IT GOVERNANCE IN DE LIFT

&

FINANCE

CONTROL

Informatiemanagement

Me thodes om tot ee n goed wer kmodel te kome n

IT GOVERNANCE IN DE LIFT Uit verschillende IT-onderzoeken blijkt dat IT governance volop in de belangstelling staat van Nederlandse organisaties. Zij vragen IT-specialisten steeds vaker om te adviseren over IT governance. Het ontbreken van een goed beschreven werkwijze maakte echter de communicatie over dit onderwerp met organisaties moeilijk. De auteur presenteert daarom een concreet handvat om IT governance te structureren en te beoordelen. D O O R W I LCO L E E N S L AG

U

it een onderzoek van het Kennisplatform Topmanagement & IT blijkt dat de kwaliteit van IT governance in veel gevallen nog ontoereikend is (zie figuur 1). Bij vier op de tien ondernemingen is deze onvoldoende of matig. Slechts 22 procent van de ondernemingen karakteriseert de kwaliteit van de eigen IT governance als goed. Uit een onderzoek van het IT Governance Institute (ITGI) blijkt dat vooral organisaties in de financiële en telecommunicatiesector beter presteren op het gebied van IT governance dan andere typen organisaties. Dit heeft te maken met de ‘strategic importance of IT’ in deze sectoren. Dat het onderwerp IT governance populair is blijkt ook wel als we kijken naar de intentie om deze te verbeteren (zie figuur 2). Zeker vier op de vijf ondernemingen hebben de intentie om op korte termijn de kwaliteit ervan te verbeteren. Iedere onderneming die zich realiseert dat de kwaliteit nu onvoldoende of matig is, wil snel actie ondernemen om deze te verhogen. Ook organisaties waar de IT governance nu op orde is, willen de kwaliteit nog verder verhogen om de grip op IT te verbeteren. De belangrijkste vraag hierbij is natuurlijk: hoe krijgen we daar meer grip op?

6

|

FEBRUARI 2007

0% 22%

11% 30%

Onvoldoende Matig Voldoende Goed

37%

Zeer goed

Figuur 1 Kwaliteit IT governance Bron: Governance van IT en Outsourcing 0% 2% 19% 37%

Ja, zeer zeker Ja, waarschijnlijk Nee, waarschijnlijk niet Nee, zeker niet

42% Geen zicht op

Figuur 2 Intentie verbetering kwaliteit IT governance Bron: Governance van IT en Outsourcing

&

FINANCE

Wat is IT governance? Omdat IT governance op een abstract niveau speelt, is het voor veel organisaties onduidelijk hoe dit onderwerp concreet gemaakt kan worden. Een belangrijke rol is in deze fase weggelegd voor IT auditors. Vanuit deze insteek heb ik een onderzoek uitgevoerd met als doel ‘een werkwijze te ontwikkelen waarmee de kwaliteit van besturing (Governance) van de automatisering (IT) bij organisaties wordt beoordeeld op basis van geaccepteerde methodes op het terrein van IT Governance’. (Voor het gehele onderzoek, zie de Finance & ControlBase). NOREA, de beroepsorganisatie van IT auditors, beschrijft dat de essentie van corporate governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Kort gezegd gaat het erom: ~ wat goed bestuur inhoudt; ~ hoe daarop adequaat kan worden toegezien; ~ hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden, ook wel stakeholders genoemd. De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst . Het onderdeel IT governance (binnen het governance-vraagstuk) geeft aan hoe een organisatie de activiteiten bestuurt of beheerst die een verband hebben met IT en het gebruik daarvan. Werkwijze Veel organisaties hebben nog geen duidelijk beeld van wat IT

CONTROL

governance precies is en wat het inhoudt. Het probleem om IT governance te omschrijven begint eigenlijk al bij het zoeken van een toepasbare definitie. Om het onderzoeksgebied van IT governance te verkennen omvat mijn onderzoek daarom ook een uitgebreide literatuurstudie (zie voor details het onderzoek in de Finance & ControlBase) Voor een goede omschrijving van IT governance hoeft overigens niet zo ver gezocht te worden. Het boek IT Governance: A Pocket Guide geschreven door Brand et al. (2004) bevat een heel bondige beschrijving van het begrip. Zij stellen dat IT governance ervoor dient te zorgen dat de IT aansluit op bedrijfsprocessen en dat deze op de juiste manier wordt georganiseerd, bestuurd en beheerst. IT governance verschaft de structuur die een link legt tussen IT-processen, IT resources en informatie met de organisatiestrategie en -doelen. Dit geeft de essentie van IT governance in een paar zinnen heel duidelijk weer, zij het op een zeer abstract en strategisch niveau. Een organisatie heeft een zo concreet mogelijke vertaling nodig om IT governance te kunnen toepassen. Met deze definitie in het achterhoofd heb ik een werkwijze ontwikkeld die organisaties in staat stelt om inzicht te krijgen in de kwaliteit van de IT governance. Hiervoor heb ik eerst de bestaande IT governance-benaderingen van bekende auteurs en instanties bestudeerd en vergeleken. Tijdens het onderzoek bleek al snel dat het vergelijken van verschillende benaderingen zonder een uniforme structurering onmogelijk was, aan-

Wie: (type) stakeholders

Metamodel toegepast op Weill et al.

aa

n

n da se en n es ag te i in n n s e e lu ig ee Bu es am t, n te tg il nb ns ef en me en nw ige he ale em n sa e e em r p g t g e a le k a be tm ld an epa aa an IT wa ho nm b en sm nm ak alt st es ee IT ee ss pa n e e i m e m r s b ge sin ge de IT Bu Al Al Ie Bu

v ft

ra

ag

IT-architectuur

Wat/waarover: domeinen IT-infrastructuur

Alignment processen

Besluitvormingswijzen

IT-beleid

Formele communicatie

Figuur 3

Applicatiebehoeften Hoe: mechanismen

Prioriteitstelling

FEBRUARI 2007

|

7

W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

&

FINANCE

CONTROL

gezien elke benadering anders is beschreven. Ik heb ervoor gekozen om een multidimensionaal metamodel op te zetten om verschillende IT governance-benaderingen te structureren. Hiervoor heb ik drie dimensies geïdentificeerd die dienden als invalshoeken van IT governance. De dimensies zijn gebruikt om een metamodel (model van een model) op te zetten. Ik heb gekozen voor deze techniek omdat het anders appels met peren vergelijken is. Het metamodel is een driedimensionaal model (een kubus) waarbij elke zijde een dimensie representeert. Figuur 3 geeft dit metamodel weer.

nance-benadering met framework ontwikkeld, gebruikmakend van bestaande benaderingen. De toegevoegde waarde van deze benadering ten opzichte van bestaande benaderingen is dat het expliciet onderscheid maakt tussen de vraag- en aanbodorganisatie in combinatie met CoBiT-aandachtsgebieden. De sterke kant van deze IT governance-benadering is dat het mogelijk is een aantal aandachtsgebieden methodisch in te vullen om zo IT-gerelateerde onderwerpen te ondersteunen (bijvoorbeeld functioneel beheer, beveiliging, projectmanagement, enzovoort).

Met het metamodel is het mogelijk geweest om een drietal IT governance-benaderingen te bestuderen: 1. De research based benadering van Weill et al. richt zich voornamelijk op de beslissingen die genomen moeten worden. 2. In tegenstelling tot de practitioners based benadering van de ITGI wordt door Weill et al. niet uitvoerig gesproken over uit te voeren processen. Dit is juist een sterk punt van het CoBiT framework, ontworpen door de ITGI. 3. De educated based benadering, beschreven door Thiadens, bevat duidelijke house-in-order-methodes. Daarnaast maakt deze benadering als enige een duidelijk onderscheid tussen de vraag- en aanbodorganisatie, wat weer niet expliciet het geval is in de benadering van de ITGI. Op deze manier is dus heel inzichtelijk te maken wat de voor- en nadelen zijn van de verschillende IT governance-benaderingen.

Toepassing IT governance framework met methodes Voor het ontwikkelde framework zijn methodes nodig om het model concreet toepasbaar te maken binnen organisaties (figuur 4). Om invulling te geven aan het framework heb ik voor dit onderzoek een aantal methodes geselecteerd. Leidraad bij de keuze van deze methodes was de gangbaarheid van de betreffende methodes en het af te dekken gebied. De gekozen methodes zijn te rubriceren in drie categorieën. Deze zijn: 1. methodes die de vraag- en aanbodorganisatie ondersteunen (algemene aspecten); 2. methodes die specifieke IT-aspecten ondersteunen; 3. methodes die beoordelingen en evaluaties mogelijk maken. Een opsomming van de tijdens het onderzoek geselecteerde methodes volgt hierna. Dit heeft geresulteerd in het IT governance-werkmodel (figuur 5).

Omdat niet één benadering in zijn volledigheid voldeed aan de doelstelling van de opdracht, heb ik een eigen IT gover-

Leveranciersorganisatie

Gebruikersorganisatie Algemeen management

CIO Monitor & evaluatie

Business management

Acquisitie & implementatie Deliver & support

Monitor & evaluatie

Methode

Vraag organisatie Functioneel beheer Planning & organisatie

Corporate contribution perspective

IT management

Methode

Aanbod organisatie Applicatiebeheer Exploitatie Methode

Planning & organisatie

Methode

Methode

Aanbod organisatie Applicatiebeheer Exploitatie

BiSL

ASL MethodePrince 2

ITIL

BiSL

ASL

ITIL

ISPL

Methode Deliver & support

Methode

IT BSC

Methode Acquisitie & implementatie

Methode

CoBiT

Vraag organisatie Functioneel beheer

BiSL

ASL

Internal perspective

Figuur 4

Figuur 5

IT governance framework

IT governance-werkmodel

8

|

FEBRUARI 2007

ITIL ISO 17799

Methode

&

FINANCE

CONTROL

Aandachtsgebieden CoBiT

Aspecten

Perspectieven IT BSC

Figuur 6

Plan & Organise

Functioneel beheer

Corporate contribution

Structuur werkwijze

Acquire & Implement

Applicatiebeheer

Internal/operational

Deliver & Support

Technisch beheer

User/customer

Monitor & Evaluate

Projectmanagement

Future/innovation & learning

Inkoop Beveiliging Aandachtsgebied: Plan & Organise Proces:

Figuur 7

(PO1) – Define a Strategic IT Plan

Voorbeeld norm uit normenkader

Aspect

Nummer Item

Perspectief

FB

3

Concrete plannen voor de lange termijn zijn opgesteld

Corporate

om verbeteringen aan te brengen in bedrijfsprocessen,

contribution

organisatie, ondersteunende informatievoorziening (IV) en de aansluiting daartussen Score

Kwalificatie

Omschrijving

Figuur 8

0

N.v.t.

De norm is niet van toepassing op de organisatie

Scoresnorm

1

Onvoldoende

De norm wordt niet gehaald, verbeteringen zijn relatief omvangrijk

2

Matig

De norm wordt niet gehaald, verbeteringen zijn relatief eenvoudig

3

Voldoende

De norm wordt gehaald

In dit werkmodel is een aantal methodes op een specifieke manier toegepast. In wezen kan iedere organisatie zijn eigen IT governance-werkmodel creëren vanuit het framework. In dit geval heb ik de volgende methodes gebruikt om de drie eerder besproken categorieën in te vullen: ~ Ondersteunen van de vraag- en aanbodorganisatie. • Functioneel beheer (BiSL). • Applicatiebeheer (ASL). • Technisch beheer (ITIL). ~ Ondersteunen van specifieke IT-aspecten. • Projectmanagement (PRINCE2). • Inkoop (iSPL). • Beveiliging (ISO 17799). ~ Beoordelingen mogelijk maken. • CoBiT. • IT BSC (Balanced ScoreCard). Voor de gekozen aspecten heb ik methodes geselecteerd die bruikbaar zijn om processen binnen de aandachtsgebieden te beoordelen. Hiervoor is een gedetailleerde koppeling gemaakt tussen methodes en IT-processen. Om te voorkomen dat beoordelingen van de kwaliteit van IT governance maar vanuit één oogpunt benaderd worden, is ervoor gekozen om meerdere perspectieven te selecteren (IT BSC). Zo ontstaat een benadering waarbij alle relevante perspectieven bij beoordelingen evenwichtig aan bod komen. De aandachtsgebieden, aspecten en perspectieven zijn weergegeven in figuur 6.

Het werkmodel representeert op een concrete manier de eerder genoemde IT governance-concepten en -hulpmiddelen. Het is een gestructureerd model dat gebruikmaakt van mechanismen (methodes) om processen te beoordelen. De geselecteerde methodes hebben ten opzichte van CoBiT, maar ook ten opzichte van elkaar een sterke samenhang.

Veel organisaties hebben nog geen duidelijk beeld van wat IT governance precies is en wat het inhoudt Vanuit de theorie is op deze manier een werkwijze ontwikkeld die het mogelijk maakt om op een gestructureerde, overzichtelijke en pragmatische manier de kwaliteit van IT governance te beoordelen. Het resultaat is een IT governance-normenkader met +/- 200 normen (zie figuur 7). Dit normenkader vormt de concrete vertaling van het IT governance-werkmodel naar normen. Het normenkader stelt IT auditors in staat om de kwaliteit van IT governance bij organisaties te beoordelen. Organisaties kunnen het IT governance-normenkader (en werkmodel) tevens gebruiken bij het inrichten van hun IT governance-structuur en bij het uitvoeren van self assessments.

FEBRUARI 2007

|

9

W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

&

FINANCE

De focus van de werkwijze ligt op het vergelijken van de feitelijke situatie met de norm. Een andere toepassing van de werkwijze is de mogelijkheid om verschillende analyses uit te voeren. Met het toewijzen van scores aan de normen kan een beoordeling gemaakt worden (zie figuur 8). Wanneer het IT governance-normenkader volledig is ingevuld, kan een uitspraak gedaan worden over de kwaliteit op verschillende manieren: ~ Een uitspraak over de kwaliteit van processen binnen de aandachtsgebieden. ~ Een uitspraak over de kwaliteit van verschillende aspecten (in combinatie met de processen). ~ Een uitspraak over de verhouding van perspectieven. Waarbij het mogelijk is te beoordelen of de organisatie te weinig of te veel aandacht besteedt aan een of meerdere perspectieven (in combinatie met IT-aspecten en/of -aandachtsgebieden). Wanneer een organisatie slecht scoort op een aantal perspectieven in een bepaald aandachtsgebied, dan duidt dat onder andere op een matige integratie van IT-strategie met bedrijfsdoelen en matig beheer van de information system-portfolio. Wanneer soortgelijke conclusies getrokken zijn, kan de volgende stap worden genomen: het adviseren/selecteren van acties om afwijkingen op te heffen. Case study Om het nut van voorgaande werkwijze te demonstreren, geef ik hierna twee analyses van de toepassing van de werkwijze. In deze case study is aan de respondent gevraagd om zijn eigen organisatie te beoordelen. Bij toepassing van deze werkwijze kan de IT auditor helpen om een onafhankelijk en onpartijdig oordeel te geven over de scores.

CONTROL

Voorbeeld 1. Figuur 9 geeft de toegewezen scores weer gerangschikt per IT-aspect. Een sterk punt van deze analyse is dat het heel expliciet de onderscheiden IT-aspecten laat zien. De meerwaarde van deze analyse ten opzichte van het gebruik van CoBiT, is dat nu expliciet gemaakt wordt waar zich problemen voordoen. In dit specifieke voorbeeld is te zien dat applicatiebeheer minder goed scoort ten opzichte van functioneel en technisch beheer. Bij een beoordeling van alleen de CoBiT-aandachtsgebieden is zonder verdere bestudering niet helder of de problemen in de vraag- of aanbodorganisatie zitten. De reden dat het aspect inkoop laag scoort, heeft te maken met het feit dat de persoon in kwestie dit aspect niet volledig heeft ingevuld. Voorbeeld 2. Figuur 10 laat de scores per aandachtsgebied en perspectief zien. Het aandachtsgebied Plan & Organise (PO) behandelt de strategie en de tactische vraagstukken en onderzoekt hoe IT het beste kan bijdragen tot het behalen van de bedrijfsdoelstellingen. Het aandachtsgebied Acquire & Implement (AI) identificeert IT-oplossingen die nodig zijn om bedrijfsdoelstellingen te realiseren. Daarnaast is dit aandachtsgebied verantwoordelijk voor het bouwen, aankopen en implementeren van de oplossingen. Het aandachtsgebied Deliver & Support (DS) behandelt vraagstukken rond de eigenlijke levering van IT-diensten zoals het beheer van data en de operationele afdelingen. In het aandachtsgebied plan & organise scoren bepaalde perspectieven matig. Bij bestudering blijkt dat vooral de aanbodorganisatie 'verantwoordelijk' is voor de lage scores. In figuur 9 was al te zien dat applicatiebeheer minder goed scoorde. De matige score van applicatiebeheer zit voornamelijk in het (strategische en tactische) aanCorporate Contribution PO

Future Internal

User/Customer Functioneel beheer

Corporate Contribution

Applicatiebeheer

AI

Future Internal

Technisch beheer

User/Customer Projectmanagement

Corporate Contribution

Inkoop

Future DS Internal

Beveiliging 0% 20% percentage van scoren Score 0

1

2

40%

60%

80%

100%

User/Customer 0% 20% percentage van scoren

3

Score 0

Figuur 9

1

2

40%

3

Figuur 10

Score per aspect

Score per aandachtsgebied en perspectief

10

|

FEBRUARI 2007

60%

80%

100%

&

FINANCE

dachtsgebied plan & organise. Het tweede dat opvalt in figuur 10 is de hoge score van de 'extern' gerichte perspectieven in het aandachtsgebied acquire & implement. Dit toont onder andere aan dat de aansluiting van individuele applicaties/systemen met behoeften vanuit de gebruikersorganisatie groot is. Tevens zijn de gebruikers voldoende betrokken als het om een onderwerp als wijzigingsbeheer gaat. De conclusie die uit deze twee observaties kan worden getrokken is dat de ontwikkelde/ gewijzigde IT-systemen van goede kwaliteit zijn en aansluiten op de bedrijfsbehoeften (per product) maar dat de totale integratie van informatiesystemen met IT-strategie nog onvoldoende bijdraagt aan de doelstellingen van de organisatie. Eenvoudig gezegd, ontwikkelen ze goede, opzichzelf staande, systemen die onvoldoende geïntegreerd zijn. Vanuit het aandachtsgebied plan & organise zijn voor deze organisatie nog verbeterpunten te bedenken.

CONTROL

doelen naar concrete, formele normen. Daarnaast biedt het de mogelijkheid voor een bottom-up-aanpak om de vertaalslag terug te maken van scores (van normen) naar conclusies en uitspraken over de kwaliteit van IT governance (schematisch weergegeven in figuur 11). Hierbij zijn bestaande, geaccepteerde methodes toegepast om het generieke framework concrete invulling te geven. W. Leenslag ([email protected]) is afgestudeerd aan de Universiteit Twente. Hij is werkzaam als junior adviseur bij KPMG Information Risk Management in De Meern.

&

FINANCE

CONTROL

BASE Een uitgebreide versie van dit artikel kunt u vinden in de Finance & Control Base, onder de titel 'Werkwijze ter beoordeling van IT

Samenvatting In de vorm van een framework, concreet werkmodel en IT governance-normenkader heb ik in dit artikel een werkwijze gepresenteerd die kan dienen om de kwaliteit van IT governance bij organisaties te beoordelen en te verbeteren. De gepresenteerde werkwijze omvat een aantal specifiek toepasbare methodes om aan de doelstelling van mijn onderzoek te kunnen voldoen. Het staat de lezer vrij om dezelfde of andere methodes toe te passen om een eigen IT governance-werkmodel te creëren met een eigen normenkader. De bovenstaande werkwijze is hier zeer geschikt voor. Het is mogelijk om andere aspecten (ingevuld door methodes) toe te voegen om zo het framework toepasbaar te maken voor de eigen organisatie.

Governance'. Daarin ook een uitgebreide lijst van literatuur en bronnen die aan dit artikel ten grondslag liggen.

advertentie

Een sterk punt van deze aanpak is dat het een top-downbenadering kent bij het vertalen van abstracte, strategische

Top-down benadering Strategisch

Tactisch

Operationeel

Metamodel

Conclusies

Methodische invulling

Analyse

Framework & Checklist

Beoordeling

Scores

Bottom-up benadering

Figuur 11 Toepassing werkwijze

FEBRUARI 2007

|

11

W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L