IT Governance: Hoe draagt ICT anno 2010 bij aan het succes van de overheid? Whitepaper
Een verslag van ontwikkelingen en mogelijkheden op het gebied van IT Governance bij binnenlandse en buitenlandse overheden voor bestuurders, directieleden en CIO‟s.
Jan F. Bouman, CGEIT
1
Management Consultant Programmamanager
versie 1.0, december 2009 © Inter Access 2009
Whitepaper
Inhoudsopgave Voorwoord ............................................................................................. 3 1. Inleiding ............................................................................................ 4 2. Zijn ICT projecten dan zo moeilijk? .................................................... 9 3. Rijksoverheid ................................................................................... 11 3.1 Grip op informatievoorziening ............................................................. 11 3.2 Een spiraal van toenemende complexiteit ............................................. 12 3.3 Meldpunt ICT-verspilling ..................................................................... 14 3.4 Onvolwassen ICT bij de overheid ......................................................... 14 4. Gemeenten ....................................................................................... 16 4.1 Algemeen ......................................................................................... 16 4.2 Gemeente Rotterdam ......................................................................... 17 4.3 Gemeente Amsterdam: Complexe organisatie ....................................... 18 4.4 ICT op Normaal Amsterdams Peil (NAP)................................................ 21 5. Buitenland ........................................................................................ 23 5.1 Lessen uit Australië ............................................................................ 23 5.2 Lessen uit de VS: Clinger Cohen en SOx ............................................... 24 5.3 Het Verenigd Koninkrijk: GatewayTM reviews ......................................... 25 6. Handreikingen voor bestuurders, CIO’s en managers ...................... 26 6.1 ISO 38500: een strategische handreiking voor bestuurders en CIO‟s ..................................................................................................... 26 6.2 ISO checklist voor bestuurders en CIO‟s ............................................... 27 6.3 Gateway reviews: handreiking voor CIO‟s en managers .......................... 28 6.4 CobiT®: Voor ICT managers die „in control‟ willen zijn ............................ 30 6.5 Val ITTM: Wat levert de ICT op? ........................................................... 33 6.6 Buiten de overheid: ING ..................................................................... 36 7. Conclusies en aanbevelingen ........................................................... 38 7.1 Wat is er aan de hand? ....................................................................... 38 7.2 Waarom IT Governance ...................................................................... 39 7.3 Wat gebeurt en nu binnen de overheid? ............................................... 40 7.4 Welke vragen moet ik stellen? ............................................................. 41 7.5 Wat moet ik doen?............................................................................. 44 7.6 Eindconclusie .................................................................................... 44 Nawoord: Inter Access ......................................................................... 45 Verwijzingen ........................................................................................ 46
2
Whitepaper IT Governance: hoe draagt ICT anno 2010 bij aan het succes van de overheid? IT GOVERNANCE BIJ DE OVERHEID
Handreikingen voor bestuurders, directieleden en CIO‟s Voorwoord
INFORMATIEVOORZIENING TE BELANGRIJK OM ALLEEN AAN ICT‟ERS OVER
Uw organisatie drijft op informatie. Informatie-voorziening en ICT zijn daarom te belangrijk om alleen aan ICT’ers over te laten.
TE LATEN
Succesvol aansturen van ICT betekent dat bestuurders en directies weten welke ICT gerelateerde risico´s zij lopen en wat zij er aan kunnen doen. Zij draaien aan de knoppen. Zij bepalen hoeveel ICT bijdraagt aan het succes van ministerie, provincie, waterschap of gemeente. Welke informatie is nodig om politieke, bestuurlijke of bedrijfsmatige ambities te halen? Of om burgers, volksvertegenwoordigers en andere deelnemers aan de samenleving van de juiste informatie te voorzien? Wat kan de ICT daaraan bijdragen? Deze whitepaper presenteert handreikingen voor bestuurders, directies en CIO‟s om te sturen, zonder dat zij diepgaande inhoudelijke kennis van ICT hoeven te hebben. Hierbij passeren een aantal spraakmakende onderzoeken naar ICT binnen de HANDREIKINGEN VOOR
overheid de revue.
BESTUURDERS, DIRECTIES EN CIO‟S
IT Governance helpt bestuurders, directieleden en CIO‟s anno 2010 niet alleen om ICT debacles te voorkómen, maar vooral om overheidsorganisaties beter te laten functioneren.
3
Whitepaper 1. Inleiding 1.1 Wat gaat er mis met ICT bij de overheid? Wat gaat er mis op het gebied van ICT bij de overheid? Deze vraag wordt al jaren gesteld aan de hand van signalen uit verschillende VIJF MILJARD EURO VERSPILLING
hoeken. In 2007 ontstond een discussie in de Tweede Kamer over 5 miljard euro aan verspild ICT geld bij de Rijksoverheid. Of dat nu allemaal weggegooid geld was, bleef onduidelijk. Door de Socialistische Partij werd een meldpunt ICT verspilling bij de overheid georganiseerd. De Minister van Binnenlandse zaken kondigde een onderzoek van de Algemene Rekenkamer aan. Zo werd gezocht naar duidelijkheid.
1.2 Ook gemeenten, provincies, waterschappen en provincies Met meer duidelijkheid wordt nog niet vastgesteld wat er aan RIJK, PROVINCIES, WATERSCHAPPEN EN GEMEENTEN
gedaan kan worden. Deze whitepaper gaat daar nader op in. Het gaat niet alleen om de grootste en duurste ICT projecten van tientallen miljoenen euro‟s, maar ook om de kleinere projecten. Doelgroep voor dit document is daarom breder dan de rijksoverheid. Het richt zich ook op gemeenten, waterschappen en provincies.
1.3 Niet voor ICT‟ers Deze whitepaper richt zich op bestuurders en directies die betrokken zijn bij aansturing van informatievoorziening en IT. Overheidsinstanties zijn immers informatiefabrieken waarin de OVERHEIDSINSTANTIES ZIJN INFORMATIEFABRIEKEN
informatievoorziening essentieel is. Zowel intern in de bedrijfsvoering als extern naar burgers, bedrijven en andere overheidsinstanties. De inhoud is dus niet bedoeld voor ICT‟ers, maar voor bestuurders en directies die hun verantwoordelijkheid alleen kunnen waarmaken met gebruikmaking van ICT.
1.4 Verantwoordelijkheid die de ICT overstijgt Sturing van informatievoorziening als belangrijke productiefactor (naast personeel en financiën) is iets anders dan management en LAAT TECHNIEK AAN DE TECHNICI
beheer van ICT. Laat de techniek over aan de technici. Echter, sturing van informatievoorziening kan niet overgelaten worden aan technici en ICT‟ers. Op dat gebied dienen bestuurders en directies hun verantwoordelijkheid te nemen. Dit is een zaak die de ICT overstijgt. Deze whitepaper geeft enkele handreikingen.
4
Whitepaper 1.5 Niet alleen in Nederland Het is wellicht een schrale troost maar Nederland is niet het enige land dat worstelt met ICT bij de overheid. Deze whitepaper kijkt LESSEN UIT HET BUITENLAND
ook naar Australië, het Verenigd Koninkrijk en de Verenigde Staten. Er zijn lessen te leren over de aanpak van ICT en de sturing vanuit het hoger management bij overheidsinstanties in die landen.
1.6 IT Governance bij de overheid Die sturing door bestuurders en directies duiden we aan met een modern begrip: IT Governance. IT Governance stelt en beantwoordt de volgende drie vragen: -
Performance: doet de ICT wat ervan verwacht wordt?
-
Conformance: wordt er aan de geldige regels voldaan?
-
Transparantie: zijn performance en conformance duidelijk, meetbaar en controleerbaar?
PERFORMANCE, CONFORMANCE EN TRANSPARANTIE
Het laatste punt, transparantie, wordt vaak weggelaten. Voor de overheid moet het zeker genoemd worden, omdat de meeste instanties onderworpen zijn aan de Wet openbaarheid van bestuur (Wob). Bovendien treden er voor overheidsinstanties allerlei toezichthoudende organen op. Tenslotte is er de morele en formele plicht van bestuurders om van tijd tot tijd verantwoording af te leggen. Ook voor bedrijven is het noemen van „transparantie‟ als aspect van IT Governance relevant omdat de regels over eerlijk zaken doen steeds scherper worden (Code Tabaksblatt, Sarbanes Oxley). In het boek „Focus op IT-bestuur‟
2
van het Nederlands
Architectuur Forum, wordt IT Governance als volgt gedefinieerd: “IT Governance betreft de inrichting van de besturing van de ITfunctie”. Hier wordt IT Governance gezien in relatie tot Enterprise Governance en Business Governance.
Schema 1. Vormen van governance 5
Whitepaper Schema 1 (afkomstig uit „Focus op IT-bestuur‟) onderscheidt vier vormen van Governance. BESTURING VAN DE IT FUNCTIE
-
Enterprise Governance: Overkoepelend bestuur van de complete organisatie waarin de samenhang wordt bewaard.
-
Corporate Governance: Besturing van het naleven van weten regelgeving. Dus vooral het „conformance‟ aspect.
-
Business Governance: Besturing van de prestaties van de organisatie. Dus vooral het „performance‟ aspect.
-
IT Governance: De ICT aspecten van corporate en business governance. IT Governance is een afgeleide van corporate en business governance.
1.7 Veel investeringen in efficiency van IT Er zijn geluiden dat IT Governance niet gebracht heeft wat er van verwacht werd, ondanks het feit dat er wereldwijd veel is VEEL METHODEN EN
geïnvesteerd om ICT beter te laten functioneren. Methoden en
TECHNIEKEN: TOCH
technieken die ICT professioneler maken, buitelen over elkaar
MISLUKKEN PROJECTEN
heen. Beter beheer door ITIL, betere projecten door Prince2, betere softwareontwikkeling door CMMi en betere sturing door CobiT®. En toch mislukken projecten. De gevolgen daarvan bereiken de publiciteit, zeker als het om veel gemeenschapsgeld gaat.
1.8 IT management en IT governance Hoe komt dit? De verklaring ligt onder andere in het verschil GOVERNANCE IS GEEN MANAGEMENT
tussen management en governance. Veel pogingen om iets te bereiken met methoden en technieken hebben te maken met management van ICT, ongeacht de vraag of de ICT activiteiten wel echt zinvol zijn. Management van het ICT-aanbod is hierdoor inderdaad verbeterd. Het is mogelijk met ICT op efficiënte wijze, slecht lopende en inefficiënte bedrijfsprocessen te automatiseren. De ICT-vraag binnen organisaties is onderbelicht gebleven. We hebben het dan over de strategische vraag hoe ICT kan bijdragen
IT GOVERNANCE: STRATEGISCHE VRAAG EN AANBOD
aan de organisatiedoelstellingen. Tot nu toe zijn wij onvoldoende in staat geweest om aan de vraagkant van ICT voldoende besef en inzicht te creëren dat de juiste vragen en eisen worden gesteld. Wat wordt er van ICT verwacht, hoe formuleren we dat en hoe sturen we dat aan? En dat terwijl ICT essentieel is voor het functioneren van organisaties.
6
Whitepaper IT Governance geeft strategie aan en doelen die IT Management ICT IS EEN
moet bereiken. IT Governance controleert of IT management zich
BEDRIJFSMIDDEL DAT
hier aan houdt en stuurt zo nodig bij. Als er sprake is van balans
NOG NIET BEGREPEN
tussen „efficiënt aanbod van IT‟ en „voldoende aandacht voor de
WORDT
vraag naar IT‟, dan is IT Governance effectief en zullen projecten succesvol afgerond kunnen worden. De Algemene Rekenkamer zegt in zijn rapport uit 2008 „Lessen uit ICT-projecten bij de overheid‟ (waarover hierna meer) Het volgende:“Anders dan bij zaken als financiën en human resources, is ICT een bedrijfsmiddel waarvan nog niet zo goed begrepen wordt hoe deze bijdraagt aan de business‟‟.
1.9 Positionering van IT-Governance Een belangrijk begrip bij IT-Governance is „portfolio‟. In het raamwerk PORTFOLIO
3
van schema 2 worden drie verschijningsvormen van
„portfolio‟ genoemd. De term portfolio is ontleend uit de effectenhandel waar beslissingen genomen worden op basis van kosten, baten, verwachtingen en risico‟s. Het totaal van de gedocumenteerde producten- en diensten die een overheidsinstelling levert, wordt de businessportfolio genoemd.
PORTFOLIO VAN MEER DAN 500 PRODUCTEN EN DIENSTEN
Voor een gemeente zijn dat er bijvoorbeeld in totaal meer dan 500, variërend van uitgifte van paspoorten, vergunningen, subsidies, beheer van straten en plantsoenen, stadsontwikkeling, leerlingenvervoer enzovoort. Ook hierover worden beslissingen genomen op basis van kosten, baten, verwachtingen en risico‟s, maar (vooral) ook op basis van verplichtingen in verband met collegeprogramma‟s en wet- en regelgeving. De IT-portfolio is het totaal van gedocumenteerde diensten en
IT GOVERNANCE STUURT OP HET NIVEAU VAN DE IT PORTFOLIO
producten die de ICT levert. Dit is het niveau waar IT Governance op stuurt. In dit IT-portfolio wordt onderscheid gemaakt tussen: -
de projectportfolio voor alle veranderingen en nieuwe ontwikkelingen. Deze zijn, zoals blijkt uit het schema, ingegeven door de kansen en bedreigingen voor de businessportfolio;
-
de applicatieportfolio voor alle applicaties (functies) en infrastructuur die de ICT levert. Deze zijn gericht op de statusquo en ondersteunen de bestaande producten en diensten van de businessportfolio.
7
Whitepaper
Schema 2. IT Governance raamwerk
3
1.10 Interesse bij bestuurders en directies Tot op heden zien wij onvoldoende animo bij bestuurders en directies om zich met ICT bezig te houden. Er wordt dus niet GEEN STURING VAN BOVENAF
gestuurd van bovenaf. De lagen onder de top (van overheidsinstanties) zijn daardoor onvoldoende in staat samenhang te bereiken, aan te sluiten bij strategische doelen, politieke ambities (ten koste van het haalbare) te weerstaan en vele andere zaken die in de volgende hoofdstukken aan de orde komen. En dat terwijl in de moderne informatiemaatschappij ICT op even strategische wijze aangestuurd moet worden als personeel en financiën.
GAT TUSSEN RESULTATEN EN VERWACHTINGEN
ICT wordt gemanaged op tactisch niveau, maar niet bestuurd op strategisch niveau. Er wordt dus te weinig aan IT Governance gedaan. Daardoor gaapt er een gat tussen resultaten en verwachtingen. Geen wonder dat zoveel projecten mislukken. Bestuurders en directieleden hebben daarnaast het idee dat ze er te weinig verstand van hebben. Zij redeneren: laat de ICT manager als specialist het maar oplossen. Er moet anders te veel tijd en
LAAT DE ICT MANAGER
energie aan besteed worden terwijl ze (ook) met andere
HET MAAR OPLOSSEN?
belangrijke zaken te maken hebben. En daarom gaat het dikwijls fout.
Dit is de uitdaging waar deze whitepaper verder op in gaat. De volgende hoofdstukken gaan over de wijze waarin de Rijksoverheid, de gemeenten Rotterdam en Amsterdam, de Australische, de Amerikaanse en de Britse overheden met deze problematiek om gaan. Ook nemen we een kijkje buiten de overheid. Maar eerst: Zijn ICT projecten dan zo moeilijk?
8
Whitepaper 2. Zijn ICT projecten dan zo moeilijk? In 2005 brachten Heemstra, Kusters en Snel het onderzoeksrapport „Eenzijdige risico-inventarisaties bedreigen ICT70% VAN DE PROJECTEN VOLDOET NIET
projecten‟ uit 4. Zij presenteren de volgende tabel
5
waarin wordt
aangegeven dat in 2004 slechts ca. 30% van de ICT projecten een succes genoemd mag worden. Deze projecten voldoen aan afspraken over tijd, geld en kwaliteit. De overige 70% ICT projecten stopt voortijdig of voldoet niet aan de genoemde afspraken.
Tabel 1: Kans op slagen van ICT projecten
Succes Mislukking Matig succes
1994 16% 31% 53%
1996 27% 40% 33%
1998 26% 28% 46%
2000 28% 24% 48%
2002 34% 15% 51%
2004 29% 18% 53%
Succes: Voldoet aan afspraken over tijdsduur, budget en kwaliteit Mislukking: Het ICT project stopt voortijdig Matig succes: Voldoet niet aan afspraken over tijdsduur, budget of kwaliteit
Heemstra, Kusters en Snel geven inzicht in de oorzaken van deze mislukkingen door een 50-tal risico‟s te benoemen. Interessant daarbij is echter de wijze waarop de verschillende belanghebbenden (opdrachtgever, projectleider, adviseur, NIEMAND ZIET ZICHZELF ALS RISICOFACTOR
materiedeskundige, gebruiker, projectmedewerker) die risico‟s zien. Het blijkt dat de betrokkenen totaal verschillende risico‟s zien, elk vanuit hun eigen invalshoek. Ook blijkt dat niemand zichzelf als risicofactor ziet. Er is per definitie gebrek aan kritische zelfreflectie. De consequenties hiervan zijn verstrekkend. Als de risico‟s door slechts één betrokkene in kaart worden gebracht, dan geeft dit een eenzijdig beeld. Elke betrokkene ziet vooral risico‟s op de gebieden waar hij het meest verstand van heeft én waar hij niet direct voor verantwoordelijk is. Zie hiervoor tabel 2: Afwijkende risico-uitspraken. Voor het onderzoek zijn alle risico‟s, genoemd door alle betrokkenen, geïnventariseerd. Neem nu de opdrachtgever als voorbeeld van een betrokkene. Het blijkt dat de 18% van de risico‟s alleen door de opdrachtgever genoemd worden en door niemand anders. Daarnaast wordt 24% van de risico‟s door de opdrachtgever niet genoemd terwijl die wel door tenminste één van de andere betrokkenen genoemd worden. In totaal wijkt de opdrachtgever dus voor 42% af als het gaat om zijn inschatting van de risico‟s.
9
Whitepaper Tabel 2: Afwijkende risico-uitspraken (als percentage van het totaal aantal uitspraken) Betrokkene
Wordt alleen door de betrokkene als risico genoemd (en niet door de anderen)
Projectleider Opdrachtgever Gebruiker Materiedeskundige Projectmedewerker Adviseur
13% 18% 22% 26% 16% 18%
Wordt alleen door de betrokkene NIET als risico genoemd (en wel door de anderen) 18% 24% 12% 7% 18% 19%
Totaal
31% 42% 34% 33% 34% 37%
De belangrijkste drie (van de ruim vijftig) risico‟s die door de onderzoekers worden gesignaleerd en waarover door betrokkenen totaal verschillend wordt gedacht zijn: -
testen en migreren (te weinig aandacht, ondeugdelijke testplan/migratieplan);
-
projectkenmerken (te omvangrijk, te complex, te innovatief);
-
afhankelijkheden (andere projecten, leveranciers).
Politieke bestuurders met hun mandaat van meestal vier jaren, komen niet voor in Heemstra‟s lijstje van betrokkenen. Echter bij grote overheidsprojecten zijn altijd (politieke) bestuurders betrokken met een eigen unieke wijze van denken en handelen. Juist door inbreng van bestuurders wordt de complexiteit nog groter dan voorgesteld in dit onderzoek. Het zou heel goed kunnen zijn dat als bestuurders in dit onderzoek van afwijkende risicouitspraken betrokken zouden zijn, de afwijking boven de 50% uit komt, zeker als de opdrachtgever (op ambtelijk niveau) al op 42% uit komt. De conclusie is dat betrokkenen in verschillende werelden leven en daardoor risico‟s totaal verschillend inschatten. Uitdaging bij ICT projecten is dus risico‟s vermijden en neutraliseren, door rekening te houden met de perceptie van alle HAALBAARHEID EN STUURBAARHEID KOMEN IN EEN ANDER LICHT TE STAAN
betrokkenen en daarop te sturen. Zeker in (en vóór) het begin van ICT projecten moeten consequenties van politieke ambities duidelijk en openbaar gemaakt worden. Het zijn directies, CIO‟s en vooral de bestuurders die dit moeten eisen. Haalbaarheid en stuurbaarheid van ICT komt daarmee in een ander licht te staan. Een uitdaging voor IT Governance bij de overheid.
10
Whitepaper 3. Rijksoverheid 3.1 Grip op informatievoorziening IT Governance wordt bij de Nederlandse rijksoverheid al jaren besproken. In maart 2006 werd het rapport „Grip op informatievoorziening IT Governance bij ministeries‟
6
door de
Algemene Rekenkamer aangeboden aan de Tweede Kamer. Met dit OVERHEID AL JAREN
rapport wilde men ICT blijvend hoog op de agenda zetten bij
BEZIG MET IT
politiek en leiding van ministeries. De rekenkamer concludeerde
GOVERNANCE
dat ministeries anno 2006 al volop bezig zijn met IT Governance. Het rapport gaf de volgende kijk op het recente verleden: “ Kabinet en Tweede Kamer zijn zich ook bewust van het belang van ICT en informatievoorziening. Dit komt duidelijk tot uiting in het beleid dat verwoord is in het programma Andere Overheid (Ministerie van BZK, 2003), in de twee nota‟s Beter presteren met ICT (Ministerie van EZ e.a., 2004a, 2004b, 2004c) en in het programma ICT en administratieve lastenverlichting (ICTAL) (Ministerie van EZ, 2003). Het rijksbrede karakter van het beleid brengt met zich mee dat ministeries bij het inrichten van hun IT Governance over de eigen muren heen moeten kijken‟‟. Het rapport uit 2006, aangeboden aan de Tweede Kamer, benoemt de volgende aandachtspunten. Deze aandachtpunten zijn hier aangevuld met commentaar van de auteur van deze whitepaper. –
Vermijd ‘blinde vlekken’ bij de inrichting van IT Governance. In 2006 waarschuwt de rekenkamer al voor een eenzijdig beeld als het gaat om IT Governance. Denk aan de opmerkingen hiervoor over IT management en IT Governance.
–
Werk vanuit omgevingsbewustzijn. IT Governance kan voor een ministerie (of gemeente) niet geïsoleerd bestaan. Anno 2010 is dit nog veel duidelijker geworden, bijvoorbeeld door allerlei wetgeving die overheidsinstanties dwingt om informatie te delen en te combineren.
EENZIJDIG BEELD
Ketenregie is dus noodzakelijk geworden. Bijvoorbeeld de Wet algemene bepalingen omgevingsrecht (Wabo). –
Zorg voor een goede aansluiting tussen beleid, organisatiestrategie en informatiestrategie. Informatiebeleid moet bewust aansluiten op de strategie van de organisatie én aansluiten op ander beleid, bijvoorbeeld op het gebied van personeel en financiën. 11
Whitepaper –
Beschouw het ministerie als één concern. Echter, ook binnen ministeries zal samenhang gebracht moeten worden op het gebied van informatiebeleid. Geen ad-hoc
GEEN AD-HOC BESLISSINGEN MAAR
beslissingen op afdelingsniveau meer maar portfoliobeleid:
PORTFOLIOBELEID
het centraal vaststellen en beheren van uitgangspunten op het gebied van te reserveren middelen, investeringsdrempels, stellen van prioriteiten voor investeringen en management van de portfolio. Zie ook paragraaf 1.9 in de inleiding over de IT portfolio. –
Ontwikkel een gestandaardiseerde concerninformatiearchitectuur. Architectuur wordt wel de gezien als de basis waarop effectief IT Governance gestoeld is. Als
ARCHITECTUUR IS DE
men geen principes af spreekt waarop keuze, ontwerp en
BASIS
realisatie van alle ICT voorzieningen zijn gebaseerd, dan kan men ook niet sturen. –
Organiseer vraag en aanbod van de ICTdienstverlening. Het organiseren van de vraag naar ICT blijkt tot op de dag van vandaag een lastig punt te zijn, zoals ook blijkt uit de volgende paragraven. Men moet wel weten wat wel en niet gevraagd kán worden, wat reëel is.
–
Beschouw IT Governance als een groeitraject naar een permanent proces. Neem de tijd om effectief IT Governance te organiseren. Creëren van bewustzijn, ook bij bestuurders en directies heeft tijd nodig. De vraag is of dit in het rapport uit 2006 ook zo geformuleerd zou zijn als de discussies over miljarden verspillende ICT projecten in volle hevigheid losgebarsten waren. Zie volgende paragraaf.
– LEIDERSCHAP
Zorg voor leiderschap en centrale regie. Het rapport pleit hier voor het aanstellen van een CIO per ministerie. Dit is in 2009 inderdaad gerealiseerd.
3.2 Een spiraal van toenemende complexiteit In 2007 kwamen een aantal financiële debacles op ICT gebied aan het licht. Er werd gesproken over 5 miljard Euro verspilling door FINANCIËLE DEBACLES
mislukte ICT-projecten. Voorbeelden waren P-direct, het salarissysteem van de ministeries, C2000, het communicatiesysteem van politie en hulpdiensten en de problemen bij de belastingdienst. In november van dat jaar kwam de Algemene Rekenkamer met Deel A van het rapport „Lessen uit ICT-projecten bij de overheid‟ 7.
12
Whitepaper Dit rapport in twee delen werd in opdracht van de Minister van Binnenlandse Zaken opgesteld naar aanleiding van de problemen met grote ICT-projecten bij de rijksoverheid. Dit eerste deel concludeert dat de overheid het zich vaak te moeilijk maakt met te complexe projecten. Naast successen zijn er TE COMPLEXE PROJECTEN
daardoor vaak mislukkingen. Dit is een hardnekkig probleem. Ook zegt het rapport dat de constatering dat overheidsprojecten vaak niet beheersbaar zijn, niet nieuw is.
ACTOREN HOUDEN ELKAAR GEVANGEN
De actoren in ICT-projecten houden elkaar gevangen. De Tweede Kamer wil dat de regering complexe problemen zo snel mogelijk op lost. Ministers tonen graag daadkracht en nemen daardoor te veel ICT-hooi op hun vork. Een haalbaarheidsonderzoek vooraf wordt niet als daadkrachtig signaal beschouwd. ICT leveranciers hebben grote projecten nodig om hun voortbestaan te garanderen. Door de belangen van deze actoren ontstaat een spiraal van toenemende complexiteit en is er geen weg terug. Projecten worden onbeheersbaar. De Algemene Rekenkamer zegt in „Lessen uit ICT-projecten bij de overheid, Deel A‟, ervan overtuigd te zijn dat ministers en hun ambtenaren de sleutel voor de oplossing in handen hebben. Een
BESTUURDERS EN AMBTENAREN HEBBEN DE SLEUTEL
minister wordt in dit geval gezien als bestuurder die er op moet toezien dat de genoemde spiraal van toenemende complexiteit niet plaats vindt. Volgens de rekenkamer dient de minister zich het volgende te bedenken: -
ICT is geen „quick fix‟ voor een probleem;
-
Politieke deadlines kunnen fataal zijn voor een project;
-
Er is (ook) bij ICT-ambities een kloof is tussen beleid en uitvoering;
-
Heroverwegingen onderweg zijn vaak onvermijdelijk;
-
Een exitstrategie voorkomt doormodderen.
Verder pleit de rekenkamer voor het onderbouwen van projecten met business cases en de aanstelling van CIO‟s (Chief Information Officers) bij ministeries en andere overheidsinstellingen. Ook wordt de Minister van Binnenlandse Zaken geadviseerd in de Verenigde Staten de ervaringen met wetgeving aldaar op te vragen.
13
Whitepaper 3.3 Meldpunt ICT-verspilling De discussie in 2007 over de verspilde miljarden was voor de Socialistische Partij in januari 2008 aanleiding met een Meldpunt DE VERSPILDE MILJARDEN
ICT-verspilling te beginnen. In mei 2009 werd gemeld dat er al 300 reacties binnen waren. Vaak ging het om bekende problemen, maar er werden ook nieuwe zaken gemeld. Druk van de politiek, te weinig kennis en te weinig nadenken over de meerwaarde van ICToplossingen werden als belangrijke oorzaken van problemen genoemd. Niet iedereen was te spreken over het meldpunt. Sommigen zien dit als gemakkelijk scoren van de SP. Anderen zien in dit meldpunt echter een mogelijkheid om de conclusies van de Algemene Rekenkamer en andere officiële onderzoekers te toetsen aan de basis. Ten aanzien van dit laatste heeft het meldpunt zeker
TOETSEN AAN DE BASIS
een functie, mits zaken goed onderzocht en onderbouwd worden en meldingen niet misbruikt worden voor beslissingen en acties op basis van gelegenheidspolitiek.
3.4 Onvolwassen ICT bij de overheid Deel B van „Lessen uit ICT-projecten bij de overheid‟ kwam in juni 2008 uit en moest de conclusies van deel A uitwerken tot concrete maatregelen.
FINANCIEEL BEHEER: EEN ROMMELTJE
Eén aspect waar deel B op wijst, is het gebrek aan informatie over ICT projecten bij de rijksoverheid, op basis waarvan beoordeling kan plaatsvinden. Bovendien is het financieel beheer van projecten niet ordelijk en controleerbaar. Het is dus eenvoudig gezegd een rommeltje. Ook legt het rapport de vinger op een zere plek van de ICT, namelijk de onvolwassenheid van het vakgebied. Dit blijkt uit de volgende passage:
TE WEINIG REKENING HOUDEN MET IMPACT OP DE ORGANISATIE
“De „business‟
8
en ICT zijn als het ware twee gescheiden werelden.
De business denkt bijvoorbeeld te snel in ICT-oplossingen. Ook wordt er te weinig rekening gehouden met de impact van een organisatieverandering op ICT. Anders dan bij zaken als financiën en human resources is ICT een bedrijfsmiddel waarvan nog niet zo goed begrepen wordt hoe deze bijdraagt aan de business”‟. De rekenkamer constateert dat informatievoorziening met behulp
CHIEF INFORMATION OFFICER (CIO)
van ICT, beter moet worden aangestuurd vanuit de top. De uitvoeringsinstanties die het beleid van de minister uitvoeren, moeten meer inzicht hebben in de mogelijkheden en onmogelijkheden van ICT. Hierbij speelt de CIO (Chief Information Officers) een belangrijke rol, die op elk ministerie benoemd moet 14
Whitepaper worden en op het hoogste niveau met de leiding aan tafel zit. Ook wordt onafhankelijke collegiale toetsing genoemd, te houden aan het begin en op cruciale momenten van een project. Dit is een verschijnsel waar men in het Verenigd Koninkrijk enkele jaren ervaring heeft in de vorm van de zogenaamde GatewayTM Reviews (waarover later meer in deze whitepaper). Ten aanzien van het financieel beheer bepleit de rekenkamer het definiëren en vaststellen van uniforme kostensoorten zodat vergelijken mogelijk wordt. De algemene rekenkamer concludeert dus dat de ICT nog niet goed begrepen wordt. Dat blijkt ook uit de focus op aanschafkosten terwijl de exploitatiekosten vaak over het hoofd gezien worden. Bestuurders zijn niet gewend te denken in termen van de DRIEKWART VAN DE KOSTEN IN EXPLOITATIE
levenscyclus van een ICT-systeem, temeer omdat de exploitatie meestal reikt tot ver na de termijn van hun mandaat. Kengetallen die iedere bestuurder en directielid in zijn oren zou moeten knopen, is dat als hij een ICT-systeem aanschaft van 10 miljoen Euro, hij zijn opvolgers opzadelt met exploitatiekosten van 30 tot 40 miljoen euro. De verhouding 1 op 3 à 4 is een gemiddelde en kan per ICT project afwijken.
15
Whitepaper 4. Gemeenten 4.1 Algemeen De Commissie Jorritsma
9
onder voorzitterschap van de
burgemeester van Almere, gaf in juni 2005 aan dat de gemeente „dé poort tot publieke dienstverlening‟ zou worden van de hele POORT TOT PUBLIEKE DIENSTVERLENING
overheid. De burger zou niet meer van het kastje naar de muur gestuurd worden en bij de gemeente altijd aan het juiste loket zijn. Het rapport „Publieke dienstverlening, professionele gemeenten. Visie 2015‟ presenteerde een tijdpad van 10 jaren waarin dit gerealiseerd moest worden. Sindsdien is er veel beweging in de informatievoorziening van gemeenten. Er zijn inmiddels een achttal wettelijke basisregistraties gedefinieerd en door nationale wetgeving wordt dat éne loket steeds meer afgedwongen. Voorbeelden daarvan zijn de Wet maatschappelijke ondersteuning (Wmo), de Wet algemene bepalingen omgevingsrecht (Wabo) en de Wet kenbaarheid publiekrechtelijke beperkingen (Wkpb). Uitgangspunt in de dienstverlening is dat de overheid de logica van de burger moet
LOGICA VAN DE BURGER
volgen en niet die van zijn eigen structuur, organisatie of processen. Dit heeft grote consequenties voor de informatiehuishouding van overheidsinstanties en vooral van gemeenten. We zien de trend dat de Rijksoverheid verschillende aspecten van
VAN BUSINESS GOVERNANCE NAAR CORPORATE GOVERNANCE
het functioneren van gemeenten verplaatst van „business governance‟ naar „corporate governance‟ (zie paragraaf 1.6). Zelfgekozen doelstellingen, bijvoorbeeld op het gebied van kwaliteit van dienstverlening, worden na verloop van tijd verplicht vastgelegd in wetgeving: performance wordt conformance. Veel gemeenten vertalen bovenstaande ontwikkelingen in innovatief klinkende actieprogramma‟s. Bijvoorbeeld: „Apeldoorn verandert‟, „Innovatie actieprogramma Groningen‟, „programma Brainport in Eindhoven‟, „IZI does it!‟ in Amsterdam, „Regie op Maat‟ in Leiden. „ICT in de stadsprogramma‟ (al vanaf 2001) in Den Haag en „Van Groei naar Bloei‟ in Purmerend. De vraag is of al deze programma‟s wel brengen wat er van verwacht wordt en hoe de sturing vanuit bestuurders en directies, de IT Governance, is.
16
Whitepaper 4.2 Gemeente Rotterdam De gemeenteraad van Rotterdam heeft in juli 2008 de stedelijke rekenkamer gevraagd een onderzoek te doen naar de ICT projecten van de gemeente. De gemeenterekening 2007 gaf aanleiding hiervoor. Dit leidde in maart 2009 tot het voorstel van de Rekenkamer voor een onderzoeksopzet waarin de volgende vragen werden geformuleerd: -
Is de aansturing en beheersing van ICT-projecten adequaat opgezet?
-
Is de verantwoording over ICT-projecten adequaat vorm gegeven?
-
Is het toezicht op ICT-projecten adequaat vormgegeven?
-
Is de kwaliteit van de informatievoorziening over ICTprojecten aan de raad adequaat voor wat betreft de voortgang en de beoogde en gerealiseerde baten en lasten (waaronder inverdieneffecten)?
In oktober 2009 verscheen het rapport van de rekenkamer, met als titel „Foutmelding in beeld‟
10
. Het persbericht van de
rekenkamer zelf geeft de volgende conclusie: “ICT is meer dan techniek alleen. Het grijpt vaak diep in in de dagelijkse werkprocessen. Bovendien vormt ICT in toenemende COLLEGE EN AMBTELIJKE TOP ERKENNEN ONVOLDOENDE BELANG ICT
mate het primaire proces zelf in plaats van dat het dit ondersteunt. College en ambtelijke top van de gemeente Rotterdam erkennen dit onvoldoende. In de afgelopen jaren stonden zij aan de zijlijn van de ICT-ontwikkelingen. Het college heeft geen grip op de samenhang tussen ICT-projecten en de realisatie ervan binnen budget en planning”. De Rotterdamse rekenkamer oordeelde dat onafhankelijk toezicht ontbreekt en de betrouwbaarheid van informatie over ICTprojecten niet wordt getoetst. Business cases bij het opstarten van projecten zijn er niet of onvoldoende. Overschrijdingen van planningen en kosten én tegenvallende kwaliteit zijn de gevolgen. De gemeente Rotterdam heeft in augustus 2009 een CIO aangesteld, maar de rekenkamer stelde dat er meer nodig was om de sturing te verbeteren. Er waren quick-win acties gestart die volgens de rekenkamer niet tot structurele verbetering van de sturing leidden. Hierbij werd gedoeld op borging van informatie uit de projecten op basis waarvan gestuurd kon worden. Er werd gewezen naar het college van B&W en de ambtelijke top. Zij namen volgens de rekenkamer onvoldoende verantwoordelijkheid 17
Whitepaper voor ICT en daarmee voor de informatievoorziening van „informatiefabriek Rotterdam‟, onder andere door de CIO te weinig ROTTERDAMSE CIO AANGESTELD
mandaat te geven. De CIO van Rotterdam werd namelijk onder de Directie Middelen en Control geplaatst. Deze conclusie werd niet herkend door het college en topambtenaren. Zij vonden dat de genomen maatregelen toereikend waren. In het blad Computable van 21 oktober 2009
11
werd hier in een
interview met de CIO van Rotterdam verder op ingegaan. Op de vraag of de positionering van de CIO niet te ver af staat van de politiek om ICT structureel op de bestuurlijke agenda te krijgen, antwoordde de CIO als volgt: “,Het college heeft bewust gekozen om de CIO onder te brengen CIO TE WEINIG MANDAAT?
bij deze dienst, omdat er dan een veel snellere start kan worden gemaakt met het ICT-verbetertraject. De inrichting van een aparte CIO-afdeling zou meer tijd hebben gekost. Bij Directie Middelen en Control bestond al de rol van informatiemanager, alleen vulden de directeur en de adjunct-directeur deze rol in naast hun andere taken. Bovendien, niemand bij de gemeente heeft er belang bij om de rol van CIO af te zwakken. Iedereen beseft de noodzaak van een strakkere aansturing van ICT. Er is niets voor niets een verbetertraject gestart. Het behoort ook tot mijn taak om aan de bel te trekken mocht ICT weer in de verdrukking komen‟‟. Gezien de andere in deze whitepaper genoemde onderzoeken is er ook in Rotterdam weinig nieuws onder de zon. Echter, zijn de
TE RADE GAAN BIJ ANDERE OVERHEIDSINSTELLINGEN
genomen maatregelen echt voldoende? Zal blijken dat de CIO serieus genomen wordt? De tijd zal het leren, maar het verdient aanbeveling dat college en topambtenaren van Rotterdam te rade gaan bij andere overheidsinstanties. Wat heeft daar gewerkt en wat niet?
4.3 Gemeente Amsterdam: Complexe organisatie Door de bestuursstructuur van de stad, opdeling in stadsdelen
12
,
diensten en bedrijven, is er een zodanige versnippering van ICT AMSTERDAM: DOORGESCHOTEN VERSNIPPERING
beleid en uitvoering ontstaan dat het College van B&W in 2004 concludeerde dat het te ver doorgeschoten was. Aanleiding hiervan was een manifest opgesteld door een aantal directies. Dit leidde tot de vorming van een Shared Service Center voor de ICT, het latere Servicehuis ICT. Naast het beheer van het gemeenschappelijk interlokaal communicatienetwerk (E-Net) voor de stad, werden er voor een achttal zogenaamde startgroepdiensten een aantal specifiek benoemde ICT functies centraal belegd. Brede acceptatie 18
Whitepaper van dit Servicehuis ICT binnen de organisatie werd echter niet bereikt en men worstelde met de kwaliteit van dienstverlening. De veertien stadsdelen van Amsterdam namen nauwelijks of geen diensten af van het servicehuis ICT, behalve het interlokaal netwerk E-Net. In 2008 werd McKinsey gevraagd om de ICT-functie van de stad door te lichten
13
. Er werd een aantal risico‟s voor de stad
blootgelegd vanwege gebrekkige vertaling van bestuurlijke en bedrijfsvoeringambities naar samenhangende ICT-programma‟s. Amsterdam liep grote risico‟s als het ging om veiligheid en beschikbaarheid van informatie. Met de toenemende digitalisering van documentenstromen én de communicatie met burgers en bedrijven werd dit risico snel groter. Ook had McKinsey het over gebrek aan standaardisatie en coördinatie van de ICT infrastructuur. ICT ONDERGESCHIKT AAN BEDRIJFSPROCESSEN
De onderzoekers constateerden dat informatievoorziening en ICT werd gezien als ondergeschikt aan de bedrijfsprocessen en dat daarom aan elke gril voldaan werd op een eigen specifieke manier. Van coördinatie was nauwelijks sprake. Dit maakte het nodig, volgens de onderzoekers, dat ICT een eigen zelfstandige status moest krijgen met een eigen directeur. De aanbevelingen van McKinsey waren gericht op meer samenhang en minder versnippering van de ICT, standaardisatie voor alle onderdelen van de stad, dus ook voor de stadsdelen, het aanwijzen van generieke applicaties én betere sturing door het aanwijzen van een CIO voor de stad die rapporteert aan de hoogste ambtenaar (gemeentesecretaris), en een Raad van Toezicht bestaande uit directeuren van diensten en secretarissen (directeuren) van stadsdelen. De aanbevelingen werden vervolgens uitgewerkt door een werkgroep Doorlichting IT, die met concrete adviezen en voorstellen aan het College van B&W kwam. De door McKinsey voorgestelde Raad van Toezicht werd niet nodig geacht maar de andere aanbevelingen werden door de werkgroep overgenomen en
AMSTERDAMSE CIO
uitgewerkt. Onder leiding van de nieuwe CIO als directeur ICT, benoemd per 1 juni 2009, werd er per 1 januari 2010 in Amsterdam een nieuwe Dienst ICT opgericht waarvan in oktober 2009 de contouren bekend werden gemaakt in het plan „ICT op NAP‟
14
.
19
Whitepaper Gemeente Amsterdam is bij uitstek een voorbeeld van IT Governance problematiek in een zeer complexe overheidsorganisatie. De stadsdelen hechten aan hun zelfstandigheid en menen daar goede redenen voor te hebben. Men COMPLEXITEIT VAN ICT
ziet in dat samenhang op ICT gebied noodzakelijk is om de ambities waar te maken op het gebied van dienstverlening (aan burgers en bedrijven), handhaving, beheer, regelgeving en efficiency. Het Amsterdamse model blijft echter gestoeld op samenwerking en draagvlak en minder op sturing van bovenaf. Het motto van de nieuwe organisatie is „gemeenschappelijk waar mogelijk, verbijzondering waar noodzakelijk‟. Al deze zaken leiden tot zeer complexe ICT. Oorzaken en gevolgen van complexiteit van ICT, waar Amsterdam dus nadrukkelijk mee te maken heeft, worden beschreven (voor ICT Managers) in het artikel
15
„Veroorzakers van complexiteit in
ICT-infrastructuur‟. Gevolgen zijn verhoging van kosten en verlaging van de kwaliteit (van dienstverlening). Als oorzaken worden genoemd: -
Wijzigingen in de organisatie. Er ontstaan nieuwe koppelingen en combinaties die aanvankelijk niet voorzien waren.
-
Legacy-systemen. Met kunst en vliegwerk moeten oude systemen draaiend gehouden worden terwijl ze niet voldoen aan de (kwaliteits)eisen van deze tijd.
-
Meer applicaties. Er is altijd een direct verband tussen het aantal verschillende applicaties (soms voor de zelfde of gelijksoortige functies) en complexiteit van de ICT.
-
Toenemende mobiliteit van medewerkers. Als iedereen op dezelfde plek blijft zitten is beheer en beveiliging redelijk simpel. Bij mobiliteit wordt complexiteit toegevoegd.
-
Meer regelgeving en andere voorschriften. Als een organisatie zijn eigen plan kan trekken, kan het een ICT infrastructuur op maat kiezen. In de praktijk is door weten regelgeving die vrijheid beperkt, zeker voor overheidsinstanties.
WETGEVING EN BUDGET ALS STUURMIDDELEN
Meer spullen in het datacenter. Meer, groter en complexer.
-
(On)volwassenheid van de ICT-beheerorganisatie. Professionaliteit gaat uit van de kracht van de eenvoud. Onvolwassenheid van het beheer maakt zaken juist complexer.
20
Whitepaper Nieuwe wetgeving, die burgers en bedrijven recht geeft op snelle en correcte antwoorden en op een basiskwaliteit van dienstverlening, zijn belangrijke stuurmiddelen voor de CIO. Dat geldt ook voor het „budgetwapen‟ dat stuurt op meer efficiency en meer samenwerking. Binnen de bestuursstructuur van Amsterdam is en blijft de regie van ICT - en daarmee IT Governance - een uitdaging.
4.4 ICT op Normaal Amsterdams Peil (NAP) Het genoemde reorganisatieplan „ICT op NAP‟ presenteerde een driedeling van (1) stadsdelen en centrale diensten, (2) zogenaamde clusters en (3) de nieuwe dienst ICT.
Schema 3. Amsterdamse structuur van ICT op NAP De stadsdelen en diensten vormen de delen van Amsterdam waar de bedrijfsprocessen plaats vinden. Daar wordt de bevolkingsadministratie bijgehouden, gemeentelijke belastingen geïnd, rijbewijzen en paspoorten verstrekt, het huisvuil opgehaald, leerlingenvervoer geregeld, subsidies beoordeeld, de openbare ruimte gepland en beheerd enzovoort. Kortom, alles waar een gemeente voor bestaat. De clusters zorgen voor de afstemming van vraag en aanbod van ICT, ofwel „business alignment‟. Zij weten wat er binnen stadsdelen en diensten gebeurt en kunnen daarom met passende ICT PASSENDE ICT ANTWOORDEN VOOR AMSTERDAM
antwoorden komen. Er zijn vier clusters, namelijk (status november 2009): –
Cluster Ontwikkeling;
–
Cluster Sociaal; 21
Whitepaper –
Cluster Besturen & Ondersteunen;
–
Cluster Stadsdelen.
De Dienst ICT levert ICT en regisseert het. Dat zijn applicaties of voorzieningen van technische infrastructuur (bijvoorbeeld het stedelijk communicatienetwerk). De Dienst ICT werkt uit efficiency overwegingen zoveel mogelijk met een afgebakend aantal producten en diensten. Een uitdaging voor Amsterdam in deze nieuwe structuur is dat er OP DIT MOMENT NOG WEINIG GESTANDAARDISEERD
nog relatief weinig gestandaardiseerd is. Het bereiken van een optimale situatie is vooral een kwestie van overleg tussen de drie lagen diensten/stadsdelen, clusters en Dienst ICT. Hierbij geholpen door wetgeving, Amsterdamse regelgeving en budgettaire dwang (dit laatste wordt vooral in de stadsdelen ervaren). De optimale situatie is dat zoveel mogelijk ICT geleverd wordt als standaard producten en diensten door de Dienst ICT, én dat elke dienst en elk stadsdeel ervaart dat aan de eigen specifieke eisen en wensen wordt voldaan. Vanuit IT Governance optiek een interessant model dat het verdient om op de voet gevolgd te worden. De IT Governance uitdagingen van Amsterdam op het gebied van prestaties (performance) zijn dus ingewikkeld. Voor wie moet er gepresteerd worden? De centrale dienst, het stadsdeel of beide? Op het gebied van conformance (het zich houden aan de regels),
VOOR WIE MOET ER GEPRESTEERD WORDEN?
een ander aspect van IT Governance, is er recente wetgeving zoals Wmo, Wabo en Wro en zijn er de verplichte basisregistraties. Interne samenwerking in Amsterdam op dit gebied is nodig. Deze samenwerking is op een aantal vlakken volop bezig en zal waarschijnlijk in de toekomst ondermeer onder regie van de nieuwe clusters voortgezet worden. Een voorbeeld is het programma IZI (Iedereen Zaakgerichte Informatie) met als doel
WETGEVING
om zaakgericht werken binnen de gemeente Amsterdam te implementeren. Onderdeel van dit programma is het realiseren van ICT hulpmiddelen voor een documentmanagement-, zaak- en archiefsysteem. Ook rond de nieuwe Wet algemene bepalingen omgevingsrecht (Wabo) wordt intensief samengewerkt. Conformatie aan interne regels van Amsterdam lijkt ingewikkeld.
INTERNE REGELS VAN AMSTERDAM
Welke regels moeten gevolgd worden: die van stadsdelen, centrale diensten of de gemeentelijke bedrijven? Taken, opdrachten en belangen van deze organisaties zijn totaal verschillend. ICTArchitectuur, het stelsel van principes, afspraken en standaarden in de ICT waar men zich aan houdt, wordt wel de basis van effectieve IT Governance genoemd. Hierover is men het in binnen- en 22
Whitepaper buitenland eens. Gemeente Amsterdam heeft sinds 2007 een eigen handboek Architectuur. De verdere ontwikkeling van dit handhoek ARCHITECTUUR: BASIS VAN
is echter onduidelijk, terwijl up-to-date architectuur afspraken
IT GOVERNANCE
noodzaak zijn voor de gemeente. Het schept de kaders om de gemeentelijke informatievoorziening en ICT stuurbaar te maken. Na de presentatie van het plan „ICT op NAP‟, dat vooral over de structuur gaat, kijken we uit naar de inrichting van ICT
CIO VAN AMSTERDAM:
Governance. Hoe zorgt Amsterdam ervoor dat ICT optimaal
UITDAGENDE FUNCTIE
bijdraagt aan het succes van de stad en hoe wordt dat gemeten? Er zijn een aantal ontwikkelingen die voorzichtig in de richting van meer sturing (IT Governance) wijzen, namelijk de inrichting van een afdeling ICT-Control, plannen voor uitbouwen van de architectuur en opzetten van het project portfoliomanagement. CIO van Amsterdam is op dit moment ongetwijfeld één van de meest uitdagende IT Governance functies in Nederland.
5. Buitenland 5.1 Lessen uit Australië 16
In 2008 stelde de Australische regering Sir Peter Gershon aan,
een Britse expert, als onderzoeker van de overheids ICT op strategisch niveau. Er was veel fout gegaan. Bekendste (maar lang LAM LEGGEN VAN DE AUSTRALISCHE DOUANE
niet enige) voorbeeld was het volledig lam leggen van de Australische douane door een grootschalig ICT project. Drie weken lang konden er nauwelijks goederen in- en uitgeklaard worden in de Australische havens. Voordat dit gebeurde, was de algemene gedachte dat de douane effectieve regie had over zijn eigen ICT. De processen rond ontwikkeling en beheer van de ICT waren namelijk goed geregeld, daar was iedereen het over eens. Sir Peter Gershon ontkende dat niet toen hij zijn rapport presenteerde in het najaar van 2008
17
. Er kwamen echter heel
andere zaken aan het licht die structureel waren voor de ICT binnen de Australische overheid. Essentie van de conclusies was dat ICT bij de overheid mislukt als VERANTWOORDELIJKHEDEN AAN DE TOP
de verantwoordelijkheid aan de top niet goed geregeld is. Sir Peter concludeerde dat als de hoogste ambtenaren en ministers hun verantwoordelijkheid niet nemen, het dan fout gaat. In de praktijk wordt de verantwoordelijkheid van de ICT te laag belegd, zodat er twee problemen ontstaan, namelijk het ontbreken van samenhang tussen de verschillende projecten, en het ontstaan van competitie
23
Whitepaper wat leidt tot korte termijn successen. Het 'laag hangend fruit' wordt onder politieke druk belangrijker dan het eindresultaat. Ook ontdekte Sir Peter –en dat was opvallend– dat bij aanbestedingen de aandacht veel te weinig uit gaat naar de kosten van een ICT systeem als het eenmaal operationeel is. De EXPLOITATIEKOSTEN VAN ICT
exploitatiekosten zijn normaal een veelvoud van de aanschaf- en ontwikkelkosten en daar kan veel op bespaard worden. Hier gaat veel belastinggeld 'down the drain' volgens Sir Peter Gershon. Er wordt over veel meer zaken gerapporteerd maar één wil ik hier nog noemen. Het menselijk gedrag en de cultuur binnen de
MENSELIJK GEDRAG EN CULTUUR BINNEN DE OVERHEID
overheid. Sir Peter zegt dat dit meer bepalend is voor succes dan de technologie. Weerstand tegen verandering is een obstakel. Er bestaat het vastgeroeste idee dat een ICT-systeem de bestaande processen altijd moet volgen. Vaak is veel voordeel te behalen als bestaande werkwijzen worden aangepast gebruikmakend van nieuwe mogelijkheden van ICT. Hierdoor kan een overheidsinstantie zijn taak veel beter en efficiënter uitvoeren.
5.2 Lessen uit de VS: Clinger Cohen en SOx In de VS is het (mis)lukken van ICT bij de overheid al 10 jaar langer een actuele kwestie. Op 8 augustus 1996 is de zogenaamde „Information Technology Management Reform Act (ITMRA)‟, in de volksmond de Clinger Cohen wet van kracht geworden. Aanleiding was het mislukken van vele miljoenen dollars verslindende ICT projecten. Men ontdekte dat de projecten vaak gericht waren op het introduceren van nieuwe technologie en niet op het realiseren van oplossingen voor de bedrijfsvoering. De ICT ondersteunde ook ONDERSTEUNEN VAN BEDRIJFSPROCESSEN DIE SLECHT FUNCTIONEREN
vaak bedrijfsprocessen die slecht functioneerden, waardoor het verbeteren van die processen alleen maar moeilijker werd. Ook werden er gevallen van fraude gerapporteerd die mogelijk gemaakt waren door slechte ICT oplossingen. De Clinger Cohen wet geldt voor elke aanbesteding, acquisitie of ontwikkelproject voor de Amerikaanse overheid. Het schrijft voor dat een CIO de verantwoordelijkheid neemt voor het project en dat vastgelegd is waarom het project nodig is en welke baten er voor welke bedrijfsprocessen te verwachten zijn. De wet bepaalt dat bedrijfsprocessen eerst geanalyseerd moeten zijn, dat aangetoond
Wettelijke verantwoordelijkheid van
is dat uitbesteding geen optie is, dat het Return on Investment (ROI) is vastgesteld en dat best practices worden gebruikt.
de CIO 24
Whitepaper Daarnaast zijn er nog veel andere zaken vastgelegd in de wet. De CIO zorgt ervoor dat de wet uitgevoerd wordt. Na meer dan een decade van deze wet zijn er in de VS duidelijke verbeteringen te zien. Jaarlijks wordt dit geëvalueerd door de Information Technology Association of America (ITAA). ICT bij de overheid is beter afgestemd op de bedrijfsvoering, de projecten worden beter gemanaged en er zijn minder kostenoverschrijdingen. Meer bekend en van recentere datum is de Sarbanes Oxley (SOx) wet uit 2002 ofwel de „Company Accounting Reform and Investor Protection Act‟. Aanleiding was het ten onder gaan van diverse bedrijven waaronder Enron en WorldCom door niet integer handelen van bestuurders en verziekte managementculturen. SARBANES OXLEY
Sarbanes Oxley stelt regels op het gebied van financiële vastlegging en rapportage, gedrag van bestuurders en directies en maakt de bestuurders persoonlijk aansprakelijk. De wet heeft aanzienlijke gevolgen voor de ICT op het gebied van informatiebeveiliging, betrouwbaarheid en integriteit van gegevens en informatievoorziening ten behoeve van controle en rapportage. We zien dat de Amerikaanse aanpak gericht is op het stellen van regels in de vorm van wetgeving. Dit heeft zijn voordelen omdat iedereen weet waar hij zich aan te houden heeft. Echter, het risico is groot dat men zich na verloop van tijd aan de letter van de wet houdt en minder aan de geest. Men loopt de kans dat een dergelijke wet verwordt tot bureaucratie en niet tot een effectieve maatregel om IT Governance af te dwingen. Dit risico is zeker in de ICT groot omdat het vakgebied en de markt zo snel verandert.
LETTER EN GEEST VAN DE WET
5.3 Het Verenigd Koninkrijk: GatewayTM reviews Ook aan de andere kant van de Noordzee heeft men te maken met moeizame projecten bij de overheid. De problemen en uitdagingen zijn dezelfde als hiervoor geschetst. Daarom is men daar enkele jaren geleden begonnen met de zogenaamde Gateway Reviews, de collegiale toetsing van onafhankelijke deskundigen. De Britse overheid past deze reviews toe op allerlei grootschalige projecten, niet alleen op het gebied van ICT. Doel is de leiding van een project of een programma een spiegel voor te houden en daarmee de kwaliteit te verhogen en de kans op succes te vergroten. In Nederland ondersteunt men de Gateway Reviews sinds 2007 onder leiding van Het Expertise Centrum (HEC), opgericht in 1988 25
Whitepaper en exclusief bezig met het verbeteren van de organisatie en GATEWAY: COLLEGIALE TOETSING
informatisering van de overheid. HEC werkt samen met het Britse Office of Government Commerce (OGC), eigenaar van de Gateway Review methode
18
. In het volgende hoofdstuk over handreikingen
wordt de Gateway review nader toegelicht.
6. Handreikingen voor bestuurders, CIO‟s en managers 6.1 ISO 38500: een strategische handreiking voor bestuurders en CIO‟s Medio 2008 is de internationale ISO 38500 standaard voor IT Governance gelanceerd HANDREIKINGEN OP STRATEGISCH NIVEAU
19
. Deze standaard levert handreikingen op
strategisch niveau om te bepalen of ICT wel doet dat het moet doen. Doelgroep is het hoger algemeen management en uitdrukkelijk niet de ICT staf. ISO 38500 is bedoeld voor alle sectoren van de maatschappij, dus niet alleen voor de overheid. Bij het ontwikkelen daarvan heeft men goed gekeken naar een gelijksoortige standaard van de Australische overheid (de AS-8015 norm). De Australische overheid heeft een voorsprong ten opzichte van andere landen op het gebied van IT Governance. De tekst van ISO 38500 bestaat uit slechts 15 pagina‟s en is opvallend toegankelijk. Voor de volgende zes principes wordt een aanpak gepresenteerd: -
Verantwoordelijkheden;
ISO 38500: SLECHTS 15
-
Strategie en beleid;
PAGINA‟S
-
Acquisitie;
-
Prestaties (performance);
-
Conformiteit;
-
Menselijk gedrag.
Op basis van deze principes kan een bestuurder, directeur of CIO de juiste vragen stellen aan zijn organisatie en daarmee gaan sturen. Het levert een strategische checklist die altijd gehanteerd kan worden. Voorwaarde is wel dat de topmanager de checklist gebruikt vanuit het besef dat informatievoorziening en ICT essentiële elementen zijn voor het bereiken van zijn doelstellingen. Met andere woorden, dat het evenals Human Resources en BESTUURDER KAN DE JUISTE VRAGEN STELLEN
Financiën sturing nodig heeft. Dat, om te spreken met de woorden van de Algemene Rekenkamer, ICT een bedrijfsmiddel is waarvan begrepen wordt hoe deze bijdraagt aan de business. 26
Whitepaper 6.2 ISO checklist voor bestuurders en CIO‟s Tabel 3 geeft een door de auteur van deze whitepaper opgesteld overzicht van vragen aan de hand van de bovenstaande zes principes in relatie tot de governance activiteiten onderzoeken/evalueren, richting geven/sturen en bewaken.
ZES PRINCIPES VAN IT GOVERNANCE
Corporate Governance of Information Technoloy ISO/IEC 38500:2008 Principes Governance activiteiten Onderzoeken en Richting geven en Bewaken Evalueren (heden sturen en toekomst) VerantwoorWie is waarvoor In hoeverre sluiten In hoeverre wordt het delijkheden verantwoordelijk ICT plannen binnen voldoen aan binnen het domein de organisatie aan verantwoordelijkheden van op de gemeten en informatievoorzieni verantwoordelijkhe gerapporteerd? ng en ICT. Hoe den? Bijv. is er Bijv. hoe goed werken wordt dat voor ieder belegd stuurgroepen? vastgesteld? Is alles onderwerp een belegd? Wordt de plan? samenhang geborgd? Zijn er onduidelijkheden? Strategie en In hoeverre is men In hoeverre wordt Worden ICT-beleid en beleid zich bewust van richting gegeven -plannen getoetst aan ICT-ontwikkelingen aan ICT-beleid en – de bedrijfsbeleid en binnen plannen. Wordt aan de business? Is bedrijfsprocessen? aandacht gegeven bijvoorbeeld de inzet Zijn de betreffende aan het geven van van geld en managers op de richtlijnen menskracht in hoogte en waaruit gebaseerd op overeenstemming blijkt dat? bedrijfsbeleid en hiermee? business? Is ICTinnovatie gericht op strategie en beleid? Acquisitie Waarin wordt In hoeverre wordt Blijft de in- of geïnvesteerd als het er gestuurd op aangekochte ICT gaat om ICT? Doet bedrijfsbeleid, efficiënt, effectief en men het zelf of kwaliteit, acceptabel? Hoe wordt wordt het standaards, kosten dat gemeten? uitbesteed? Welke (TCO, ROI), vormen van regelgeving en uitbesteding? risico-aspecten bij inkoop en aankoop van IT? Prestaties In welke mate In hoeverre sluit In hoeverre wordt de (performance) ondersteunt ICT de het aanwenden van meetbaarheid (en bedrijfsprocessen? geld en resources rapportage) van Waar wel en waar aan op de toegevoegde waarde niet, waarom? Wat toegevoegde van ICT geborgd? is de toegevoegde waarde voor de waarde? Hoe wordt business die bepaald? processen? Wordt er geïnvesteerd in succes of juist niet? Conformiteit In hoeverre sluit In hoeverre wordt In hoeverre vindt er ICT aan op er binnen de regelmatig en frequent standaards, wet- en organisatie doorlichting (audit) regelgeving. bindende regels plaats. In hoeverre Bijvoorbeeld op het gehanteerd. zijn standaards, wetgebied van Bijvoorbeeld op het en regelgeving aanbestedingen, gebied van geborgd in beveiliging en standaards, procedures. vertrouwelijkheid. beveiliging, methoden en technieken en business cases.
27
Whitepaper Menselijk gedrag
In hoeverre sluit de cultuur in de (IT)organisatie aan op de doelstellingen. Is het gedrag van managers en medewerkers daarmee in overeenstemming?
In hoeverre wordt er gestuurd op cultuur en gedrag van mensen. Bijvoorbeeld door effectieve manieren van motivatie, beloning en beoordeling
Houdt het management voeling met de ICT-werkvloer? Wordt de tevredenheid over ICT service gemeten?
6.3 Gateway reviews: handreiking voor CIO‟s en managers In de paragraaf over het Verenigd Koninkrijk werd de Gateway review genoemd
18
. Ook daar heeft men te maken met de
problemen en uitdagingen geschetst in deze whitepaper. Enkele jaren geleden is men daarom begonnen met de zogenaamde TOETSING DOOR ONAFHANKELIJKE DESKUNDIGEN
Gateway Reviews, de collegiale toetsing van onafhankelijke deskundigen. De Britse overheid past deze reviews toe op allerlei grootschalige en kritische projecten, niet alleen op het gebied van ICT. Doel is de leiding van een project of een programma een spiegel voor te houden en daarmee de kwaliteit te verhogen en de
SPIEGEL VOORHOUDEN
kans op succes te vergroten. Door middel van een aantal interviews en het bestuderen van documentatie, beoordelen een 3 à 4 vakcollega‟s of alle voorwaarden voor succes van een project aanwezig zijn. Zo‟n review duurt over het algemeen niet meer dan een week. Voor de voorbereiding moet men echter enkele weken rekenen. Men doet een risicoanalyse met een gestandaardiseerd diagram en vult een
CONCREET, GERICHT OP ACTIE
managers checklist in. De resultaten worden vanuit een flinke dosis ervaring uit vorige projecten geëvalueerd. Dit leidt tot een advies op papier en een eindgesprek met de leiding van het project (of desgewenst met de opdrachtgever). De adviezen zijn concreet en gericht op actie. Het voordeel van deze benadering is dat men zich niet verliest in
NADRUK OP STURING, NIET OP DETAILS
details en dat de nadruk ligt op sturing van het project in de (vaak wijzigende) omstandigheden. Een zaak zoals hiervoor genoemd naar aanleiding van het rapport van de Algemene Rekenkamer, het elkaar gevangen houden in een spiraal van toenemende complexiteit, worden hierdoor voorkomen. Of het efficiënt digitaliseren van inefficiënte bedrijfsprocessen, waardoor verbetering van de bedrijfsvoering alleen maar moeilijker wordt. Althans, dat is de bedoeling.
28
Whitepaper Gateway kent de volgende reviews die worden toegepast ZES REVIEWS VOOR VERSCHILLENDE FASEN
afhankelijk van de fase waarin een project of een programma zich bevindt: -
Review 0: Strategische analyse. Deze review is gericht op programma‟s en in mindere mate op projecten. Aan de orde komen de bijdrage van het programma aan de strategie van de organisatie, de ondersteuning van betrokkenen met een sleutelpositie, de mate waarin het programmamanagement kan sturen (en dat ook doet), financiële en personele dekking, de context van andere overheidsprogramma‟s, de context van overheidsbeleid en risicobeheersing op programmaniveau.
-
Review 1: Rechtvaardiging van het project. Deze review onderzoekt legitimatie van het project/programma vanuit de bedrijfsvoering en kernactiviteiten. Aan de orde komen de business case, de robuustheid daarvan, de afweging van alternatieve oplossingen, een eventueel marktonderzoek, het onderkennen van risico‟s, realistische reikwijdte en specificaties, de verwachte voordelen, plannen voor de volgende fase (na dit project) en evaluatiemomenten in het project.
-
Review 2: Wijze van opleveren. Deze review onderzoekt de wijze waarop resultaten opgeleverd worden. Aan de orde komen de afstemming van resultaten op de verwachtingen, het projectplan, de meet- en stuurinstrumenten op kwaliteit, voortgang en financiën, de mogelijkheden van leveranciers, beheersing van risico‟s, kwaliteitsplanning, ondersteuning van belanghebbenden en sleutelfiguren, en opleidingen.
-
Review 3: Investeringsbeslissingen. Deze review onderzoekt of de beoogde resultaten betaalbaar en financierbaar blijven gedurende het project. Aan de orde komen de blijvende geldigheid van de business case, blijvende afstemming van resultaten op de verwachtingen, contractaangelegenheden, juridische zaken en terugverdientijd.
-
Review 4: Inbedding in de organisatie. Deze review toetst of de organisatie is voorbereid op de veranderingen die het project/programma te weeg brengt. Aan de orde komen de eventueel veranderende omstandigheden (rond de business case) tijdens het project/programma, inbedding van de resultaten in de organisatie, voorwaarden voor lange termijn succes, continuïteit maatregelen bij calamiteiten of storingen, contracten voor service en support en implementatieplannen.
-
Review 5: Er uit halen wat er in zit. Deze review is gericht op het behalen van optimale voordelen als het projectresultaat eenmaal geleverd is en wordt gedurende het eerste jaar 29
Whitepaper herhaaldelijk uitgevoerd. Aan de orde komen het evalueren van de business case, onderzoeken van de te behalen voordelen, continuïteit van bemensing, afhandeling van de contracten, de wijze waarmee met veranderende omstandigheden wordt omgegaan en zo nodig het bestaan van exitstrategieën. Ervaringen met de Gateway reviews zijn over het algemeen positief. In het Verenigd Koninkrijk, waar men er al jaren mee GATEWAY: DE OVERHEID VOOR MENIGE MISSER BEHOED
werkt, zegt men dat het de overheid al voor menige misser heeft behoed. De compacte vorm spreekt veel overheidsmanagers aan. Een kanttekening hierbij is dat, door de onafhankelijke opstellingen van de reviewers, een politiek beladen project of programma flink opgeschud kan worden. Ongedocumenteerde belangen worden niet altijd meegenomen. Voor de manager die het succes van een project en het belang voor effectieve besteding van publieke gelden hoog in het vaandel heeft staan, is dit een bewuste keuze.
6.4 CobiT®: Voor ICT managers die „in control‟ willen zijn Deze en de volgende paragraaf zijn vooral bedoeld voor ICT Managers en geeft informatie over twee aan IT Governance gerelateerde methodes, die wereldwijd belangstelling genieten. CobiT
20
staat voor Control Objectives for Information and related
Technology. Dit model, dat al sinds midden jaren 90 bestaat, geniet sinds de Sarbanes Oxley wetgeving in de USA (2002) groeiende belangstelling. Het wordt geassocieerd met IT Governance en audit activiteiten. CobiT is er op gericht ICT risico‟s te beheersen.
Hier volgt een uitleg van Karoline Muijs-De Graaf
21
.
COBIT POPULAIR SINDS SARBANES OXLEY
“,CobiT is gebaseerd op de gedachte dat ICT-resources moeten worden beheerst en beheerd op basis van een set op natuurlijke wijze gegroepeerde processen. Hierdoor krijgt een organisatie de beschikking over meetbare en betrouwbare informatie voor het realiseren van haar doelstellingen en de ondersteunende ICTdienstverlening. Het doel van CobiT is om het management en de proceseigenaren middels een IT Governance model te ondersteunen bij het begrijpen en beheersen van ICT-gerelateerde risico‟s‟‟.
30
Whitepaper CobiT is er op gericht de volgende zaken te bereiken –
:
Het effectiever maken van de organisatie, dat wil zeggen: meer doen met hetzelfde geld;
EFFECTIEVER, EFFICIËNTER EN MINDER
22
–
Het efficiënter maken van de organisatie, dat wil zeggen: meer doen tegen lagere kosten;
RISICO‟S
–
Maar rekening houdend met de risico‟s op het gebied van security, betrouwbaarheid en regels en wetten (conformance).
CobiT kent 4 domeinen: „Plan and Organise‟, „Acquire and Implement‟, „Deliver and Support‟ en „Monitor and Evaluate‟. Verdeeld over deze domeinen zijn er 34 processen gedefinieerd die zich concentreren op specifieke onderwerpen. De methode is gebaseerd op de Plan-Do-Check-Act cyclus van Dr. W. Edwards Deming. Zie schema 4 uit „Focus op IT-bestuur‟ 2.
PLAN DO CHECK ACT
Schema 4. De plan-do-check-act-cyclus van CobiT Daarnaast heeft CobiT het volwassenheidsmodel van CMMi (Capability Maturity Model) geadopteerd, ooit ontwikkeld door het HOE VOLWASSEN IS DE ORGANISATIE?
Amerikaanse Ministerie van Defensie, om de mogelijkheden van organisaties te beoordelen voor het nemen, verwerken en borgen van maatregelen. Het is namelijk belangrijk om te bepalen hoe volwassen de organisatie is en te nemen maatregelen daar op af te stemmen. Als voorbeeld is in Tabel 4 een checklist voor projectmanagement bijgevoegd, gebaseerd op de zogenaamde „Control Objectives‟ van het proces PO10 Manage Projects. Dit is slechts één van de 34 processen. Voor andere processen bestaan er gelijksoortige checklijsten. In de checklist zijn de originele CobiT aanduidingen van de „Control Objectives‟ gehandhaafd. 31
Whitepaper Checklist CobiT projectmanagement (Proces PO10 Manage Projects)
23
1. PO10.1 Programme Management Framework. Bepaal van welk programma van projecten het project onderdeel is. Een programma kenmerkt zich door gemeenschappelijke organisatiedoelstellingen. Stel vast hoe de organisatie met programmamanagement om gaat. Stel vast hoe de doelstellingen van het project zich verhouden tot die van het programma. 2. PO10.2 Project Management Framework. Stel vast welke projectmanagement methode wordt gebruikt en hoe daarin scope, werkwijze en doelstellingen worden geborgd. 3. PO10.3 Project Management Approach. Stel vast welke projectmanagementregels en -procedures worden gehanteerd, waar binnen het project wordt uitgevoerd. Deze regels kunnen variëren op basis van complexiteit en scope van het project. Stel ook vast welke specifieke rollen, bevoegdheden en verantwoordelijkheden zijn vastgelegd. Bepaal vervolgens welke specifieke rapportageregels worden gehanteerd. Hierbij kan gebruik gemaakt worden van de Prince2 best practices, gecombineerd met een aantal voor de organisatie specifieke invullingen (procedures, formulieren, communicatie). Bijvoorbeeld een eigen standaard voor het schrijven van een Business Case en Project Initiatie Document. 4. PO10.4 Stakeholder Commitment. Stel vast of alle betrokkenen in woord en daad het project ondersteunen, zowel bij de start, bij de uitvoering als bij het accepteren van de resultaten. We denken hierbij vooral aan de budgethouder, gebruiker, opdrachtgever, programmamanager, projectmanager en materiedeskundige. 5. PO10.5 Project Scope Statement. Stel vast of aard en scope van het project gedocumenteerd zijn en of er uitdrukkelijke goedkeuring daarvoor is van alle betrokkenen. Stel bovendien vast of aard en scope ondubbelzinnig en helder omschreven zijn en toets of de verwachtingen van alle betrokkenen op één lijn liggen. Geef daarbij ook aan hoe het project zich verhoudt ten opzichte van de totale IT-investeringen. 6. PO10.6 Project Phase Initiation. Stel vast of er goedkeuring van alle betrokkenen is bij de start van elke belangrijke fase in het project. Hierbij denken we weer vooral aan budgethouder, gebruiker, opdrachtgever, programmamanager, projectmanager en materiedeskundige. De goedkeuring moet gebaseerd zijn op van te voren gedefinieerde acceptatiecriteria en – testen van de afgesloten fase. Daarnaast moet goedkeuring gebaseerd zijn op een (eventueel) gewijzigde Business Case voor de volgende fasen. 7. PO10.7 Integrated Project Plan. Stel vast of er een formeel projectplan is waarin alle relevante zaken vastgelegd en geïntegreerd zijn. Dat wil zeggen zowel de bedrijfsmatige als de projectinhoudelijke zaken. Bepaal of dit plan ook daadwerkelijk gebruikt wordt als gids voor uitvoering en controle van het gehele project. Belangrijk is dat hier ook de afhankelijkheden met andere projecten (binnen en buiten het programma) zijn vastgesteld en begrepen. Elke verandering in dit projectplan moet formeel worden goedgekeurd daar alle betrokkenen.
32
Whitepaper 8. PO10.8 Project Resources. Stel vast of de verantwoordelijkheden, relaties, bevoegdheden en prestatiecriteria van alle medewerkers binnen het project gedefinieerd zijn. Ga na of er een procedure is voor het rekruteren van geschikte projectmedewerkers (intern of extern). Stel vast of inkoop van producten en diensten ten behoeve van het project geregeld is conform de regels van de organisatie. 9. PO10.9 Project Risk Management. Stel vast of risico‟s worden geëlimineerd of tot aanvaardbare proporties worden verkleind. Hiervoor moet een planmatige werkwijze bestaan, voor identificeren, vastleggen, analyseren, reageren op, meten./volgen en beheersen van gebeurtenissen die ongewilde veranderingen teweeg brengen. 10. PO10.10 Project Quality Plan. Stel vast of er een kwaliteitsplan wordt gebruikt, met daarin een kwaliteitssysteem dat borgt dat (tussentijdse) projectresultaten aan de gestelde criteria voldoen. Bepaal of die criteria van te voren beschreven zijn en dat daarover consensus is tussen alle betrokkenen. 11. PO10.11 Project Change Control. Stel vast of alle veranderingen in het project worden beheerst. We denken hierbij aan veranderende doelen, scope, planning, budget, tijd, organisatie, criteria, beoogde resultaten, ingezette mensen of middelen enzovoort. De veranderprocedure moet de consequenties vaststellen en analyseren en alle veranderingen integreren in het projectplan. 12. PO10.12 Project Planning of Assurance Methods. Stel vast of (EDP-) auditors hun werk kunnen blijven doen bij de veranderingen die het project teweeg brengt. Bepaal of de door de organisatie gehanteerde werkwijzen voor governance, interne controle en beveiliging, in de projectresultaten geborgd zijn. 13. PO10.13 Project Performance Measurement, Reporting and Monitoring. Stel vast of er genoeg meetinstrumenten of -methoden in het project zijn voor scope, tijdsplanning, kwaliteit, kosten en risico‟s. Stel vast of gemeten afwijkingen van het projectplan leiden tot rapportages (aan stuurgroep) en maatregelen ter correctie. 14. PO10.14 Project Closure. Stel vast of alle betrokkenen voldoende inbreng hebben bij het afsluiten van het project. Alle betrokkenen moeten kunnen vaststellen of het project de geplande resultaten en voordelen oplevert. Stel vast of eventuele restpunten worden bepaald, gedocumenteerd, gecommuniceerd en of de afhandeling is geborgd binnen vastgestelde termijnen. Stel vast of leerpunten uit het project worden vastgelegd en gebruikt in lopende en toekomstige projecten
Tabel 4: Checklist CobiT projectmanagement
6.5 Val ITTM: Wat levert de ICT op? Naast CobiT is er sinds 2006 een nieuwe methode ontstaan om ICT investeringen te sturen op toegevoegde waarde voor de VAL IT: STUREN VAN ICT INVESTERINGEN
organisatie. Dit is de het zogenaamde „Value of IT Framework‟ (Val IT)
24
.
Met Val IT wil men voor organisaties die het toepassen het volgende bereiken –
25
:
Meer inzicht in kosten, baten en risico‟s van ICT investeringen;
KOSTEN, BATEN EN
–
Meer kans op het kiezen van die ICT investeringen die voor de organisatie de meeste baten opleveren;
VERWACHTINGEN
–
Verhoogde kans dat investeringen ook zodanig worden benut dat de verwachtingen worden waargemaakt.
Volgend schema geeft de relatie tussen CobiT en Val IT aan:
33
Whitepaper
VAL IT VERSUS COBIT
Schema 5. Relatie tussen Val IT en CobiT Val IT gaat uit van een aantal principes die gehanteerd moeten worden, wil men bovenstaande voordelen bereiken. –
Beheren van portfolio. Ten eerste moeten alle ICT investeringen beheerd worden als een portfolio van investeringen. Dit betekent dat de onderlinge samenhang tussen investeringen moet worden vastgesteld en tegen het licht worden gehouden van de strategische
PORTFOLIO
doelstellingen. Ook zullen investeringen moeten worden gevolgd en eventueel worden aangepast bij veranderde omstandigheden of tegenvallende prestaties. –
Complete scope. Ten tweede zullen bij een ICT investering alle factoren meegenomen moeten worden die van invloed zijn op het te behalen voordeel. Een ICT project is vaak slechts één factor in het bereiken van een bepaald doel. Een ICT project voor een nieuw
SCOPE
salarisadministratiesysteem kan bijvoorbeeld geheel volgens de specificaties opgeleverd worden, maar als er geen rekening gehouden wordt met een compleet nieuw functie- en salarisstructuur dat over een half jaar wordt ingevoerd, is de investering niet goed geweest. –
LEVENSCYCLUS
Complete levenscyclus. Ten derde dient bij het kiezen van ICT investering de complete levenscyclus van „het systeem‟ te worden betrokken. Voor aanschaf en ontwikkeling worden kosten gemaakt. Het beheer tijdens de exploitatiefase is echter een veelvoud van die kosten. 34
Whitepaper De vraag is: welke voordelen staan hier tegenover en hoe lang blijven die bestaan? –
Verschillend behandelen. Ten vierde: niet iedere ICT investering moet gelijk behandeld worden. Investering in een basisinfrastructuur (hardware, netwerk, werkstations) is anders dan die in een bedrijfsapplicatie, bijvoorbeeld
VERSCHILLEN
voor Bouw en Woning Toezicht. De ene is gerelateerd aan een bedrijfsproces en de andere is generiek van karakter. Ook kan onderscheid gemaakt worden in typen te behalen voordelen: bijvoorbeeld efficiency, betere dienstverlening aan burgers of voldoen aan wetgeving. –
Meten van behalen voordelen. Ten vijfde: elk te behalen voordeel van een ICT investering zal gemeten moeten
VOORDELEN
kunnen worden. Er moeten prestatie indicatoren en meetmethoden of –instrumenten worden vastgesteld die snel reageren op veranderingen of afwijkingen. –
Informatie aan betrokkenen. Ten zesde, helemaal in lijn met het hoofdstuk „Zijn ICT projecten dan zo moeilijk?‟, zullen alle betrokkenen voorzien moeten worden van juiste en tijdige informatie over het waarmaken van hun
BETROKKENEN
verwachtingen door de ICT investering. We denken hierbij aan bestuurders, directie, opdrachtgever, betrokken lijnmanagers en betrokken medewerkers. In bepaalde situaties kunnen ook leveranciers hierbij aansluiten. –
Constante evaluatie van uitvoering. Tenslotte en zevende: de uitvoering van ICT investeringen zal constant gemeten, bewaakt, geëvalueerd, bijgesteld en verbeterd
EVALUATIE VAN DE
moeten worden. Gebruik van methoden als CobiT, Prince2
UITVOERING
en ITIL ligt daarom voor de hand. Als één of meer van deze principes niet wordt gehanteerd zijn er zwakke schakels in het sturen van de voordelen te behalen door IT. Val IT zegt daarom dat in ieder gaval de volgende processen binnen de organisatie geborgd moeten zijn: –
Value Governance. Vaststellen en beheren van strategische uitgangspunten op het gebied van te gebruiken methode, het definiëren van portfolio‟s en het definiëren van ICT investeringen
–
Portfolio management. Vaststellen en beheren van uitgangspunten op het gebied van te reserveren middelen, investeringsdrempels, stellen van prioriteiten voor investeringen en management van de portfolio.
35
Whitepaper –
Investment management. Vaststellen en beheren van uitgangspunten over „business requirements, eisen waaraan investeringsaanvragen moeten voldoen, analyse van alternatieve oplossingen, management van de investering gedurende de gehele levenscyclus en bewaken en rapporteren.
Verdeeld over deze drie processen definieert Val IT een 40-tal zogenaamde „key management practices‟ waarmee invulling gegeven wordt aan de inrichting van de processen.
6.6 Buiten de overheid: ING Het is zinvol voor overheidsmanagers om te kijken wat er buiten de overheid gebeurt op het gebied van IT Governance. Een organisatie die al jaren serieus werk maakt van IT Governance is ING. De financiële instelling doet dit op internationale schaal en ERVARINGEN BIJ EEN GROTE BANK
timmert aan de weg met kennis, ervaring en onderzoek op wetenschappelijk niveau. Zo blijkt bijvoorbeeld uit de documentatie van Val IT, dat ING actief heeft meegewerkt aan het tot stand komen van deze methode. ING houdt zich daadwerkelijk bezig met het aantonen van de relatie tussen effectief IT Governance en de bedrijfsresultaten. Voor CIO‟s en Managers bij de overheid biedt het kansen om kennis te nemen van IT Governance bij de ING en andere bedrijven, omdat juist financiële multinationals veel geld besteden aan het vergroten van de kennis op het gebied van IT Governance. Op een congres in mei 2009
ARCHITECTUUR IS DUS BELANGRIJK
26
gaf Dr. H.F. Folkerts van ING en de
Universiteit van Twente aan dat architectuur één van de belangrijkste pilaren is onder effectief IT Governance. Zonder duidelijke afspraken over de principes die gehanteerd worden bij ontwerp en realisatie van ICT voorzieningen, is er geen houvast om te sturen. Zij stelden ook dat effectief verandermanagement noodzakelijk is waarbij risico‟s, complexiteit en controleerbaarheid
EFFECTIEF VERANDERMANAGEMENT IS NOODZAKELIJK
worden gewaarborgd. ING presenteert IT Governance als een raderwerk van zeven tandwielen waarin verandermanagement een centrale functie heeft.
36
Whitepaper
Schema 6. Het IT Governance raderwerk van ING De tandwielen stellen de volgende thema‟s voor: -
Verandermanagement;
-
Bij elkaar brengen van vraag uit de business en aanbod van de ICT (Business & IT Alignment);
-
Meten van de prestaties;
-
Beheersen van ICT kosten en baten;
-
Projectmanagement en risico beheersing;
-
Architectuur (te hanteren principes bij ontwerp en realisatie van IT);
-
Middelen (geld, personeel, kennis, uitbesteding).
Voor elk van deze thema‟s worden de strategische, tactische en PRINCIPES, BELEID EN PROCEDURES
operationele aspecten beschreven in de vorm van checklists. Op strategisch niveau zijn er de principes die gehanteerd worden, op tactisch niveau het beleid dat afgeleid wordt van deze principes en op operationeel niveau de procedures. Voor het bij elkaar brengen van vraag uit de business en aanbod van de ICT (business & IT alignment) heeft men bijvoorbeeld een checklist voor de vraagkant, een voor de aanbodkant en een voor de CIO die over het vraag- en aanbodproces waakt. Voor het thema architectuur is er een check op het hanteren van een referentiearchitectuur (bij de overheid kan dat NORA zijn, de
NEDERLANDSE OVERHEID REFERENTIE ARCHITECTUUR (NORA)
Nederlandse Overheid Referentie Architectuur) en zogenaamde Project Start Architectuurplannen (PSA) bij elk ICT project dat gestart wordt. Een architectuur levert de meetlat, en zonder meetlat kan er niet effectief gemeten en gestuurd worden. Zo zijn er voor elk van de genoemde thema‟s een aantal checklists.
37
Whitepaper ING heeft de ervaring dat deze thema‟s een vrij compleet beeld IT GOVERNANCE
vormen van hoe IT Governance zou moeten werken en men geeft
BEÏNVLOEDT
aan dat de bedrijfsresultaten dit aantonen. ING claimt ook dat het
BEDRIJFSRESULTATEN
model van de zeven raders zich goed laat uitleggen aan bestuurders. Wel stelt men dat commitment van de Raad van Bestuur een kritieke succesfactor is.
Wij kunnen inderdaad leren van organisaties als de ING. Het is de vraag of de checklists van ING zondermeer toepasbaar zijn op een overheidsinstantie. Schaalgrootte en aard van de organisatie komen vaak niet overeen. Het is echter zeker zinvol om de kennis vanuit ING mee te nemen in het ontwikkelen van een eigen aanpak voor IT Governance.
7. Conclusies en aanbevelingen 7.1 Wat is er aan de hand? Verspilling ICT PROJECTEN HEBBEN EEN IMAGOPROBLEEM
ICT projecten bij de overheid hebben een imagoprobleem. Er wordt gesproken over miljarden euro‟s verspilling. Wat kunnen wij hiervan leren nadat het stof is neergedaald en er menig rapport over is verschenen? De rijksoverheid heeft zich die vraag gesteld en onderzocht wat er aan de hand is. Ook de grote gemeenten hebben kritisch laten kijken naar hun ICT. Het onderzoek van Heemstra, Snel en Kusters, beschreven in deze whitepaper, toont aan dat betrokkenen bij ICT projecten in verschillende werelden leven en daardoor risico‟s totaal verschillend inschatten. Het beeld van een bestuurder op ICT wijkt aanzienlijk af van die van andere betrokkenen zoals ambtelijk opdrachtgever, projectleider, gebruiker of materiedeskundige.
De overheid drijft op informatievoorziening INFORMATIE IS ESSENTIEEL, NAAST PERSONEEL EN FINANCIËN
Het effect van ICT op het functioneren van de overheid wordt vaak nog niet goed begrepen door bestuurders en directies. Informatievoorziening door ICT is, naast personeel en financiën, één van de aspecten waar een overheidsorganisatie op drijft. Verkeerde inschattingen leiden tot een onsamenhangende en ondeugdelijke informatievoorziening waarbij de organisatie grote risico‟s loopt. Het is dus nodig dat bestuurders en directies dit weten, begrijpen en daadwerkelijk gaan sturen.
38
Whitepaper Bestuurlijke ambities en haalbaarheid Rapportages van de Algemene Rekenkamer wijzen op het gat GAT TUSSEN BESTUURLIJKE AMBITIES EN HAALBAARHEID
tussen bestuurlijke ambities en haalbaarheid van ICT-projecten. Als er geen IT Governance is loopt men het gevaar binnen overheidsinstanties in een spiraal van toenemende complexiteit terecht te komen. Een tijdbom die niet onschadelijk gemaakt wordt, omdat niemand op hoog niveau zich ervan bewust is dat er maatregelen genomen moeten worden, totdat het te laat is.
7.2 Waarom IT Governance Eerst inzicht, dan doen Door IT Governance krijgen bestuurders, directies en CIO´s inzicht in ICT gerelateerde risico´s en handreikingen om die te beheersen. BESTUURDERS: HET EFFECT VAN INFORMATIEVOORZIENING OP WAARDE SCHATTEN
IT Governance geeft bestuurders en directies mogelijkheden om ICT te sturen zonder dat ze zich inhoudelijk in ICT hoeven te verdiepen. Wel wordt van ze gevraagd om het effect van de juiste informatievoorziening op waarde te schatten. Dat kost tijd en aandacht en daar is een zekere interesse voor nodig. In eerste instantie moeten bestuurders en directies zich bewust zijn van het feit dat informatievoorziening door ICT even belangrijk is als personeel of financiën. De overheid is een informatiefabriek die zonder ICT niet kan draaien en daarom is IT Governance nodig. Het devies is dus: eerst inzicht, dan doen. Handreikingen voor bestuurders IT Governance biedt handreikingen voor bestuurders, directies en CIO‟s om informatievoorziening aan te sturen. IT Governance controleert of ICT management zijn werk doet en stuurt zo nodig bij. Als er sprake is van balans tussen efficiënt aanbod van ICT en voldoende aandacht voor de vraag naar ICT, dan is IT Governance
BALANS TUSSEN VRAAG EN AANBOD VAN ICT
effectief en zullen projecten succesvol afgerond kunnen worden. IT Governance stelt en beantwoordt de volgende drie vragen: -
Doet de ICT wat ervan verwacht wordt (performance)?
-
Wordt er aan de geldige regels voldaan (conformance)?
-
Zijn performance en conformance duidelijk en controleerbaar (transparantie)?
39
Whitepaper 7.3 Wat gebeurt en nu binnen de overheid? Chief Information Officers Naar aanleiding van onderzoeken hebben ministeries en gemeenten CIO‟s (Chief Information Officers) aangesteld. IT Governance moet zo op hoog niveau in de organisatie worden geborgd, anders is er onvoldoende sturing en onvoldoende tegenwicht tegen irreële ambities op hoog niveau. Ook wordt de financiële verslaglegging rondom ICT investeringen verbeterd. Zonder te weten wat men waaraan uitgeeft, is bewaken en bijsturen niet mogelijk. Rol van de CIO De rol van CIO draagt een aantal tegenstrijdigheden in zich. Hij moet de ICT strategisch inzetten om de organisatie verder te helpen, maar hij moet ook een operationele manager zijn die er voor zorgt dat de systemen altijd werken. Hij moet ervoor zorgen DE CIO MOET EEN LEIDER ZIJN
dat ICT een „business enabler is‟, maar hij moet ook op de kosten letten. CIO‟s kunnen falen
27
ondanks dat ze precies doen wat van
ze gevraagd wordt. Een CIO moet vooral leider zijn die er voor zorgt dat iedereen op de juiste plek zit en de juiste focus heeft. De CIO moet sturing geven aan ICT-projecten, -applicaties en infrastructuur (de zogenaamde project- en applicatieportfolio in paragraaf 1.9), onder andere door een eigen visie te hebben over DE CIO MOET EEN VISIE HEBBEN OVER DE MOGELIJKHEDEN VAN ICT
de mogelijkheden van de technologie in zijn eigen organisatie. Daarnaast moet hij in staat zijn de ICT financieel in de hand te houden voor wat betreft de kosten, baten en investeringen. Niet in de laatste plaats moet hij diepgaande kennis hebben van datgene waar de organisatie zijn bestaansrecht aan ontleend: de „business‟ oftewel de kernactiviteiten van het ministerie, de gemeente, de provincie of het waterschap.
IT Governance in het buitenland Bij de Nederlandse overheid is IT Governance vooral gericht op de structuur. Inzichten uit het buitenland vormen hier aanvullingen op. Bij de Britse overheid zoekt men het niet alleen in structuurmaatregelen, zoals blijkt uit de Gateway reviews voor collegiale toetsing. In Australië heeft men aandacht voor menselijk gedrag op de werkvloer. AANDACHT VOOR MENSELIJK GEDRAG IN DE ICT
Nederlandse onderzoeksrapporten besteden relatief weinig aandacht aan menselijk gedrag. Kennelijk is het in de Nederlandse arbeidsverhoudingen bij de overheid vaak „not done‟ kritisch te kijken naar het gedrag van de mensen op de werkvloer. Australische onderzoekers hebben daar geen moeite mee. Weerstand tegen veranderingen wordt genoemd als obstakel om 40
Whitepaper ICT bij de overheid te laten functioneren. Ook het idee dat ICT altijd bestaande werkwijzen moeten volgen, wordt als een belemmering gezien. ICT kan nieuwe mogelijkheden scheppen waar de organisatie profijt van heeft, maar waardoor mensen anders moeten gaan werken: ICT als „enabler‟. Aandacht voor menselijk gedrag wordt door buitenlandse onderzoekers cruciaal genoemd. Dit aspect is verwerkt in de ISO 38500 standaard voor IT Governance dat grotendeels voortkomt uit ervaringen in Australië.
7.4 Welke vragen moet ik stellen? Vragen op strategisch niveau ISO 38500 geeft een aantal te stellen vragen waarop bestuurders, directieleden en de CIO antwoorden uit hun organisatie mogen eisen. Die vragen moeten echter wel door hen worden gesteld. VRAGEN OP STRATEGISCH
-
NIVEAU
Wie is waarvoor verantwoordelijk binnen het domein van informatievoorziening en ICT? Hoe wordt dat vastgesteld? Is alles belegd? Wordt de samenhang geborgd? Zijn er onduidelijkheden?
-
In hoeverre is men zich bewust van ICT ontwikkelingen binnen bedrijfsprocessen? Zijn de betreffende managers op de hoogte en waaruit blijkt dat?
-
Waarin wordt geïnvesteerd als het gaat om ICT? Doet men het zelf of wordt het uitbesteed? Welke vormen van uitbesteding?
-
In welke mate ondersteunt ICT de bedrijfsprocessen? Waar wel en waar niet, waarom? Wat is de toegevoegde waarde? Hoe wordt die bepaald?
-
In hoeverre sluit ICT aan op standaarden, wet- en regelgeving? Bijvoorbeeld op het gebied van aanbestedingen, beveiliging en vertrouwelijkheid.
-
In hoeverre sluit de cultuur in de (IT)-organisatie aan op de doelstellingen? Is het gedrag van managers en medewerkers daarmee in overeenstemming?
Vragen naar toegevoegde waarde ICT moet bijdragen aan de programma‟s, opdrachten, taken en ambities van de organisatie. Het is de verantwoordelijkheid van WAT LEVERT ICT OP?
bestuur, directie en CIO om daarop toe te zien en zo nodig bij te sturen. Zij moeten dus inzicht hebben in het volgende: –
Hoogte van kosten, baten en grootte van risico‟s van ICT investeringen;
–
Keuze van ICT investeringen die voor de organisatie de meeste baten opleveren;
41
Whitepaper –
Kans dat investeringen ook zodanig worden benut dat de verwachtingen worden waargemaakt.
Vragen naar haalbaarheid De vraag naar haalbaarheid van ICT-projecten is essentieel. AANTONEN VAN
Bestuurder, directielid of CIO moet weliswaar de inhoudelijke
HAALBAARHEID
verantwoordelijkheid bij de (project)manager laten, maar hij moet wel eisen dat die haalbaarheid aannemelijk wordt gemaakt. Is het project niet te complex? Wordt het niet te duur? Levert het wel op wat er van verwacht wordt? En vooral ook de vraag: welke rapportages verwacht ik? Hier moet bestuurder, directielid of CIO begrijpelijk en ondubbelzinnig antwoord op laten geven. Vragen naar architectuur Het werken met van te voren vastgestelde en samenhangende principes en standaarden voor informatievoorziening en ICT (de informatiearchitectuur), wordt bepleit of zelfs noodzakelijk geacht. Het wordt de basis van effectieve IT Governance genoemd.
ARCHITECTUUR IS NOODZAKELIJK
Hierover is men het in binnen- en buitenland eens. Het schept de kaders om informatievoorziening en ICT stuurbaar te maken. Bestuurder, directielid of CIO moet dus vragen naar een beschrijving van de architectuur en zich ervan laten overtuigen dat de organisatie zich daar ook aan houdt. Vragen naar de uitvoering Vervolgens moet bestuurder, directielid of CIO laten toetsen of projecten wel goed uitgevoerd worden. Of er geen lijken uit de kast komen en hij voor onaangename verrassingen komt te staan. De
ONAFHANKELIJKE DESKUNDIGEN
uit het Verenigd Koninkrijk afkomstige Gateway reviews kunnen daarbij helpen. Die zijn in de eerste plaats bedoeld voor (ambtelijke) opdrachtgever, programma- en projectmanagement, maar ook bestuurder, directielid of CIO zal er beter door slapen. Zorg dat een project of programma wordt getoetst door onafhankelijke ervaren deskundigen. Niet om het projectmanagement mee om de oren te slaan, maar om te sturen met de juiste informatie en effectieve maatregelen. Een Gateway review kost weinig tijd en geeft snel informatie. Voor verschillende fasen in een project/programma bestaan er verschillende reviews: -
Strategische analyse, specifiek voor programma‟s.
-
Rechtvaardiging van het project. Is het wel nodig?
-
Wijze van opleveren van resultaten. Hoe landt het in de organisatie?
-
Investeringsbeslissingen. Is en blijft het betaalbaar en financierbaar? 42
Whitepaper -
Inbedding in de organisatie. Is de organisatie voldoende voorbereid?
-
Er uit halen wat er in zit. Worden de voordelen optimaal benut?
Vragen naar de levenscyclus Verder is er nog de valkuil van het verschil tussen aanschaf en exploitatie. Een goedkoop ICT-project kan leiden tot dure exploitatie en andersom. Men moet beseffen dat bij ICT zeventig tot tachtig procent van de kosten in de exploitatie komt te liggen. LEVENSCYCLUS VAN EEN ICT SYSTEEM
Een verantwoordelijke bestuurder wordt dus gevraagd over de termijn van zijn mandaat heen te kijken. Elke ICT ontwikkeling heeft een eigen levenscyclus en die moet als geheel worden beschouwd. Kengetallen die iedere bestuurder en directielid in zijn oren zou moeten knopen, is dat als hij een ICT-systeem aanschaft van 10 miljoen Euro, hij zijn opvolgers opzadelt met exploitatiekosten van 30 tot 40 miljoen Euro. De verhouding 1 op 3 à 4 is een gemiddelde en kan per ICT project afwijken. Vragen naar de geleerde lessen Alle methoden voor projectmanagement besteden aandacht aan de vraag: welke lessen heb ik geleerd? Toch worden ervaringen en lessen uit ICT projecten niet of nauwelijks vastgelegd. Als de resultaten opgeleverd zijn gaat men door met de volgende uitdaging. Geen tijd om terug te blikken. De waardevolle kennis en
WAT HEBBEN WE GELEERD?
ervaring, die vaak specifiek van toepassing is op de organisatie, gaat verloren. Daardoor worden steeds weer opnieuw dezelfde fouten gemaakt. Bestuurder, directielid en CIO moeten eisen dat de ervaringen worden vastgelegd en beschikbaar blijven voor de organisatie. Vragen naar meetbaarheid en stuurbaarheid Tenslotte dient bestuur, directie of CIO de vraag naar meetbaarheid en stuurbaarheid te vragen. Hoe worden alle hier boven genoemde zaken gemeten en hoe wordt er over
MEETBAARHEID EN STUURBAARHEID
gerapporteerd? Hoe betrouwbaarheid zijn die metingen? Welke mogelijkheden zijn er om bij te sturen?
43
Whitepaper 7.5 Wat moet ik doen? Zolang bestuurder, directielid of CIO het gevoel heeft dat er geen ZORGEN VOOR DUIDELIJKE EN ONDUBBELZINNIGE ANTWOORDEN
duidelijke en ondubbelzinnige antwoorden worden gegeven op de vragen van de vorige paragrafen, is er actie vereist. Die antwoorden moeten er komen en dat mag men eisen. De taal waarin de antwoorden zijn geformuleerd moeten te begrijpen zijn voor bestuurders, directieleden of managers zonder specifieke ICT kennis. Ook is er actie vereist als er wel duidelijkheid is, maar de antwoorden niet tot tevredenheid stemmen. Bijvoorbeeld als er geen architectuur is, de kosten van de hele levenscyclus niet te bepalen zijn, er geen collegiale toetsing wordt uitgevoerd of er geen duidelijke rapportages zijn. Er moeten dan verbeteracties plaatsvinden, kortom er moet gestuurd worden.
7.6 Eindconclusie IT Governance helpt bestuurders, directieleden en CIO‟s anno 2010 niet alleen om ICT debacles te voorkómen, maar vooral om overheidsorganisaties beter te laten functioneren.
44
Whitepaper Nawoord: Inter Access De auteur van deze whitepaper is werkzaam bij Inter Access B.V. Jan Bouman adviseert op het gebied van IT Governance en informatiemanagement, hij doet projectmanagement en programmamanagement voor ICT ontwikkelingen (met nadruk op aanbestedingsprojecten) en hij is coach voor directe collega‟s én voor klanten. Met ruim 1000 medewerkers in Nederland en België is Inter Access de ICT-dienstverlener voor de ontwikkeling én het beheer van de informatievoorziening van middelgrote en grotere organisaties in de publieke sector, zorg, handel, industrie en financiële dienstverlening. Met de kernactiviteiten Consulting, Technology, Solutions en Managed Services biedt Inter Access klanten integrale ICT-oplossingen op basis van standaardcomponenten dan wel op basis van maatwerk, of door de inzet van mensen met hoogwaardige kennis en ervaring. Burgers en bedrijven eisen een slagvaardige en transparante overheid. Hoe vertaalt u dat naar uw specifieke situatie? En welke bijdrage biedt de technologie? Inter Access beantwoordt die vragen al sinds de oprichting in 1979. De adviseurs van Inter Access zijn thuis in de verschillende werkgebieden en bekend met culturen, normen en waarden binnen (de)centrale overheden, de sector zorg & welzijn en het SUWI-domein. Inter Access heeft een heldere visie op de overheidsontwikkelingen. En onze ervaring omvat de meest uiteenlopende overheidssystemen. De visie van Inter Access op de ontwikkelingen in de sector wordt onder meer verwoord in ons halfjaarlijks magazine InPublic. Binnen de decentrale overheid levert Inter Access dienstverlening in de meest brede zin van het woord. Naast onze oplossingen voor digitale dienstverlening (digitaal loket met de WEB+ Suite) en jeugd-signalering (Zorg voor Jeugdsysteem) hebben we een langdurig beheercontract gesloten met gemeente Leiden en mantelcontracten voor ICT dienstverlening en infrastructurele projecten. Relaties van Inter Access zijn ondermeer de volgende gemeenten: Almere, Alphen aan den Rijn, Amsterdam, Arnhem, Baarle-Nassau, Capelle aan den IJssel, Castricum, Eindhoven, Haarlemmermeer, Heemstede, Helmond, Leiden, Leiderdorp, Leidschendam-Voorburg, Lelystad, Nieuwkoop, Oisterwijk, Oosterhout, Rotterdam, Havenbedrijf Rotterdam, Tiel, Tilburg, Utrecht, Dienst Stadswerken, Waalwijk en Waddinxveen. Zie verder op http://www.interaccess.nl/ 45
Whitepaper Verwijzingen (1) CGEIT staat voor Certified in the Governance of Enterprise IT. Dit is een internationaal certificaat op het gebied van IT Governance uitgegeven door ISACA. Zie http://www.isaca.org (2) Focus op IT-bestuur: Essentiële elementen van IT-Governance, Nederlands Architectuur Forum, Daniel Smits (red) e.a., Sdu. ISBN 978 90 12 128247 (3) Succes met IT Governance, Daniël Smits, Sogeti, 2006, ISBN 10 09075414-11-0 (4) Fred Heemstra, Rob Kusters, Ruud Snel, Eenzijdige risicoinventarisaties bedreigen IT-projecten, Automatisering Gids, 14 april 2005, zie http://www.automatiseringgids.nl. Tabel 2 hebben wij in deze whitepaper „afwijkende risico-uitspraken‟ genoemd in plaats van „verkeerde risico-uitspraken‟ zoals vermeld in het artikel van Heemstra, Kusters en Snel. (5) Tabel uit The Choas Reports van Standish group (6) Grip op informatievoorziening IT Governance bij ministeries, Tweede Kamer der Staten Generaal, vergaderjaar 2005–2006, 30 maart 2006, 30 505, zie http://www.rekenkamer.nl (7) Lessen uit ICT-projecten bij de overheid, Algemene Rekenkamer, Deel A: 29 november 2007, Deel B: 25 juni 2008, zie http://www.rekenkamer.nl (8) Met de „business‟ wordt hier bedoeld de organisatie waarvoor de ICT bestaat, waaraan de ICT desgevraagd zijn diensten aan biedt (9) Publieke dienstverlening, professionele gemeenten. Visie 2015, Commissie Gemeentelijke Dienstverlening/Commissie Jorritsma, VNG, juni 2005 (10) Foutmelding in beeld, Rekenkamer Rotterdam, oktober 2009, zie http://www.rekenkamer.rotterdam.nl (11) Hans Nijman: Rotterdam is toe aan CIO, Computable, 21 oktober 2009, http://www.computable.nl/ (12) Vanaf 1 mei 2010 is door fusies het aantal stadsdelen teruggebracht van veertien naar zeven (13) Zie http://digitaalbestuur.nl/nieuws/ ICT-gemeente-amsterdam-schiettekort en http://www.computable.nl/artikel/ ICT_topics/overheid/2708548/1277202/cio-moet-amsterdamse- ICTop-orde-brengen.html en vele andere perspublicaties over dit rapport, alsmede de inleiding van het openbare rapport „ICT op NAP‟ (14) ICT op NAP, (Re)organisatieplan Dienst ICT, Gemeente Amsterdam, 15 oktober 2009, zie http://www.bestuursinformatie.amsterdam.nl (15) Veroorzakers van complexiteit in ICT-infrastructuur, Vincent A.W.G. Jansen, Computable, 16 september 2009. De auteur van dit artikel is ook reviewer van deze whitepaper. (16) Deze paragraaf werd op 2 september 2009 in grote lijnen gebruikt als Weblog voor www.overheidsmanagement.nl (17) Review of the Australian Government‟s Use of Information and Communication Technology, Sir Peter Gershon CBE FREng, August 2008, zie http://www.finance.gov.au 46
Whitepaper (18) Office of Government Commerce (OGC). Zie http://www.ogc.gov.uk met verwijzingen naar uitgebreide informatie. Expertise Centrum (HEC). Zie http://www.hec.nl (19) Corporate governance of information technology, International Standard ISO/IEC 38500:2008(E), First Edition, 1 juni 2008, zie http://www.iso.org (20) CobiT® 4.1, Framework/Control Objectives/Management Guidelines/Maturity Models, IT Governance Institute (ITGITM) 2007, ISBN 1-933284-72-2, (21) K. Muijs-De Graaf, IT Governance in de dagelijkse praktijk, ITSMF Best Practices Magazine nr 1, 2007 (22) Bijdrage J. van Puffelen in: Focus op IT-bestuur: Essentiële elementen van IT-Governance, Nederlands Architectuur Forum, Daniel Smits (red) e.a., Sdu. ISBN 978 90 12 128247 (23) Zie ook van de auteur van deze whitepaper: ITSMF Academy (proceedings 27 mei 2008) volume 1, pagina‟s 64-71, redactie Arjan Droog, ISBN 978-90-79272-03-7, Slechts dertig procent van de ICTprojecten is een succes. Wat nu? (24) Val IT is evenals CobiT eigendom van het Amerikaanse IT Governance Institute (ITGITM) (25) Enterprise Value: Governance of IT Investments. The Val IT Framework. IT Governance Institute. ISBN 1-933284-32-2. www.itgi.org (26) Dr. H.F. Folkerts van ING en Universiteit van Twente, Presentatie: IT Governance, NAF Insight IT Governance Practices, Nieuwegein, 20 mei 2009, zie http://www.naf-insight.nl (27) What Does a CIO Actually Do? Ken Anderson, Burton Group, www.burtongroup.com, 1 november 2007
47
