend. Dit terwijl van Leeuwen met zijn Tol-model voor het inventariseren van informatiebehoefte en Kaplan en Norton (1996) met hun Klaverbladmodel voor organisatie-inrichting het belang van deze ‘zachte’ kant voor een goed functionerende organisatie juist benadrukken (zie appendix 6). Deze aspecten vallen buiten de scope van het huidige onderzoek en zullen daarom verder buitenbeschouwing worden gelaten. Nu op hoofdlijnen een beeld is geschetst van de IA methoden en stadia kunnen de randvoorwaarden voor de uitvoer van een IA worden bekeken.
4.3 Beslisfactoren Dit onderzoek focust onder andere op het in kaart brengen van factoren welke van invloed zijn op de beslissing om een IA te laten uitvoeren. Onder beslisfactoren wordt verstaan de omstandigheden (krachten, etc.) die invloed op de uitslag van iets uitoefenen of medebepalende elementen hiervoor zijn (Van Dale, 2008). In de IA literatuur wordt niet nader ingegaan op specifieke beslisfactoren die een rol spelen in het proces om te besluiten een IA uit te voeren. Uit de algemene managementliteratuur zijn echter de volgende generieke beslisfactoren naar voren gekomen: •
Prijs: de vereiste investeringen voor het uitvoeren van een IA.
•
Kosten en baten: afweging waarin de te maken investering wordt afgezet tegen de (verwachte) resultaten.
•
Risicoprofiel van de opdrachtgever: de mate waarin de opdrachtgever risicomijdend is of niet. Een risicomijdende opdrachtgever zal eerder geneigd zijn een IA te laten uitvoeren.
•
Intern politiek belang: door een IA door een externe partij te laten uitvoeren is gewaarborgd dat onafhankelijk onderzoek wordt verricht en interne politieke belangen en voorkeuren niet verweven worden met de onderzoeksresultaten. Daarnaast kunnen de resultaten van een IA gebruikt worden om specifieke onderwerpen op de agenda van de directie of Raad van Bestuur te krijgen.
4.4 Randvoorwaarden Onder randvoorwaarde wordt verstaan de voorwaarde waaraan voldaan moet zijn, wil het beoogde doel ooit bereikt kunnen worden (van Dale, 2008). Hoewel de doelstellingen van een IA afhankelijk zijn van het gekozen organisatieperspectief en de scope van de Audit, blijkt uit de door ons onderzochte literatuur dat bij het voldoen aan de onderstaande randvoorwaarden de kans van het behalen van de IA doelstellingen te worden vergroot: •
IA methodologie en scope: de methode gebruikt om een IA uit te voeren en de scope van de opdracht dient vooraf afgestemd te zijn met de opdrachtgever.
30
•
Helder gedefinieerde organisatiestrategie, missie en de onderliggende doelstellingen: als startpunt voor de IA dienen strategie, missie en doelstellingen gedefinieerd te zijn.
•
Support directie en management: voor het succesvol uitvoeren van de IA dient (bijvoorkeur) organisatiebreed draagvlak te zijn, in het bijzonder dient de directie en het management de opdracht te ondersteunen (gezien het gehanteerde strategisch perspectief).
•
Multidisciplinaire kennis opdrachtnemer: de opdrachtnemer dient over kennis en ervaring te beschikken van diverse disciplines zoals de bedrijfskundige, de IT-audit en de project management discipline
•
Tijd en budget: het uitvoeren van een IA zal, afhankelijk van de doelstelling en complexiteit van de organisatie, veel tijd kosten. Er dient daarom voldoende tijd en budget gereserveerd te worden voor het adequaat uit kunnen voeren van de IA.
•
Communicatieve vaardigheden auditor/ opdrachtnemer: bij een IA worden diverse medewerkers in verschillende lagen van de organisatie geïnterviewd, dit vergt goede communicatieve vaardigheden van de interviewer (auditor).
•
Beschikbaarheid medewerkers bij de klant. voor het uitvoeren van de IA dienen de relevante medewerkers (afhankelijk van de IA doelstelling) beschikbaar te zijn.
Zoals eerder aangegeven is IA gericht op de relatie tussen informatie-, informatiebronnen en de (strategische) doelstellingen van de organisatie. Botha en Boon (2003) merken daarom op dat het hebben van een helder gedefinieerde organisatiestrategie, missie en de onderliggende doelstellingen van belang is, omdat dit als startpunt/referentiepunt dient voor de IA. Vervolgens dient de IA methodologie te worden overeengekomen. Daarnaast is de steun van het topmanagement of directie van belang en dienen relevante informatie en medewerkers beschikbaar te worden gesteld. Ook gegeven Botha en Boon aan dat er voldoende tijd, middelen en budget voor het uitvoeren van de Audit beschikbaar moeten worden gesteld. In aanvulling op deze randvoorwaarden stellen Buchanan en Gibb (2008) dat de Auditor over multidisciplinaire vaardigheden en ervaring moet beschikken op het gebied van projectmanagement, strategische analyse, systeemanalyse, statistiek, accountancy. Tot slot geven Buchanan en Gibb en Botha en Boon aan dat communicatieve vaardigheden van de Auditor van cruciaal belang zijn zodat de geïnterviewde bereid is de benodigde informatie te verschaffen over de activiteiten in het kwaliteitssysteem waarvoor deze verantwoordelijk is. Figuur 15 geeft een overzicht van de randvoorwaarden welke door de diverse auteurs worden aangedragen.
31
Figuur 15: Randvoorwaarden in de literatuur. De in dit hoofdstuk geïnventariseerde randvoorwaarden en beslisfactoren zullen als input dienen voor het empirisch onderzoek en gebruikt worden voor het opstellen van de vragenlijst ten behoeve van het semigestructureerde interview. De resultaten van het empirisch onderzoek worden besproken in het volgende hoofdstuk.
32
5 Resultaten empirisch onderzoek 5.1 Inleiding Dit hoofdstuk beschrijft de resultaten van kwalitatief empirisch onderzoek. Eerst wordt de opzet van het onderzoek uiteengezet. Daarna wordt per deelvraag het onderzoeksresultaat beschreven.
Dit hoofdstuk beantwoordt de volgende deelvragen: 2. Welke stakeholders en belangen spelen een rol in het beslisproces rondom Information Auditing? 3. Welke beslisfactoren zijn voor de bedrijfsvoering doorslaggevend om een Information Audit uit te laten voeren? 4. Welke randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information Audit?
5.2 Opzet empirisch onderzoek In navolging op het literatuuronderzoek is in lijn met het opgestelde onderzoeksmodel (zie Figuur 16) het empirisch onderzoek uitgevoerd. Voor het toetsen van de bevindingen uit het literatuuronderzoek en het verder beantwoorden van de deelvragen is gekozen voor een kwalitatieve benadering op basis van semigestructureerde interviews. De resultaten van het literatuur– en empirisch onderzoek zijn geanalyseerd
en
vervolgens
zijn
de
randvoorwaarden
en
beslisfactoren
getoetst
bij
de
geïnterviewden. De Interviewvragenlijsten zijn opgenomen in Appendix 3 . De gespreksverslagen van het empirisch onderzoek zijn opgenomen in Appendix 4 Gespreksverslagen. In dit hoofdstuk worden de resultaten van het empirisch onderzoek uiteengezet, waarbij de koppeling gemaakt wordt met het literatuuronderzoek.
Figuur 16: Onderzoeksmodel. Aangezien de vraagstelling van deze scriptie een smal domein beslaat (randvoorwaarden en beslisfactoren),
is
voor
het
empirisch
onderzoek
gekozen
voor
een
kwalitatieve
onderzoeksbenadering. Op deze manier wordt verdieping verkregen van deze specifieke aspecten
33
(Verhoeven, 2007). Door kwalitatief onderzoek kan worden ingegaan op de beweegredenen achter het noemen van bepaalde randvoorwaarden of beslisfactoren. Voor het kwalitatief onderzoek is gekozen voor semigestructureerde interviewmethode. Enerzijds biedt deze methode een leidraad voor het gesprek en borging dat de deelonderzoeksvragen behandeld worden. Anderzijds kan middels een semigestructureerd interview dieper ingegaan worden op specifieke antwoorden tijdens interviews en kunnen vragen afgestemd worden op het begrip over IA van de gesprekspartner. De gehanteerde vraagstelling is tijdens de interviews dan ook deels aangepast aan de geïnterviewde (opdrachtgever en opdrachtnemer perspectief). De interviewvragen zijn opgesteld aan de hand van de deelonderzoeksvragen en op basis van de resultaten uit het literatuuronderzoek. De interviewvragen zijn grotendeels open vragen. De vragenlijst en
gespreksverslagen
zijn
respectievelijk
opgenomen
in
Appendix
3
en
Appendix
4
Gespreksverslagen. Om een zo volledig mogelijk beeld te krijgen van IA in de praktijk, is een selectie van gesprekspartners gemaakt uit personen die direct betrokken (stakeholder) zijn geweest bij een IA. •
De IA opdrachtgever (klant): het aandachtsgebied van de klant is sterk op de interne organisatie gericht. Zijn voornaamste belang (voor dit onderzoek) is het inzichtelijk maken in hoeverre de bestaande systemen de huidige strategie ondersteunen.
•
De EDP-audit manager: heeft meerdere IA opdrachten uitgevoerd bij diverse organisaties in verschillende sectoren, met als aandachtsgebied is IT-beheer en interne (risico)beheersing. Zijn voornaamste belang bij de IA is het efficiënt uitvoeren van de Audit en het realiseren van de Audit doelstellingen. Betrokken op strategisch/tactisch niveau bij de Audit
•
De EDP-audit partner: eindverantwoordelijk voor diverse audits in verschillende sectoren. Zijn aandachtsgebied is organisatiestrategie en commercie. Betrokken op strategisch niveau. Voornaamste belangen zijn compliancy met betrekking tot uitvoer van opdrachten en klanttevredenheid.
•
De (senior) adviseur Information Management: deze adviseur heeft meerdere IA opdrachten uitgevoerd bij grote organisaties, met voornamelijk beleids- en procesmatige invalshoek. Betrokken op tactisch/operationeel niveau bij de Audit. Voornaamste belang is het efficiënt uitvoeren van de Audit en het realiseren van de Audit doelstellingen.
Voor deze gesprekspartners is gekozen omdat zij direct betrokken zijn bij een IA en een belang hebben bij de uitkomst (stakeholders). Zij kunnen daarom het meeste bijdragen aan het beantwoorden van de deelonderzoeksvragen. Er zijn ook stakeholders die niet of beperkt betrokken zijn bij de uitvoer van een IA maar wel belanghebbende zijn bij de uitkomst van de IA. (bv informatiesysteemarchitectuur ontwikkelaars). Deze stakeholders zijn niet geïnterviewd, omdat zij niet direct een bijdrage leveren aan het beantwoorden van de deelonderzoeksvragen. Indien deze stakeholders betrokken zijn geweest bij het initiëren van een IA, geldt dat hun inzichten reeds vertegenwoordigd worden door de IA opdrachtgever (klant). Om nader inzicht te krijgen in het belang van de beslisfactoren en randvoorwaarden, geïnventariseerd uit het literatuuronderzoek en de interviews, zijn deze voorgelegd aan de geïnterviewden. Gevraagd is
34
een persoonlijke top-3 op te stellen van de meest belangrijke beslisfactoren en randvoorwaarden voor een IA. De overzichten in tabel 4 en tabel 5 geven een indicatie van de meest belangrijke beslisfactoren en randvoorwaarden. Gezien de kwalitatieve onderzoeksmethode en de beperkte populatie waar deze op is uitgevoerd kan echter niet worden gesteld dat onderstaand overzicht statistisch verantwoord en representatief is. Om een dergelijke uitspraak te doen zal nader onderzoek gedaan moeten worden.
5.3 Onderzoeksresultaten De paragraaf onderzoeksresultaten is opgedeeld aan de hand van de deelonderzoeksvragen. De eerste subparagraaf gaat in op stakeholders en belangen rondom IA. Vervolgens worden beslisfactoren voor de bedrijfsvoering behandeld en de randvoorwaarden voor de uitvoer van een IA. Voor de onderzoeksvragen met betrekking tot de randvoorwaarden en beslisfactoren wordt uiteengezet welke nieuwe randvoorwaarden, respectievelijk beslisfactoren tijdens het empirisch onderzoek zijn vastgesteld en hoe de geïnterviewde alle vastgestelde randvoorwaarden en beslisfactoren prioriteren. Tot slot wordt een conclusie getrokken over deze deelonderzoeksvragen.
5.3.1 Stakeholders en belangen Uit het literatuuronderzoek blijkt dat de stakeholders van een IA afhangen van de gekozen scope en doelstelling van de IA. Stakeholders van een IA zijn alle partijen die er belang bij hebben dat de organisatie zijn strategie en doelstellingen realiseert. Als belangrijkste interne stakeholder voor IA is gekozen voor de directie van de organisatie, aangezien zij verantwoordelijk zijn voor het realiseren van de organisatiestrategie en de onderliggende organisatiedoelstellingen. De resultaten van onze interviews onderbouwen deze aanname gedeeltelijk. De Raad van Bestuur, directie en het management zijn door de geïnterviewden herhaaldelijk genoemd als belangrijke stakeholders. Op het niveau van de Raad van Bestuur en de directie wordt voornamelijk het realiseren van de organisatiedoelstellingen genoemd als belang. Op niveau van management wordt de onderbouwing van budgetaanvragen voor (IT-) projecten als voornaamste belang van IA gezien. Extern stakeholders die tijdens de interviews herhaaldelijk zijn genoemd zijn regelgevers en toezichthouders, die vanuit compliance een belangrijke rol kunnen hebben in de inrichting en beheersing van informatiestromen en het omgaan met informatiebronnen.
35
5.3.2 Beslisfactoren Onderstaande tabel geeft een overzicht van de beslisfactoren geïnventariseerd tijdens het literatuuronderzoek en de beslisfactoren die tijdens de interviews zijn genoemd. Daarnaast wordt de prioriteit aangeven van deze beslisfactoren op basis van de persoonlijke top 3 van de geïnterviewden.
IA specifieke beslisfactoren uit de literatuur Prijs √ Kosten-baten √ √ √ Risicoprofiel van de √ √ √ opdrachtgever Intern politiek belang √ √ √ IA specifieke beslisfactoren genoemd tijdens de interviews Complexiteit van de √ √ √ organisatie Tijd √ Kennis en kunde √ √ √ Beschikbaarheid interne √ √ resources
Information Management Adviseur
Klant
IT-Audit Partner
IT-Audit Manager
Prioriteit per geïnterviewde Information Management Adviseur
IT-Audit Manager
IT-Audit Partner
Klant
Tabel 4: Schematische weergave beslisfactoren. Resultaten per geïnterviewde
3 3
3
2 1
1
2
3 1
2
2
1
De beslisfactoren uit de literatuur worden grotendeels onderkend door de geïnterviewden. Opvallend hierbij is dat de factor ‘Prijs’ wel in de literatuur genoemd wordt als belangrijk maar alleen door de klant (opdrachtgever) ook daadwerkelijk als belangrijk wordt ervaren. Volgens de IT-Audit Partner, ITAudit Manager en Information Management Adviseur (opdrachtnemers) vinden het behalen van de strategische organisatiedoelstellingen van een dergelijk belang voor een organisatie, dat prijs geen rol mag spelen in de beslissing. Volgens de klant is de prijs echter wel een beslisfactor, maar zal dit niet altijd de doorslag geven in de beslissing. Gesteld kan worden dat afhankelijk van de gehanteerde prijsstelling en de gepercipieerde baten van de IA, prijs wel of niet een doorslaggevende beslissingfactor is. Uit de resultaten van het praktijkonderzoek blijkt dat deze stelling toch ook door de opdrachtgevers wordt onderschreven gezien de frequentie waarmee de beslisfactor ‘Kosten-baten’ wordt genoemd en de prioriteit die het krijgt toegewezen.
5.3.3 Nieuwe beslisfactoren Zoals uit tabel 4 blijkt zijn er in aanvulling op de in de literatuur genoemde beslisfactoren tijdens de interviews een aantal nieuwe beslisfactoren naar voren gekomen, te weten: •
Complexiteit van de organisatie: in een complexe organisatie kan het management onvoldoende inzicht hebben op de efficiency en effectiviteit van de informatievoorziening en de aanwezigheid van knelpunten. Zo kan een IA inzicht verschaffen in waar knelpunten zijn binnen
36
de informatiestromen, welke als input dienen voor rapportages (efficiency) en of deze knelpunten technisch, organisatorisch of procedureel van aard zijn. Daarnaast kan een IA in kaart brengen of de huidige informatie ten behoeve van Kritische Prestatie Indicatoren(KPI)-rapportages afdoende relevant zijn om als sturingsinformatie te dienen (effectiviteit). •
Tijd: doordat de opdrachtgever op korte termijn de IA resultaten nodig heeft, kan tijd een beslisfactor zijn om een externe partij te vragen een IA uit te voeren omdat intern andere prioriteiten liggen.
•
Kennis en kunde: de interne organisatie beschikt niet over resources met de juiste kennis om een IA uit te voeren. De volgende vaardigheden worden hierbij genoemd:
•
o
Analytische kennis;
o
Proces kennis;
o
Industrie specifieke kennis;
o
Financiële kennis;
o
IT-kennis.
Onvoldoende beschikbaarheid interne resources: De interne organisatie heeft onvoldoende resources beschikbaar om een IA uit te voeren.
Tijdens de interviews zijn diverse redenen genoemd welke verband houden met het begrip beslisfactoren. Een reden is echter een aanleiding om een IA te laten uitvoeren, waar beslisfactoren van invloed zijn op de beslissing om een IA te laten uitvoeren. Enkele voorbeelden van genoemde redenen zijn: een strategische herijking, afstemming organisatie, ICT-strategie en doelstellingen, een mislukte software implementatie, een fusie of overname, nieuwe (leden van) Raad van Bestuur welke op korte termijn inzicht willen in het bedrijf en de informatie(stromen), wet en regelgeving en een dynamische omgeving van de organisatie. Redenen om een IA te laten uitvoeren hebben vaak een urgent karakter. Het onderzoeken van redenen voor het uitvoeren van een IA valt buiten de scope van dit onderzoek, maar wordt door de auteurs wel gezien als zeer relevant.
37
5.3.4 Randvoorwaarden In tabel 5 wordt een overzicht gegeven van de randvoorwaarden die geïnventariseerd zijn tijdens het literatuuronderzoek en de randvoorwaarden die tijdens de interviews zijn genoemd. Daarnaast wordt de prioriteit aangeven van deze randvoorwaarden op basis van de persoonlijke top 3 van de geïnterviewden.
IA specifieke randvoorwaarde uit de literatuur Helder gedefinieerde √ √ organisatiestrategie, missie en de onderliggende doelstellingen IA Methodologie en scope √ √ √ Support directie √ √ √ Multidisciplinaire √ √ √ vaardigheden opdrachtnemer Tijd en budget √ √ √ Communicatieve √ √ vaardigheden auditor/opdrachtnemer Beschikbaarheid √ √ √ medewerkers IA specifieke randvoorwaarde genoemd tijdens de interviews Beslisstrategie √ √ Gedefinieerd interne √ √ controle raamwerk (bijvoorbeeld Sox) Beschikbaarheid relevante informatie Onafhankelijkheid opdrachtnemer (derde partij)
√
√
√
√
√
2
1
Information Management Adviseur
1
3 1
1
2
3
2 √
IT-Audit Manager
IT-Audit Partner
Klant
Prioriteit per geïnterviewde Information Management Adviseur
IT-Audit Manager
IT-Audit Partner
Klant
Tabel 5: Schematische weergave randvoorwaarden. Resultaten per geïnterviewde
3
2
3
De in de literatuur genoemde randvoorwaarden worden grotendeels onderschreven door de geïnterviewden. Opvallend is dat de IT-Audit Partner maar drie randvoorwaarden noemt: Audit Methodologie, Gedefinieerde Strategie en Beschikbaarheid van Relevante Informatie. Een mogelijke verklaring hiervoor is zijn focus op strategie en eindverantwoordelijkheid met betrekking tot compliancy en de uitgevoerde audits.
5.3.5 Nieuwe randvoorwaarden In aanvulling op de in de literatuur genoemde randvoorwaarden zijn er tijdens de interviews nieuwe randvoorwaarden naar voren gekomen: 38
•
Beslisstrategie: Voor medewerkers is het van belang dat de beslisstrategie vooraf helder is. Het vooraf definiëren van de beslisstrategie kan gezien worden als een specificeren van een onderdeel van de doelstellingen.
•
Helder gedefinieerd interne controle raamwerk: de IT-auditors en de klant onderkennen het belang van een helder gedefinieerd intern controle raamwerk of een business control framework. Daarbij wordt opgemerkt dat dit als een versneller kan werken bij het uitvoeren van een IA. Tijdens het interview met de Information Management Adviseur kwam naar voren dat een intern controle raamwerk nauwelijks relevant wordt geacht door hem. Hierbij wordt aangegeven dat de beschikbaarheid van medewerkers de meest kritieke randvoorwaarde is en dat een interne controle raamwerk vaak niet toereikend is voor de onderzoeksscope. Er kan gesteld worden dat een intern controle raamwerk vanuit een beheersperspectief als een IA versneller wordt gezien, vanuit een proces- en beleidsmatig perspectief (invalshoek van de adviseur) wordt dit in mindere mate ervaren.
•
Beschikbaarheid van relevante informatie: de IT-auditors geven aan dat de beschikbaarheid van relevante informatie in hun ogen een belangrijke randvoorwaarde is. Onder beschikbaarheid van relevante informatie wordt verstaan het relatief eenvoudig verkrijgen van relevante informatie tijdens het onderzoek. De opdrachtnemer gebruikt naast de informatie verkregen van de geïnterviewde medewerkers, relevante informatie om zijn/ haar opdracht uit te voeren. Vanuit het beheersperspectief van de IT-auditors is het van belang om onderbouwde bewijsvoering te hebben om tot opdrachtresultaten te komen. In praktijk is het soms lastig om relevante informatie te ontvangen.
•
Onafhankelijkheid opdrachtnemer (derde partij): zowel de opdrachtgever (klant) als de opdrachtnemers geven aan dat de onafhankelijkheid van een derde partij een belangrijke randvoorwaarde is zodat interne politieke belangen de uitkomst niet beïnvloeden.
39
6 Samenvatting en conclusie In dit laatste hoofdstuk wordt de centrale vraagstelling en de onderliggende deelvragen beantwoord. Daarnaast wordt de bijdrage aan de literatuur uiteengezet en worden suggesties gedaan voor verder onderzoek.
6.1 Samenvatting De doelstelling van dit
onderzoek
is
tweeledig. Enerzijds
het inzichtelijk
maken welke
randvoorwaarden aanwezig dienen te zijn voor het uitvoeren van een Information Audit. Anderzijds het in kaart brengen van de beslisfactoren die voor het management doorslaggevend zijn om een Information Audit te laten uitvoeren. Uit deze doelstelling is de volgende onderzoeksvraag opgesteld: ‘Welke randvoorwaarden dienen aanwezig te zijn en welke beslisfactoren zijn doorslaggevend om een Information Audit te laten uitvoeren’. Binnen het bedrijfsleven en de literatuur zijn de laatste decennia veel ontwikkelingen waarneembaar op het gebied van ICT-Strategie, IT-Goverance en IT-Alignment. De Information Audit kan een waardevolle bijdrage leveren aan de verdere ontwikkeling van deze disciplines. Echter is er tot op heden nog geen consensus over de definitie van Information Audit en is er nog geen algemeen geaccepteerde methode om een Information Audit uit te voeren. Hierdoor lijkt de bekendheid en toepassing van de methodiek in de praktijk achter te blijven. Buchanan en Gibb (2007) hebben een uitgebreide definitie voor Information Audit geopperd. Hun definitie luidt: ‘(…) a holistic approach to identifying and evaluating an organisation’s information resources and information flow in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to Information System Architecture development’. Buchanan en Gibb dragen een Information Audit methode aan welke het meest volledig is en alle aspecten omvat van bekende methodieken uit de literatuur. Diverse stakeholders hebben belang bij het laten uitvoeren van een Information Audit. Generiek wordt gesteld dat stakeholders van een Information Audit alle partijen zijn die er belang bij hebben dat de organisatie zijn strategie en doelstellingen realiseert. Intern zijn de belangrijkste stakeholders de Raad van Bestuur, de directie en het management. Externe stakeholders die tijdens dit onderzoek veelvuldig naar voren kwamen zijn regelgevers en toezichthouders.
40
6.2 Conclusie Beslisfactoren Uit de literatuur en het empirisch onderzoek blijken dat diverse beslisfactoren van invloed zijn op het besluit om een Information Audit uit te laten voeren. De gedurende dit onderzoek geïnventariseerde beslisfactoren zijn: •
Prijs;
•
Kosten-baten;
•
Risicoprofiel van de opdrachtgever;
•
Intern politiek belang;
•
Complexiteit;
•
Kennis en kunde;
•
Tijd;
•
Onvoldoende beschikbaarheid interne resources.
Randvoorwaarden Voor het effectief uitvoeren van een Information Audit zijn tijdens dit onderzoek de volgende randvoorwaarden geïnventariseerd: •
Onafhankelijkheid van de opdrachtnemer/ derde partij;
•
IA methodologie en scope;
•
Communicatieve vaardigheden auditor;
•
Helder gedefinieerde organisatiestrategie;
•
Missie en de onderliggende doelstellingen;
•
Support directie;
•
Beschikbaarheid relevante informatie;
•
Beschikbaarheid medewerkers;
•
Tijd en budget;
•
Multidisciplinaire vaardigheden opdrachtnemer;
•
Beslisstrategie;
•
Helder gedefinieerd interne controle raamwerk.
In aanvulling op bovenstaande factoren en randvoorwaarden kunnen andere casus specifieke beslisfactoren van invloed zijn op het besluit om een Information Audit te laten uitvoeren of dienen casus specifieke randvoorwaarden aanwezig te zijn.
41
6.3 Bijdrage aan de literatuur Dit onderzoek heeft een bijdrage geleverd aan de ontwikkeling van het Information Audit vakgebied op drie belangrijke onderdelen. Hieronder zijn de toevoegingen uiteengezet.
Beslisfactoren In dit onderzoek zijn beslisfactoren in kaart gebracht welke voor de bedrijfsvoering doorslaggevend zijn om een Information Audit te laten uitvoeren. In aanvulling op de (algemene management) literatuur zijn tijdens het empirisch onderzoek vier nieuwe beslisfactoren geïdentificeerd: complexiteit van de organisatie, tijd, kennis en onvoldoende beschikbaarheid interne resources.
Randvoorwaarden Diverse randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information Audit. In de literatuur zijn reeds een aantal randvoorwaarden bekend. In aanvulling op de literatuur tijdens het empirisch onderzoek vier nieuwe randvoorwaarden naar voren gekomen: beslisstrategie, helder gedefinieerd interne controle raamwerk, onafhankelijkheid van de auditor en beschikbaarheid relevante informatie.
Information Audit in een bredere context In de huidige Information Audit literatuur wordt hoofdzakelijk aandacht besteed aan waarom een Information Audit uitgevoerd dient te worden en wat de toegevoegde waarde van deze Audit is. Het huidige onderzoek benadert Information Auditing vanuit een multidisciplinair perspectief en heeft verbanden tussen Information Audit en IT-Alignment en IT-Governance weergegeven. Hieruit blijkt IA de afstemming tussen ICT en organisatiedoelstellingen te kunnen faciliteren met als bijkomend voordeel dat het de bedrijfskant meer belicht dan de ‘traditionele’ Goverance modellen en Alignment modellen, die voornamelijk IT-driven zijn.
6.4 Suggesties voor verder onderzoek In de scriptie zijn onderwerpen naar voren gekomen welke buiten de scope van het huidige onderzoek vallen, maar zeer relevant zijn om het Information Audit vakgebied verder te ontwikkelen. Hieronder volgen enkele suggesties voor vervolgonderzoek: •
Kwantitatief onderzoek naar welke randvoorwaarden en beslisfactoren het belangrijkst zijn;
•
Ontwikkelen van een Information Audit raamwerk voor specifieke organisaties, situaties of marktsectoren;
•
Redenen om een Information Audit te laten uitvoeren in kaart brengen;
•
Raakvlakken tussen Information Audit en de financiële Audit onderzoeken;
•
Toegevoegde waarde van een Information Audit voor specifieke doelgroepen (Raad van Commissarissen, een private equity fund) of specifieke situaties (outsourcings traject);
•
Information Audit benaderd vanuit een technisch of proces perspectief.
42
Literatuur Barker, R. L. (1990). Information audits: Designing a methodology with reference to the RenD division of a pharmaceutical company. Department of Information Studies, Occasional Publications Series No. 8. Sheffield: University of Sheffield. 5–14, 27–34. Burk, C. F., en Horton, F. W. (1988). InfoMap: A complete guide to discovering corporate information resources. Englewood Cliffs, NJ: Prentice-Hall. Buchanan, S. J., en Gibb, F. (1998). The information audit: An integrated strategic approach. The International Journal of Information Management, 18(1), 29–47. Buchanan, S. J., en Gibb, F. (2007). The information audit: Role and scope. The International Journal of Information Management, 27(3), 159–172. Buchanan, S. J., Gibb, F. (2008). The information audit: Theory versus practice. The International Journal of Information Management, in press, doi:10.1016/j.ijinfomgt.2007.09.003. Checkland, P. (1999). Systems thinking, systems practice. Chichester: Wiley. Van Dale (2008). Groot woordenboek van de Nederlandse taal 14. Earl, M. J. (2000). In D. A. Marchand, T. H. Davenport, en T. Dickson (Eds.), Mastering information management . 16–22. Oosterhaven, J. (2003) ICT-strategie en –organisatie. ISBN-13: 9789044005592. Orna, E. (1990). Practical information policies: How to manage information flow in organisations. Aldershot: Gower. Orna, E. (1999). Practical information policies (2nd ed.). Aldershot: Gower. Orna, E. (2004). Information strategy in practice. Aldershot: Gower. Gibb, F., Buchanan, S., Shah, S. (2006). An integrated approach to process and service management. International Journal of Information Management(26), 44–58. Grembergen, W., Haes de, S. (2009). Enterprise Governance Of Information Technology. SpringerVerlag New York Inc. Groot, R., Smits, M., Kuipers, H. (2005) A Method to Redesign the IS Portfolios in Large Organisations, System Sciences, HICSS apos;05. Volume , Issue , 03-06 Jan. 2005. 223a - 223a. Henderson, J.C. , Venkatraman, N. (1991). 'Understanding Strategic Alignment'. Business Quarterly, 55 (3). Henderson, J.C., Venkatraman, N. (1993) Strategic Alignment. IBM systems Journal special issue on strategic Alignment, Vol. 32, no. 1, 4–16. Henderson, J.C., Venkatraman, N. (1999) Strategic Alignment, leveraging information technology for transforming Organizations. Henczel, S. (2001). The information audit: A practical guide. London: K.G. Saur. Henzcel, S. (2007): Information Audit + Journal Lifecycles. FreePint Newsletter 240 (2007), 21-23. ISO 27001 (2008) Standaard voor Informatiebeveiliging. IEEE standard 1471. 43
Kaplan, R.S. , D.P. Norton, (1996) The Balanced Scorecard: Translating Strategy into Action, Harvard Business School Press, Cambridge MA. Leeuwen, van, O.C. (1996) Managementinformatie voor periodieke besluitvorming – tollen of stilstaan? Samson, Alphen aan den Rijn. Maatman, H. (2005) Audit van een ICT strategie, Erasmus Universiteit Rotterdam. Nieuwenhuis, M.A. (2008) The Art of Management (the-art.nl), ISBN-13: 978-90-806665-1-1, 20032008. Riley, R. H. (1976). The information audit. Bulletin of the American Society for Information Science, 2(5), 24–25. Reynolds, P. D. (1980). Management information audit. Accountants Magazine, 84(884), 66–69. Shahim, A., Huibers, T., Kooper, M., Manschot, K. (2006) Business- ICT-Alignment; De realiteit van de praktijk. Thiadens, Th.J.G. (2008) Studie leiddraad informatie- en ICT management. Verhoeven, P., Doorewaard, H. (2007) Het ontwerpen van een onderzoek, vierde druk. Vaassen, E. (2005) Een IT-theorie van internal control. Webster, M. (2001). A guide to information audits. Information World Review, 66. Weggeman, M. (2000) Kennismanagement in de praktijk. Websites Aslib: http://www.aslib.co.uk ISACA: http://www.isaca.org/ NOREA: http://www.norea.nl ITGI: http://www.itgi.org COSO: http://www.coso.org
44
III Appendix
45
Appendix 1 IA Methodologie In deze appendix wordt de in de literatuur meest aangehaalde/IA methodieken behandeld van Burk en Horton (1998), Orna (2004), Buchanan en Gibb (1998) en Henczel (2001).
Figuur 17: Schematische weergave verschillende stadia IA methoden. Burk en Horton De IA methodologie InfoMap welke ontwikkeld is door Burk en Horton (1988) is het eerste in de literatuur beschreven IA raamwerk. InfoMap bestaat uit een gestructureerde methode om de informatiebronnen van de organisatie te inventariseren, te structureren en te evalueren, dit is iets wat voorgangers (Gillman, 1985; Henderson, 1991; Quinn, 1979; Reynolds, 1980; Riley, 1976) nagelaten hebben. Burk en Horton onderkennen vier stadia: 1. Onderzoeken van de organisatie informatiebronnen middels het afnemen van interviews en questionnaires bij het personeel 2. Kosten/waarde:
kosten,
(toegevoegde)
waarde
ratios
worden
vastgesteld
voor
de
geïdentificeerde informatiebronnen 3. Analyse: belangrijke informatiebronnen worden geïdentificeerd door het structureren van individuele informatiebronnen naar de organisatiestructuur, functionaliteit en corporate governance structuur. 4. Synthese: de informatiebronnen zijn geïnventariseerd samen met de relatieve sterktes en zwakheden van de organisatie. Het hoofddoel van InfoMap is het identificeren van de organisatie informatiebronnen. InfoMap is vandaag de dag nog steeds actueel, zo kan het bijvoorbeeld gebruikt worden voor ISO 27001 (2008). Een tekortkoming van InfoMap is dat deze aanpak voornamelijk bottom-up is, waardoor er in beperkte mate organisatorische analyses worden uitgevoerd. Burk en Horton benoemen heb belang van het terugkoppelen van organisatieplannen en bedrijfsdoelstellingen echter, dit wordt niet in oogschouw genomen in InfoMap. De methode bevat geen concreet handvat om top-down de organisatiedoelen
46
mee te nemen in het proces, evenals het in oogschouw nemen van omgevingsfactoren (Buchanan & Gibb, 1998). Orna Orna’s top-down methode (1998) legt meer nadruk op de organisatieanalyse dan de Infomap van Burk en Horton (1988), die focust op het inventariseren van informatiebronnen. Orna’s aanpak identificeert zowel informatiebronnen als informatiestromen. Het eindproduct van Orna’s methodologie is een organisatiebreed informatiebeleid. Initieel bestond deze methode uit vier stadia, in later werk van Orna is dit uitgebreid naar 10 stappen, waaronder de stappen pre- en post-audits. De 10 stappen zijn: 1. Analyse van organisatiedoelstellingen en de daarvoor benodigde informatie: vooronderzoek uitvoeren om de strategische en operationele organisatiedoelen vast te stellen 2. Vaststellen van management support: verkrijgen van betrokkenheid van senior management bij de IA. 3. Vaststellen van support in de organisatie: verkrijgen van betrokkenheid binnen de organisatie. 4. Plannen van de IA: project planning, team samenstelling, methode en technieken selectie. 5. Veldwerk: identificeren van informatiebronnen en informatiestromen, inclusief een kosten baten analyse op hoofdlijnen. 6. Interpreteren van de bevindingen: analyse van de bevindingen waarbij een vergelijking wordt gemaakt tussen de huidige situatie en de gewenste situatie. 7. Presenteren van de resultaten: rapporteren van de auditresultaten. 8. Implementeren van verandering: opstellen van het informatiebeleid en het opvolgen van IA aanbevelingen. 9. Monitoren van effecten: wijzigingen monitoren. 10. Herhalen van de IA cyclus: regelmatig dient de IA opnieuw uitgevoerd te worden. Orna’s methode is op een abstracter niveau gedefinieerd, hierdoor zijn voor enkele van de bovengenoemde stappen geen directe praktische handvatten opgesteld binnen zijn methode. Buchanan en Gibb Even als Orna hebben Buchanan en Gibb (1998) een top-down methode ontwikkeld. Deze methode biedt tevens uitgebreide handvatten en technieken voor de uitvoering van de IA, dit wordt in de literatuur gezien als een zeer waardevolle toevoeging aan de reeds bestaande methodes. De vijf stadia van deze methode zijn: 1. Aankondiging: het communiceren van de voordelen van de audit. Waarborgen medewerking van de organisatie en het uitvoeren van een vooronderzoek van de organisatie. 2. Identificeren: strategische top-down analyse van de organisatie waarna informatiebronnen en informatiestromen worden geïnventariseerd. 3. Analyse: analyseren en evalueren van geïdentificeerde informatiebronnen en informatiestromen en het formuleren van een actieplan. 4. Interpreteren resultaten: kosten en baten analyse van informatiebronnen.
47
5. Synthese: rapporteren van de auditresultaten en het ontwikkelen van de organisatie informatiestrategie. Henczel Henzcels methode (2001) combineert de top-down strategie van Buchanan en Gibb met de organisatorische analyse van Orna, maar geeft handvatten en technieken voor de uitvoering van de IA De methode bestaat uit zeven stadia: 1. Planning: opstellen van de business case voor het uitvoeren van de IA en het voorbereiden en plannen van de Audit. 2. Data collectie: ontwikkelen van een database met informatiebronnen en het uitvoeren van een survey. 3. Data analyse: structureren van de verzamelde data. 4. Data evaluatie: interpreteren van de resultaten en formuleren van aanbevelingen. 5. Communiceren van aanbevelingen: rapporteren van de auditresultaten en aanbevelingen 6. Interpreteren van de auditresultaten: Opstellen van een programma of project waarin de aanbevelingen worden opgevolgd. 7. Periodieke uitvoeren van een IA: inbedding in de organisatie van het cyclisch uitvoeren van een IA. De vier IA methoden zijn vergeleken op: •
Volledigheid van het model: de conceptuele, structurele, logica in en volledigheid van de benadering.
•
Toepasbaarheid van de methode: in de praktijk, de scope van de methode en de mogelijkheid om de methode aan te passen aan de individuele organisatorische vereisten.
•
Bruikbaarheid: gebruiksgemak van de methode.
De IA methode van Burk en Horton gaat niet nader in op de voorbereiding, de strategische en organisatorische review en de opvolging na de audit. Tevens wordt door Burk en Horton eerst een reguliere analyse uitgevoerd waarna een Kosten-Baten analyse wordt uitgevoerd. In de methode van Buchanan en Gibb is de voorbereidingsfase niet opgenomen. Zoals reeds genoemd in 4.2 IA methodologie onderscheiden Buchanan en Gibb (2008) vier elementen en drie perspectieven om de scope en de rol van IA (zie Tabel 2). De elementen zijn Management, Technologie, Systeem en Content. Als perspectieven worden onderscheiden Strategie, Proces en Bedrijfsmiddelen. Het meest opvallende verschil tussen de IA methodes is dat Burk en Horton het strategie perspectief niet in oogschouw nemen. Dit wordt veroorzaakt doordat zij een bottom up aanpak hanteren, deze aanpak is overigens later veelvuldig in de literatuur bekritiseerd. Als nadeel wordt aangedragen dat de bottom up aanpak beperkte aandacht heeft voor de organisatorisch analyse, wat een belangrijk toegevoegde waarde levert voor IA. De overige drie methodes gebruiken een top down aanpak en hebben in hun methode zowel aandacht voor het strategie- als het bedrijfsmiddelenperspectief.
48
Figuur 18: Vergelijking IA scope (gebaseerd op Buchanan & Gibb (2007)). De methodes van Buchanan en Gibb, Burk en Horton, Orna en Henzcel hebben geen aandacht voor het procesmodellering. Buchanan en Gibb, Orna en Henzcel onderkennen het inrichten van de informatiestromingen in hun methode. Echter het uitvoeren van een procesmodellering is niet opgenomen in de methode. Zowel Buchanan en Gibb als Henzcel dragen procesmodellering aan als een optie. Burk en Horton brengen niet specifiek informatiestromen in kaart, maar geven in tabelvorm de informatiebronnen weer bij verschillende bedrijfsonderdelen. Deze relatief statische functionele aanpak focust zich in tegenstelling tot de andere methodes niet op organisatiestructuur maar op de dynamische relaties tussen informatiebronnen, informatiestromen, bedrijfstaken en –activiteiten (Buchanan & Gibb; Shah, 2006). De toegevoegde waarde van de methode van Burk en Horton is dat mogelijke
synergie
ontstaat
door
de
aansluiting
op
gerelateerde
activiteiten
zoals
Bedrijfsprocesmodellering, Informatiesysteemarchitectuur en de vroegere stadia van informatie systeem ontwikkeling.
Flexibiliteit Buchanan en Gibb (2008) onderkennen twee dimensies van flexibiliteit: •
Mogelijkheid tot verfijning of het achterwege laten van methodologische onderdelen;
•
Mogelijkheid om te aan passen aan de organisatorische scope.
Alle onderzochte methode bevatten geen explicite handvatten voor het aanpassen van de IA methode aan de organisatie of vraag. Orna en Henzcel benoemen handvatten voor het vaststellen van de organisatie scope. Burk, Horton en Buchanan en Gibb refereren enkel naar de organisatie scope. Henzcel draagt aan om initieel het volledige bedrijf in scope te laten zijn van de IA, echter alle auteurs onderkennen dat het voor grote complexe organisaties een zeer tijdrovend proces kan zijn.
Toepasbaarheid en tools De toepasbaarheid van de methodes bevat deels subjectieve oordelen over de mate waarin methode aansluiten op de scope van een IA. Om de toepasbaarheid zo objectief mogelijk vast te stellen worden er in de literatuur twee maatstaven onderkend, te weten: efficiëntie en effectiviteit van de methode. 49
De methode Infostroom ontwikkeld door Burk en Horton (1988) bevat o.a. een template waarmee de informatie voorzieningen in kaart gebracht kan worden, daarnaast worden diverse tabellen en wegingsfactoren aangedragen om de kosten en baten in kaart te brengen.
50
Appendix 2 IT-Alignment Het model beschrijft vier dominante afstemmingsperspectieven betreffende de analytische afstemming van Business en IT.
Figuur 19: Strategic Alignment Model. (gebaseerd op Henderson & Venkatraman (1999)). Strategie-uitvoering. Dit perspectief beziet de bedrijfsstrategie als drijvende factor voor zowel de keuzen voor het organisatie-ontwerp als voor de logica van de IT-infrastructuur (de klassieke, hiërarchische zienswijze van strategisch management). Het topmanagement formuleert de strategie; het IT-Management is slechts strategie-uitvoerder. [Gele pijl 1] Technologiepotentieel. Dit perspectief bekijkt eveneens de bedrijfsstrategie als drijvende factor. Maar het involveert de formulering van een IT-strategie om de gekozen bedrijfsstrategie te ondersteunen en de corresponderende specificatie van de vereiste IT-infrastructuur en processen te steunen. Het topmanagement zou de technologievisie moeten bieden om de logica en de keuzen betreffende de IT-strategie te formuleren die als beste de gekozen bedrijfsstrategie zou steunen. De rol van de IT-manager zou die van technologiearchitect moeten zijn. Hij ontwerpt en implementeert efficiënt en effectief de vereiste IT-infrastructuur die met de externe component van de IT-strategie consistent is (werkingsgebied, bekwaamheden en bestuur). [Rode pijl 2] Concurrentiepotentieel. Dit afstemmingsperspectief heeft betrekking op de benutting van nieuwe ITcapaciteiten: •
de impact op nieuwe producten en diensten (d.w.z. de business scope);
•
de impact op de belangrijkste attributen van de strategie (d.w.z. onderscheidende competenties);
•
het ontwikkelen van nieuwe vormen van relaties (d.w.z. bedrijfsbestuur).
In tegenstelling tot de twee vorige perspectieven, die de bedrijfsstrategie overwegen als een gegeven (of als een beperking voor organisatorische transformatie), staat dit perspectief de wijziging van de 51
bedrijfsstrategie toe via de nieuw opkomende mogelijkheden van IT. De specifieke rol van het topmanagement om dit perspectief te helpen slagen is dat van de business visionair, die formuleert hoe de opkomende mogelijkheden van IT en de veranderende besturingspatronen in de IT-markt de bedrijfsstrategie zouden kunnen beïnvloeden. De rol van de IT-manager is te handelen als een katalysator . Hij identificeert en interpreteert de IT- trends. Zodoende staat hij de bedrijfsmanagers bij om de potentiële kansen en bedreigingen vanuit een IT-perspectief te begrijpen. [Groene pijl 3] Serviceniveau. Dit afstemmingsperspectief concentreert zich op hoe een IT-organisatie van wereldklasse binnen een organisatie gebouwd kan worden. In dit perspectief, is de rol van bedrijfsstrategie indirect. Dit perspectief wordt vaak bekeken als zijnde noodzakelijk, maar niet volstaand, om het effectieve gebruik van de IT-middelen te waarborgen en om ontvankelijk voor het groeiende en snel veranderende eisen van de eindgebruikers te zijn. De specifieke rol van het topmanagement om dit perspectief te doen slagen is dat van de prioriteitensteller. Zij besluiten hoe de schaarse middelen, zowel binnen de organisatie evenals in de IT-markt zouden moeten worden toegewezen
(in
termen
van
gezamenlijke
ondernemingen,
verlenen
van
vergunningen,
minderheidsaandeleninvesteringen, enz.). De rol van de IT-manager is er één van business leiderschap, met de specifieke taken van ervoor te zorgen dat de interne zaken slaagt binnen de operatie richtlijnen van het topmanagement. [Blauwe pijl 4]
52
Appendix 3 Vragenlijst
Information Auditing
Kerngegevens Opleiding
VU EDP audit
Referentienummer VU
927
Student 1
Jeffrey van den Haak (1690582) Mobiel: 06 13 57 52 69 E-mail:
[email protected]
Student 2
Ilse J. van der Tol (1691066) Mobiel: 06 51 29 34 76 E-mail:
[email protected]
Bedrijfscoach
Michael Zuur
VU-coach
Abbas Shahim
Datum
19-02-2009
Versie
1
53
Introductie Hartelijk dank voor uw medewerking aan dit interview over Information Auditing. De resultaten van dit interview zullen als input worden gebruikt voor onze afstudeerscriptie voor de postdoctorale EDP Audit opleiding aan de VU te Amsterdam. In de volgende paragrafen zullen wij kort de door ons gehanteerde definitie van IA beschrijven en onze deelvraag en deelvragen weergeven. Om deze deelvragen en uiteindelijk de centrale deelvraag te beantwoorden voeren wij een literatuuronderzoek uit aangevuld met praktijk voorbeelden en interviews. De bijgesloten vragenlijst dient als inhoudelijke ondersteuning en structurering van het interview en niet als een opzichzelfstaande enquête. Informatie Audit De formele IA definitie die wij voor ons onderzoek hanteren is: ‘(…) a holistic approach to identifying and evaluating an organisation’s information resources and information flow in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to Information System Architecture.’ Op basis van deze definitie kan gesteld worden dat IA betrekking heeft op het systematisch analyseren van de aanwezigheid en het gebruik van informatiestromen en informatiebronnen, zowel binnen als buiten de organisatie, in relatie tot de (strategische) doelstellingen van de organisatie. Deelvraag Hieronder zijn onze centrale vraagstellingen en de deelvragen opgenomen. Merk hierbij op dat delen hiervan zijn reeds in het literatuuronderzoek behandeld.
Centrale vraagstelling ‘Welke randvoorwaarden en factoren zijn doorslaggevend in de beslissing om een information audit te laten uitvoeren’.
Deelvragen 1. Welke Information auditing definities en raamwerken zijn er in de literatuur en in de praktijk? 2. Welke stakeholders en belangen spelen een rol in het beslisproces rondom Information auditing? 3. Welke factoren zijn voor de bedrijfsvoering doorslaggevend om een Information Audit uit te laten voeren? 4. Welke randvoorwaarden dienen aanwezig te zijn voor het uitvoeren van een Information audit?
54
Vragenlijst Information Audit 1. Was u bekend met de term Information Audit (hierna: IA)? 2. Zijn er in uw beleving meerdere methodes om een IA uit te voeren? Indien ja: welke? 3. Heeft u ervaring met het uitvoeren van een IA? 4. Werkt u altijd volgens een standaard IA methode? Wat zijn motieven/specifieke factoren om andere IA methode toe te passen? 5. Is er een werkplan beschikbaar waarin te zien is hoe de IA is uitgevoerd? 6. Zijn er klantrapportages van de IA beschikbaar welke als input gebruikt kunnen worden voor ons onderzoek?
Klanten achtergrondinformatie 7. Kunt u generaliserend iets zeggen over de externe omgeving (markt) van klanten die een IA laten uitvoeren? (complex, dynamisch, transparant etc.) 8. Kunt u generaliserend iets zeggen over de interne organisatie van klanten die een IA laten uitvoeren? (formeel, politiek, transparant etc.) 9. Kunt u generaliserend iets zeggen over de IT omgeving en organisatie van klanten die een IA laten uitvoeren? (complex, dynamisch, transparant etc.) 10. Kunt u generaliserend iets zeggen over de voornaamste interne en externe stakeholders van klanten die een IA laten uitvoeren?
Besluitvorming 11. Kunt u ons meer vertellen over het beslissingproces bij klanten? 12. Hoe zijn klanten tot het besluit gekomen om een IA te laten uitvoeren? 13. Waarom denkt u dat de klant voor deze IA methode heeft gekozen?
Factoren (om te besluiten tot een IA) 14. Welke factoren hebben uw klanten doen besluiten om een IA te laten uitvoeren? 15. Op basis van welke factoren hebben uw klanten gekozen voor de betreffende aanpak? 16. Welke factoren zouden de uitvoering van de IA hebben versneld?
Randvoorwaarden (voor het uivoeren van een IA) 17. Welke randvoorwaarden dienen volgens u aanwezig te zijn voor het uivoeren van een IA (helder gedefinieerde
strategie
en
doelstellingen,
organisatiekennis,
multidisciplinaire
kennis,
ondersteuning directie/MT etc.) 18. Welke randvoorwaarden zouden in klantensituaties de uitvoering van de IA hebben versneld? 19. Welke randvoorwaarden ontbreken vaak in de praktijk 20. Indien je bekend bent met de verschillende IA methode: verschillen de randvoorwaarde per IA methode? En wat zijn de verschillen?
55
Toegevoegde waarde 21. Wat is de toegevoegde waarde om een IA door een externe partij te laten uitvoeren? 22. Welke toegevoegde waarde heeft de IA voor interne en externe stakeholders van klanten?
Uitvoering 23. Merkt u dat proposals verloren worden omdat klanten zelf een IA gaan uitvoeren? 24. Wat is volgens u de toegevoegde waarde om een IA door een externe dienstverlener te laten uitvoeren? 25. Welke in de markt bekende partijen acht u geschikt voor het uitvoeren van een IA? 26. Wat is volgens u de reden dat een IA proposal wordt verloren?
27. Bent u van mening dat er periodiek een IA uitgevoerd dient te worden? Indien ja: dient dit organisatiebreed of op specifieke afdelingen uitgevoerd te worden.
Alvast hartelijk dank voor uw medewerking,
Ilse J. van der Tol, Jeffrey van den Haak
56
Appendix 4 Gespreksverslagen Inleiding Hieronder is een overzicht van de geïnterviewde, hun functie, de reden van interview en de datum waarop het interview plaats vond. De interviews zijn semi-gestructeerd van aard geweest. Middels een vooraf
toegestuurde
vragenlijst
zijn
de
geïnterviewde
op
de
hoogte
gesteld
van
de
gespreksonderwerpen. Hieronder is een overzicht van de geïnterviewde te vinden. Waarna de gespreksverslagen van de interviews zijn opgenomen. Een voorbeeld vragenlijst is te vinden in appendix 3. De vragenlijsten zijn aangepast aan de te interviewen persoon, zo zijn de vragen aan de klant op een andere manier geformuleerd dan de vragen aan de medewerkers van PwC. Op verzoek kunnen de overige vragenlijsten toegestuurd worden.
Tabel 6: Overzicht geïnterviewden. Naam Functie/ reden van interview
Datum
Reynold ten Hoor
19-02-2009
PwC System en Process Assurance Manager IA opdrachten
Remco Groot
PwC Information Management
19-02-2009
Senior Advisor Performance Improvement Eric Troost
IT Manager kabelaarsbedrijf
23-02-2009
Klant waar een IA opdracht uitgevoerd is Ronald Teuthof
PwC System en Process Assurance
26-02-2009
Partner o.a. IA opdrachten
57
Gesprekspartner: Reynold ten Hoor Manager System en Process Assurance Senior Advisor Information management Interviewers: Ilse J. van der Tol, Jeffrey van den Haak Datum: 19-2-2008
Inleiding Reynold werk bij PricewaterhouseCoopers (PwC) binnen de afdeling System en Process Assurance (SPA). De afdeling SPA is gespecialiseerd in IT-audits. Reynold heeft diverse opdrachten uitgevoerd in het vakgebied van Information Audit en gerelateerde vakgebieden. De klantvraag bij de IA opdrachten uitgevoerd door Reynold is voornamelijk vanuit een beheersperspectief.
Information Audit •
Reynold is niet bekend met de term IA. De onderdelen van de definitie zijn echter wel herkenbaar.
•
Reynold beschrijft een IA als het vergelijken van aanbod en vraag van informatiebehoefte en IT.
Uitvoering •
IA opdrachten komen meestal via andere andere (proces) audit opdracht. Recent is een IA uitgevoerd in combinatie met een proces audit uitgevoerd door PwC daarbij is geïdentificeerd welke beheersissues bij de klant spelen waarna in kaart is gebracht in hoeverre het huidige systemen al dan niet de beheersgaps kunnen vullen.
•
Stakeholders zijn de directie, controlling, (hoofd) IT en regelgevers of reguleerders (zoals de energiekamer of de NMA).
•
Reynold gebruikt gecombineerd een top-down en bottom up methode voor het uitvoeren van een IA.
•
Kwalitatieve zaken meetbaar maken wordt door Reynold als het meest lastige onderdeel bij de uitvoering van een IA gezien.
•
Andere partijen welke een IA kunnen uitvoeren zijn volgens Reynold de con-collega’s van PwC, te weten KPMG, Deloitte en EenY. Daarnaast kunnen partijen als Accenture, Norton, Marsh of risico georiënteerde consultans IA’s uitvoeren.
•
Redenen waarom een IA nog niet vaak worden uitgevoerd zijn volgens Reynold: o
Omdat veel organisaties veel tijd besteden aan het doen van de dagelijkse werkzaamheden en geen tijd nemen om stap terug te nemen en te kijken naar de strategie en de daaruit voortvloeiende consequenties. De vraag of ‘wij wel met juiste bezig zijn’ is een lastige vraag die veel organisaties zich niet (durven) stellen.
o
Daarnaast zien klanten wellicht niet belang van een IA.
o
Tevens is het mogelijk dat klanten PwC niet zien als een partij die IA’s uitvoert.
58
Randvoorwaarden Voor
randvoorwaarde
refereert
Reynold
naar
een
recent
uitgevoerde
opdracht.
Deze
randvoorwaarden zijn geanonimiseerd en hieronder overgenomen. •
Strategische doelstellingen van De Organisatie zijn toereikend en eenduidig beschreven en beschikbaar om als toetsingsnorm te dienen.
•
Er zijn heldere toereikende procesbeschrijvingen op het juiste niveau beschikbaar voor de processen in scope. Deze procesbeschrijvingen geven de huidige werkwijze weer, alsmede controledoelstellingen
en
aanwezige
controlemaatregelen.
Voor
wat
betreft
de
beheersfuncties is toereikende documentatie aanwezig waarin beschreven is hoe deze zijn opgezet en functioneren. •
De opdrachtgever en opdrachtnemer dienen vooraf overeenstemming te hebben over de manier waarop de IA wordt uitgevoerd.
•
De kernfunctionarissen zijn voldoende beschikbaar voor interviews en aanvullende vragen.
•
Binnen De Organisatie zal een medewerker beschikbaar zijn als coördinator. Deze medewerker dient zorg te dragen voor de operationele zaken rondom het onderzoek zoals het beschikbaar krijgen van relevante documentatie en het plannen en maken van afspraken met de betreffende medewerkers.
•
Een beschreven control framework, bijvoorbeeld SOx, waarin zowel het proces als de risico’s zijn beschreven zou het uitvoeren van een IA versnellen. Het control framework stelt je instaat om dieper in te gaan met de werkzaamheden en de risico’s verder te kwantificeren.
•
Reynold geeft aan dat het gunnen van (IA) opdrachten voornamelijk plaatsvindt door gunning. De directie dient support te vergeven aan het verlenen van de opdracht. Daarbij dient er voldoende tijd te zijn om de opdracht goed uit te kunnen voeren en dient de organisatie voldoende geld beschikbaar gemaakt te worden voor het uitvoeren van de opdracht.
•
Een IA team bestaat uit mensen met competenties op het gebied van finance, IT, proceskennis, daarnaast is analytisch denkvermogen zeer belangrijk.
•
Onafhankelijkheid van de opdrachtgever is een randvoorwaarde om een IA zo objectief mogelijkheid te kunnen uitvoeren.
•
Naast bovengenoemde randvoorwaarden geeft Reynold aan dat het van belang is om vooraf beslismethodieken af te spreken in verband met stemmingsstrategie. Tijdens het uitvoeren van een IA zullen op een gegeven moment besluiten genomen worden.
•
Complexiteit wordt door Reynold niet als een beperkende factor voor het uitvoeren van de werkzaamheden gezien. Complexiteit heeft wel invloed op de duur en de kosten van de uitvoering van de opdracht.
Factoren •
Een terugkomende factor voor het uitvoeren van een IA is het politieke belang. Intern kunnen diverse
belanghebbende
verschillende
agenda’s
hebben
waardoor
een
externe,
onafhankelijke partij als PwC wordt gevraagd om een IA uit te laten voeren kan de organisatie.
59
•
Klanten kiezen voor het uitvoeren van een IA voor PwC (of een externe partij) omdat PwC de processen vanuit een financiële focus benaderd, waar intern vaak een operationele focus.
•
Daarnaast beschikken organisaties vaak niet over de resources en skills om een IA uit te voeren. Interne medewerkers zijn vaak fulltime belast met reguliere werkzaamheden.
60
Gesprekspartner: Remco Groot PricewaterhouseCoopers Advisory Senior Advisor Information management Interviewers: Ilse J. van der Tol, Jeffrey van den Haak Datum: 19-2-2008
Inleiding Remco Groot werkt bij PricewaterhouseCoopers binnen de afdeling Information Management. Remco heeft diverse opdrachten uitgevoerd op het gebied van Information Auditing en heeft een artikel gepubliceerd over de zogenaamde ‘Photo method’. De Photo method is een specifieke, praktische invulling van het uitvoeren van een IA.
Introductie Photo Method •
De Photo method dient als handvat voor het in kaart brengen van de informatiestromen, structuren en -bronnen, waarna middels een aantal vooraf overeengekomen criteria wordt vastgesteld in welke mate deze aansluiten bij de informatiestrategie.
•
De Photo method dient in een zeer korte tijdspanne te worden uitgevoerd (ca 6 weken) en vereist daarom beschikbaarheid van personeel, waaronder ook de directie.
•
De Photo method werkt in het kort als volgt: o
De aanpak van de Photo method is top-down.
o
Documentatie: Start met het opvragen van alle documenten waarvan de klant verwacht dat deze relevant zijn, zoals proces- en procedurebeschrijvingen en strategiestukken.
o
Interviews: Vervolgens worden interviews afgenomen, zowel een op een als in groepsverband, met proceseigenaren (managers van het proces) en intellectuele eigenaren (welke een breder perspectief hebben). Indien nodig worden externe specialisten ingezet.
o
Inventariseren: In kaart brengen/beschrijven van de informatiestromen, -structuren en –bronnen obv documentatie en interviews.
o
Multi-criteria
selectie:
informatiestromen, organisatiestrategie.
Besliscriteria
-structuren Criteria
gebruikersvriendelijkheid
of
en zijn
opstellen
obwv
beoordeeld
–bronnen
belangrijk
beslisfactoren
zoals
beschikbaarheid.
De
criteria
zijn
wordt
of
voor
de
risicoprofiel, worden
per
geld, keuze
mogelijkheid uitgewerkt o
Multi-criteria analyse: Aansluitend worden door het management de criteria vergeleken en wordt een waarde aan iedere (sub)criteria gekoppeld. Dit dient aan te sluiten
bij
de
informatiestrategie.
Na
deze
analyse
is
inzichtelijk
welk(e)
systeem/systemen het beste aansluit bij de informatiestrategie of waar Gaps zitten in de huidige systemen.
61
o
Gevoeligheidsanalyse: Vervolgens wordt een gevoeligheidsanalyse uitgevoerd om vast te stellen of bij welke delta van een criteria de uitkomsten van de Multi-criteria analyse zou veranderen.
Information Audit •
De term IA en de gehanteerde definitie is niet bekend bij de gesprekspartner. Wanneer gevraagd naar zijn verwachting/voorstelling van het begrip IA wordt dat gerelateerd aan:
•
o
Afstemmen van IT strategie met de organisatiestrategie;
o
Inventariseren van informatie;
o
Information advisory;
o
Information architecture.
De gesprekspartner kan zich vinden in de gehanteerde definitie en geeft aan dat voornamelijk de afstemming van organisatie en IT-strategie cruciale onderdelen zijn van deze definitie.
•
In zijn ervaring wordt IA juist bij organisaties ingezet die vraagstukken hebben strategisch gebied. Een veel gebruikte methode hiervoor is de ‘Photo method’. (bij strategische herstructurering zoals bij een fusie of overname).
•
IA is voornamelijk interessant voor complexe organisaties die sterk afhankelijk zijn van informatieprocessen (informatie intensieve organisaties).
•
Voornaamste stakeholder bij een IA is de directie.
Factoren (om te besluiten tot een IA) •
Een reden voor een IA te laten uitvoeren is volgens de gesprekspartner meestal een fusie of overname waarna een strategieherijking moet plaats vinden.
•
Het op zeer korte termijn verkrijgen van de resultaten van de Photo methode is een beslisfactor voor klanten om een IA te laten uitvoeren.
•
De Photo methode wordt gebruikt bij zeer kapitaal intensieve projecten. De klant wil daarbij een gefundeerde beslissing kunnen maken zodat het risico op het falen van het project wat na de IA wordt opgestart zo klein mogelijk is.
•
Een project na de Photo methode zou meestal bestaan uit het migreren naar één of een nieuw systeem. Omdat dit zeer kapitaal intensief is wegen de kosten van de IA op tegen de baten. Baten zijn het kunnen besluiten over vervolgstappen op basis van gefundeerde analyses.
•
Daarbij komt dat de interne organisatie met zeer veel andere werkzaamheden is belast en niet in staat is om daarnaast een IA uit te voeren.
•
Bij complexe organisaties zal de IA eerder door een extrene partij worden uitgevoerd ivm beschikbare kennis. Daarnaast speelt ook de onafhankelijkheid van de externe een belangrijke rol (geen politieke inmenging).
•
PwC wordt vaak gekozen omdat de werknemers beschikken over o
Analytische vaardigheden
o
Industry specificieke kennis
o
Proceskennis
62
•
o
Financiele kennis én
o
IT-kennis
De Photo Method wordt vaak uitgevoerd als er hoge investeringskosten met een beslissing gemoeid zijn. Bijvoorbeeld bij de implementatie van een nieuw ERP systeem. Het afbreukrisico is groot (zowel financieel als politiek) en daarom zal de prijs van de IA een ondergeschikte rol spelen als beslisfactor voor het uitvoeren van de IA.
Randvoorwaarden (voor het uivoeren van een IA) •
Voor het toepassen van de Photo method worden een aantal randvoorwaarde gesteld te weten: o
Commitment van de directie
o
Beste mensen dienen beschikbaar te zijn. Hiermee wordt bedoeld proceseigenaren, intellectuele eigenaren en eventueel (externe) experts.
o
Alle relevante beschikbare informatie dient verzameld te worden
o
De scope en het doel van de Audit dienen helder te zijn.
o
Kennis van organisatie, markt, bedrijfsprocessen en projectmanagement zijn essentieel bij de succesvolle uitvoer van deze Audit.
•
Hierbij merkt de gesprekspartner op dat commitment van proceseigenaren, intellectuele eigenaren en deelexperts etc. belangrijker is dan gedocumenteerde informatie. In de praktijk blijkt deze informatie namelijk vaak achterhaald en geeft het de unieke kans om de medewerkers en directie samen te laten denken over bedrijfsprocessen.
•
Om tot een gefundeerd eindresultaat te komen is het van belang dat de opdrachtnemer onafhankelijk is en zich niet laat beïnvloeden voor interne politiek of voorkeuren voor een specifiek pakket.
•
Aanwezigheid van documentatie zou de uitvoer van de IA kunnen versnellen, maar zoals aangegeven is deze documentatie vaak niet meer actueel en moeten de processen alsnog besproken worden.
•
De
beslisstrategie
voor
het
uitvoeren
van
de
Multi-criteria
analyse
dient
vooraf
gecommuniceerd te zijn. •
Beschikbaarheid van voldoende (relevant) personeel is de belangrijkste randvoorwaarde om de uitvoer te versnellen.
•
Voldoende tijd en middelen dienen beschikbaar te zijn.
Toegevoegde waarde •
Voordeel (1) van een IA obv de Photo Method is dat het beslistraject voor een specifiek(e) systeem/ systemen transparant gemaakt wordt. Dit is een beter overtuigingsmiddel dan bijvoorbeeld procesplaten als ISM (opgesteld door techneuten) of BPM (IT component is niet belicht) en zorgt voor meer draagvlak voor de uiteindelijke beslissing, aldus de gesprekspartner.
•
Nadeel (1) van de Photo method is dat deze aanpak niet garandeert dat alle functionaliteiten (criteria) meegenomen worden in de analyse.
63
•
Nadeel (2) is dat de Photo method een moment opname is en nieuwe ontwikkelingen niet overwogen kunnen worden. Daarvoor zullen additionele werkzaamheden moeten worden verricht, bijvoorbeeld scenario analyses.
Uitvoering •
Organisaties zouden zelf een IA kunnen uitvoeren, maar dit is sterk afhankelijk van de complexiteit van de organisatie en haar processen. Hoe complexer de organisatie, hoe vaker de Audit door een externe partij zal worden uitgevoerd ivm specifieke proceskennis.
•
Daarnaast is de onafhankelijkheid van de externe partij ook een belangrijke factor om te besluiten de Audit niet zelf uit te voeren.
•
Mogelijke andere partijen in de markt die een IA zouden kunnen uitvoeren zijn bedrijven als KPMG of Ordina. De keuze voor een van deze partijen zal vaak op basis gepercipieerde kennis en ervaring binnen het marktgebied van de organisatie gebeuren.
•
Periodiek uitvoeren van een IA zou interessant kunnen zijn als er significante wijzigingen zijn geweest in de organisatiestrategie. Gezien de intensiteit van de PhotoMethod en de eisen die het stelt aan de beschikbaarheid van het personeel, is het niet pragmatisch om dit ieder (half) jaar uit te voeren.
64
Gesprekspartner: Eric Troost Troost Projects - ICT Projecten en Interim management Informatie manager en IT-project manager Interviewers: Ilse J. van der Tol, Jeffrey van den Haak Datum: 23-2-2008
Inleiding Op verzoek van de klant zijn de bedrijfsnaam en klantspecifieke (vertrouwelijke) uitspraken niet opgenomen in dit gespreksverslag. De betreffende uitspraken dienden ter illustratie van gestelde feiten en hebben geen invloed op de inhoudelijke beantwoording van de deelvragen. Eric Troost is als interim Informatie Manager gedetacheerd bij een kabelbedrijf en betrokken geweest bij een IA opdracht uitgevoerd door PricewaterhouseCoopers. Eric heeft binnen deze organisatie 1,5 jaar de functie van Informatie manager bekleedt. Momenteel heeft Eric een Project Managerrol binnen de organisatie.
De organisatie •
De organisatie bestaat uit een aantal divisies gericht op een specifiek aanbod van producten en diensten. Iedere divisie heeft een eigen Informatie Management (staf)afdeling.
•
De IA opdracht is uitgevoerd in opdracht van de Informatie Manager (gesprekspartner) van de divisie die onder andere de kabel exploiteert voor televisie en Internet.
•
De gesprekspartner typeert de organisatie als formeel, politiek en door de huidige organisatiewijziging als complex en niet volledig transparant.
•
De omgeving waarin de organisatie opereert wordt als dynamisch, transparant en strek gereguleerd omschreven.
•
De voornaamste interne stakeholders zijn de werknemers en in het bijzonder de divisiedirectie en de Raad van Bestuur.
•
De voornaamste externe stakeholders zijn de klanten, leveranciers, aandeelhouders en de overheid.
Information Audit •
De gesprekspartner is niet bekend met het begrip Information Audit en de gehanteerde definitie. Wanneer gevraagd naar zijn verwachting/voorstelling van het begrip IA wordt dat gerelateerd aan:
•
o
Stuurinformatie
o
Management rapportages, MIS
o
BI-tools
o
Strategie, informatiestrategie, -plan en –systemen
Gesprekspartner omschrijft IA als het bloot leggen van lacunes in de AO/IC en de bijbehorende informatievoorziening en -stromen en het in kaart brengen van IT gerelateerde tekortkomingen.
•
De keuze voor het uitvoeren van een IA is gebaseerd op politieke motieven en was bedoeld ter onderbouwing van een business case.
65
•
Er is geen bewuste keuze gemaakt voor de gehanteerde methodologie. De methodologie is door PwC aangedragen en is door de organisatie geaccepteerd, zonder wijzigingen.
•
Andere methoden voor het uitvoeren van een IA zijn niet bekend bij de gesprekspartner.
Besluitvorming (ook deels beslisfactoren) •
Budget voor projecten moet worden aangevraagd obv een business case.
•
Voorstellen worden ingediend door afdelingsmanagers bij het management van de organisatie en vervolgens ter goedkeuring voorgelegd aan de directie van de groep. Hierbij vindt toetsing plaats met de overall strategie van de groep en betreffende organisatie.
•
De volgende organen/ functies hebben besloten om de IA te laten uitvoeren: o
De Information Manager,
o
Hoofd Information Management,
o
Het divisie MT. Het divisie MT heeft het uiteindelijke akkoord gegeven op de opdracht.
Factoren (om te besluiten tot een IA) •
De gesprekspartner noemt de volgende factoren en redenen die volgens zijn beleving en ervaring er toe kunnen leiden te besluiten een IA uit te voeren: o
Organisatieverandering. De oorzaak van de verandering kan intern of extern liggen.
Voorbeeld intern: wijziging van de organisatie structuur uit efficiency oogpunt.
Voorbeeld extern: regelgeving of sectorwijzigingen welke impact hebben op de organisatiestructuur.
o
Dynamiek en complexiteit binnen de organisatie. Bij continue ‘schuivende panelen’ in de organisatie is het relevant om een IA periodiek uit te laten voeren.
•
o
Regelgeving
o
Interne politiek
In deze specifieke klantsituatie was de belangrijkste factor om te besluiten een IA te laten uitvoeren interne politiek, aldus de gesprekspartner.
•
IA levert input om op een gefundeerde manier beslissingen te kunnen maken over toekomstige ITprojecten.
•
De aanpak voor de IA was door PwC voorgesteld en op basis van hun expertise heeft de organisatie hiermee ingestemd. [Dit is tevens een randvoorwaarde]
•
Beschikbaarheid van personeel en documentatie mbt processen en procedures kan de uitvoering van de IA versnellen.
Randvoorwaarden (voor het uivoeren van een IA) •
•
Volgens de gesprekspartner zouden de volgende randvoorwaarden aanwezig moeten zijn o
Intern draagvlak voor de Audit
o
Interne coördinator voor uitvoering (rol van de gesprekspartner)
Een IA moet door een onafhankelijke derde worden uitgevoerd om te voorkomen dat interne politieke belangen invloed hebben op de resultaten.
66
•
Voor het succesvol uitvoeren van een IA is het van belang dat de organisatie strategie en doelstellingen helder zijn.
•
De IA zou mogelijk versneld kunnen worden door o
Een gedocumenteerd Business Controle Framework (BCF)
o
Centraal vastgelegde procesbeschrijvingen
Toegevoegde waarde •
Bij aanvang van de IA was de verwachting om inzichtelijk te maken of de huidige systemen aansluiten bij de toekomstplannen van de organisatie en te komen tot advies voor verbetering. Onvolkomenheden mbt de interne beheersing van processen zijn geïnventariseerd maar momenteel ontbreekt nog de koppeling tussen de huidige systemen en processen en de toekomstige plannen van de divisie.
• •
Hier ligt volgens de gesprekspartner juist de toegevoegde waarde van een IA.
De bevindingen en resultaten voor deze specifieke IA zijn van belang voor de volgende stakeholders: o
De divisiedirectie (verantwoording van investeringen richting de RvB)
o
Raad van Bestuur (besluit tot toekennen van budget voor investering)
Daarnaast zou een IA (afhankelijk van de scope) ook van belang kunnen zijn voor o
overheid (compliance/regulering)
o
aandeelhouders (provincies en gemeente)
o
leveranciers
o
klanten
Uitvoering •
Er is niet overwogen om zelf de IA uit te voeren gezien de politieke noodzaak voor een onafhankelijk onderzoek dat voldoende gewicht moest hebben.
•
Vooral voor de directie was het van belang dat de IA door een betrouwbare partij zou worden uitgevoerd. In het verleden zijn er door externe partijen rapportages opgeleverd waarvan de onderbouwing niet valide werd geacht door de directie en RvB. Waardoor deze onderzoeken doorslaggevende waarde bleken te hebben.
•
Mogelijke andere partijen in de markt, welke IA’s kunnen uitvoeren zijn o.a. KPMG, Ernst en Young of CapGemini.
•
De toegevoegde waarde van PwC audior is de expertise mbt AO/IB, bedrijfsprocessen en de onderlinge historie waardoor zij al bekend zijn met onze organisatie. Gezien eerdere ervaringen met een soortgelijke opdracht bij een andere divisie is direct voor PwC gekozen en heeft er geen nadere oriëntatie plaatsgevonden.
•
Het periodiek uitvoeren van een IA zou met name interessant zijn voor organisaties die veel in beweging zijn/veel dynamiek hebben.
67
Gesprekspartner: Ronald Teuthof PricewaterhouseCoopers, SPA IT-Audit Partner Interviewers: Ilse J. van der Tol, Jeffrey van den Haak Datum: 26-2-2008
Information Audit •
De gesprekspartner is niet bekend met de term IA, maar denkt hierbij aan het beoordelen van de betrouwbaarheid van managementinformatie. Volgens de gesprekspartner vanuit een dynamisch of statisch perspectief benaderd worden. Vanuit dynamisch perspectief wordt de toereikendheid van de huidige informatievoorziening afgezet tegen de strategische doelstellingen. Vanuit het statisch perspectief wordt gekeken naar het management informatieproces en de betrouwbaarheid van de stuurinformatie. In de meest ideale situatie zou je deze perspectieven combineren.
•
Gesprekspartner is niet bekend met standaardraamwerken voor het uitvoeren van een IA. Methodologie zou afhankelijk zijn van de gehanteerde kwaliteitscriteria voor de te onderzoeken strategie en informatiestromen.
•
IA opdrachten worden momenteel nog niet vaak uitgevoerd omdat PwC zich niet in de markt positioneert als strategieconsultant. Daarnaast beschikken maar weinig organisaties over voldoende kwalitatieve organisatiedoelstellingen dat deze geaudit zouden kunnen worden.
Factoren (om te besluiten tot een IA) De gesprekspartner noemt de volgende factoren die van invloed kunnen zijn om te besluiten een IA te laten uitvoeren: •
Politieke overwegingen.
•
Het aantreden van een nieuwe bestuurvoorzitter die graag een nulmeting/baselinescan wil laten uitvoeren van de informatievoorziening.
•
Risicoprofiel van raad van bestuur (risicomijdend gedrag).
•
De kennis en kunde van PwC op het gebied van IT, processen, financieel en de sector.
Prijs wordt door de gesprekspartner niet gezien als belangrijke factor. Strategie is immers van levensbelang voor de organisatie. Er is wel of niet een noodzaak om de strategie en informatiestroom te auditen, geld zou geen probleem (moeten) zijn.
Randvoorwaarden (voor het uivoeren van een IA) •
De gesprekspartner stelt dat een meetbare strategie een randvoorwaarde is voor een goede IA. Bijvoorbeeld een % marktaandeel of groei. Hoe is dat gedefinieerd en hoe wordt de besturingsfilosofie door op afgestemd. Echter beschikken weinig organisaties over voldoende kwalitatieve doelstellingen om deze daadwerkelijk te auditen.
•
Het hebben van vooraf gedefinieerde doelstellingen en beschreven procedures wordt door de gesprekspartner niet als randvoorwaarde gezien, maar zouden de uitvoering wel kunnen bespoedigen. Wel zouden de gebieden/aspecten die onderdeel uitmaken van de Audit wel vooraf gedefinieerd moeten worden (aspectenlijsten). 68
•
De gesprekspartner geeft aan dat relevante informatie tijdig aangeleverd dient te zijn, zodat dit meegenomen kan worden in de analyses.
•
De onafhankelijkheid van PwC als derde partij maakt dat de resultaten niet beïnvloed zijn door interne politieke belangen.
Toegevoegde waarde •
De toegevoegde waarde van een IA is de aansluiting van strategie, KSF, KPI op de informatievoorziening. De IA kan bijdragen aan het vergroten van de betrouwbaarheid van de KPI (business control) en beheersing van de informatiestromen (operational control).
•
Daarnaast dwingt het tot nadenken over het opstellen van meetbare doelen. Het belang van de IA is dus gerelateerd aan het belang van de strategie van de organisatie. Het uitvoeren van een IA is van belang voor alle stakeholders die er belang bij hebben dat de organisatie zijn strategie realiseert.
Uitvoering •
Organisaties die de koppeling tussen strategie, interne beheersing en IT kunnen maken zouden deze werkzaamheden moeten kunnen uitvoeren. In de praktijk blijkt dat veel adviesorganisaties hier moeite mee hebben en vaak alleen op een specifiek onderdeel zijn gericht (bv strategie of IT).
•
Onderscheidend aan PwC is dat zij de kwaliteit van de informatie en de informatievoorziening kunnen beoordelen. Andere, meer traditionele partijen, bekijken alleen de strategie en niet de bijbehorende informatievoorziening.
•
De effectiviteit van de informatievoorziening is van belang voor het realiseren van de strategie (bv tijdig kunnen bijsturen), daarom zou een IA ook periodiek uitgevoerd moeten worden.
Stakeholders •
Stakeholders zijn al die partijen die baat hebben bij realiseren van strategie organisatie. Ook klanten kunnen belanghebbende zijn, bijvoorbeeld kwaliteit van facturatie (juist en volledig).
•
Belanghebbende zijn voornamelijk diegene die afhankelijk zijn van de verstrekte informatie maar die geen directe controle hebben over de totstandkoming hiervan.
•
Ook de afstand tussen bestuurlijke verantwoordelijkheid en de totstandkoming van de informatie kan er voor zorgen dat iemand belang heeft bij een IA.
69
Appendix 5 Information Audit definities LaRosa (1991) ‘(…) a systematic method of exploring and analyzing where a library’s various publics are going strategically, and of determining the challenges and obstacles facing those publics. The audit, which raises questions about where and how those publics find and use information, gives the library a better understanding of the present and future needs of its constituents, which in turn helps the library determine its own most appropriate strategic direction.’
St. Clair (1997) ‘(…) a process that examines how well the organization’s information needs and deliverables connect to the organizational mission, goals and objectives.’
Orna (1999) ‘(…) a systematic evaluation of information use, resources and flows, with a verification by reference to both people and existing documents, in order to establish the extent to which they are contributing to an organization’s objectives.’
Botha en Boon (2003) ‘(…) the systematic examination of the information resources, information use, information flows and the management of these in an organisation. It involves the identification of users’ information needs and how effectively (or not) these are being met. In addition to this, the (monetary) cost and the value of the information resources to the organisation are calculated and determined. (…) determining whether the organisational information environment contributes to the attainment of the organisational objectives and furthermore, to the establishment and implementation of effective information management principles and procedures. (…) so that information can be used to help the organisation maintain its competitive edge.’
Buchanan en Gibb (2007) ‘(…) the purpose of the IA is to provide a holistic approach to identifying and evaluating an organisation’s information resources and information flow, in order to facilitate effective and efficient organisational information systems. The IA provides both strategic and operational direction, and contributes directly to ISA development.’
ASLIB - Information Resources Management Network (2008) ‘(…) a systematic examination of information use, resources and flows, with a verification by reference to both people and existing documents, in order to establish the extent to which they are contributing to an organisation's objectives’
70
Appendix 6 Modellen Tolmodel De (management)informatiebehoeften worden bepaald door zoveel factoren bepaalt dat moeilijk is om deze eenvoudig inzichtelijk te maken. Daarom heeft O.C Van Leeuwen het Tol-model (1996) ontwikkelt waarin verschillende factoren zijn benoemd die van invloed zijn de informatiebehoefte van managers. Hierbij wordt onderscheid gemaakt in harde factoren (missie, strategie, doelstellingen, doelen, processen en structuur) en zachte factoren (managementstijl en cultuur).
Figuur 20: Tol-model (van Leeuwen (1996)). Uit de analyse van de missie, kritieke succesfactoren, doelen en strategie worden de uitgangspunten en prioriteiten voor de managementinformatievoorziening afgeleid waarbij betrouwbaarheid, relevantie en meetbaarheid centraal staan. De ‘zachte’ factoren komen voort uit de analyse van de functionele aard van het proces, de managementstijl en de organisatiecultuur.
71
Klaverbladmodel Het model van Kaplan en Norton (1996) richt zich op de organisatie-inrichting en schetst de vier inrichtingselementen van een organisatie die met elkaar in evenwicht moeten zijn om gewenste resultaten op korte en lange termijn te bereiken. In dit model worden organisaties beschouwd als een systeem waarbij invoer wordt omgezet in output (producten of diensten) ten behoeve van klanten of afnemers.
Figuur 21: Klaverbladmodel (Kaplan & Norton (1996)). Op het moment dat het geheel aan ondersteunende processen nauwgezet aansluit op het behalen van de doelstellingen van de primaire processen, kan men volgens Kaplan en Norton (1996) spreken van een effectieve bedrijfsvoering. Aan een administratief proces worden andere eisen gesteld dan aan een proces voor een meerjaren personeelsbeleid. Ieder proces vraagt zijn eigen manier van organiseren; het vereist specifieke kennis en vaardigheden van medewerkers en stelt andere eisen aan de ICT-ondersteuning. Het traject naar effectieve bedrijfsvoering ziet er globaal als volgt uit: •
bepalen welke eisen er aan de ondersteunende processen worden gesteld;
•
bepalen welke ondersteunende processen echt noodzakelijk zijn;
•
het zodanig organiseren en inrichten van de ondersteunende processen dat de gestelde eisen worden gehaald;
•
het inrichten van de bedrijfsvoering: hierbij wordt gekeken naar de gewenste output van de ondersteunende processen.
72