IS ER EEN ROL VOOR ITAUDITORS?
Realiseren van businessvoordelen uit bedrijfs-IT-standaardisatie
H Hoe kunnen organisaties de beoogde businessvoordelen van IT-standaardisatie realiseren? Een
nieuwe manier van kijken naar bedrijfs-IT-standaardisatie met behulp van een kwaliteitsmanage-
mentraamwerk helpt bij de juiste invulling. Via een aantal casestudies bij ABN AMRO is dit raamwerk
getest, verbeterd en wordt het nu ook buiten het IT-domein toegepast. ROBERT VAN WESSEL
Veel bedrijven worstelen met de vraag welke IT-producten en/of processen zij moeten kiezen om hun bedrijfsvoering te ondersteunen. In dit artikel leest u hoe u dit soort middelen optimaal kunt inzetten om beoogde voordelen te halen. Hiervoor introduceren we de term ‘bedrijfs-IT-standaarden’. Dit zijn specificaties van IT-processen en producten die op een herhaaldelijke en consistente manier binnen een bedrijf worden ingezet. Essentieel voor het succes is niet alleen de bedrijfs-IT-standaard, maar zijn ook de bedrijfskundige aspecten. Het blijkt evenzo belangrijk wie betrokken zijn bij de keuzes van deze producten en processen, welke beslissingen vervolgens genomen moeten worden en hoe ervoor wordt gezorgd dat deze keuze wordt gevolgd bij de implementatie in projecten en gebruik in de operationele sfeer. We introduceren twee begrippen, governance en management van bedrijfsIT-standaarden, en identificeren een aantal factoren die het succes van initiatieven in bedrijfs-IT-standaardisatie grotendeels bepalen. STANDAARDEN Een wereld zonder standaarden is bijna niet voor te stellen. In ons dagelijks leven worden we letterlijk en figuurlijk omringd door standaarden.
Dit is niet iets van vandaag de dag: al ten tijde van de farao’s werden er verschillende soorten standaarden gebruikt. Denk bijvoorbeeld aan de hiërogliefen of aan de bouw van piramides, die zonder het gebruik van standaard bouwblokken niet goed mogelijk was. We hebben standaarden in allerlei soorten. Ook voor het vakgebied van standaardisatie is er wat betreft de EFGJOJUJFTHFFOTUBOEBBSE<73*&> komt, na een uitgebreide evaluatie vanuit verschillende gezicht- en aandachtpunten, tot de volgende classificatie van standaarden: 1) een fundamentele standaard; 2) een voorwaardenstellende standaard; 3) een meetstandaard. 1. Een fundamentele standaard is van algemeen belang en niet ontworpen voor bijvoorbeeld een bepaalde industrietak. 2. Een voorwaardenstellende standaard stelt eisen aan entiteiten of relaties tussen entiteiten. Dit kunnen standaarden zijn die prestatie-eisen beschrijven, zonder te preciseren hoe hieraan moet worden voldaan, maar ook standaarden die oplossingen beschrijven. 3. Een meetstandaard beschrijft methoden en technieken om te controleren of aan de criteria wordt de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 25
25 15/02/11 7:09 PM
Klasse
Subklasse
Type
Voorbeeld
Eenheidsstandaard
SI systeem
Referentiestandaard
OSI model
Prestatie gebaseerde standaarden
Interferentiestandaard
Elektromagnetische compatibiliteit
Kwaliteitsstandaard
Brandbestrijding
Ontwerp gebaseerde standaarden
Interferentiestandaard
Diesel roetfilters
Horizontale compatibiliteitsstandaard
Stroomkabels, A4 paper formaat
1. Fundamentele standaard 2. Voorwaardenstellende standaard
3. Meetstandaard
–
Verticale compatibiliteitsstandaard
Bluetooth, USB
Kwaliteitsstandaard
CMM
-
Alcohol% blaasproef
Tabel 1: Classificatie van standaarden [VRIE06]
voldaan die gesteld zijn in een voorwaardenstellende standaard. In tabel 1 wordt deze classificatie nader gespecificeerd, waarbij een aantal voorbeelden wordt gegeven. Er bestaan zeer veel IT-producten en processen (merkgebonden dan wel informele en formele IT-standaarden) die bedrijven kunnen inzetten ter ondersteuning van de levering van hun diensten of producten. Bedrijven kiezen vaak voor een (standaard) product of proces als deze algemeen geaccepteerd is in een bepaalde branche, maar achter deze keuze verschuilt zich een complex vraagstuk. Belangrijke vragen waar bedrijven mee geconfronteerd worden zijn: 1) Welke van deze IT-producten en/of processen zijn nu écht geschikt voor het bedrijf om deze te verheffen tot IT-standaard voor intern gebruik?; 2) Wie zou deze keuze moeten maken?; 3) Hoe moet men ervoor zorgen dat deze keuze herhaaldelijk en consistent wordt gevolgd bij implementatie in projecten of bij gebruik in de operationele sfeer? In bedrijven zien we veel van deze initiatieven voor IT-standaardisatie die we kunnen onderverdelen in drie DBUFHPSJFÑO<8&*-> 1. Standaardisatie van technologie, vooral gericht op kostenefficiëntie en schaalgroottevoordelen;
26
2. Standaardisatie van data (definities op zowel syntactisch als semantisch niveau van bijvoorbeeld klanten, leveranciers, producten, diensten en medewerkers), met name gericht op integratie van processen en consistentie in de informatievoorziening; 3. Standaardisatie van processen en haar interfaces met als doel herbruikbaarheid en verdere professionalisering. Sommige van deze initiatieven mislukken jammerlijk, terwijl andere een groot succes zijn. De vraag is waarom. Er is onduidelijkheid op veel gebieden, zoals: 1) de voor- en nadelen van interne IT-standaardisatie; 2) de kosten en opbrengsten; 3) de risico’s zoals vendor lock-in; 4) de succesfactoren; 5) het interne standaardisatieproces: wie moeten worden betrokken, hoe en wanneer?; 6) de componenten van het proces; 7) het plannen en contoleren van het proces; 8) een keuze voor een ‘out of the box’-toepassing of een volledig op de organisatie aangepaste IT-standaard. Met andere woorden: op veel gebieden bestaat er onduidelijkheid over het invoeren en gebruik van interne IT-standaarden. Hoe moeten we dit probleem aanpakken? Hoe moeten we met het interne IT-standaardisatieproces omgaan en haar onderdelen, zoals selectie, invoering en gebruik? Hoe
meten we de effecten van dergelijke IT-standaarden en wat zijn deze effecten eigenlijk? Met andere woorden: wat we eigenlijk nodig hebben is een managementraamwerk voor interne IT-standaardisatie! In dit kader definiëren we dan ook de term bedrijfs-IT-standaard: de specificatie van een IT-product of proces dat herhaaldelijk en consistent wordt toegepast binnen een bedrijf. ONDERZOEKSOPZET Gegeven het bovenstaande is de volgende onderzoeksvraag geformuleerd: Hoe kunnen organisaties de beoogde businessvoordelen van bedrijfs-ITstandaardisatie realiseren? Om dit te onderzoeken is gekeken naar de selectie, de invoering en het gebruik van bedrijfs-IT-standaarden, om vervolgens ook de impact op de bedrijfsprocessen te beoordelen. Hiervoor is de volgende onderzoeksmethode gebruikt. Als eerste is gekeken wat er op dit gebied in de literatuur te vinden is. Afgezien van een paar uitzonderingen, is er op wetenschappelijk vlak weinig geschreven over bedrijfs-IT-standaardisatie en IT-standaarden en zeker niet over de gevolgen van het gebruik hiervan. Deze literatuur is voornamelijk gericht op de effecten van IT-standaarden op een macro-economische schaal en op de ontwikkelprocessen voor standaarden uitgevoerd door de industrie, consortia en internationale
de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 26
15/02/11 7:09 PM
standaardisatieorganisaties. De professionele literatuur over IT-standaarden heeft vrijwel uitsluitend een technische invalshoek. Om die reden is een initieel conceptueel model gemaakt dat is gebaseerd op de beperkte hoeveelheid literatuur over bedrijfs-IT-standaardisatie. Het model is aangevuld met inzichten uit een pilot case study, om werkwijzen uit de praktijk in het model te incorporeren. Vervolgens is er gedetailleerd casestudieonderzoek uitgevoerd om dit model te testen en te valideren. De casestudies zijn uitgevoerd bij ABN AMRO, waarbij binnen verschillende divisies diverse bedrijfsIT-standaardisatie initiatieven zijn onderzocht. Deze initiatieven lagen op het gebied van de IT-infrastructuur & applicaties, de IT-applicatieontwikkeling, een ERP-systeem en een internationale ISO/IECstandaard. In deze casestudies is elke keer aandacht besteed aan het bedrijfs-IT-standaardisatieproces en de effecten van het gebruik van deze bedrijfs-IT-standaarden. Deze effecten betreffen zowel financiële als nietfinanciële aspecten, zoals klanttevredenheid en kwaliteitsverbetering. Hiervoor worden de vier perspectieven gebruikt, zoals gedefinieerd in de Balanced Scorecard <,"1-> %JU heeft geresulteerd in het uitgebreide conceptueel model wat in Kernresultaten nader wordt beschreven. Vier casestudies De verschillende bedrijfs-IT-standaardisatie initiatieven, die in de casestudies zijn onderzocht, lagen op een aantal vlakken. Er is een viertal bedrijfs-IT-standaardisatie casestudies uitgevoerd: een Client Server omgeving, een software ontwikkelomgeving, een HRM ERP-systeem en een internationale standaard op het gebied van informatiebeveiliging (tabel 2). Deze initiatieven hadden verschillende manieren van aanpak en uitkomsten, waardoor het conceptueel model goed kon worden getest en gevalideerd. Deze standaar-
Case Study
Categorie
Scope
Client Server omgeving
Product
Business Unit
Software ontwikkeling
Proces
Business Unit
HRM ERP systeem
Product, Data en Proces
Enterprise
Informatiebeveiligingsmanagement
Proces
Business Unit
Tabel 2: Karakteristieken van de vier case studies den behoren tot de subklasse van de ontwerpgebaseerde standaarden (conform tabel 1). Client Server omgeving Het initiatief voor client/serverstandaardisatie, dat liep over een periode van twee jaar, werd vanuit de business genomen en betrof zo’n 10.000 eindgebruikers. Doelstelling van dit project was om de kosten van beheer omlaag te brengen en de flexibiliteit voor wijzigingen te verhogen. De oude omgeving bestond uit een aantal verschillende, nietgestandaardiseerde hardware en softwareconfiguraties. Hierdoor waren de kosten van ontwikkeling en beheer hoog. Door deze diversiteit was het ook moeilijk om snel wijzigingen door te voeren. Omdat er in de nieuwe omgeving werd gekozen voor standaard hardwareconfiguraties, die eenvoudig uitwisselbaar waren, konden supportkosten op hardware omlaag. Een ander belangrijk onderdeel van het standaardisatietraject was het bepalen van de gewenste functionaliteit voor de eindgebruikers, niet het bepalen van de gewenste applicaties. Bij de keuze om een applicatie in de lijst van standaardsoftware op te nemen, was een belangrijk criterium de balans tussen geboden functionaliteit en licentiekosten. Dit werd beoordeeld door een stuurgroep met afgevaardigden uit zowel de business als IT. Het eindresultaat was een reductie van het aantal applicaties met een factor 20. De totale beheerkosten werden gereduceerd met 50 procent. Er trad tevens een toename van de eindgebruikertevredenheid op door het
sneller uitvoeren van verzoeken, een verbeterde beveiliging en een hogere beschikbaarheid van de IT-systemen. Verzoeken voor nieuwe hardware, software en afwijkingen op de set van standaarden werden alleen nog in behandeling genomen indien een businesscase geschreven werd. De verzoeken werden beoordeeld door een team van IT-specialisten, die architectuurconsequenties, licentie- en beheerkosten en andere operationele aspecten analyseerden. Een IT-policy board werd ingericht, bestaande uit business en ITmanagers, die verzoeken al dan niet goedkeurden. Bij goedkeuring ging het IT-product of proces vervolgens onderdeel uitmaken van de set van standaarden. Tenslotte nam ook de flexibiliteit voor veranderingen sterk toe, omdat bij wijzigingen slechts op een plek aanpassingen noodzakelijk waren en dit dus snel kon worden doorgevoerd. Softwareontwikkeling De softwareontwikkelingcasestudy betrof de invoering van een combinatie CMM en DSDM over een periode van vier jaar. Dit initiatief lag volledig bij de IT-organisatie. CMM is een kwaliteitsmanagementsysteem en DSDM een methode voor softwareontwikkeling. CMM beschrijft het ‘wat’, terwijl DSDM het ‘hoe’ beschrijft van softwareontwikkeling. Kern van DSDM is de focus op de klantenwens met behulp van rapid prototyping. Doelstellingen van dit project werden als volgt geformuleerd: verhogen van de kwaliteit van de opgeleverde producten, verlagen van de kosten van softwareontwikkeling en het realiseren van een snellere time to market. Daarnaast moest de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 27
27 15/02/11 7:09 PM
de samenwerking tussen Business en IT verbeteren en medewerkertevredenheid worden vergroot. Ook in deze omgeving zagen we initieel een veelheid van methoden en technieken om software te ontwikkelen. Er was al eerder een poging door de ITafdeling gedaan om tot een eenduidige ontwikkelmethode te komen, maar deze faalde door gebrek aan managementcommittent en aandacht door de medewerkers. Een belangrijk onderdeel in dit bedrijfs-IT-standaardisatie-initiatief was een gedragsveranderingproject, dat de ‘zachte kant’ van het veranderingstraject borgde. De invoering van DSDM en CMM vond eerst gescheiden van elkaar plaats, maar werd in de loop van het implementatieproces gecombineerd omdat voor een groot deel eenzelfde soort organisatorische en proceswijzigingen moest worden doorgevoerd. Het eindresultaat was een reductie in softwareontwikkelkosten met 20 procent, een licht verhoogde Business-IT alignment ten gevolge van DSDM-workshops, waardoor businesswensen beter boven tafel kwamen en een verbeterde softwarekwaliteit, omdat het aantal fouten daalde. De samenwerking tussen business en IT zou waarschijnlijk nog beter zijn geworden als men de business veel eerder bij dit initiatief had betrokken. Velen in de business zagen dit toch als een ‘IT-feestje’. Na afloop van het project werd slechts een lichte stijging van de medewerkertevredenheid bereikt. Hoewel men tot betere resultaten kwam en projectmedewerkers zich meer gewaardeerd voelden, liet het ITmanagement de empowerment van de teams niet volledig tot haar recht komen. Mede hierom werd een kortere ‘time to market’ niet bereikt. Hier zien we een verschil in complexiteit tussen de invoering van een product (de eerste casestudy) en de processtandaarden uit deze tweede casestudy. Dit laatste beeld wordt bevestigd in de derde casestudy.
28
HRM ERP-systeem De HRM ERP-casestudy betrof de selectie en invoering van een commercieel HR-pakket. Vanuit het project was een drieledige doelstelling geformuleerd: 1) verhoging van de kwaliteit van de HR-dienstverlening en rapportages; 2) kostenbesparingen door het invoeren van zelfservice voor medewerkers en hierdoor reductie van HR-medewerkers; 3) het voldoen aan veiligheidseisen op het gebied van persoonlijke gegevens van medewerkers in de verschillende landen. Tot het moment van invoering was er geen informatiesysteem voor HR beschikbaar dat eenduidige analyses en rapportages kon verzorgen betreffende medewerkers wereldwijd. Er werd gewerkt met een veelheid aan systemen en spreadsheetachtige applicaties in verschillende Business Units, terwijl historische data veelal ontbraken. Vragen vanuit het hoofdkantoor konden pas na veel handmatige bewerkingen worden beantwoord. Het initiatief werd eerst vanuit ‘corporate’ niveau georganiseerd, maar de verschillende BU’s moesten zelf de kosten dragen. Hoewel de totale scope in principe vast stond, ontbraken er implementatiestandaarden. De BU’s konden naar eigen inzicht (delen van het) ERP-systeem invullen en de tijdslijnen uitzetten. Wel probeerde men gewenste functionaliteit in de ene BU zodanig te generaliseren dat dit ook voor andere bedrijfsonderdelen bruikbaar zou zijn. Om het systeem effectief te krijgen werden afspraken gemaakt op het gebied van standaardisatie van data, op zowel syntactisch als semantisch niveau. Dit lukte maar in beperkte mate. Verder was standaardisatie van de HR-processen zeer moeilijk, omdat er geen duidelijke beslissingsbevoegdheid was aangewezen. Omdat de beoogde voordelen niet gehaald leken te worden, en maar vijftig procent van de processen gestandaardiseerd waren, werd het implementatietraject anders ingericht. Het programma werd ondergebracht in een shared service unit en
onderdeel gemaakt van een veranderingsproces op organisatorisch gebied. Het programma kreeg nu een andere focus: in plaats van primaire aandacht voor de techniek werd dit verschoven naar het HR-proces. Hierdoor moesten afspraken worden gemaakt op het gebied van gestandaardiseerde data en processen. Daarnaast werden verplichte standaarden opgelegd en was afwijken alleen mogelijk als dit voortkwam uit locale wet- en regelgeving. Verder was er veel meer commitment vanuit het management om tot een gestandaardiseerd globaal HR-systeem te komen. Het gevolg was dat de beoogde voordelen grotendeels wel werden behaald, waaronder tachtig procent generieke functionaliteit, inclusief het recruitmentsysteem, performance management van medewerkers, de payroll interface en career development. Door de staff self service kon het aantal '5&T BENJOJTUSBUJFG POEFSTUFVOFOE HR-personeel sterk worden gereduceerd. Het resterende personeel kon zich meer gaan richten op tactische zaken. De tevredenheid van de HRmedewerkers met het systeem was sterk afhankelijk van de mate van betrokkenheid bij de bepaling van specifieke requirements en de invoering van het systeem. Dit natuurlijk BGHF[JFOWBOEFSFEVDUJFJO'5&BBO tallen. Daarnaast verbeterde de rapportagekwaliteit sterk. Vragen als het aantal vrouwelijke medewerkers in hogere managementposities in een bepaalde business line per land konden snel worden beantwoord. De belangrijkste dataelementen werden slechts tot op zekere hoogte gestandaardiseerd, omdat eigenaarschap en beslissingsbevoegdheden niet eenduidig werden vastgelegd tussen HR-lokaal en op ‘corporate’ niveau. In deze casestudy kwam naar voren dat het behalen van de doelstellingen sterk afhankelijk is van de mate van eigenaarschap en bevoegdheden over de bedrijfs-ITstandaard.
de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 28
15/02/11 7:09 PM
Informatiebeveiligingsmanagement De casestudy in informatiebeveiligingsmanagement betrof de invoering van (delen van) de internationale standaard ISO/IEC 27002 bij één van de Business Units. Met een aantal initiatieven, gebaseerd op de richtlijnen uit deze standaard, zou zowel de dienstverlening als het risicoprofiel van de Business Unit moeten verbeteren. De initiatieven hadden ondermeer betrekking op ‘Vulnerability Management’, ‘Risk Assessments’, ‘Security Incidents’, ‘Security Awareness’ en het oplossen van audit issues. Als gevolg hiervan kon gemakkelijker aan wet- en regelgeving worden voldaan, voldeden nieuwe informatiesystemen beter aan het interne veiligheidsbeleid en was het businessmanagement beter in staat om gerichte investeringen in informatiebeveiliging uit te voeren. Businessmanagement was in staat op basis van ‘Vulnerability Management’ en ‘Risk Assessments’ een beter zicht te krijgen in de werkelijke risico’s in plaats van in de gepercipieerde risico’s. De meeste van deze initiatieven werden centraal ingevoerd en gecoördineerd (om eenduidigheid te bewerkstelligen) en decentraal uitgevoerd (om dicht bij de klant te zijn). Bij de selectie waren er een aantal issues, zoals een beperkte inbreng vanuit de business bij de start van dit initiatief en het ontbreken van financiële gegevens en gericht te behalen doelstellingen (KPIs). Dit was ook het geval bij de invoering, zoals het ontbreken van duidelijke tijdslijnen en onvoldoende, of niet geaccordeerde budgetten. Als hieraan wel was voldaan zouden er met de initiatieven hoogstwaarschijnlijk nog effectievere resultaten geboekt zijn ten gevolge van betere samenwerking en commitment vanuit de business. Het overall plaatje De zakelijke effecten ten gevolge van het gebruik van bedrijfs-IT-standaarden zijn bepaald aan de hand van de vier Balanced Scorecard-per-
BSC perspectief
Voordelen
Nadelen
Financieel
Kosten van IT-ontwikkeling en IT-beheer lager, ondermeer door vermindering van benodigd aantal medewerkers en verlaagde complexiteit. Klanttevredenheid hoger, maar afhankelijk van de mate waarin de business door IT wordt betrokken. Kwaliteitsverbeteringen (zoals minder fouten, meer stabiliteit, betere onderhoudbaarheid, verbeterde veiligheid en consistentie van gegevens). Onderlinge afhankelijkheden beperkt (modulariteitsprincipe), waardoor wijzigingen eenvoudiger kunnen worden uitgevoerd, zoals migratie naar andere bedrijfs-IT-standaarden (minder leveranciersafhankelijkheid).
Overheadkosten.
Klant
Intern
Leren & Groeien
Vergt een continue inspanning om stakeholders te overtuigen. Coördinatie-inspanningen tussen de afdelingen.
Kost veel tijd om organisatie naar hoger volwassenheidsniveau te krijgen (alignment kwesties); Personeel ontslagen waardoor kennis weglekt.
Tabel 3: Overzicht van zakelijke effecten door gebruik van bedrijfs-IT-standaarden spectieven, die naast de financiële kant ook kwalitatieve aspecten in ogenschouw nemen. De casestudies hebben aangetoond dat de bedrijfsprestaties verbeteren door op de juiste manier geschikte bedrijfs-ITstandaarden toe te passen. De effecten die werden gevonden staan vermeld in tabel 3. KERNRESULTATEN Het belangrijkste resultaat van dit onderzoek betreft het inzicht dat expliciet onderscheid tussen governance (bestuur) en management van bedrijfs-IT-standaarden resulteert in een effectieve en efficiënte toepassing hiervan. De begrippen governance en management zijn gebaTFFSE PQ <8&*-> FO BMT WPMHU gedefinieerd: t (PWFSOBODF WBO CFESJKGT*5TUBOdaarden betreft de verdeling van de beslissingsbevoegdheden en een verantwoordingsplichtraamwerk om wenselijk gedrag te stimuleren. t .BOBHFNFOUWBOCFESJKGT*5TUBOdaarden betreft de besluitvorming zelf, verband houdend met de planning, het organiseren, het beheersen en het regisseren van zulke standaarden. Gebaseerd op de empirische resulta-
ten uit de casestudies is een kwaliteitsmanagementraamwerk voor bedrijfs-IT-standaardisatie ontwikkeld met daarin opgenomen deze twee componenten ‘governance’ en ‘management’ van de bedrijfs-ITstandaarden. Dit raamwerk bleek van elementair belang in het beschrijven en verklaren van de veranderingen van de bedrijfsprestaties als gevolg van toepassing van deze standaarden. Hierin onderscheiden we de onderdelen governance, management en proces performance. Zowel governance als management hebben betrekking op de gehele life cycle van bedrijfs-IT-standaardisatie, selectie, invoering en gebruik (inclusief wijzigingen en herselectie), en dragen bij tot de verwezenlijking van de beoogde zakelijke voordelen. In figuur 1 is dit model weergegeven. Het meten van de zakelijke effecten is erg belangrijk, omdat dit triggers oplevert om governance en/of management van de bedrijfs-ITstandaarden aan te kunnen passen indien nodig. In de casestudies hebben we hiervan een aantal voorbeelden gezien. Dit kan op verschillende manieren plaatsvinden: a) in het gebruik, b) bij het aanpassen van de invoering; c) bij de selectie van de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 29
29 15/02/11 7:09 PM
het bedrijfsmodel en aan de drijfveren van het bedrijf; 3) de mate waarin de behandeling van uitzonderingen op de standaard effectief en efficiënt wordt uitgevoerd.
Governance of Standard
Selection
Use
Implementation
Process Performance
Management of Standard
Figuur 1: Kwaliteitsmanagement-raamwerk voor bedrijfs-IT-standaardalisatie [WESS10]
een geheel nieuwe bedrijfs-IT-standaard. Betreffende de governance van bedrijfs-IT-standaarden zijn de drie belangrijkste aandachtpunten die van invloed zijn op selectie, invoering en gebruik, en dus op de bedrijfsprocesprestaties, uit te drukken in een ‘wat, ‘wie’ en ‘hoe’. Respectievelijk zijn dit: 1) de te nemen beslissingen op het gebied van de toepassingen van de standaarden binnen een bedrijf (zie tabel 4); 2) de mate waarin de ver-
schillende stakeholders, waaronder business en IT-afdelingen, zijn betrokken en onderling hebben afge1 stemd ; 3) de mate van het overeengekomen eigenaarschap van de bedrijfs-IT-standaard en/of onderdelen binnen deze standaard. Met betrekking tot het management van de bedrijfs-IT-standaarden zijn de belangrijkste aandachtpunten: 1) het niveau van de ondersteuning door het hoger management; 2) de mate van aandacht die is besteed aan
Tijdens de invoering en het gebruik zijn uiteraard adequaat project- en IT-service management van groot belang. Ook het actief voorschrijven en de controle op het gebruik van deze standaarden dragen positief bij aan een effectieve toepassing ervan. Tenslotte wordt door het hanteren van een standaard manier van implementeren van de bedrijfs-IT-standaard voorkomen dat er lokale en incompatibele versies worden geïntroduceerd binnen de verschillende onderdelen van een bedrijf. Dit laatste is een activiteit die bij een kwaliteitsmanagementafdeling kan worden belegd. PRAKTISCHE WAARDE EN ROL VOOR ITAUDITORS De praktische waarde van dit onderzoek bestaat uit een aantal onderdelen. In de eerste plaats is er inzicht gegeven uit welke stappen een bedrijfs-IT-standaardisatieproces
Beslissingsgebied
Omschrijving
Vraagstelling IT standaard
IT-principes
Beslissingen op hoog niveau over de strategische rol van IT. Geïntegreerde set van keuzes die de organisatie richting geeft om aan de zakelijke behoeften te kunnen voldoen.
t 8BU[JKOXFOTFMJKLFCFESJKGT*5TUBOEBBSEFO
IT-architectuur
IT-infrastructuur
Applicatiebehoeften van de business
Prioriteitsstelling en investeringsbeslissing
Centraal gecoördineerde en gedeelde IT-diensten die de basis vormen van de IT capability van de onderneming. Business eisen ten aanzien van gekochte of intern ontwikkelde IT-toepassingen.
Bepaling hoeveel en waar in IT te investeren (Portfolio Management).
t 8 FMLFUFDIOJTDIFDBQBCJMJUJFTNPFUFOXPSEFOHFTUBOEBBS diseerd om bedrijfsbrede IT-efficiëntie te ondersteunen en standaardisering van processen en de integratie te WFSHFNBLLFMJKLFO t 8FMLFBDUJWJUFJUFONPFUFOXPSEFOHFTUBOEBBSEJTFFSEPN CFESJKGTCSFEFEBUBJOUFHSBUJFUFPOEFSTUFVOFO t 8FMLFJOGSBTUSVDUVVSEJFOTUFONPFUFOCFESJKGTCSFFEXPSEFO VJUHFWPFSE t ) PFLBOBBOEFCFIPFGUFOVJUEFCVTJOFTTXPSEFOWPMEBBO CJOOFOEFCFESJKGT*5TUBOEBBSEFO t 8BOOFFSNPFUEFCVTJOFTTFFOVJU[POEFSJOHPQFFO TUBOEBBSESFDIUWBBSEJHFO t 8BUJTIFUSFMBUJFWFCFMBOHWBOCFESJKGTCSFEFWFSTVT CVTJOFTTVOJUJOWFTUFSJOHFO t )PVEFOEFJOWFTUFSJOHFOJO*5WFSCBOENFUIVOSFMBUJFWF CFMBOHFO[JKOEF[FJOMJKONFUEFTUSBUFHJF
Tabel 4: Governance van IT-standaarden: 5 beslissingsgebieden [WEIL05]
30
de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 30
15/02/11 7:09 PM
bestaat, is er aangetoond dat zakelijke voordelen met IT-producten en/of processtandaarden kunnen worden bereikt en hoe deze gemeten kunnen worden. Het onderzoek verschaft inzicht in de invloed van bedrijfs-IT-standaarden op bedrijfsprocessen en hoe door middel van effectieve en efficiënte governance en management van dergelijke standaarden in de praktijk de beste resultaten kunnen worden behaald. Het ontwikkelde kwaliteitsmanagementraamwerk is inmiddels succesvol in de praktijk toegepast binnen ABN AMRO op andere dan ITstandaarden, zoals voor project portfoliomanagement. Het model is echter in de eerste instantie getest bij slechts één case organisatie en dus is er nog de vraag van generieke toepasbaarheid. Daarom is er ook vervolgonderzoek gaande dat betrekking heeft op organisaties in verschillende sectoren in een aantal landen. Het betreft zowel casestudy als surveyonderzoek. De bevindingen uit deze nieuwe casestudies laten zien dat toepassing van het kwaliteitsmanagementraamwerk ook geldig is voor andere middelgrote tot grote organisaties die gebruik maken van product- en processtandaarden in de ondersteunende processen (IT, HR, 'JOBODF 0QFSBUJPOT FUDFUFSB Voor de auditor betekent dit dat de controle op beleid en standaarden binnen een bedrijf een extra dimensie krijgt. Bij het begin van bedrijfsIT-standaardisatie initiatieven (de selectiefase) zou de auditfunctie al betrokken kunnen worden om strategische risico’s, ten gevolge van niet bestaande of een verkeerde verdeling van beslissingsbevoegdheden, te beoordelen. Daarnaast zouden auditors een belangrijke rol kunnen spelen tijdens de implementatiefase, om projectmanagementrisico's bij de invoering van de standaard te beoordelen. Wordt er bijvoorbeeld niet afgeweken van de voorgeschreven manier van invoeren? Tenslotte
zijn er in de gebruiksfase verschillende operationele risico's te beoordelen, zoals een gebrek aan controle op het gebruik van de standaard of een onjuiste afhandeling van verzoeken om van de standaard af te wijken. CONCLUSIES De casestudies hebben aangetoond dat door expliciet onderscheid te maken tussen governance en management van bedrijfs-IT-standaarden de bedrijfsprestaties verbeteren. Essentieel is de juiste invulling van het ‘wat’, ‘wie’ en ‘hoe’ voor de gehele life cycle van bedrijfs-IT-standaardisatie. Voorbeelden van succesvolle en minder succesvolle inrichting hiervan zijn in de casestudies beschreven. Ik daag organisaties dan ook uit op een soortgelijke manier naar hun bedrijfsIT-standaardisatieproces en standaarden te kijken om zo optimaal mogelijk de zakelijke voordelen te behalen uit de investeringen op dit vlak. ■
Literatuur [KAPL92] Kaplan, R.S., Norton, D.P. (1992). The Balanced Scorecard - Measures that Drive Performance, Harvard Business Review, January-February 1992, Vol. 70, No. 1, pp. 71-79. [VRIE06] Vries, H.J. de (2006), IT Standards Typology, in Advanced Topics in IT Standards and Standardization Research, Editor: Kai Jakobs, Publisher: Idea Group Inc., Hershey PA, USA. [WEIL04] Weill, P., Ross, J. (2004), IT Governance - How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press, Boston MA, USA.. [WEIL05] Weill, P., Ross, J. (2005), A Matrixed Approach to Designing IT Governance, MIT Sloan Management review, Winter 2005, Vol. 46, No. 2, pp. 26-34. [WESS10] Wessel, R.M. (2010), Toward Corporate IT Standardization Management. Frameworks and Solutions, IGI Global, Hershey, PA, USA.
Noot 1 Een voorbeeld is een zogenaamde IT-Duopoly [WEIL04] - een combinatie van IT-managers en een aantal business managers.
Dr. Ir. R.M. (Robert) van Wessel is business architect bij ABN AMRO en onderzoeker aan de Rotterdam School of Management, Erasmus Universiteit. Dit artikel is op persoonlijke titel geschreven.
de IT-Auditor nummer 1 | 2011
IT Auditor_11_01.indd 31
31 15/02/11 7:09 PM