inzicht
EEN INITIATIEF VAN ERNST & YOUNG IN SAMENWERKING MET DE TIJD EN L’ECHO l 3 OKTOBER 2008
VAN IT TOT IS Interview met Jac Cuypers, Andy Deprez en Gilbert Van fraeyenhoven 2-3
IT-STRATEGIE BESTAAT! De sleutels tot een rationele IT-strategie
4
IT’S THE ECONOMY STUPID!
METEN IS WETEN Informatiebeveiliging
5 6
KWESTIE VAN EVENWICHT EN ERVARING Risicobeheersing van IT
7
ILLUSTRATIE: IEF CLAESSEN
De economische dimensie van IT
Strategie zonder IT lukt niet Vragen over deze problematiek ? Wilt u dit dossier ook online raadplegen ? www.tijd.be/strategie
Een degelijke IT-strategie is een basiselement binnen iedere hedendaagse onderneming die naar succes streeft. Toch worstelen heel wat bedrijfsleiders nog met die kant van hun business. Vaak ziet men door het bos van jargon de bomen niet meer. Bovendien is IT geen exacte wetenschap (of tenminste nog niet). Gelukkig groeit het inzicht en zijn er tal van raamwerken en standaarden die kunnen helpen om een onderbouwde strategie uit te werken, zonder verloren te lopen in een technische en commerciële woordenbrij. De specialisten van Ernst & Young laten in deze bijlage hun licht niet alleen schijnen op topics als de rol van de CIO, maar ze berichten ook uitvoerig over het gebruik van normenkaders, het onder controle houden van IT-gerelateerde risico’s en het uitkienen van een IT-strategie. Ze leggen ook glashelder uit dat hedendaagse IT niet op zich staat, maar ten dienste van de ondernemingsobjectieven moet opereren. Want ook voor investeringen in de IT-afdeling geldt dat u van iedere euro precies wil weten wat hij u opbrengt.
2
IT-STRATEGIE
E
EDITORIAAL
Gilbert Van fraeyenhoven vennoot Ernst & Young
‘DE VERHOUDING VAN TECHNOLOGIE EN HET
Sinds de ENIAC als eerste ‘computer’ gepresenteerd werd door Eckert en Mauchly in '46,
BEDRIJFSGEBEUREN
heeft IT een enorme technische
WORDT STILAAN
evolutie doorgemaakt. De verha-
DUIDELIJKER.’
len van de pc, Dos en Windows of het succes van Microsoft zijn intussen parate kennis. Ook
begrippen als ‘mainframe’, ‘Unix’, ‘ERP’ en ‘Data Warehouse’ zijn gemeengoed in het bedrijfsleven. Toch bevestigen de tientallen verhalen die wereldwijd de pers halen over het falen van grote automatiseringsprojecten, dat de beheersbaarheid van IT nog altijd een heikel punt vormt. Die evenementen versterken het torenhoge cliché dat vele IT-afdelingen er niet in slagen iets op tijd, binnen het budget en vooral met de juiste kwaliteit op te leveren. Het denken over het potentieel, de functies en de mogelijkheden van IT evolueert. De verhouding van technologie en het bedrijfsgebeuren wordt stilaan duidelijker. IT blijkt op zich geen intrinsieke waarde te hebben. Het is pas als het bedrijfsproces efficiënter en effectiever gestuurd kan worden, dat er toegevoegde waarde is. In dat geval wordt Information Technology Information Services. IT-investeringen leveren een Return On Investment. Dat vormt dan ook de uitdaging voor ondernemingen voor de komende jaren. Een strategie uitwerken en realiseren betekent investeren in veranderingen. Meestal maakt IT daar een wezenlijk onderdeel van uit. Maar iedere verandering omhelst meerdere aspecten: natuurlijk technologie, maar ook juridische materies, marketingacties, nieuwe processen… De IT-inves-
Informatietechnologie moet bijdragen tot bedrijfsdoelstellingen
VAN IT TOT IS
Elke manager staat voor dezelfde uitdaging: hoe laat ik mijn departement zoveel mogelijk bijdragen tot de bedrijfsdoelstellingen. De CIO vormt daarop geen uitzondering. Andy Deprez, Jac Cuypers en Gilbert Van fraeyenhoven, allen specialisten ter zake bij Ernst & Young, leggen uit waarom IT uit zijn ivoren toren moet afdalen, en duiden enkele denkpistes en trends die daarbij kunnen helpen.
W
at zijn de belangrijkste uitdagingen van de hedendaagse Chief Information Officer (CIO)? Andy Deprez: ‘Eerst en vooral is de CIO iemand die het zakenleven door en door kent, en
teringen - lees: projecten - moeten dan ook een coherent geheel vormen met die andere elementen om tot een succesvolle implementatie van de strategie te komen. Maar investeringen bevatten inherente risico’s. Ze dienen onderling op elkaar afgestemd te worden. Vandaar dat alle investeringen geconsolideerd benaderd moeten worden. Ze vormen een bron van return, maar ook van risico. Het beheer van die portfolio, met zijn gezochte return en beheersing van risico’s is even belangrijk als het dagelijkse operationele management van een onderneming. Het is precies op dat vlak dat ondernemingen zich de komende jaren kunnen onderscheiden: niet door de keuze voor een of andere technologie,
FOTO: LIEVEN VAN ASSCHE
wel door het beheer van de investeringen en de bijbehorende risico’s. Portfoliomanagement moet het centrale element vormen van governance.
‘PROJECTEN DIENEN NIET
Sterk presterende ondernemingen zullen zich onderscheiden door de kwa-
APART, MAAR ALS EEN
liteit van hun governancemodel en het bijbehorende portfoliomanagement.
JAC CUYPERS
COLOFON Een initiatief van: Ernst & Young
Een realisatie van: Mediafin Publishing
• Jac Cuypers, executive director • Andy Deprez,vennoot • Gilbert Van fraeyenhoven, vennoot • Kurt Ceuppens, senior manager • Pieter Danhieux, manager
Coördinatie: Veronique Soetaert Redactie: David Hendrickx Lay-out: Mediafin Fotograaf: Lieven Van Assche Uitgever: Dieter Haerens
Verantwoordelijke uitgever: Jo Sanders www.ey.com/be • Tel. 09 242 51 11 • Tel. 02 774 91 11
PORTFOLIO GEMANAGED TE WORDEN.’
Gilbert Van fraeyenhoven
Info?
[email protected]
BIJLAGE i.s.m. ERNST & YOUNG
dus geen zuiver ingenieursprofiel heeft. Als hij een project wil lanceren, moet hij het fiat krijgen van het directiecomité. Hij zal zich dus moeten aanpassen aan hun manier van denken en spreken. Verder is de CIO de man die de samenhang tussen de IT-initiatieven ziet. Bedrijfsoverspannende projecten hebben bijna altijd een IT component - dan moet de
l DOOR DAVID HENDRICKX
CIO kunnen afstemmen met andere afdelingen, zoals marketing of sales. Om een voorbeeld uit de telecomsector te geven: als bij een nieuw project alles perfect is gecovered bij de marketing, maar de juridische dienst heeft vertraging bij het opleveren van de contracten, dan heeft het project vertraging. Bovendien moeten de projecten als een portfolio beheerd worden. Elke businessunitleader wenst wel een aantal belangrijke projecten met een IT-component. De CIO is dan een belangrijke leverancier van diensten om die portfolio te realiseren. Het is zijn verantwoordelijkheid de verschillende scenario’s te helpen analyseren en die projecten met de meest toegevoegde waarde voor het bedrijf eruit te filteren. De CIO moet voortdurend meedenken met de business over de impact van het uitvoeren en/of afvoeren van projecten. Op IT- en op businessvlak.’ Jac Cuypers: ‘De CIO moet in theorie op C-level (het niveau van de CEO, nvdr.) kunnen praten. Maar niet in elke organisatie moet de IT-verantwoordelijke een CIO zijn. Het kan ook een ITmanager zijn. Neem bijvoorbeeld een kleine kmo met groothandelsactiviteiten, waarvan de IT goed moet draaien, maar verder nauwelijks toegevoegde waarde genereert. Waarom zou de verantwoordelijke van dat IT-departement in het directiecomité moeten zetelen als IT geen component van de bedrijfsstrategie is? Nee, die man moet vooral goed zijn bits en bytes kennen. Eén regel: de juiste man op de juiste plaats. Je moet ook goed kijken wat bedrijfskritisch is en wat niet. Als de boekhouding in een grote productieonderneming bijvoorbeeld
één dag uitvalt, is dat geen ramp. Als de lopende band stilvalt, is dat er wél een.’ Hoe dienen de andere leden van het directiecomité met IT om te gaan? Hebben zij technische kennis nodig? Cuypers: ‘Nee. Ze moeten wel goed beseffen wat het is een nieuw systeem uit te rollen en te ontwikkelen. Maar technische termen kunnen hen bespaard blijven. Daar is een opvoedende functie weggelegd voor de CIO. Hij moet de taal van het directiecomité leren, het zijn niet de andere directeurs die in bits en bytes moeten leren spreken.’ En wat is de rol van de raad van bestuur bij IT-projecten? Gilbert Van fraeyenhoven: ‘IT-budgetten bedragen vaak enkele procenten van de bedrijfsomzet. Daarom zouden IT-projecten de raad van bestuur vanzelfsprekend moeten interessen. Ze hoeven niet elk project te kennen, maar moeten wel op de hoogte zijn van bijvoorbeeld de return en het risicoprofiel van de gehele projectportfolio.’ Deprez: ‘We worden vaak gevraagd om IT-afdelingen tegenover hun concurrenten te benchmarken. Moet een raad van bestuur meer doen dan louter benchmarking? Bekijk het zo: als het ene bedrijf telecommunicatie in het IT-budget meetelt en het andere niet, dan ben je weinig gebaat bij een vergelijking van de totale IT-budgetten. De totale kost van een werkstation bedraagt ongeveer 5.000 euro per jaar. Als je die cijfers aan de verantwoordelijken van andere afdelingen voorlegt, rekenen die snel uit dat ze dan goedkoper af zijn met een pc van de Aldi. Maar
3
IT-STRATEGIE
BIJLAGE i.s.m. ERNST & YOUNG
zo eenvoudig is het natuurlijk niet. Benchmarking geeft een beperkt beeld, dat met veel voorzichtigheid geïnterpreteerd moet worden. Beter is het de kosten en baten van IT van het eigen huis te kennen en de evolutie ervan in de tijd op te volgen en waar nodig bij te sturen. De raad van bestuur wil - en dat is begrijpelijk - meetbaarheid en controleerbaarheid. Maar ze denken al te vaak dat benchmarking daarvoor volstaat, en dat is naïef.’
niet genoeg vaart in het wetenschappelijk onderzoek daarrond. Het blijft nattevingerwerk, met een aantal vuistregels. Ik heb zo een project proberen te becijferen, maar afhankelijk van de vuistregels die ik uitkoos, kwam ik uit op een mogelijke kost van 10 tot 25 miljoen euro. Daar is dus nog werk aan de winkel.’
FOTO: LIEVEN VAN ASSCHE
STRATEGISCHE PIJLERS Wat zijn de peilers van een goede IT-strategie? Cuypers: ‘Een goede IT-strategie zou uit drie dimensies moeten bestaan. Ten eerste moet IT reactief zijn, reageren op impulsen uit de organisatie. Maar ten tweede moet ze proactief zijn, moet ze zelf kansen ontdekken en waar mogelijk het initiatief nemen om te innoveren. Ten slotte moet de interne winkel van het IT-departement goed georganiseerd zijn. Je kan de CFO toch moeilijk om meer budget gaan vragen als hij of zij net die ochtend zijn mails niet kon lezen?’ Van fraeyenhoven: ‘Je kan IT-strategie zien als een drie-
FOTO: LIEVEN VAN ASSCHE
‘DE CIO MOET EEN BUSINESSMAN ZIJN, GEEN ZUIVERE INGENIEUR.’ ANDY DEPREZ hoek. De hoekpunten zijn dan waardecreatie, kostencontrole en risicobeheersing. Je moet een mooi evenwicht hebben. Als je te veel nadruk legt op één pool, kunnen de andere polen daaronder lijden. Bijvoorbeeld bij banken: als er te veel nadruk gelegd wordt op risicobeheersing en waardecreatie, dan zullen de kosten waarschijnlijk de pan uit rijzen.’ 'Business alignment' is een modewoord. Maar hoe doe
je dat, de IT-objectieven en bedrijfsdoelstellingen op elkaar afstemmen? Cuypers: ‘Er is een eenvoudig trucje om na te gaan of die afstemming er is. Je moet aan elk project een strategisch objectief kunnen toewijzen. En andersom. Als dat niet zo is, zit het fout. Een voorbeeld: de IT-manager wil dat de systemen 24 uur op 24 en 7 dagen op 7 beschikbaar zijn. Als die man dan in een klein bedrijf werkt waar niemand meer is na 17 uur of in het weekend, dan ben je fout bezig. Voor sommige ondernemingen volstaat 8 uur per dag en 5 dagen per week beschikbaarheid wellicht. Je moet de middelen op de behoeften afstemmen.’ Cuypers: ‘Ook in de rapporten van overnames vindt je nauwelijks relevante informatie over IT. Er staat misschien wel vermeld hoeveel en welke hardware en software ze hebben, maar zelden of nooit iets over bijvoorbeeld de gebruikte raamwerken. Er is naar mijn weten nog nooit een overname niet doorgegaan vanwege een slechte IT-infrastructuur of een slecht IT-beleid. Toch zijn veel problemen die zich bij integraties voordoen, ITproblemen. Maar na de deal is het te laat. Zo ken ik een afdeling binnen een Belgische financiële instelling die het management graag zou verkopen. Maar de IT van die afdeling was zozeer verstrengeld met die van andere afdeling dat ze niet uit elkaar te trekken waren. Resultaat: die afdeling is nog altijd onverkoopbaar. IT is dus meer dan alleen maar de som van hardware en software.’ Ook portfoliomanagement is zo’n hip woord. Van fraeyenhoven: ‘In de Angelsaksische landen is die techniek al lang geïntroduceerd. Maar in België vallen de bedrijven die op een bedrijfsoverkoepelende manier aan portfoliomanagement doen, op twee handen te tellen. Vaak doet alleen de ITafdeling aan portfoliomanagement. Vaak ontstaat het in IT.’
‘Portfoliomanagement gaat over het managen van vele projecten als één geheel. Zodat je kan zeggen: ‘Dit is onze strategie, dit zijn de pijlers, en deze projecten helpen die vooruit.’ Zodat je duidelijk maakt in welke fase projecten zich bevinden, wat ze kosten en hoe ze met andere projecten interageren. Als je dat overzicht hebt, kan je makkelijker beslissen of je bijvoorbeeld investeert in een optimalisering van de marketingafdeling of in een nieuw hr-softwarepakket.’ Cuypers: ‘IT moet een voorbeeldfunctie hebben, kan een stuk innovativiteit aan de business aanbieden. Zo bijvoorbeeld op het vlak van portfoliomanagement. Zo ging het vroeger ook met projectmanagement. Dat ontstond ook in de IT-afdeling en werd van daaruit geëxporteerd naar het hele bedrijf. Vandaar, de CIO heeft een opvoedende rol. Met een boutade kan je zeggen: ontsla de CIO, benoem een CCO, een ‘Chief Change Officer’, en maak de IT-manager verantwoordelijk voor bedrijfsoverspannende veranderingstrajecten.’ Cuypers: ‘Om bedrijfsoverspannende projecten met een sterke IT-component in goede banen te leiden, is ‘governance’ of deugdelijk bestuur een hele hulp. De governance van een bedrijf, dat werkt als de verkeersregels. De regels zijn de regels. De managers beslissen binnen die regels zelf of ze links of rechts afslaan, maar als het licht op rood staat, weten ze allemaal dat ze moeten stoppen. Het is dé tool om de emotie en de politiek uit de beslissingen te halen.’
DE MAAT VAN IT Om aan portfoliomanagement te doen, moet IT meetbaar zijn. Van fraeyenhoven: ‘Correct. En het economische aspect van IT krijgt nog veel te weinig aandacht. CIO's weten vaak goed waarmee ze bezig zijn, hoeveel projecten er in de pijplijn zitten,
hoeveel mensen ze in dienst hebben, hoeveel de outsourcingcontracten kosten… Maar om dat allemaal samen te presenteren in een transparant plaatje op directieniveau, daar wringt het nog vaak. Dat wordt soms weerspiegeld in het IT budget, dat in sommige gevallen gewoon het budget van vorig jaar is, met een paar procent meer of minder, afhankelijk van de prestatie van het bedrijf.’ Key performance indicators, kortweg KPI's, kunnen daar hun diensten bewijzen? Van fraeyenhoven: ‘KPI’s zijn eigenlijk gewoon meetpun-
FOTO: LIEVEN VAN ASSCHE
‘JE KAN DE CFO NIET OM MEER BUDGET VRAGEN ALS DIE NET DIE OCHTEND ZIJN MAILS NIET KON LEZEN.’ GILBERT VAN FRAEYENHOVEN ten die je inlast om te zien hoe goed je functioneert. KPI’s zijn een noodzaak, maar maken nog geen strategie. Een strategie heb je als je je KPI's op elkaar afstemt, en kan meten wat ze bijdragen tot je bedrijfsobjectieven.’ Cuypers: ‘IT economisch kwantificeren is nog altijd een zeer heikel punt. Er bestaan gewoon geen efficiënte modellen om dat te doen. Er zit ook nog
Hoe wordt er het best omgegaan het aan IT inherente risico? Van fraeyenhoven: ‘Aan risicobeheer zit er een harde kant. Dan spreken we over encryptie, over firewals en antivirusprogramma’s. Daar is meestal voldoende in voorzien, want dat is kost voor ingenieurs en gebeurt degelijk. De softe kant van het risicobeheer zijn de mensen, hoe ze met paswoorden en toegangscodes omgaan en dergelijke. En daar wringt het schoentje. Als we een veiligheidsaudit doen, bellen we personeelsleden op en vragen hen met een foefje om hun paswoord. Dat lukt maar al te vaak. Zelfs in de financiële wereld.’ ‘In het algemeen is 80 tot 90 procent van de veiligheidsincidenten te wijten aan menselijke fouten, niet aan slecht afgestelde machines. Een sensibiliseringscampagne bij het personeel zal dus vaak effectiever zijn dan een update van een antivirusprogramma.’ Wat is de rol van de raamwerken met dure namen als Itil, Prince-2 of ISO 27001 waar je zoveel over hoort? Deprez: ‘Een raamwerk geeft een normenkader met richtlijnen en best practices om een deel van je IT op een gestructureerde manier aan te pakken. De ene tool spitst zich bijvoorbeeld toe op het efficiënt ontwikkelen van software, terwijl de andere zich meer richt op beveiliging. Wat alle tools gemeen hebben, is dat ze gericht zijn op interne controle in een bedrijf. Welke tool of welke onderdelen van welke tools - je precies gebruikt, hangt af van de specifieke IT in jouw onderneming. Wil je projecten onder controle krijgen? Dat is het perspectief van Prince-2. Wil je de beveiliging lekdicht krijgen? ISO 27001 is daarvoor geconcipieerd. Wil je je IT-departement goed runnen? Itil of Cobit is dan je tool. Natuurlijk implementeer je die frameworks niet allemaal, en zeker niet allemaal volledig. De kunst bestaat erin om vanuit de verschillende frameworks net die elementen te plukken die nodig zijn om jouw IT te runnen. Zo kan je een raamwerk à la carte maken dat in lijn is met de bedrijfsdoelstellingen én afgestemd op de bestaande IT van een bedrijf.’
4
IT-STRATEGIE
BIJLAGE i.s.m. ERNST & YOUNG
Een IT-strategie bestaat wel degelijk BUSINESS ALIGNMENT EN PORTFOLIOMANAGEMENT ALS SLEUTELS TOT EEN RATIONELE IT-STRATEGIE
Veel organisaties blijven worstelen met het opstellen van een IT-strategie. Het directiecomité ziet te weinig de toegevoegde waarde van IT. Ze komen vaak niet verder dan een paar PowerPointslides met holle sleutelwoorden of slecht begrepen jargon. Langs de andere kant staan dan de ‘techies’, die vaak nauwelijks weten in welke business ze werken. Maar het correcte gebruik van tools als business alignment en portfoliomanagement kan hen een stap dichter bij een rationele ITstrategie brengen.
B
ij het denken over een IT-strategie kan het lijken alsof door het bos van businessmodellen, nieuwe technologische evoluties en kostenreducties de bomen niet meer te zien zijn. Om nog maar te zwijgen over de talloze vaktermen en acroniemen waarmee vaak naar hartelust gegoocheld wordt. Daarom is het goed om te focussen op iets wat boven elke twijfel verheven is: een IT-strategie moet tonen welke investeringen in IT het meest bijdragen tot het realiseren van de bedrijfsobjectieven. In de jaren 70 bood technologie nog de mogelijkheid om een competitief voordeel uit te bouwen. In de jaren 80 werd gefocust op de keuze van de juiste technologie, en in de tweede helft van de jaren 90 was internet het toverwoord. Intussen zijn de tijden veranderd. Het denken over IT is geëvolueerd. Men ziet in dat IT voor een organisatie geen competitief voordeel meer biedt.
‘IT IS NIET BELANGRIJK’ Het artikel van Nicolas Carr dat in 2003 in de Harvard Business Review verscheen, bracht een revolutie teweeg in IT-land. ‘IT doesn’t matter’ (‘IT is niet belangrijk’), luidde de titel. ‘Besteed minder aan IT’, schreef Carr. ‘Investeer niet in innovatie. Volg, probeer geen leider te zijn bij het gebruik van technologie. Stel investeringen in IT uit, de prijzen zullen toch dalen. Concentreer op het beperken van risico’s, probeer niet in te gaan op zogenaamde opportuniteiten geboden door technologie.’ Op basis van die nieuwe ideeën gaat men IT anders managen. Men concentreert zich
meer en meer op het aligneren van IT met de bedrijfsdoeleinden en op het managen van ITgerelateerde projecten in een portfolio. Op die twee peilers zou tegenwoordig elke rationele IT-strategie moeten steunen. Zo’n hedendaagse IT-strategie bestaat idealiter uit drie dimensies. Ten eerste zegt een ITstrategie iets over de investeringen die nodig zijn om de businessobjectieven te helpen realiseren. Dat is het reactieve stuk. Dat is een vertaalslag van de businessobjectieven naar de nodige hard- en software, projecten en initiatieven. Ten tweede is er het proactieve. Dat gaat over innovatie, gedreven door een intelligent ‘TECHNOLOGIE IS VOLWASSEN GEWORDEN EN HEEFT VOOR EEN
Stuur uw CIO: van technologie tot strategie in 7 stappen
FOTO: iSTOCK
dige strategie vraagt enerzijds ‘technische’ input en is anderzijds gebaseerd op de strategische businessobjectieven. Natuurlijk heeft de CIO daarbij een belangrijke rol te spelen. Maar dat mag niet in isolatie gebeuren. Het managementcomité moet IT-strategie als een onderdeel van de businessstrategie opstellen.
ORGANISATIE GEEN INTRINSIEKE WAARDE MEER.’ gebruik van technologie. Het is belangrijk te begrijpen dat innovatie niet alleen rond grote, revolutionaire ideeën draait. Ook het slim automatiseren van een bedrijfsproces of het consolideren van gegevens dankzij intelligent gebruik van tools en technieken is innovatie. Ten derde moet een IT-strategie iets zeggen over de interne werking van de onderneming, over de efficiëntie bij het inzetten van de IT-middelen, over de keuze van technologie, over inen outsourcing, over kennismanagement en de plannen op langere termijn. Het opstellen van zo’n driele-
RAAD VAN BESTUUR Ook de raad van bestuur heeft een rol te spelen bij het opstellen van de IT-strategie.Tenslotte gaan de IT-budgetten over significante percentages van de omzet. En hun rol moet verder gaan dan alleen maar wat benchmarking. Elke euro kan maar één keer uitgegeven worden. De vragen die op de directietafel moeten liggen, zijn de volgende: Hoe verzekeren dat de juiste investeringen gekozen worden? Dragen de projectportfolio's bij tot de doelstellingen van de onderneming? Onder welke criteria wordt een project gelanceerd, bevroren of zelfs gestopt? Dat gaat over portfoliomanagement, over business alignement! Dat zijn elementen die, met een goed beheer, wél een competitief voordeel kunnen creëren.
De realisatie van een uitgestippelde IT-strategie is een conditio sine qua non voor de realisatie van de algemene strategie van een onderneming. Elk niveau heeft een verantwoordelijkheid: van de werkvloer tot de raad van bestuur. Voor het verdelen van die verantwoordelijkheden en om efficiënt samen te werken, is een governancemodel het middel bij uitstek. Een governancemodel moet de regels bepalen die de beslissingen van het management in goede banen moeten leiden. Het is als een verkeersreglement. De managers houden dan rekening met de rode lichten, maar kiezen zelf of ze links of rechts afslaan. Zo wordt vermeden dat prioriteiten gedefinieerd worden door politieke invloeden of lokale belangen in een organisatie. Het is de manier bij uitstek om het management te rationaliseren. Het maakt dat de schaarse middelen ingezet worden waar ze het hardst nodig zijn: daar waar ze de meeste toegevoegde waarde creëren. Jac Cuypers executive director Ernst & Young
1. Vraag je CIO te participeren bij het uittekenen van de bedrijfsstrategie. Vraag om die bedrijfsstrategie te verrijken. De IT-strategie is maar een onderdeel van de bedrijfsstrategie, maar wel een essentieel onderdeel. 2. Richt de IT-functie in volgens de principes van ‘deugdelijk bestuur’. Er is niets geheimzinnigs, er is niets dat niet uitgelegd kan worden. Het mag geen zwart gat zijn dat geld ‘opzuigt’. 3. Definieer een filter voor de aanvaarding van nieuwe projecten en pas die consequent toe op nieuwe projectaanvragen. Niet IT beslist over de functionaliteiten die ontwikkeld moeten worden, het is de business die hier het stuur in handen moet nemen. 4. Bewaar de juiste balans tussen toegevoegde waarde, kosten en risico’s van elk ITgerelateerd bedrijfsinitiatief. Zoals met elke investering zal het streven naar hogere toegevoegde waarde gepaard gaan met een hoger risicoprofiel. Creëer een evenwichtige portefeuille van investeringen: niet te veel risico, niet te veel investeringen voor weinig toegevoegde waarde. 5. Monitor, check, controleer. Verzeker de systematische opvolging van ieder project ten opzichte van de initiële doelstellingen. Zelfs als een project ‘klaar’ is! De toegevoegde waarde moet dan nog geleverd worden, doorheen de economische levenscyclus van de investering. Blijf dat opvolgen. 6. Meet de gebruikerstevredenheid op reguliere basis. Gelijk hebben volstaat niet! Gelijk krijgen… Zolang de klant, intern of extern, van IT de ITdiensten negatief percipieert, zal dat een bedreiging vormen voor de IT-gerelateerde investeringen. 7. Zorg voor een vicieuze cirkel: een positieve perceptie leidt tot betere resultaten van de IT-inspanningen. IT staat voor informatietechnologie. Die term bevat het woord informatie. Vergeet niet om gebruik te maken van alle bedrijfsgegevens in je informatiesystemen. De informatie is een schat om een organisatie te sturen.
5
IT-STRATEGIE
BIJLAGE i.s.m. ERNST & YOUNG
‘It’s the economy, stupid!’
DE EVOLUTIE IN HET BEGRIP VAN DE ECONOMISCHE DIMENSIE VAN IT VERLOOPT TE TRAAG Veel CIO’s zijn gefrustreerd door de vragen die op het directiecomité gesteld worden. Ze slagen er vaak niet in een afdoend antwoord te geven op de vraag waarom die IT toch zoveel kost zonder merkbare meerwaarde. Vaak heeft de CIO of de IT-manager geen plaats binnen het managementcomité. Als de IT-verantwoordelijke dan al eens uitgenodigd wordt, is het meestal om zijn budget te verdedigen of omdat er zich ernstige ITproblemen hebben voorgedaan.
N
og te weinig wordt een IT-budget vastgelegd in functie van projecten en andere verbeteringstrajecten zoals de business ze nodig heeft. Dat leidt soms tot vreemde situaties: projecten waarom niemand heeft gevraagd, grote investeringen in technologie zonder een onderliggende businessbehoefte, budgetten die als een zwarte kas beheerd worden door lokaal management. Die situaties vergroten dan weer het onbegrip aan de businesszijde. Een deel van de oplossing ligt in een doordachte keuze over het laten functioneren van de ondersteunende IT-afdeling als kostcenter, servicecenter of profitcenter. Beschouwt men IT als een servicecenter, dan worden de kosten versleuteld per afdeling. Die versleuteling moet dan praktisch, transparant en pragmatisch zijn, en gebeurt op ba-
sis van een dialoog met elke afdeling. De toepassing van de versleuteling moet ook opgevolgd worden. Of IT als een profitcenter beschouwd kan worden, hangt af van de context waarbinnen een bedrijf opereert. Strategische overwegingen vormen de leiddraad bij die beslissing. We bekijken twee scenario’s.
1.
In industrieel bedrijf A wordt IT wel als kritisch beschouwd, maar er wordt nauwelijks innovatie van verwacht. De competitieve voordelen van het bedrijf situeren zich elders, in de aangeboden producten en de productieprocessen. Een prima presterende IT-afdeling zou hier kunnen overwegen om ook diensten aan andere partijen te gaan aanbieden om extra inkomsten te genereren. De hamvraag is dan of dat aansluit bij de strategie van dat soort van bedrijf.
Businesscases: de oplossing? Een sterk geautomatiseerde, industriële onderneming schoof de sterke automatisatie van zijn supplychain naar voren als een competitief voordeel. Er werd ook zeer veel geld afgeleid naar verdere automatisatie. Vooral investeringen in efficiëntie waren welkom bij het management. Die dienden voor elk project overtuigd te worden met een uitgewerkte businesscase. Bij het opzetten van een Project Management Office, voerden wij een assessment uit van de projecten. In die context probeerden we onder andere ook de notie portfoliomanagement te introduceren.
Groot was onze verbazing toen we bij de consolidatie van de businesscases tot de conclusie kwamen dat alle aanvaarde businesscases meer voltijdse equivalenten uitspaarden in de productieafdeling dan er tewerkgesteld waren. De businesscases waren allemaal goedgekeurd door het management. Businesscases, return on equity, internal rate of return, hurdle rates… Ze volstaan niet. De som van de investeringen moet een einddoel afleveren, afgestemd op de strategische objetieven van de business. Portfoliomanagement is een onontkombaar begrip geworden voor een goed management.
FOTO: iSTOCK
2.
Voor industrieel bedrijf B is IT bedrijfskritisch en creëert het de mogelijkheid om innovatief te zijn. IT is hier een differentiator. Uiteraard zou het totaal foutief zijn die kennis en competentie aan andere bedrijven aan te bieden. Integendeel, IT dient hier beheerd te worden als de andere kritische activa. De keuze voor het model en de bijbehorende versleutelingsstrategie zijn de verantwoordelijkheid van het managementcomité. Als de oefening niet goed gebeurt en de versleuteling in vraag gesteld of als te duur beschouwd wordt, bestaat het gevaar dat elk van de afdelingen zelf een aantal IT-taken op zich zal nemen of ze aan een externe partij wil uitbesteden.
MEETBAARHEID Niet alleen de keuze voor een profit- of een kostencenter, maar ook de economische meetbaarheid van IT-gerelateerde projecten is cruciaal. Wat is de echte waarde van een software? Welke prijs voor een project is gerechtvaardigd? Wanneer is de investering in een nieuw hardwareplatform verantwoord om businessobjectieven te realiseren? Er bestaat nog geen wetenschappelijk antwoord op die vragen, maar er zijn wel handige modellen op de markt die de opdracht gemakkelijker kunnen maken. Ook bij fusies en overnames is de economische meet-
baarheid van IT van groot belang. Ervaring wijst uit dat IT nog nooit een ‘showstopper’ is geweest voor het afsluiten van een fusie- of overname, maar toch dient de IT en het kostenplaatje erom heen bij elke transactie van zeer nabij onder de loep genomen te worden. Het gaat dan niet alleen over mogelijke synergieën of schaalvoordelen, maar vaak ook over elementen die fundamenteel zijn voor de algemene waardebepaling van het bedrijf. IT moet worden benaderd als een economisch gegeven. Met transparantie aan de kostenzijde, maar zeker ook met gebruik van businesscases (belangrijk), geconsolideerd in een portfolio van projecten (nog belangrijker). Gebruik maken van begrippen als ‘de economische levenscyclus van een software’ zijn hier primordiaal.
PERFORMANTIE Een economische benadering van IT dient ook weerspiegeld te worden in de sturing van de IT-afdeling zelf door het gebruik van performantie-indicatoren (key performance indicators of KPI’s). Die worden geformuleerd in de taal van de business en niet in bits en bytes. De boodschap aan de CIO’s is eenvoudig: ‘Maak meer tijd vrij voor een economische benadering van je verantwoordelijkheden!’ Met een boutade zouden we kunnen aanraden de lid-
‘DE BOODSCHAP AAN DE CIO’S IS EENVOUDIG: ‘MAAK MEER TIJD VRIJ VOOR EEN ECONOMISCHE BENADERING VAN JE VERANTWOORDELIJKHEDEN!’
kaarten voor CIO-bijeenkomsten te verkopen en aansluiting te zoeken bij de VOKA’s, de UNIZO’s en VKW’s van deze wereld. Een doorgedreven kennis van de financiële grondslag van het IT-gebeuren zal een stevige basis vormen om het gesprek binnen het managementcomité te sturen en te richten. Men spreekt niet meer van mislukte of succesvolle projecten, maar van goede en foute investeringen. IT is nog geen exacte wetenschap. Er zijn nog te veel onbekenden om IT-budgetten als een actuaris te benaderen. Maar de markt biedt ondertussen wel heel wat raamwerken, best practices en richtlijnen voor een economische benadering van IT. Andy Deprez vennoot Ernst & Young
6
IT-STRATEGIE
BIJLAGE i.s.m. ERNST & YOUNG
Meten is weten
INFORMATIEBEVEILIGING: EEN ANTIVIRUSPAKKET OF FIREWALL AANSCHAFFEN VOLSTAAT NIET ingen en kwalitatieve diensten en producten voor de klant. De kwaliteit van een databank kan degenereren door kleine fouten in het systeem of door een fout gebruik ervan. Op dat vlak dient de markt dan weer interessante middelen en technieken om de data-integriteit te bewaken, te verzekeren.
EVOLUTIE
FOTO: iSTOCK
Meten is weten. Kennis is macht. De enorme berg aan gegevens die bestaat in elke organisatie, is daarbij van primordiaal belang. Maar men spreekt pas echt van informatie als die gegevens gestructureerd kunnen worden, als er vrij en constant gebruik van gemaakt kan worden. Dat is een essentieel onderdeel van de opdrachten van IT. IT wordt zo een van de meest kritieke onderdelen van een organisatie. Bedrijven en organisaties vertrouwen soms blindelings op hun IT-systemen. Zij zijn zich daarbij vaak niet genoeg bewust van de risico’s die dat met zich meebrengt.
H
et belang van informatie is groot en beïnvloedt in belangrijke mate het succes van uw onderneming. De ontwikkeling en toepassing van almaar complexere IT-systemen, de interactiviteit met interne en externe partijen, de conversies en online bewerkingen verhogen de kwaliteit en de snelheid van de informatie. De online wereld opent opportuniteiten. Maar het verhaal heeft ook een keerzijde. Er zijn risico’s aan verbonden. Iedereen kent verhalen over kinderziektes bij implementaties van nieuwe IT-systemen, fouten in de programmatuur, verkeerd gebruik, storingen, moedwillige fraude of sabotage. Stelt u zich bij gegevensdiefstal echter geen James Bondtoestanden voor. Een scenario: op het tafeltje naast de koffieautomaat vindt uw medewerker een geheugenstick. Nieuwsgierig als hij is, bekijkt hij de inhoud en vindt een bestand met
de naam ‘salaries.xls’. Natuurlijk opent hij dat… maar het is leeg. Ondertussen heeft zich wel spyware, via de pc van de nieuwsgierige collega, verspreid over het netwerk. Uit onderzoek een uitgebreid onderzoek dat Ernst & Young jaarlijks voert, bleek in 2007 dat 62% van de respondenten informatiebeveliging cruciaal is voor verbeterde ITdiensten.Vorige jaren werd het nog eerder gezien als een hindernis. Men beseft het belang van informatiebeveiliging voor ‘GEWOON EEN ANTIVIRUSPAKKET OF EEN FIREWALL AANSCHAFFEN VOLSTAAT NIET OM BEDRIJFSPROCESSEN EN -GEGEVENS TE BEHOEDEN VOOR ONGELUKKEN’
het realiseren van businessobjectieven en het ondersteunen van de reputatie.
(Ernst & Young Global Security Survey 2007)
RISICOBELEID De ondernemingsleiding moet informatiebeveiliging ernstig nemen. Een risicobeleid dient een zeer breed veld te beslaan. Een preventief beleid moet gericht zijn op het voorkomen van risico’s en bedreigingen. Dat kan bijvoorbeeld door maatregelen en controles te implementeren om de werking van de systemen te verzekeren. Dat is mogelijk door een gedisciplineerde toepassing van beheersprocessen in het dagelijkse ITbeheer op de werkvloer. Ook risicoanalyses en audits kunnen proactief zijn door een regelmatige controle van de kwaliteit van de processen en controles. Door de juiste ervaring en methodiek te gebruiken kan dat op
een efficiënte en gestructureerde manier gebeuren. De risico’s worden dan in kaart gebracht en gekwantificeerd naar waarschijnlijkheid en impact. Dat helpt een organisatie gericht te investeren en die risico’s te voorkomen die de grootste bedreiging vormen. Waterdichte systemen bestaan niet, maar de uitgave van een euro wordt op die manier gericht op de meest kwetsbare plaats. Een klassiek voorbeeld van een goed risicobeleid is het noodplan dat opgesteld wordt in het geval een brand de hardware en de informatie bedreigt. In vaktaal wordt dat ‘Business Continuity Management’ genoemd. Ook een staking of een bezetting van een industrieterrein betekent zo’n mogelijk externe bedreiging voor uw informatie en bijbehorende technologie. Maar zelfs proactieve risicoanalyses en audits vormen geen garantie voor 100 procent betrouwbare informatie, die nochtans zo noodzakelijk is voor de juiste besliss-
De beveiliging van informatie maakt op dit moment een interessante evolutie door: het evolueert van een strikte IT-aangelegenheid, waarbij de nadruk lag op de beveiliging van netwerken, systemen en databanken (de informatietechnologie), naar een meer businessgerichte aangelegenheid, waarbij de nadruk ligt op de eigenlijke informatie en de businessprocessen die van die informatie gebruikmaken. Uiteraard zijn de meeste businessprocessen geautomatiseerd, waardoor de meeste informatie zich op IT-systemen bevindt, en dus komt de uitwerking van informatiebeveiliging nog altijd voornamelijk neer op het onder controle houden van IT-processen. Maar het is de invalshoek die gewijzigd is. Beheersing van die materie vraagt affiniteit met de business, gecombineerd met een doorgedreven technische kennis van de informatietechnologie. Gewoon een antiviruspakket of een firewall aanschaffen volstaat dus duidelijk niet om bedrijfsprocessen en –gegevens te behoeden voor ongelukken. De complexiteit van de wereld wordt weerspiegeld in de complexiteit van de IT-systemen van deze wereld. Het beheer vraagt veel technische kennis en tegelijk veel affiniteit met het businessgebeuren. Bij de meeste bedrijven zit de beveiliging van de IT-infrastructuur tegenwoordig best wel goed, omdat die ook vaak het onderwerp vormt van controles, zoals in het kader van de jaarlijkse audit van de jaarrekeningen. Maar de veilige ontwikkeling van applicaties - wat eigenlijk neerkomt op het respecteren van de door de business vastgelegde vereisten rond confidentialiteit, integriteit en beschikbaarheid - kan meestal nog een stuk verbeteren. Meteen de reden waarom externe aanvallen steeds minder gebruikmaken van zwakheden in de IT-infrastructuur en steeds meer de zwakheden in de software misbruiken. Kurt Ceuppens senior manager Ernst & Young
Pieter Danhieux manager Ernst & Young
7
IT-STRATEGIE
BIJLAGE i.s.m. ERNST & YOUNG
Een kwestie van evenwicht en ervaring NORMENKADERS HELPEN BIJ RISICOBEHEERSING
5 tips voor IT-managers 1. Focus op de doelstellingen van de organisatie, niet op de technologie! De technologie is geen doel, het is een middel. Vertel de organisatie over de impact van een bepaalde technologische keuze op hun reilen en zeilen. Beargumenteer op die manier je technologische keuzes. Schrap de bits en de bytes in die discussies.
FOTO: iSTOCK
De pers staat vol met horrorverhalen over mislukte projecten en falende IT-systemen. IT-investeringen lijken met belangrijke risico’s gepaard te gaan. Terecht wordt er veel tijd en geld geïnvesteerd om zich te wapenen tegen dat soort van risico’s. Die problemen kunnen immers significante schade berokkenen aan een organisatie. Net om die problemen te vermijden zijn er een aantal tools op de markt.
I
T is helaas nog geen exacte wetenschap. Toch is er veel vooruitgang gemaakt in het beheer van IT en de ondersteunde bedrijfsprocessen. Er valt veel te leren uit het consolideren en delen van de eigen ervaringen met de ervaringen van collega’s wereldwijd. In dat opzicht zijn de vele raamwerken die op de markt circuleren, interessant. Het gaat vaak om gestructureerde consolidaties van jarenlange ervaringen. Dé grote uitdaging bestaat erin het juiste evenwicht te vinden tussen investeren in die raamwerken en concepten enerzijds en de eigen organisatie gestroomlijnd, praktische en pragmatisch houden anderzijds. Het orthodox volgen van theoretische concepten leidt tot papierwinkels, overbodige regeltjes en richtlijnen. Maar die raamwerken en concepten negeren als geconsolideerde ervaring betekent een gemiste kans. Het wiel zal dus opnieuw moeten
worden uitgevonden, met de bijbehorende leercurve. Een flinke scheut pragmatisme en gezond boerenverstand zijn onontbeer-
lijk om de juiste keuzes te maken en het juiste evenwicht te vinden.
RAAMWERKEN ‘DÉ GROTE UITDAGING BESTAAT ERIN HET JUISTE EVENWICHT TE VINDEN TUSSEN INVESTEREN IN RAAMWERKEN EN CONCEPTEN ENERZIJDS EN DE EIGEN ORGANISATIE GESTROOMLIJND, PRAKTISCH EN PRAGMATISCH HOUDEN ANDERZIJDS.’
We lijken in een nieuwe fase in de maturiteitsgroei van IT te zijn aanbeland. Er groeit een consensus rond normen, raamwerken en concepten. Toch is het vaak moeilijk om het overzicht te behouden: Cobit, ITIL, SIx Sigma, het Capability Maturity Model, ISO 17799, PMI, Prince2, ISO20000, Valit… Allemaal normenkaders die opgang maken, en door de sector worden aanvaard als een degelijk fundament om de eigen, interne werking te verbeteren. Dat gaat samen met de algemene tendens het IT-beheer en de IT-arbeid als processen te gaan beschouwen. Processen kunnen worden beschreven, herhaling van succesvolle processen levert opnieuw succes op. Efficiëntere controles worden mo-
ligt het misschien wel aan het concept en niet aan jou. Als je iets niet aan je CEO uitgelegd krijgt in vijf minuten, ligt het misschien wel aan de relevantie van je onderwerp.
2. Focus op de doelstellingen van de organisatie, niet op de IT-afdeling! Vergeet nooit je geschiedenis. Wat was de oorspronkelijke functie van IT? Wat is er veranderd? Hoe beïnvloedt dat de nieuwe opdrachten en uitdagingen van IT binnen het bedrijf?
4. Een informaticus is geen informaticus! De benodigde profielen in een IT-afdeling lopen erg uiteen. Besteed genoeg aandacht aan het evenwicht in je team. Sommige analisten mogen technisch georiënteerd zijn, maar sommige moeten genoeg affiniteit met de business hebben. Je hebt ontwikkelaars nodig die bits en bytes lezen als een krant. Maar sommige ontwikkelaars moeten ook de analisten begrijpen.
3. Gebruik de markt, laat de markt niet jou gebruiken. De markt heeft veel te bieden. Maar niet alle mogelijkheden zijn altijd opportuun voor jouw organisatie. De markt heeft visie, maar visie heeft soms tijd nodig om te rijpen. Visies kunnen vaak wel ‘gekocht’ worden, maar zijn daarom niet altijd inzetbaar voor de eigen organisatie. Als je een concept niet begrijpt,
5. Wees niet verlegen, verkoop IT! Verkoop als IT-manager je eigen afdeling en de prestaties ervan. Het kan een beetje pedant klinken, maar interne marketing is van wezenlijk belang. Benadruk de successen, communiceer transparant over falingen. Wees open en eerlijk, maar vergeet daarbij al het positieve en harde werk van IT niet.
gelijk op die manier. De perceptie is niet langer dat IT iets is voor creatieve genieën die gedoopt met inspiratie op een blauwe maandag IT-systemen bouwen en nadien wel eens nadenken over het nut ervan. Het is niet evident voor de verantwoordelijken, ongeacht of ze uit de privésector of de overheidssector komen, om de juiste keuzes te maken. De ‘one million dollar question’ is wat in de specifieke context van de organisatie past. Eenduidige, gemakkelijke antwoorden ontbreken. De grote leidraad moet de toegevoegde waarde zijn van elke euro die gespendeerd wordt. Wat brengt het bij aan de objectieven van de organisatie, of dat nu winstmaximalisatie of toegevoegde waarde voor de burger is. Perfectie nastreven zal een investering blijken zonder de passende return.
kan men zich de vraag stellen waar de winst in efficiëntie en effectiviteit stopt en waar de rigiditeit en de bureaucratie begint. De nodige praktijkervaring is belangrijk om de juiste structuren en mechanismen te implementeren in de organisatie, ongeacht of het om een kmo of een multinational gaat. Bij de introductie van normenkaders, projectmethodologie of ontwikkelingstechnieken is een geleidelijke aanpak aangewezen. Steeds met de mogelijkheid uit het verhaal te stappen als het verwordt tot navelstaarderij. Ongeacht of men verantwoordelijkheden heeft bij een overheidsadministratie of in een privé-onderneming, groot of klein, de toepassing van microeconomische principes blijft de basis voor een gezond beheer. Dat geldt ook voor IT. Kennis van een aantal basisregels is noodzakelijk, voeling met de ITmarkt een must. Ogen en oren wijd openhouden en gericht investeren, gefocust op langetermijnperspectieven.
NET ALS GOVERNANCE Het is net als bij de implementatie van een governancemodel, dat als het ware verkeersregels aanreikt voor het nemen van managementsbeslissingen. Ook daar
Jac Cuypers executive director Ernst & Young
ADVERTENTIE
