Meten van IT Governance
Een onderzoek naar het meten van IT Governance Mohamed El Aarbaoui Shaheed Mamman Postdoctorale IT Audit Opleiding Amsterdam, oktober 2009
Titelblad
Naam Studentnummer Teamnummer Telefoonnummer E-mail Organisatie
Begeleider VU: Bedrijfscoach:
drs. Mohamed El Aarbaoui 1361511 933 06-81476100
[email protected] Cordares
drs. Shaheed Mamman 1372181 933 06-21251145
[email protected] Ernst &Young EDP Audit
dr. René Matthijsse Mohamed Bouker RE
2
Voorwoord In het kader van de postdoctorale studie IT Audit aan de Vrije Universiteit hebben wij een onderzoek uitgevoerd naar de mate waarin aandacht wordt besteed aan het meten van IT Governance bij financiële instellingen. Het onderzoek heeft plaatsgevonden van januari 2009 tot en met oktober 2009. Het bestuderen van de theorie en deze te toetsen in de praktijk heeft onze kennis en inzicht ten aanzien van IT Governance vergroot. Voor ons onderzoek hebben wij een aantal personen in het bedrijfsleven geïnterviewd. Graag willen wij de geïnterviewden bedanken voor hun tijd en medewerking. Verder willen wij onze afstudeerbegeleiders René Matthijsse en Mohamed Bouker bedanken voor hun begeleiding, kennis en input. Ook willen wij onze familie en vrienden bedanken voor hun steun tijdens de intensieve studieperiode. Tijdens de postdoctorale studie IT Audit hebben wij een plezierige en educatieve periode beleefd. Hier willen wij alle medewerkers voor bedanken.
Amsterdam, oktober 2009
Mohamed El Aarbaoui Shaheed Mamman
3
Managementsamenvatting Financiële instellingen onderkennen het toenemende belang van IT voor hun bedrijfsvoering. Dit beweegt deze instellingen om in het verlengde hiervan de aandacht voor IT Governance te vergroten. De verwevenheid van IT met de overige bedrijfselementen leidt tot een hecht samenspel van IT Governance en Corporate Governance. Gelet op ons beroep waren wij zeer benieuwd naar de wijze waarop financiële instellingen aandacht besteden aan het meten van IT Governance. Dit heeft geleid tot de volgende onderzoeksvraag: ‘In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance?’ Om een antwoord te kunnen geven op bovenstaande vraagstelling zijn onderstaande deelvragen beantwoord. Wat is IT Governance? Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten binnen IT Governance, te weten: • Structuren: behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. • Processen: verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. • Relationele mechanismen: de gehele relatie in de business tussen structuren en processen. Bovenstaande aspecten kunnen worden gebruikt om IT Governance te implementeren. De juiste combinatie vinden van de drie aspecten structuren, processen en relationele mechanismen, zal natuurlijk afhangen van een reeks externe en interne factoren zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde ‘taal’ te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. Welke middelen worden toegepast voor het meten van IT Governance? Voorgaande aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren en derhalve ook te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Wij hebben uit een combinatie van de IT Governance aspecten en het Cobit framework een toetsingskader opgesteld. Het doel van dit toetsingskader is het in kaart brengen van de mate waarin IT Governance is ingericht in de organisatie. Op welke wijze wordt het meten van IT Governance in de praktijk toegepast? In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling ‘In hoeverre en op welke wijze besteden financiële instellingen aandacht aan
4
performance management van IT Governance’ heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in ‘In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance’. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen. Resultaten praktijkonderzoek: Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO (Chief Information Officer), Risk managers en IT managers. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst. Om een eerste indruk te krijgen over de mate waarin IT Governance is ingericht bij de twee financiële instellingen hebben wij onderstaande vragen (conform scriptie d.d. 01 april 2009) voorgelegd aan de CIO: 1) Wat verstaat u onder IT Governance? 2) Hoe is IT Governance ingericht (en geïmplementeerd) binnen uw organisatie? 3) Hoe wordt IT Governance gemeten binnen uw organisatie? De onderzochte instellingen verstaan het volgende onder IT Governance: het gestructureerd beheersen van de IT processen waarbij de relatie tussen ‘IT Demand’ en ‘IT Supply’ wordt ‘geregisseerd’ door de CIO. IT Demand betreft de vraag vanuit de business omtrent IT dienstverlening. IT Supply betreft de IT organisatie welke de IT dienstverlening van de organisatie verzorgt. Het doel van IT Governance binnen de organisatie is de alignment tussen IT en de business. IT Governance is ook op deze wijze ingericht bij deze instellingen. Afspraken tussen de business en IT worden door de CIO gemonitord en indien nodig bijgestuurd. Voor de inrichting van IT Governance hebben de instellingen gebruik gemaakt van het Cobit framework. De instellingen besteden geen tot weinig aandacht aan het meten van IT Governance. IT Governance is ingericht, maar de daadwerkelijke toetsing van IT Governance vormt geen onderdeel van het IT Governance proces. Echter, een vorm van het meten van IT Governance wordt gerealiseerd door het toetsen van een aantal normen (kritische succesfactoren) die zijn opgesteld door de business en IT. Deze normen worden door middel van (periodieke) rapportages getoetst. Rapportages waar het hier om gaat zijn volgens de instellingen van beperkte aard en hebben betrekking op de prestaties van IT, zoals beschikbaarheid van IT systemen. Deze rapportages worden gecommuniceerd aan de betrokken stakeholders. Voorgaand stuk geeft tevens antwoord op onze centrale vraag. Terugkijkend op onze vraagstelling waar het volgende centraal stond: ‘In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance’ kunnen we stellen dat de organisaties op dit moment weinig aandacht besteden aan het meten van IT Governance. Om de mate van IT Governance te toetsen in de praktijk hebben wij een meetinstrument geïntroduceerd en toegepast in de praktijk. De resultaten en aanbevelingen van dit onderzoek zijn in de volgende tabel opgenomen.
5
Structuren
Conclusie
Aanbeveling
S1) Rollen en verantwoordelijkheden
•••
-
S2) IT organisatie structuur S3) CIO ‘on board’
•••
-
•
Benoem een onafhankelijke CIO
•
Verplicht de betrokkenheid van de business bij de IT strategie comité -
S4) IT strategie comité S5) IT stuurgroep Processen
P1) Strategic Information Systems-planning P2) Balanced scorecards
••• Conclusie
••. • ••
P3) Information Economics
Betrek de business bij IT processen. Bijvoorbeeld: Leg de verantwoordelijk voor het opstellen van een IT strategieplan bij de businessmanager en IT manager. Richt een meetinstrument in voor het meten van IT processen Realiseer IT affiniteit bij de business door middel van het volgen van verplichte IT cursussen. IT dient voorts betrokken te zijn bij business projecten en vice versa.
P4) Service Level Agreements P5) COBIT en ITIL
•• •••
Benoem een SLA coördinator -
P6) IT alignment/governance maturity models Relationele mechanismen R1) Actieve participatie van stakeholders
••• Conclusie •••
-
R2) Samenwerking tussen de stakeholders R3) Partnership beloningen en incentives
••• •••
-
R4) Business/IT co-locatie
•••
-
•
Realiseer een actieve relatie tussen business en IT door transparantie van wederzijdse doelstellingen, waarbij de businessdoelstellingen leidend zijn en IT een faciliterende rol vervult.
R5) Begrijpen van Business en IT doelstellingen
-
R6) Actieve conflict oplossingen
•
Benoem een onafhankelijke CIO die optreedt bij conflicten
R7) Cross functionele business/IT training
•
Verplicht IT trainingen voor de business en vice versa
R8) Cross functionele business/IT jobrotatie
•
Verplichte jobrotatie tussen business en IT
Legenda: Score ••••
=
Voldoet in ruime mate aan de gestelde norm(en)
•••
=
Voldoet aan de gestelde norm(en)
••
=
Voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen
•
=
Voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk
Voor een uitgebreide beschrijving van de bevindingen verwijzen wij naar de analyse van het praktijkonderzoek (hoofdstuk 6) en de conclusie (hoofdstuk 7).
6
Inhoudsopgave Voorwoord
3
Managementsamenvatting
4
1 1.1 1.2
Inleiding Aanleiding Probleemstelling 1.2.1 Doelstelling 1.1.1 Centrale vraagstelling 1.1.2 Deelvragen 1.2 Opzet en onderzoeksaanpak 1.3 Leeswijzer
8 8 9 9 9 9 9 10
2 2.1 2.2 2.3
11 11 11 12
IT Governance Inleiding Definities IT Governance Analyse
3 3.1
Meten van IT Governance IT Governance-structuren, -processen en relationele mechanismen 3.1.1 Analyse 3.2 COBIT 3.2.1 Analyse
14 14 17 17 21
4
Toetsingskader IT Governance
22
5 5.1 5.2 5.3
Methode van onderzoek Inleiding Onderzoeksaanpak Resultaten van het onderzoek
25 25 25 26
6 6.1 6.2
Analyse resultaten praktijkonderzoek Analyse algemene vragen Analyse conform toetsingskader
27 27 28
7
Conclusie
32
8
Rol van de IT Auditor
35
Literatuurlijst
37
Bijlagen
38
7
1 Inleiding 1.1
Aanleiding
Een aantal boekhoudschandalen, zoals bij Enron, Ahold en Parmalat, hebben geleid tot een daling van het vertrouwen rondom dit soort type organisaties. Dit zijn al veel beursgenoteerde ondernemingen. Deze incidenten hebben geresulteerd in een herijking van het toezicht op (beursgenoteerde) ondernemingen. Het resultaat hiervan is een verscherpt toezicht op organisaties, verhoging van verantwoordelijkheid bij het management en stringentere regels rondom de administratieve organisatie. Een voorbeeld hiervan is dat management aansprakelijk kan worden gesteld op fouten in (financiële) rapportage. Deze maatregelen moeten het vertrouwen herstellen in (beursgenoteerde) ondernemingen. Bovenstaande heeft geleid tot meer aandacht in de wijze waarop bedrijven worden geleid. Het thema wat hierbij past is Corporate Governance en hiermee wordt ondermeer verstaan deugdelijk bestuur en verantwoording afleggen door management aan stakeholders. In de huidige bedrijfsvoering is Informatie Technologie (hierna: IT) een significante bedrijfsenabler. Het toezicht hierop is dan ook van kritisch belang. Een tekortkoming binnen IT kan leiden tot operationele risico’s, zoals uitval van processen, maar ook negatieve invloed hebben op de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Binnen Corporate Governance kan de aandacht voor IT ook wel opgehangen worden aan IT Governance. IT Governance is een onderdeel van Corporate Governance. NOREA, de beroepsorganisatie van IT-auditors, beschrijft dat de essentie van Corporate Governance is: ‘het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt’. Dit geldt tevens voor IT Governance 1. Financiële instellingen onderkennen het toenemende belang van IT voor hun bedrijfsvoering. Dit beweegt deze instellingen om in het verlengde van voorgaande de aandacht voor IT Governance te vergroten. Uit enquêtes blijkt dat CIO’s IT Governance zien als een managementprioriteit2. De verwevenheid van IT met de overige bedrijfselementen leidt tot een hecht samenspel van IT Governance en Corporate Governance. Gelet op ons beroep waren wij zeer benieuwd naar de wijze waarop financiële instellingen aandacht besteden aan het meten van IT Governance. Voorts vinden wij dit een actueel onderwerp, te meer omdat zij op dit moment druk bezig zijn met het: • vernieuwen van legacy systemen door standaardpakketten zoals ERP; • integreren van nieuwe technologie zoals internet (distributiekanaal); • aanpassen van betalingsverkeer zoals SEPA; • implementeren van geautomatiseerde controls teneinde te voldoen aan wet- en regelgeving (zoals SOx, WFT, WBP). Het is nu duidelijk dat IT Governance een belangrijke rol speelt in het beheersen van IT en hiermee ook een bijdrage levert in het realiseren van de bedrijfsdoelstellingen. Het beoordelen van IT Governance vraagt om meetinstrumenten zodat inzicht wordt verkregen in prestaties en bij afwijking van de verwachtingen bijsturing mogelijk is. 1 2
NOREA; De kennisgroep IT-Governance; IT-Governance: Een verkenning; juni 2004. Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT;
8
1.2
Probleemstelling
1.2.1 Doelstelling IT Governance legt de focus enerzijds op het uitlijnen van IT met de bedrijfsprocessen en anderzijds op het inrichten van de IT organisatie en de IT architectuur zodat de gemaakte afspraken met de bedrijfsproceseigenaren worden gerealiseerd. Binnen de klassieke processen, zoals Finance, Sales, Productie, zijn prestatiemetingen en rapportages een bekend fenomeen. Hiermee krijgen betrokkenen inzicht in prestaties en kan waarnodig bijsturing plaatsvinden. Het meten van IT Governance is gezien de levenscyclus hiervan nog niet zover als de voorgaande klassieke processen. Met ons onderzoek willen wij inzicht krijgen naar de mate waarin aandacht wordt besteed aan het meten van IT Governance bij financiële instellingen. Voorts zullen wij middels een toetsingskader de mate van inrichting van IT Governance bij deze instellingen meten. In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling ‘In hoeverre en op welke wijze besteden financiële instellingen aandacht aan performance management van IT Governance’ heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in ‘In hoeverre en op welke wijze wordt bij financiële instelling aandacht besteed aan het meten van IT Governance’. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen. 1.1.1 Centrale vraagstelling In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance. 1.1.2 Deelvragen Om een antwoord te kunnen geven op bovenstaande vraagstelling dienen de volgende aanvullende deelvragen te worden beantwoord: 1. Wat is IT Governance? 2. Welke middelen worden toegepast voor het meten van IT Governance? 3. Op welke wijze wordt het meten van IT Governance in de praktijk toegepast?
1.2 Opzet en onderzoeksaanpak Het onderzoek bestaat uit een literatuuronderzoek en een praktijkonderzoek. Bij het literatuuronderzoek gaat het om begripsbepaling en (theoretische) modelvorming op basis van academische literatuur. In het literatuuronderzoek richten wij ons op de bestaande modellen die worden gebruikt voor het meten van IT Governance. Naar aanleiding van het literatuuronderzoek zullen wij een toetsingskader opstellen welke kan worden gebruikt om IT Governance te meten. Het toetsingskader zal tijdens ons veldonderzoek bij twee financiële instellingen worden getoetst op bruikbaarheid. De uitkomsten van ons onderzoek zullen gekoppeld worden aan het eerder genoemd literatuuronderzoek om op deze wijze gefundeerde conclusies te trekken.
9
1.3
Leeswijzer De opbouw van dit rapport wordt in onderstaande figuur schematisch weergegeven. 2) Theorie IT Governance 1) I N L E I D I N G
3) Theorie meetinstrumenten IT Governance
4) Ontwikkelen toetsingskader
6) Analyse en uitwerken resultaten veldonderzoek
5) Methode van onderzoek
7) Beantwoorden hoofdvraag / conclusie
10
2 IT Governance 2.1
Inleiding
De realisatie van gedegen Corporate Governance binnen geautomatiseerde organisaties is mede afhankelijk van IT Governance. De resultaten van IT Governance hebben hun weerslag op Corporate Governance. Gesteld kan worden dat deze twee onderwerpen met elkaar zijn verweven. Als integraal deel van Corporate Governance, dient IT Governance zich dan te buigen over dezelfde vraagstukken als in de Corporate Governance-context: waar Corporate Governance vooral moet zorgen dat het geïnvesteerde kapitaal van de aandeelhouders op een zinvolle en rendabele manier wordt besteed, moet IT Governance ervoor zorgen dat de investeringen in IT-waarde creëren voor de organisatie3. In essentie is de theorie het er ten aanzien van Corporate Governance over eens, het gaat om wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst4. IT Governance is direct met Corporate Governance verbonden en gaat over het besturen, beheersen, verantwoording afleggen over en het toezicht op de informatievoorziening binnen een organisatie. De uitgangspunten van Corporate Governance vertalend naar de betekenis voor IT Governance levert een drietal aandachtsgebieden op: • De beheersing van IT- risico’s binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening; • Het aantoonbaar uitoefenen van toezicht op de beheersing van IT- risico’s; • Het afleggen van verantwoording over de beheersing van IT- risico’s5.
2.2
Definities IT Governance
IT Governance kent verschillende definities. In deze paragraaf worden een aantal hiervan beschreven. De eerste is ontwikkeld door het IT Governance Institute6: ‘IT Governance is the responsibility of the Board of Directors and executive management. It is an integral part of enterprise Governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategy and objectives’).
3
Van Grembergen, W., De Haes, S., Guldentops, E., 2004, : Structures, Processes and Relational Mechanisms for IT Governance Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 5 Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 6 ITGI, 2008, Board Briefing on IT Governance; 4
11
De tweede definitie wordt gehanteerd door van Grembergen7. De definitie luidt: ‘IT Governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT’. De OECD verstaat het volgende onder IT Governance: ‘IT Governance is the system by which IT within Enterprises is directed and controlled. The IT Governance structure specifies the distribution of rights and responsibilities among different participants, such as the board, business and IT managers, and spells out the rules and procedures for making decisions on IT. By doing this, it also provides the structure through which the IT objectives are set, and the means of attaining those objectives and monitoring performance8’. De definitie van de OECD toont overlapping met de eerder genoemde definities, maar legt de nadruk op de rechten en verantwoordelijkheden van de verschillende individuen (zoals de raad van bestuur en IT managers) en de procedures omtrent besluitvorming ten aanzien van IT. Een simpele definitie van IT Governance wordt gegeven door Brand et al.9. Zij stellen dat IT Governance ervoor dient te zorgen dat de IT aansluit op bedrijfsprocessen en dat deze op de juiste manier wordt georganiseerd, bestuurd en beheerst. IT Governance verschaft de structuur die een link legt tussen ITprocessen, IT-resources en informatie met de organisatiestrategie en -doelen.
2.3
Analyse
Het bereiken van de fusie tussen business en IT (vaak genoemd onder de termen strategic alignment en business/IT alignment) wordt gezien als de ultieme doelstelling van IT Governance. De steeds grotere afhankelijkheid van IT verklaart de verhoogde aandacht voor het onderwerp. Voor de ene organisatie speelt IT een belangrijkere rol dan voor de andere. Zo zal het belang van IT per branche verschillen en is maatwerk noodzakelijk. Het komt er op neer dat voor IT Governance geen receptenboek bestaat, en dus geen kant-en-klare oplossing kan worden ontwikkeld. Een ander kernpunt in binnen IT Governance is de primaire verantwoordelijkheid van de raad van bestuur en het directiecomité. Bestuurders moeten hun rol opnemen inzake IT Governance en het op de agenda plaatsen van hun vergaderingen. IT Governance moet bovendien worden doorgetrokken naar de onderliggende IT en businessniveaus. Bestuurders zijn dus verantwoordelijk voor IT Governance op strategisch niveau, leden van het directiecomité en de CIO op managementniveau, en de IT-organisatie samen met de business op het operationele niveau.
7
Van Grembergen, De Haes, 2004, IT Governance mechanismen www.OECD.org 9 Brand K, Boonen H; IT Governance based on CobiT; 8
12
Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij zoals ook door Grembergen en de Haes10 onderkend, gemeenschappelijke aspecten, te weten: • Structuren; • Processen; • Relationele mechanismen. De aspecten zullen wij derhalve als uitgangspunt gebruiken voor onze definitie van IT Governance. In hoofdstuk 3 wordt nader ingegaan op voorgaande aspecten.
10
Van Grembergen, De Haes, 2004, IT Governance mechanismen;
13
3 Meten van IT Governance In dit hoofdstuk beschrijven wij een aantal methoden die worden gebruikt voor de inrichting en toetsing van IT Governance. Allereerst beschrijven wij het model van Peterson11 dat een onderscheid maakt in structuren, processen en relationele mechanismen. Vervolgens wordt het Cobit framework van ISACA12 uiteengezet.
3.1
IT Governance-structuren, -processen en relationele mechanismen
Zoals in de vorige paragraaf besproken, onderscheiden wij structuren, processen en relationele mechanismen als aspecten van IT Governance. Hieronder worden de voornaamste onderdelen van bovengenoemde aspecten aan de hand van een tabel (van Peterson) besproken. Organisaties kunnen deze aspecten en bijbehorende onderdelen als uitgangspunt gebruiken voor de inrichting van IT Governance. Structuren Rollen en verantwoordelijkheden IT organisatie structuur CIO ‘on board’ IT strategie comité IT stuurgroep
Processen Strategic Information Systemsplanning Balanced scorecards Information Economics Service Level Agreements COBIT en ITIL IT alignment/Governance maturity models
Relationele mechanismen Actieve participatie van stakeholders Samenwerking tussen de stakeholders Partnership beloningen en incentives Business/IT co-locatie Begrijpen van Business en IT doelstellingen Actieve conflict oplossing Cross functionele business/IT training Cross functionele business/IT jobrotatie Tabel 1 Structuren, processen en relationele mechanismen voor IT Governance
1) Structuren Structuren behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. Rollen en verantwoordelijkheden Duidelijke afgebakende rollen en verantwoordelijkheden voor alle betrokken partijen, zijn onontbeerlijk in het IT Governance-raamwerk. Het is de taak van de raad van bestuur en executive management om deze rollen te communiceren binnen de organisatie en om ervoor te zorgen dat iedereen op alle niveaus zijn/haar rol begrijpt. Zowel de raad van bestuur als IT- en businessmanagement spelen een belangrijke rol in het IT Governance-proces. De CIO is een heel belangrijke, maar zeker niet de enige betrokkene in dit verhaal. De CEO heeft de verantwoordelijkheid om het strategisch beleid en plan uit te voeren, zoals het werd goedgekeurd door de raad van bestuur. De CEO zou er ook voor moeten zorgen dat de CIO volwaardig lid 11 12
Peterson, R. R. (2003) Information Strategies and Tactics for Information Technology Governance ISACA: Cobit 4.0 & IT Governance Institute, 2007, Cobit 4.1 Executive Summary Framework, IT Governance Institute
14
is van het besluitvormingsproces op het hoogste niveau. Zowel de CIO als de CEO moeten op regelmatige tijdstippen rapporteren aan de raad van bestuur. Die raad van bestuur speelt de rol van onafhankelijke toezichthouder. De leden van de raad van bestuur moeten ervoor zorgen dat ze op de hoogte blijven van hedendaagse bedrijfsmodellen, managementtechnieken, IT-technologieën, en natuurlijk met de potentiële waarden en risico’s die eraan verbonden zijn. IT organisatiestructuur De effectiviteit van een IT Governance-raamwerk wordt mede bepaald door de manier waarop het ITdepartement zelf is georganiseerd. Belangrijk hierbij is de manier waarop de organisatie de beslissingsmacht over IT verdeelt. In het verleden zijn verschillende modellen ontwikkeld, zoals gecentraliseerde, een gedecentraliseerde en een federale IT-organisatie. IT strategie comité Zoals eerder vermeld moet IT Governance integraal deel uitmaken van corporate Governance. En aangezien Corporate Governance de verantwoordelijkheid is van de raad van bestuur is ook IT Governance haar verantwoordelijkheid. Een raad van bestuur kan tegemoet komen aan deze verantwoordelijkheid door zich te laten ondersteunen door een comité dat zich specifiek buigt over IT gerelateerde zaken. Dat comité wordt aangeduid met ‘IT strategie comité’ en moet ervoor zorgen dat IT op een gestructureerde manier wordt behandeld door de raad van bestuur en dat het regelmatig op de agenda staat. IT stuurgroep Een IT stuurgroep is verantwoordelijk voor het beheren van grote projecten, voor het vastleggen van ITprioriteiten, het toewijzen van middelen, enzovoort. Terwijl het IT strategie comité werkt op het strategisch niveau van de raad van bestuur, werkt het IT steering comité eerder op het uitvoerend niveau van executive management
2) Processen Processen verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. Strategic Information Systems-planning Een belangrijke doelstelling van IT Governance is de fusie tussen IT en de business, ook wel ‘strategic alignment’ genoemd. Er zijn verschillende strategieën die de mogelijkheden vastleggen hoe de ITstrategie en de businessstrategie elkaar kunnen beïnvloeden, en hoe zij een impact hebben op de organisatorische bedrijfs- en IT-infrastructuur. Een voorbeeld is een strategie waarbij eerst de business strategie wordt vastgelegd, wat dan een impact zal hebben op de organisatorische infrastructuur en processen, wat vervolgens de IT-infrastructuur vastlegt.
15
Balanced Scorecard In 1992 hebben Kaplan en Norton de balanced scorecard (hierna: BSC) geïntroduceerd als model voor strategisch management binnen een organisatie. Organisaties kunnen de BSC als middel gebruiken voor het uitvoeren van metingen op prestaties die moeten leiden tot het behalen van doelstellingen. Een BSC is een vertaling van de strategische doelen van een organisatie in concrete, meetbare parameters die onderverdeeld kunnen worden in vier categorieën: • Financieel; • Klanten; • Interne bedrijfsvoering; • Ontwikkeling en groei. Het concept van de BSC kan ook toegepast worden voor de IT organisatie. Aangezien IT de functie van interne dienstverlener binnen de organisatie vervult, zijn de strategische doelstellingen van IT ook van andere aard dan de organisatiedoelstellingen. Een aangepaste BSC voor de IT organisatie is dan ook noodzakelijk. Information Economics Information economics is een techniek die wordt gebruikt voor alignment en Governance. De techniek vereist dat IT- en businessmensen samen scores bepalen voor IT-projecten, om op die manier projecten te selecteren en prioritiseren. Service level agreements In een volwassen IT Governance omgeving moeten ‘service level agreements’ (hierna: SLA’s) en het ondersteunende ‘service level management’ (SLM)-proces een belangrijke rol spelen. De functies van SLA’s zijn: 1. Het definiëren van de serviceniveaus die aanvaardbaar zijn voor de gebruiker en haalbaar voor de serviceleverancier. 2. Het definiëren van voor beide partijen aanvaardbare indicatoren en maatstaven voor het meten van de kwaliteit van de geleverde diensten. COBIT en ITIL Cobit (‘Control Objectives for Information and related Technologies’) is een open standaard ontwikkeld door ISACA die de IT-activiteiten organiseert rond 34 IT-processen. Voor elk proces heeft Cobit ‘control objectives’ en corresponderende ‘auditguidelines’ en ‘managementguidelines’ In hoofdstuk 3 wordt nader in gegaan op Cobit. IT alignment/Governance maturity models Om te weten hoe ver men staat in het IT Governance en strategic alignment-traject, kan de organisatie gebruikmaken van een maturiteitsmodel. Dit is een scoremethodiek die de organisatie in staat stelt zichzelf te beoordelen tegen een schaal van ‘niet bestaand’ tot ‘geoptimaliseerd’. Op die manier kan een organisatie bepalen waar ze momenteel staat en wat haar toekomstige doelstellingen zijn.
16
3) Relationele Mechanismen Relationele mechanismen zijn heel belangrijk maar vaak onderschat. Een organisatie kan alle IT Governance-processen en structuren hebben geïmplementeerd, zonder dat het geheel functioneert, omdat de IT-medewerkers eenvoudigweg de businessmensen niet begrijpen, of omdat beide partijen niet met elkaar samenwerken. Om het geheel te laten werken is het dus van groot belang om goede relaties te hebben tussen IT en businesspersoneel in de vorm van partnership en collaboratie, het continu delen van kennis, jobrotatie, joballocatie, enzovoort.
3.1.1 Analyse De juiste combinatie van bovengenoemde structuren, processen en relationele mechanismen vinden, zal natuurlijk afhangen van een reeks externe en interne factoren, zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Het is dan ook vanzelfsprekend dat wat werkt voor de ene organisatie, daarom nog niet werkt voor andere organisaties. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde ‘taal’ te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. De aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren. Deze aspecten kunnen ook worden gebruikt om in grote lijnen de mate van IT Governance in een organisatie te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. In de volgende paragraaf wordt nader ingegaan op dit framework.
3.2
COBIT
Cobit staat voor Control Objectives for Infomations and related Technologies en wordt door het ITGI en de Information Systems Audit and Control Association (hierna: ISACA) aangedragen als hét IT Governance framework. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Cobit biedt handvatten, omdat gedetailleerd per onderwerp beschreven staat waar men aan moet voldoen om voor een bepaald onderwerp in control te zijn13. Wat is Cobit? Cobit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ITorganisatie en IT-architectuur. Cobit bestaat uit een aantal good practices op het gebied van IT Governance. Deze zijn verdeeld over 34 IT-processen. Binnen deze IT-processen staan beheersdoelstellingen en bijbehorende maatregelen, prestatie-indicatoren en volwassenheidniveaus centraal. Cobit is met name gericht op beheersingsaspecten en minder op de gedetailleerde inrichting van IT-processen, zoals dat bijvoorbeeld bij ITIL. Cobit maakt een aansluiting tussen de bedrijfsvoering (business requirements) en hoe IT kan worden ingezet om de bedrijfsdoelstellingen te bereiken. Cobit richt zich meer op de ‘wat- vraag’ dan de ‘hoe-vraag’. Dit betekent dat aanvullingen nodig zijn om invulling te geven aan de uit te voeren activiteiten (hoe).
13
ISACA: Cobit 4.0 & IT Governance Institute, 2007, Cobit 4.1 Executive Summary Framework, IT Governance Institute
17
Voor wie is Cobit bedoeld? Cobit biedt zowel de businessmanagers alsmede de IT- manager een podium om samen op trekken. Het voorziet een manager, auditor en gebruikers van een set algemeen geaccepteerde meetinstrumenten, indicatoren, processen en best practices die hen kunnen helpen bij het maximaliseren van de voordelen die informatietechnologie met zich meebrengt door middel van het implementeren van een geschikte IT Governance en control binnen een organisatie. Cobit beschrijft voor het management waar rekening mee gehouden moet worden wanneer beslissingen over IT worden genomen en investeringen in IT worden gedaan; het helpt een balans te vinden tussen risico’s en investeren in controle. Hoe kan een organisatie met Cobit gaan werken? Het startpunt van Cobit is het definiëren of overnemen van de organisatie- en compliance- doelstellingen. Zonder deze input bestaat er geen garantie dat de navolgende stappen een bijdrage zullen leveren aan het behalen van de bedrijfsdoelstellingen. Het Cobit framework onderscheidt 318 beheersdoelstellingen. Deze zijn vervolgens weer onderverdeeld in 34 IT- processen en die zijn gerangschikt naar vier domeinen: • Plan and Organise (PO): gericht op het definiëren van de IT- strategie en IT- architectuur; • Acquire and Implement (AI): gericht op het vertalen van de IT-strategie naar het implementeren van IT- oplossingen; • Deliver and Support (DS): opleveren en beheren van de geïmplementeerde oplossingen; • Monitor and Evaluate (ME): beoordelen of IT de gewenste bijdrage levert aan de bedrijfsdoelstellingen. De vier domeinen staan met elkaar in verbinding en bestrijken het gehele IT- landschap. Beslissingen die in PO worden genomen, worden in AI geïmplementeerd. In het domein DS worden de deliverables in gebruik genomen door de operationele afdelingen en tegelijkertijd begint het monitoringsproces om vast te stellen of de genomen beslissingen datgene opleveren wat de organisatie voor ogen had in de fase PO. Per domein zijn de bijbehorende processen gedefinieerd. Het domein bestaan uit in totaal 34 processen. Eisen zijn gedefinieerd waaraan de output van IT dient te voldoen. Deze eisen vertaald naar de volgende kwaliteitscriteria: effectiviteit, efficiency, confidentiality, integrity, availability, compliance en reliability. Naast de vier domeinen en kwaliteitscriteria besteedt Cobit ook aandacht aan de te gebruiken resources. Cobit verstaat onder resources: applicaties, informatie, infrastructuur en mensen. Het COBIT- raamwerk stelt vervolgens dat de informatie die voortkomt uit de IT-systemen het resultaat is van een gecombineerde inzet van IT- gerelateerde middelen, die moeten worden beheerd via ITprocessen. Het is dus zaak de IT- processen voldoende te beheren en controleren, zodat de informatie geleverd aan de organisatie aan bovenstaande kwaliteitsvereisten voldoet. Cobit is te gebruiken ongeacht de wijze waarop de infrastructuur tot stand is gekomen. Cobit schrijft niet voor of een organisatie gebruik dient te maken van een ERP-pakket of een legacy systeem. Vanuit Cobit kan wel worden beoordeeld of gemaakte keuzes de gewenste bijdrage leveren aan de bedrijfsdoelstelling. Indien de uitgangspunten van een bedrijf gericht zijn op het zoveel mogelijk maken van standaardoplossingen, dan zal dat ook zichtbaar moeten zijn in de keuze van resources. Het Cobit framework biedt drie basisproducten: • Control Objectives; • Managementguidelines; • Auditguidelines. Voor elk van de 34 IT- processen beschrijft het control objectives document control objectives. Deze control objectives kunnen de verantwoordelijke van een IT proces helpen om een gepast controlesysteem
18
in te bouwen in de IT- omgeving. De control objectives bevatten uitspraken in verband met de gewenste resultaten of doelstellingen die moeten worden bereikt, door het implementeren van specifieke controls binnen de IT- activiteit. Een dergelijke control bestaat uit procedures, beleidsmaatregelen, praktijken en organisatorische structuren die ervoor zorgen dat een aanvaardbare garantie kan worden geleverd, dat de doelstellingen van de organisatie bereikt worden en dat ongewenste effecten niet plaatsvinden of gedecteerd en gecorrigeerd worden14. Cobit definieert één high level controlobjectief voor elk proces en drie tot dertig gedetailleerde control objectives voor een IT proces. Binnen Cobit bestaan ook managementguidelines met instrumenten om de IT- omgeving van de onderneming te beoordelen en te meten. Deze managementguidelines bevatten maturiteitsmodellen, critical succes factors, key goal indicators en key performance indicators voor elk IT- proces. Een maturiteitsmodel is een scoretechniek die het de onderneming mogelijk maakt om de maturiteit voor een bepaald proces te beoordelen van niet bestaand (score 0) tot optimaal (score 5). Dit instrument biedt een makkelijk te begrijpen manier om de huidige en de gewenste positie te bepalen en maakt het de onderneming mogelijk om zichzelf te vergelijken met de best practices en standaardrichtlijnen. Op deze manier kunnen verschillen tussen de huidige en de gewenste situatie worden geïdentificeerd en specifieke acties worden gedefinieerd om naar de gewenste positie te evolueren. Als deze maturiteitsbepaling wordt uitgevoerd, is het belangrijk om zich te schikken naar de basisprincipes van maturiteitsmeting: een onderneming kan enkel naar een hoger maturiteitsmeting evolueren wanneer alle condities, beschreven voor een bepaald maturiteitsniveau, zijn vervuld. De volgende maturiteitsniveaus worden onderkend: • 0 - Niet bestaand; • 1 - Initieel/ ad hoc; • 2 - Terugkerend en intuïtief; • 3 - Proces gedefinieerd; • 4 - Beheerd en meetbaar; • 5 - Optimaal.
14
Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT; Informatie
19
Voor elk van de 34 IT processen levert COBIT ook auditguidelines. Dit product biedt de auditor een gedetailleerd leidraad om een audit uit te voeren op de 318 gedetailleerde control objectives. Volgens van Grembergen is de einddoelstelling van de audit: • Garanties bieden aan management dat de control objectives worden bereikt; • Wanneer er duidelijke zwakheden zijn in de controle, die hieruit resulterende risico’s duidelijk maken; • Adviseren van management over correctieve acties15 Het Cobit framework wordt samengevat in onderstaande figuur.
Figuur 1
15
Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT.
20
3.2.1 Analyse In paragraaf 3.2 hebben wij de essentie van Cobit uiteengezet. Cobit biedt handvatten, omdat gedetailleerd per onderwerp beschreven staat waar men aan moet voldoen om voor een bepaald onderwerp in control te zijn. Cobit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ITorganisatie en IT-architectuur. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Naast het model dat door Peterson wordt gebruikt om IT Governance op hoger niveau in te richten is Cobit hét framework om dit op detail niveau te realiseren. In het volgende hoofdstuk introduceren wij een toetsingskader welke bestaat uit een combinatie van het model van Peterson en het Cobit framework.
21
4 Toetsingskader IT Governance Zoals in het vorige hoofdstuk besproken kan het model van Peterson worden gebruikt om IT Governance op hoog niveau te implementeren en uiteindelijk te toetsen. Op detailniveau kan Cobit worden gebruikt om IT Governance in te richten en te toetsen. In dit hoofdstuk introduceren wij een toetsingskader welke wij zullen gebruiken het praktijkonderzoek. Het toetsingskader dient inzicht te geven in welke mate IT Governance is ingericht in een organisatie. De aspecten structuur, processen en relationele mechanismen die worden onderkend door Peterson (2003) worden als uitgangspunt gebruikt in het toetsingskader. Deze aspecten worden als uitgangspunt gebruikt in het toetsingskader. Om meer diepgang in het toetsingskader te creëren hebben wij het aspect ‘processen’ waar mogelijk aangevuld met de control objectives van Cobit. De Cobit control objectives die zijn gebruikt onder het aspect ‘processen’ zijn aangegeven met het control objective nummer. Hieronder is het toetsingskader weergegeven. Structuren S1) Rollen en verantwoordelijkheden De taken van IT management en business management zijn duidelijk gecommuniceerd door de RvB.
Gesprekspartner
De afspraken met betrekking tot rollen en verantwoordelijkheden tussen de business en IT zijn door de RvB geaccordeerd.
CIO, Risk manager, IT manager
Een CIO die volwaardig lid is van het besluitvormingsproces op het hoogste niveau is benoemd.
CIO, Risk manager, IT manager
Score
CIO, Risk manager, IT manager
S2) IT organisatie structuur De IT organisatie is gecentraliseerd ingericht.
CIO
De organisatie is ‘Business driven’
CIO
Het proceseigenaarschap, de ‘accountability’ en de ‘responsibilty’ taken van het IT management zijn duidelijk belegd Het IT management heeft een IT organisatie ingericht met gedocumenteerde rollen, verantwoordelijkheden en verwachte prestaties van het personeel. S3) CIO ‘on board’ De CIO functioneert als onafhankelijk orgaan (is bijvoorbeeld geen lid van de IT organisatie). De taken van de CIO zijn duidelijk belegd en geaccordeerd door de RvB
CIO, Risk manager, IT manager CIO, IT manager
CIO, Risk manager CIO
S4) IT strategie comité Een IT strategie comité is ingericht Personen van de business en van IT zijn vertegenwoordigd in het comité Het comité heeft voldoende draagkracht in de organisatie
CIO, Risk manager, IT manager
S5) IT stuurgroep Een IT stuurgroep is ingericht waarin personen van de business en van IT zijn vertegenwoordigd.
CIO IT manager
22
Processen P1) Strategic Information Systems-planning Er is een strategisch IT plan (PO1, P03)? Dit plan is tot stand gekomen door betrokkenheid van de business Het strategisch IT plan wordt gedeeld met de business Het strategisch IT plan wordt besproken tijdens business-management overleggen De doelstellingen op het gebied van IT zijn geformuleerd en gecommuniceerd aan de business (PO3) De IT architectuur is bekend en formeel gedocumenteerd (PO2) De IT processen, -organisatie en –relaties zijn beschreven en formeel gecommuniceerd (P04) Management (IT) doelstellingen zijn gecommuniceerd naar de business (PO6) Er wordt specifiek aandacht besteed aan IT human resource management (PO7) IT oplossingen voor business vraagstukken worden door IT en de business in samenspraak ontwikkeld (AI1) P2) Balanced scorecards Er wordt gebruikt gemaakt van een Balanced scorecard (of een soortgelijke methodiek) voor het toetsen van de prestaties van IT (Governance) (ME1) P3) Information Economics IT is betrokken bij alle business projecten (PO10) Business stakeholders zijn betrokken bij IT projecten (PO10) Project IT risico’s worden door de business en IT gezamenlijk geanalyseerd (PO9) Het IT budget binnen een project is vastgesteld in samenspraak met de business (PO5) De Business en IT zijn samen verantwoordelijk voor de prioritisering van IT- projecten (PO5, PO10) Een Quality Assurance rol is ingericht ten aanzien van projecten (PO8, PO10) De IT planning sluit aan op de eisen van de business (PO10) P4) Service Level Agreements SLA’s zijn afgesloten tussen de business en de IT organisatie (DS1) Een service level coördinator is benoemd met duidelijke taken (DS1, DS2) Processen zijn ingericht om de prestaties van IT te monitoren (DS3) Er zijn richtlijnen voor de selectie van (service) leveranciers (DS1)
Gesprekspartner
Score
CIO, Risk manager, IT manager
CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager
manager, IT manager, IT manager, IT manager, IT manager, IT manager, IT
CIO
CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager CIO, Risk manager
manager, IT manager, IT manager, IT manager, IT manager, IT manager, IT manager, IT
manager, IT manager, IT manager, IT manager, IT
23
Processen P5) COBIT en ITIL De organisatie heeft gebruik gemaakt van een ‘best practice’/ framework voor het inrichten van IT Governance. P6) IT alignment/Governance maturity models
Gesprekspartner CIO
Een scoretechniek wordt gebruikt om het volwassenheidsniveau van de organisatie te bepalen.
CIO
Relationele mechanismen R1) Actieve participatie van stakeholders Alle stakeholders (RvB, IT management, business management, audit/toezichthouder) zijn betrokken bij het IT Governance proces De verantwoordelijkheden van de verschillende stakeholders zijn duidelijk belegd R2) Samenwerking tussen de stakeholders
Gesprekspartner
De afspraken omtrent de samenwerking tussen de stakeholders zijn vastgelegd en gecommuniceerd De communicatielijnen tussen de stakeholders zijn duidelijk vastgelegd en gecommuniceerd R3) Partnership beloningen en incentives Een beloningssysteem is geïmplementeerd om het personeel te motiveren R4) Business/IT co-locatie De IT organisatie is fysiek dichtbij de business gelokaliseerd R5) Begrijpen van Business en IT doelstellingen De business doelstellingen zijn bekend bij de IT organisatie en viceversa De bedrijfsdoelstellingen worden door IT gebruikt als uitgangspunt R6) Actieve conflict oplossingen Een orgaan is ingericht om conflicten (tussen de business en IT) actief op te lossen R7) Cross functionele business/IT training Het management onderkent het belang van (IT en business) trainingen Trainingen zijn onderdeel van de carrière van het personeel IT trainingen worden aangeboden aan de Business en viceversa
Score
Score
CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager CIO, Risk manager, IT manager
R8) Cross functionele business/IT jobrotatie Jobrotatie tussen IT en de business vindt plaats Jobrotatie wordt door het management gestimuleerd
CIO, Risk manager, IT manager CIO, Risk manager, IT manager
24
5 Methode van onderzoek 5.1
Inleiding
In dit hoofdstuk wordt de methode van het praktijkonderzoek besproken. Hierin beschrijven wij de onderzoeksaanpak. In hoofdstuk 5 wordt de analyse van de resultaten beschreven.
5.2
Onderzoeksaanpak
Wij hebben in hoofdstuk 2 de essentie van IT Governance uitgelicht en besproken wat IT Governance kan opleveren voor een organisatie. Dit hebben wij geprobeerd te verduidelijken door verschillende definities in ogenschouw te nemen en de verschillen en in het bijzonder de overeenkomsten in kaart te brengen. Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten, te weten: • Structuren; • Processen; • Relationele mechanismen. Dit wordt ook onderkend door Grembergen en de Haes16. Voor het aspect ‘structuur’ wordt het bestaan van verantwoordelijke functies, zoals IT executives en een reeks comités en raden behandeld. Processen verwijzen naar strategische besluitvorming en opvolging. Relationele mechanismen behelzen zaken zoals partnerships tussen IT en de organisatie, actieve participatie van alle betrokkenen partijen, strategische dialoog en gezamenlijke leren. Dit hebben wij in hoofdstuk 3 beschreven. ISACA draagt COBIT aan als hét IT Governance framework. Ook biedt het Cobit framework het management en auditors richtlijnen om de beheersprocessen in te richten dan wel te beoordelen. Ook dit is in hoofdstuk 3 besproken. Na het bestuderen van onze theorie hebben wij een toetsingskader opgesteld. Het toetsingskader dient inzicht te geven in hoeverre IT Governance is ingericht in een organisatie. Aangezien onze gemeenschappelijke aspecten (structuur, processen en relationele mechanismen) worden onderkend door Grembergen en de Haes, is dit de aanleiding geweest om deze aspecten als handvatten te gebruiken voor onze toetsingskader. Vervolgens hebben wij de onderdelen van de aspecten structuur, processen en , relationele mechanismen gebruikt als normen17. Om meer diepgang in het toetsingskader te creëren hebben wij het aspect ‘processen’ van Peterson waar mogelijk aangevuld met de control objectives van Cobit. Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO, Risk managers en IT managers. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst.
16 17
Van Grembergen, De Haes, 2004, IT Governance mechanismen; Van Grembergen, De Haes, 2004, IT Governance mechanismen;
25
Om een eerste indruk te krijgen over de mate waarin IT Governance is ingericht bij de twee financiële instellingen hebben wij onderstaande vragen voorgelegd aan de CIO: 1. Wat verstaat u onder IT Governance? 2. Hoe is IT Governance ingericht (en geïmplementeerd) binnen uw organisatie? 3. Hoe wordt IT Governance gemeten binnen uw organisatie?
5.3
Resultaten van het onderzoek
Aan de hand van de resultaten wordt een analyse uitgevoerd om een beeld te krijgen over de wijze waarop IT Governance is ingericht. Wij hebben een toetsingskader omtrent IT Governance opgesteld met als doel om een beeld te krijgen omtrent de mate van IT Governance in de onderzochte organisatie. De twee financiële instellingen waar wij een praktijkcasus hebben uitgevoerd ten behoeve van ons onderzoek zijn de volgende: • Bank/verzekeringsmaatschappij (hierna: bedrijf A) • Verzekeringsmaatschappij (hierna: bedrijf B) Op basis van de informatie verkregen uit interviews worden de normen uit het toetsingskader geëvalueerd. De scores worden in de volgende tabel weergegeven. Score ••••
= Voldoet in ruime mate aan de gestelde norm(en)
•••
= Voldoet aan de gestelde norm(en)
••
= Voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen
•
= Voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk
Het resultaat wordt geanalyseerd om op deze wijze de probleemstelling te beantwoorden.
26
6 Analyse resultaten praktijkonderzoek In dit hoofdstuk bespreken wij de analyse van de resultaten van het praktijkonderzoek. In hoofdstuk 4 introduceren wij een toetsingskader als meetinstrument om IT Governance te meten. Alvorens het toetsingskader te toetsen bij de twee financiële instellingen hebben wij zoals in hoofdstuk 5 beschreven een drietal algemene vragen gesteld. De uitkomst en analyse van deze vragen worden hieronder beschreven waarna de analyse van de uitkomsten van het toetsingskader uitgebreid wordt uiteen gezet.
6.1
Analyse algemene vragen
De vragen die zijn voorgelegd aan de organisaties betreffen: 1) Wat verstaat u onder IT Governance? 2) Hoe is IT Governance ingericht (en geïmplementeerd) binnen uw organisatie? 3) Hoe wordt IT Governance gemeten binnen uw organisatie? De antwoorden van de vragen van beide instellingen zijn hieronder samengevat. De onderzochte instellingen verstaan onder IT Governance het gestructureerd beheersen van de IT processen waarbij de relatie tussen ‘IT Demand’ en ‘IT Supply’ wordt ‘geregisseerd’ door de CIO. IT Demand betreft de vraag vanuit de business omtrent IT dienstverlening. IT Supply betreft de IT organisatie welke de IT dienstverlening van de organisatie verzorgt. Het doel van IT Governance binnen de organisatie is de alignment tussen IT en de business. IT Governance is ook op deze wijze ingericht bij deze instellingen. Afspraken tussen de business en IT worden door de CIO gemonitord en indien nodig bijgestuurd. Voor de inrichting van IT Governance hebben de instellingen gebruik gemaakt van het Cobit framework. De instellingen besteden geen tot weinig aandacht aan het meten van IT Governance. IT Governance is ingericht, maar de daadwerkelijke toetsing van IT Governance is geen onderdeel van het IT Governance proces. Echter, een vorm van het meten van IT Governance wordt gerealiseerd door het toetsen van een aantal normen (kritische succesfactoren) die zijn opgesteld door de business en IT. Deze normen worden door middel van (periodieke) rapportages getoetst. Rapportages waar het hier om gaat zijn volgens de instellingen van beperkte aard en hebben meer betrekking op de prestaties van IT, zoals beschikbaarheid van IT systemen. De betreffende rapportages worden gecommuniceerd aan de betrokken stakeholders.
27
6.2
Analyse conform toetsingskader
Het toetsingskader is als meetinstrument gebruikt ten behoeve van het meten van IT Governance. Hieronder zijn de analyse van de resultaten per aspect weergegeven. Voor de klinische resultaten van het toetsingskader verwijzen wij naar bijlage B. De analyse van de resultaten van de verschillende gesprekspartners zijn voor zover mogelijk geïntegreerd in één analyse. Indien er duidelijke verschillen zijn geconstateerd in de resultaten van de interviews, worden deze expliciet vermeld in de analyse. De analyse van de normen van het toetsingskader hebben wij hieronder uitgevoerd per onderdeel (bijvoorbeeld ‘S1 rollen en verantwoordelijkheden’) van een aspect (bijvoorbeeld ‘structuren’). Structuren S1) Rollen en verantwoordelijkheden De taken, rollen en verantwoordelijkheden van IT en de business zijn over het algemeen duidelijk gecommuniceerd en vastgelegd door de RvB. Voorts hebben wij opgemerkt dat een CIO is benoemd die volwaardig lid is van het besluitvormingsproces op het hoogste niveau. Dit onderdeel voldoet aan de gestelde norm(en) S2) IT organisatie structuur De IT organisatie is op enkele plekken decentraal ingericht, maar wordt wel op centraal niveau gestuurd en beheerst. Binnen de instellingen zijn de bedrijfsdoelstellingen leidend voor IT. De IT organisatie sluit haar IT doelstellingen derhalve hierop aan. De instellingen kunnen derhalve als ‘Business driven’ worden aangemerkt. Het proceseigenaarschap, de ‘accountability’ en de ‘responsibilty’ taken van het IT management zijn duidelijk belegd en gecommuniceerd. Het IT management heeft een IT organisatie ingericht met rollen, verantwoordelijkheden en verwachte prestaties van het personeel. Hier is echter nog ruimte voor verbetering. Het documenteren van deze rollen, verantwoordelijkheden en verwachte prestaties van het personeel verdien de nodige aandacht. Dit onderdeel voldoet aan de gestelde norm(en) S3) CIO ‘on board’ Bij één van de onderzochte instellingen is een CIO benoemd die als onafhankelijk orgaan opereert. Bij de andere instelling is de IT directeur tevens CIO en fungeert derhalve niet als onafhankelijk orgaan. De taken van de CIO zijn duidelijk belegd en geaccordeerd door de RvB. De CIO vervult een regisserende rol tussen IT (IT supply) en de business (IT Demand). Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk S4) IT strategie comité De instellingen hebben een IT strategie comité ingericht met als doel om IT op een gestructureerde manier wordt behandeld door de raad van bestuur en dat het ook regelmatig op de agenda staat. Bij beide instellingen zijn personen betrokken bij het IT strategie comité. Het komt echter voor dat personen van de business niet aanwezig (kunnen) zijn bij overleggen van dit comité. De RvB heeft opdracht gegeven voor de inrichting van dit comité en ontvangt derhalve het draagvlak. Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk
28
S5) IT stuurgroep Een IT stuurgroep is ingericht waarin de personen van business en van IT zijn vertegenwoordigd. De IT stuurgroep is ondermeer verantwoordelijk voor het beheren van grote projecten en voor het vastleggen van IT-prioriteiten op het uitvoerend niveau. Dit onderdeel voldoet aan de gestelde norm(en)
Processen P1) Strategic Information Systems-planning Wij hebben opgemerkt dat mede door de betrokkenheid van de business een strategisch IT plan is verwezenlijkt. Het strategisch IT plan wordt met de business gedeeld en wordt tijdens de businessmanagement meetings besproken. Echter merken wij op dat voor dit onderdeel ruimte is voor verbetering gezien het feit dat de alignment tussen IT en de business kan worden verbeterd. Dit onderdeel voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen. P2) Balanced scorecards In de praktijk wordt geen gebruik gemaakt van een IT Balanced Scorecard. Organisaties kunnen de BSC als middel gebruiken voor het uitvoeren van metingen op prestaties die moeten leiden tot het behalen van doelstellingen. Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk P3) Information Economics Wij hebben het volgende opgemerkt bij het onderdeel ‘Information Economics’: • IT wordt niet altijd betrokken bij alle business projecten (voldoet niet); • Business stakeholders zijn betrokken bij IT projecten (voldoet); • IT risico’s worden grotendeels alleen door IT geanalyseerd, omdat de business weinig affiniteit heeft met IT (voldoet niet); • IT budget wordt vastgesteld in samenspraak met de business. Het IT budget en het businessbudget zijn geïntegreerd tot één budget (voldoet); • De business wordt niet altijd betrokken bij IT-projecten (te weinig affiniteit met IT) waardoor prioritisering van IT- projecten meestal belegd is bij IT zelf (voldoet niet); • Een Quality assurance rol is ingericht ten aanzien van projecten (voldoet); • IT planning sluit grotendeels aan met de business (voldoet). Een groot aantal van de normen ten aanzien van het onderdeel ‘Information Economics’ voldoet op een aanvaardbaar niveau aan de gestelde norm. Echter, de financiële instellingen dienen een aantal verbeteringen te bewerkstelligen zoals hierboven genoemd. Wij hebben opgemerkt dat de business te weinig affiniteit heeft met IT. Dit bevordert de alignment tussen IT en de business niet. Dit onderdeel voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen.
29
P4) Service Level Agreements In de praktijk merken wij op dat tussen de business de IT organisatie service level agreements zijn opgesteld. Echter is door de organisaties geen Service level coördinator aangesteld. Deze dient verantwoordelijke te zijn voor het monitoren van de gemaakte afspraken. De afspraken die in een SLA zijn opgenomen worden tussen de verantwoordelijken van IT en de Business opgesteld. De prestaties van IT worden aan de hand van rapportages verduidelijkt aan de stakeholders. Ook hebben wij vernomen dat er richtlijnen zijn voor het selecteren van (service) leveranciers. Dit onderdeel voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen. P5) COBIT en ITIL De onderzochte instellingen hebben gebruik gemaakt van het Cobit framework voor het inrichten van IT Governance. Dit onderdeel voldoet aan de gestelde norm(en) P6) IT alignment/Governance maturity models De instellingen maken gebruikt van een scoretechniek om het volwassenheidsniveau van de organisatie te bepalen. Middels de volwassenheidniveaus van Cobit wordt dit bepaald. Dit onderdeel voldoet aan de gestelde norm(en)
Relationele mechanismen R1) Actieve participatie van stakeholders Alle stakeholders zijn betrokken bij zowel de inrichting van het IT Governance proces als het huidige IT Governance proces. Stakeholders die in de praktijk worden onderkend zijn ondermeer de Raad van Bestuur, Business managers en IT managers. De verantwoordelijkheden van deze stakeholders zijn duidelijk belegd, vastgelegd en gecommuniceerd. Dit onderdeel voldoet aan de gestelde norm(en) R2) Samenwerking tussen de stakeholders De instellingen hebben de afspraken omtrent de samenwerking tussen de stakeholders vastgelegd en gecommuniceerd aan alle betrokkenen. Voorts zijn de communicatielijnen tussen de stakeholders duidelijk vastgelegd en gecommuniceerd. Dit onderdeel voldoet aan de gestelde norm(en) R3) Partnership beloningen en incentives De instellingen hebben een beloningsysteem geïmplementeerd om het personeel te motiveren. Dit onderdeel voldoet aan de gestelde norm(en) R4) Business / IT co-locatie Bij beide organisaties merken wij op dat de IT organisatie dichtbij de business is gelokaliseerd. Dit vergemakkelijkt ondermeer de informele communicatie tussen de business en de IT organisatie. Dit onderdeel voldoet aan de gestelde norm(en)
30
R5) Begrijpen van business en IT doelstellingen De business doelstellingen zijn over het algemeen bekend bij de IT organisatie en zijn zoals eerder genoemd leidend voor het opstellen van de IT doelstellingen. Voorts zijn de IT doelstellingen bekend bij de business. Echter komt het voor dat de business en IT elkaar niet begrijpen. De business en IT dienen dezelfde ‘taal’ te spreken. Een CIO kan hier als intermediair een belangrijke rol spelen. Echter bij één organisatie is de CIO tevens IT directeur waardoor belangenverstrengeling kan ontstaan. Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk R6) Actieve conflict oplossingen Bij beide onderzochte instellingen heeft de CIO als taak om conflicten tussen de business en IT actief op te lossen. De CIO signaleert dergelijke conflicten door op periodieke basis overleggen in te plannen met de business en de IT organisatie. Echter bij één organisatie is de CIO tevens IT directeur waardoor belangenverstrengeling kan ontstaan. Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk R7) Cross functionele business / IT trainingen Bij beide organisaties onderkent het management het belang van (IT en business) trainingen. Trainingen zijn onderdeel van de carrière van het personeel en worden opgenomen in de jaarlijkse persoonlijke ontwikkeling plannen. Echter worden IT trainingen in beperkte mate aangeboden aan de Business en viceversa. Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk R8) Cross functionele business/IT jobrotatie Bij beide organisaties vindt geen jobrotatie tussen IT en de business plaats. Evenmin wordt jobrotatie door het management gestimuleerd. Dit onderdeel voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk
31
7 Conclusie In hoofdstuk 2 hebben wij een aantal definities van IT Governance toegelicht. Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten binnen IT Governance, te weten: • Structuren: behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. • Processen: verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. • Relationele mechanismen: de gehele relatie in de business tussen structuren en processen. Bovenstaande aspecten kunnen worden gebruikt om IT Governance te implementeren. De juiste combinatie vinden van de drie aspecten structuren, processen en relationele mechanismen, zal natuurlijk afhangen van een reeks externe en interne factoren zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde ‘taal’ te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. Bovenstaande geeft antwoord op de eerste deelvraag: ‘Wat is IT Governance?’ Een antwoord op de tweede deelvraag ‘Welke middelen worden toegepast voor het meten van IT Governance?’ hebben wij uiteengezet in hoofdstuk 3. Hierin hebben wij het volgende beschreven. Voorgaande aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren en derhalve ook te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Wij hebben uit een combinatie van de IT Governance aspecten en het Cobit framework een toetsingskader opgesteld. Het doel van dit toetsingskader is het in kaart brengen van de mate waarin IT Governance is ingericht in de organisatie. In hoofdstuk 4 hebben wij een toetsingskader geïntroduceerd welke bestaat uit een combinatie van het model van Peterson en het Cobit framework.
32
Om een antwoord te geven op de derde deelvraag ‘Op welke wijze wordt het meten van IT Governance in de praktijk toegepast?’ hebben wij een praktijkonderzoek uitgevoerd. Hieruit is het volgende gebleken: In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling ‘In hoeverre en op welke wijze besteden financiële instellingen aandacht aan performance management van IT Governance’ heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in ‘In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance’. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen. In hoofdstuk 5 hebben wij de methode van het praktijkonderzoek besproken. Hierin hebben wij de onderzoeksaanpak beschreven. De analyse van de resultaten van het praktijkonderzoek is in hoofdstuk 6 opgenomen. Resultaten praktijkonderzoek: Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO, Risk managers en IT managers. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst. Om een eerste indruk te krijgen over de mate waarin IT Governance is ingericht bij de twee financiële instellingen hebben wij onderstaande vragen (conform scriptie d.d. 01 april 2009) voorgelegd aan de CIO: 1. Wat verstaat u onder IT Governance? 2. Hoe is IT Governance ingericht (en geïmplementeerd) binnen uw organisatie? 3. Hoe wordt IT Governance gemeten binnen uw organisatie? De onderzochte instellingen verstaan het volgende onder IT Governance: het gestructureerd beheersen van de IT processen waarbij de relatie tussen ‘IT Demand’ en ‘IT Supply’ wordt ‘geregisseerd’ door de CIO. IT Demand betreft de vraag vanuit de business omtrent IT dienstverlening. IT Supply betreft de IT organisatie welke de IT dienstverlening van de organisatie verzorgt. Het doel van IT Governance binnen de organisatie is de alignment tussen IT en de business. IT Governance is ook op deze wijze ingericht bij deze instellingen. Afspraken tussen de business en IT worden door de CIO gemonitord en indien nodig bijgestuurd. Voor de inrichting van IT Governance hebben de instellingen gebruik gemaakt van het Cobit framework. De instellingen besteden geen tot weinig aandacht aan het meten van IT Governance. IT Governance is ingericht, maar de daadwerkelijke toetsing van IT Governance vormt geen onderdeel van het IT Governance proces. Echter, een vorm van het meten van IT Governance wordt gerealiseerd door het toetsen van een aantal normen (kritische succesfactoren) die zijn opgesteld door de business en IT. Deze normen worden door middel van (periodieke) rapportages getoetst. Rapportages waar het hier om gaat zijn volgens de instellingen van beperkte aard en hebben betrekking op de prestaties van IT, zoals beschikbaarheid van IT systemen. Deze rapportages worden gecommuniceerd aan de betrokken stakeholders. Voorgaande stuk geeft tevens antwoord op onze centrale vraag. Terugkijkend op onze
33
vraagstelling waar het volgende centraal stond: ‘In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance’ kunnen we stellen dat de organisaties op dit moment weinig aandacht besteden aan het meten van IT Governance. Om de mate van IT Governance te toetsen in de praktijk hebben wij een meetinstrument geïntroduceerd en toegepast in de praktijk. De resultaten en aanbevelingen van dit onderzoek zijn in onderstaande tabel opgenomen. Structuren
Conclusie
Aanbeveling
S1) Rollen en verantwoordelijkheden
••• •••
-
• •
Benoem een onafhankelijke CIO Verplicht de betrokkenheid van de business bij de IT strategie comité -
S2) IT organisatie structuur S3) CIO ‘on board’ S4) IT strategie comité S5) IT stuurgroep Processen
P1) Strategic Information Systems-planning P2) Balanced scorecards
••• Conclusie
••. • ••
P3) Information Economics
Betrek de business bij IT processen. Bijvoorbeeld: Leg de verantwoordelijk voor het opstellen van een IT strategieplan bij de businessmanager en IT manager. Richt een meetinstrument in voor het meten van IT processen Realiseer IT affiniteit bij de business dmv verplichte IT cursussen. IT dient voorts betrokken te zijn bij business projecten en vice versa.
P4) Service Level Agreements P5) COBIT en ITIL
•• •••
Benoem een SLA coördinator -
P6) IT alignment/governance maturity models Relationele mechanismen R1) Actieve participatie van stakeholders
••• Conclusie •••
-
R2) Samenwerking tussen de stakeholders
•••
-
R3) Partnership beloningen en incentives R4) Business/IT co-locatie
••• •••
-
•
Realiseer een actieve relatie tussen business en IT door transparantie van wederzijdse doelstellingen, waarbij de businessdoelstellingen leidend zijn en IT een faciliterende rol vervult. Benoem een onafhankelijke CIO die optreedt bij conflicten
R5) Begrijpen van Business en IT doelstellingen R6) Actieve conflict oplossingen
•
-
R7) Cross functionele business/IT training
•
Verplicht IT trainingen voor de business en vice versa
R8) Cross functionele business/IT jobrotatie
•
Verplichte jobrotatie tussen business en IT
Legenda: Score ••••
=
Voldoet in ruime mate aan de gestelde norm(en)
•••
=
Voldoet aan de gestelde norm(en)
••
=
Voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen
•
=
Voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk
34
8 Rol van de IT Auditor Een duidelijk beeld van de beheersing van de informatievoorziening binnen financiële instellingen verkrijgt men door niet alleen naar de beheersing van specifieke technische aspecten te kijken, maar ook naar de hele aansturing. Dit zijn IT- onderzoeken naar effectiviteit en efficiëntie van de aansturing van de informatievoorziening. Hier zijn nog geen heldere en eenduidige normen voor beschikbaar18. Hier dient meer te worden gekeken naar de aansluiting van de aansturing en ontwerp van de IT- organisatie op de business en naar het bewakingsmechanisme. Het is belangrijk dat financiële instellingen inzicht krijgen in de prestaties van de IT Governance en waarnodig bijsturing plaatsvinden. Om de prestaties van IT Governance te meten hebben wij als IT auditor een toetsingskader verwezenlijkt, dat inzicht geeft in hoeverre IT Governance is ingericht in financiële instellingen. De aspecten structuur, processen en relationele mechanismen die worden onderkend door Peterson19 worden als uitgangspunt gebruikt in het toetsingskader. Om meer diepgang in het toetsingskader te creëren hebben wij de control objectives van Cobit als input voor het aspect ‘processen’ gebruikt. Wij zijn van mening dat een IT- auditor een belangrijke bijdrage kan leveren aan IT Governance. Het auditen van het ingerichte raamwerk dient kan tot het takenpakket van een IT auditor behoren. De IT auditor vervult zijn IT-auditwerkzaamheden in drie verschillende aandachtsgebieden van IT Governance: 1. De beheersing van de informatievoorziening binnen een organisatie; 2. Het afleggen van externe verantwoording over de beheersing van de informatievoorziening; 3. Het uitoefenen van toezicht op de beheersing van de informatievoorziening. Ad1 De beheersing van de informatievoorziening binnen een organisatie De IT auditor vervult met zijn IT audit-werkzaamheden al een rol in het beheersen van IT- risico’s, door de kwaliteit van beheersing inzichtelijk te maken, zodat het management eventueel aanvullende maatregelen kan treffen. Ad2 Het afleggen van externe verantwoording over de beheersing van de informatievoorziening In toenemende mate is een IT- auditor ook betrokken bij het afleggen van verantwoording over de beheersing van de informatievoorziening. Veelal vindt dit nu nog plaats in situaties van uitbesteding zoals Third Party Mededeling. Ad3 Het uitoefenen van toezicht op de beheersing van de informatievoorziening. Interne en externe IT auditors vervullen reeds een belangrijke rol binnen organisaties ten aanzien van het uitoefenen van toezicht op de beheersing van de informatievoorziening. Ten aanzien van het uitoefenen van toezicht onderkennen wij twee elementen: • Uitoefenen van toezicht door externe toezichthouders (DNB) • Uitoefenen van toezicht door een Raad van Commissarissen, of een Raad van Toezicht en in het kader van SOx het Audit committee binnen een organisatie mogelijk. Echter wordt de rol van een IT- auditor beperkt ingevuld. Volgens de literatuur kan de IT auditor optreden vanuit een attestfunctie of adviesfunctie20: 18
NOREA; De kennisgroep IT-Governance; IT-Governance: Een verkenning; juni 2004. Peterson, R. R. (2003) Information Strategies and Tactics for Information Technology Governance 20 Van Praat en Suerink, Inleiding EDP-Auditing; 2004. 19
35
• Attestfunctie: De attestfunctie van de IT- auditor houdt in: het geven van een onafhankelijk en onpartijdig oordeel over de mate waarin een of meer (bestaande dan wel toekomstige) objecten uit de IT voldoen aan de in de opdracht overeengekomen kwaliteitsaspecten. Daarnaast wordt van de ITauditor verwacht dat hij niet alleen een oordeel weet te geven omtrent IT- objecten, maar ook in staat is om, mede op basis van zijn werkzaamheden, adviezen te geven ter opheffing van geconstateerde gebreken, zowel gevraagd als ongevraagd (natuurlijke adviesfunctie); • Adviesfunctie: De adviesfunctie van de IT- auditor houdt in: het doen van aanbevelingen respectievelijk het geven van raad op de deskundigheid van de IT- auditor (dat is ontleend aan zijn kennis en ervaring op het gebied van de IT). Het essentiële verschil ten opzichte van de attestfunctie zit in het doel van de adviesfunctie, te weten het doen van voorstellen voor het creëren van nieuwe (toekomstige) situaties. Daarnaast verwacht het management dat de IT auditor zich in deze functie vereenzelvigt met zijn advies en het welslagen van zijn advies in de praktijk. Vanuit de attestfunctie van een IT auditor toetst hij onpartijdig en onafhankelijk de opzet, bestaan en werking van de normen van het toetsingskader. De auditor inventariseert de belangrijkste bevindingen, de belangrijkste(IT-)controlebevindingen uit audits en de follow-up op aanbevelingen uit eerdere audits. Hierover rapporteert de auditor aan het management. Hiermee zijn de (IT)- risico’s geïdentificeerd en geanalyseerd die voor opname en toelichting in de risicoverantwoording in het jaarverslag in aanmerking komen. Daarnaast kan het voorgestelde toetsingskader worden gebruikt door de IT-Auditor om hem of haar te ondersteunen bij het consulteren in het inbedden van IT Governance ten aanzien van het gebruik van richtlijnen bij het implementeren van IT Governance (adviesfunctie). Hier dienen wij expliciet te vermelden dat vanuit de adviesfunctie de IT auditor ‘zijn’ toetsingskader niet mag toetsen.
36
Literatuurlijst 1. ITGI, 2008, Board Briefing on IT Governance; 2. NOREA; De kennisgroep IT-Governance; IT-Governance: Een verkenning; juni 2004. 3. Van Grembergen, W., De Haes, S., Guldentops, E., 2004, : Structures, Processes and Relational Mechanisms for IT Governance, Strategies for Information Technology Governance, Idea Group Publishing; 4. Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT; 5. Van Grembergen, De Haes, 2004, IT Governance mechanismen; 6. Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 7. www.OECD.org; 8. Brand K, Boonen H; IT Governance based on CobiT; Van Haren Publishing; Zaltbommel; 2004; ISBN: 90 77212 19 1; page 16-18; 9. Peterson, R. R. (2003) Information Strategies and Tactics for Information Technology Governance; 10. IT Governance Institute, 2007, Cobit 4.1 Exerpt- Executive Summary Framework, IT Governance Institute; 11. ITGI: CobiT4.0; 12. ISACA: Cobit 4.0; 13. IT Governance Institute, CobiT Mapping - Overview of international IT Guidance, 2nd Edition, IT Governance Institute 2007; 14. Fijneman, IT-auditor: adviseur of controleur?, Automatiseringsgids 2005 15. Van Praat en Suerink, Inleiding EDP-Auditing; 2004.
37
Bijlagen Bijlage A Cobit control objectives Plan and Organise PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. Acquire and Implement AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. Deliver and Support DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitor and Evaluate ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT Governance.
38
Bijlage B Toetsingskader IT Governance Resultaten van het onderzoek. Structuren
Gesprekspartner
Score
Score
Bedrijf A
Bedrijf B
S1) Rollen en verantwoordelijkheden De taken van IT management en business management zijn duidelijk gecommuniceerd door
CIO
•••
•••
de RvB.
Risk manager
•••
••• •••
IT manager
•••
De afspraken met betrekking tot rollen en verantwoordelijkheden tussen de business en IT
CIO
•••
•••
zijn door de RvB geaccordeerd.
Risk manager
•••
•••
IT manager
•••
•••
CIO
•••
•••
De IT organisatie is gecentraliseerd ingericht.
CIO
••
•••
De organisatie is ‘Business driven’.
CIO
•••
•••
Een CIO die volwaardig lid is van het besluitvormingsproces op het hoogste niveau is benoemd. S2) IT organisatie structuur
Het proceseigenaarschap, de ‘accountability’ en de ‘responsibilty’ taken van het IT
CIO
•••
•••
management zijn duidelijk belegd.
IT manager
•••
•••
Het IT management heeft een IT organisatie ingericht met gedocumenteerde rollen,
IT manager
•••
••
CIO
•••
•
CIO
•••
••
verantwoordelijkheden en verwachte prestaties van het personeel. S3) CIO ‘on board’ De CIO functioneert als een onafhankelijk orgaan (is bijvoorbeeld geen lid van de IT organisatie). De taken van de CIO zijn duidelijk belegd en geaccordeerd door de RvB. S4) IT strategie comité CIO
•••
•••
Personen van de business en van IT zijn vertegenwoordigd in het comité
CIO
••
••
Het comité heeft voldoende draagkracht in de organisatie S5) IT stuurgroep
CIO
•••
•••
Een IT stuurgroep is ingericht waarin de personen van business en van IT zijn
CIO
•••
•••
IT manager
•••
•••
Een IT strategie comité is ingericht
vertegenwoordigd
39
Processen P1) Strategic Information Systems-planning Er is een strategisch IT plan (PO1, P03)? Dit plan is tot stand gekomen door betrokkenheid van de business Het strategisch IT plan wordt gedeeld met de business
Gesprekspartner
Score Bedrijf A
Score Bedrijf B
CIO
•••
••
Risk manager
•••
••
IT manager
•••
••
De doelstellingen op het gebied van IT zijn geformuleerd en
CIO
•••
••
gecommuniceerd aan de business (PO3)
Risk manager
•••
••
Het strategisch IT plan wordt besproken tijdens businessmanagement overleggen
IT manager
•••
••
CIO
•••
••
Risk manager
•••
••
IT manager
•••
•••
De IT processen, -organisatie en –relaties zijn beschreven en formeel
CIO
••
•••
gecommuniceerd (P04)
Risk manager
••
••
IT manager
•••
•••
Management (IT) doelstellingen zijn gecommuniceerd naar de
CIO
•••
••
business (PO6)
Risk manager
••
••
IT manager Er wordt specifiek aandacht besteed aan IT human resource management (PO7)
CIO Risk manager IT manager CIO Risk manager IT manager
••• ••• ••• ••• ••• ••• •••
••• •• •• ••• •• •• •••
CIO
•
•
CIO
••
••
Risk manager
••
••
IT manager
••
••
De IT architectuur is bekend en formeel gedocumenteerd (PO2)
IT oplossingen voor business vraagstukken worden door IT en de business in samenspraak ontwikkeld (AI1) P2) Balanced scorecards Er wordt gebruikt gemaakt van een Balanced scorecard (of een soortgelijke methodiek) voor het toetsen van de prestaties van IT (Governance) (ME1) P3) Information Economics IT is betrokken bij alle business projecten (PO10)
Business stakeholders zijn betrokken bij IT projecten (PO10)
CIO
••
••
Risk manager
••
••
IT manager
••
••
Project IT risico’s worden door de business en IT gezamenlijk
CIO
•
•
geanalyseerd (PO9)
Risk manager
•
•
IT manager
••
•
Het IT budget binnen een project is vastgesteld in samenspraak met de
CIO
••
••
business (PO5)
Risk manager
••
••
IT manager
••
••
De Business en IT zijn samen verantwoordelijk voor de prioritisering
CIO,
••
•
van IT- projecten (PO5, PO10)
Risk manager
••
•
IT manager
••
•
40
Processen Een Quality Assurance rol is ingericht ten aanzien van projecten (PO8, PO10)
Gesprekspartner
Score Bedrijf B
•••
••
•••
••
CIO Risk manager IT manager
••• •• •• ••
•• •• •• ••
CIO
•••
•
Risk manager
•••
•
IT manager
•••
•
CIO Risk manager IT manager
De IT planning sluit aan op de eisen van de business (PO10)
Score Bedrijf A
P4) Service Level Agreements SLA’s zijn afgesloten tussen de business en de IT organisatie (DS1)
Een service level coördinator is benoemd met duidelijke taken (DS1,
CIO
•••
•
DS2)
Risk manager
•••
•
IT manager
•••
•
Processen zijn ingericht om de prestaties van IT te monitoren (DS3)
CIO
••
••
Risk manager
••
••
IT manager
••
••
CIO
••
••
Risk manager
••
••
IT manager
••
••
CIO
•••
•••
CIO
•••
•••
Er zijn richtlijnen voor de selectie van (service) leveranciers (DS1)
P5) COBIT en ITIL De organisatie heeft gebruik gemaakt van een ‘best practice’/ framework voor het inrichten van IT Governance. P6) IT alignment/Governance maturity models Een scoretechniek wordt gebruikt om het volwassenheidsniveau van de organisatie te bepalen.
41
Relationele mechanismen
Gesprekspartner
Score Bedrijf A
Score Bedrijf B
CIO
•••
•••
Risk manager
•••
••• •••
R1) Actieve participatie van stakeholders Alle
stakeholders
(RvB,
IT
management,
business
management,
audit/toezichthouder) zijn betrokken bij het IT Governance proces.
IT manager
•••
De verantwoordelijkheden van de verschillende stakeholders zijn duidelijk
CIO
•••
•••
belegd.
Risk manager
••
••
IT manager
••
•••
De afspraken omtrent de samenwerking tussen de stakeholders zijn
CIO
•••
•••
vastgelegd en gecommuniceerd.
Risk manager
••
••
IT manager
••
••
R2) Samenwerking tussen de stakeholders
De communicatielijnen tussen de stakeholders zijn duidelijk vastgelegd en
CIO
•••
•••
gecommuniceerd.
Risk manager
••
••
IT manager
••
••
CIO Risk manager IT manager
••• ••• •••
••• ••• •••
CIO Risk manager IT manager
••• ••• •••
••• ••• •••
CIO Risk manager IT manager CIO Risk manager IT manager
••• •• •• ••• •• ••
••• •• •• ••• •• ••
CIO Risk manager IT manager
••• ••• •••
••• •• •••
CIO Risk manager IT manager CIO Risk manager IT manager CIO Risk manager IT manager
••• ••• ••• ••• •• ••• • • •
••• ••• ••• ••• •• ••• • • •
CIO Risk manager IT manager CIO Risk manager IT manager
• • • • • •
• • • • • •
R3) Partnership beloningen en incentives Een beloningssysteem is geïmplementeerd om het personeel te motiveren.
R4) Business/IT co-locatie De IT organisatie is fysiek dichtbij de business gelokaliseerd.
R5) Begrijpen van Business en IT doelstellingen De business doelstellingen zijn bekend bij de IT organisatie en viceversa.
De bedrijfsdoelstellingen worden door IT gebruikt als uitgangspunt.
R6) Actieve conflict oplossingen Een orgaan is ingericht om conflicten (tussen de business en IT) actief op te lossen R7) Cross functionele business/IT training Het management onderkent het belang van (IT en business) trainingen
Trainingen zijn onderdeel van de carrière van het personeel
IT trainingen worden aangeboden aan de Business en viceversa R8) Cross functionele business/IT jobrotatie Jobrotatie tussen IT en de business vindt plaats
Jobrotatie wordt door het management gestimuleerd
42