FINANCE
&
CONTROL
Thema: Finance en IT
Besluitvorming en IT-portfolio’s
praktische oplossing voor de it-governancepuzzel Voor veel CFO’s is IT een hoofdpijndossier. De kosten zijn hoog en budgetten (dreigen te) worden overschreden. Maar wat nog veel meer zorgen baart, is dat de toegevoegde waarde zo ongrijpbaar is. Natuurlijk zijn er businesscases, maar hoe geloofwaardig zijn deze? Het wordt tijd om de besturing van IT nader te beschouwen. Henk Zwaan dook in de wereld van ‘IT-governance’ en schreef er zelfs een boek over. DOOR HENK ZWAAN
I
T-governance staat al geruime tijd in de belangstelling. Zeker sinds de verschillende boekhoudschandalen en de invoering van de Sarbanes-Oxley Act (SOx). Voldoen aan SOx, Basel II en IFRS betekent dat de financiële informatievoorziening op orde moet zijn. Dit heeft ertoe geleid dat ITgovernance vooral defensief en instrumenteel wordt ingevuld. Het COBIT-raamwerk heeft in sterke mate geholpen inzicht te krijgen in de processen die van belang zijn bij IT-governance. Hetgeen echter vaak over het hoofd wordt gezien is dát waar IT-governance uiteindelijk om gaat: besturing. Besturing kent twee kanten: besluitvorming en inhoud. Voor IT-governance gaat het om besluitvorming over IT-aspecten. Maar het gaat vooral om de IT-portfolio’s: projecten, applicaties en infrastructuur. Besturing van deze portfolio’s maakt IT-governance concreet. Hierbij hanteren we een offensieve benadering van IT-governance: we willen de IT-besturing verbeteren omdat we zelf vinden dat het beter moet! Over de puzzel en de stukjes In dit artikel gaan we nader in op de IT-portfolio’s en hoe met adequate besluitvorming invulling wordt gegeven aan ITgovernance. Dit is een complexe puzzel. Er is een veelheid aan belangen en belanghebbenden. Om deze puzzel te kunnen oplossen, moet aan twee voorwaarden worden voldaan. Enerzijds gaat het om duidelijke, transparante besluitvormings-
14
|
structuren; anderzijds gaat het om inzicht in de IT-portfolio’s - de puzzelstukjes - en wat we ermee willen bereiken. Om invulling te geven aan IT-governance heb ik een raamwerk ontwikkeld. Dit raamwerk beschrijft de inhoud van ITgovernance. Hierbinnen onderkennen we twee perspectieven: een businessperspectief en een IT-perspectief. Het businessperspectief bestaat uit: ~ businessalignment, de wijze waarop IT de businessstrategie ondersteunt en de kansen die IT biedt aan de business; ~ performance en risico’s, de operationele eisen van de business aan IT, opdat de business kan voldoen aan zijn performance-eisen en risico’s voldoende worden afgedekt. Het IT-perspectief bestaat uit: ~ IT-principes en -architectuur, de IT-principes beschrijven de uitgangspunten voor de inrichting van de informatievoorziening; de IT-architectuur geeft de samenhang in de informatievoorziening aan; ~ IT-services, de operationele IT-diensten met de hiervoor afgesproken serviceniveaus en kosten. Afstemming tussen het businessperspectief én het IT-perspectief dient te zorgen voor een stabiele IT-omgeving waarmee de business effectief en efficiënt wordt ondersteund, zowel nu als in de toekomst.
DECEMBER 2007
FINANCE
&
CONTROL
Figuur 1 IT-principes en -architectuur
IT-governanceraamwerk
Projectportfolio
Businessallignment
Infrastructuurportfolio
Performance en risico's
Applicatieportfolio
IT-services
Het IT-governanceraamwerk is weergegeven in figuur 1. In het midden van het raamwerk bevindt zich portfoliomanagement. Hierin komen business en IT bij elkaar. Kennis van de business, IT en de portfolio’s is noodzakelijk voor goede – onderbouwde en transparante – besluitvorming over bijvoorbeeld IT-investeringen of applicatiebehoefte. We onderscheiden drie portfolio’s: het projectportfolio, het applicatieportfolio en het infrastructuurportfolio. Projectportfoliomanagement gaat over de projecten die worden uitgevoerd of gepland staan, over het selecteren van de uit te voeren projecten en het realiseren van de gewenste resultaten. Wij hebben het daarbij in dit kader over projecten met een IT-component, projecten waarin nieuwe IT wordt geïmplementeerd of bestaande IT wordt gewijzigd. Applicatieportfoliomanagement gaat in op alle softwaretoepassingen, vanaf het moment dat ze gepland zijn tot en met de buiten gebruik stelling. Het gaat dus om lifecyclemanagement. Dit geldt ook voor het infrastructuurportfoliomanagement. Toch vraagt besturing van het infrastructuurportfolio een andere aanpak dan de besturing van het applicatieportfolio. De business vraagt om toepassingen, applicaties. Dat hiervoor infrastructuur nodig is, is een IT-zaak. Let op: de business schuift hiermee de besluitvorming door naar de IT. Dit wordt extra gecompliceerd doordat business units meestal niet willen investeren in nieuwe infrastructuur die na bewezen waarde ook door de andere units zal worden gebruikt. Focus op de IT-portfolio’s geeft inzicht in de huidige IT en
toekomstige ontwikkelingen, helpt om concreet aan verbeteringen te werken en maakt het mogelijk IT-ontwikkelingen te sturen vanuit de businessstrategie. Succesvolle projecten Wanneer is een project succesvol? Als op tijd en binnen budget de projectresultaten worden opgeleverd? Nog altijd lezen we met enige regelmaat dat te veel (IT-)projecten mislukken. Hoe komt dit? Projectmanagement wordt in de meeste organisaties professioneel ingevuld. Er worden bewezen methoden gehanteerd. Het is niet meer als vroeger toen een vakspecialist het erbij deed. De omgeving bepaalt of een project slaagt of faalt. Een project is niet succesvol alleen met het (op tijd en binnen budget) opleveren van geplande resultaten: het is pas succesvol als de businesscase is gerealiseerd. Voorwaarde voor succes is dus dat de businesscase nog valide is: gewenst en sluitend. Projectportfoliomanagement dient dit te bewaken. Een project kan dus alleen succesvol zijn als het goede project geselecteerd is, als bewaakt is dat het nog steeds het goede project is en als bewaakt wordt dat het goed wordt uitgevoerd (kwaliteit verdient daarbij meer aandacht dan het nu krijgt) en niet verstoord wordt door andere projecten of activiteiten. Hiervoor is meer nodig dan professioneel projectmanagement. We zoomen eerst in op het selecteren van de goede projecten. Geen enkele organisatie is in staat om alle projectinitiatieven te honoreren. Meestal omdat hiertoe onvoldoende budget
DECEMBER 2007
|
15
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
FINANCE
&
gealloceerd is, maar ook als er voldoende middelen (geld en mensen) zijn, heeft de organisatie een beperkt absorptievermogen. Projecten impliceren immers veranderingen. We starten met voor ieder lopend project en projectinitiatief een profiel op te stellen. Het projectprofiel dient onder meer de outline businesscase te bevatten. Hierin wordt niet slechts een kosten-batenanalyse gemaakt, maar wordt ook aangegeven op welke wijze het project bijdraagt aan de bedrijfsstrategie. Een positieve ROI is onvoldoende om een projectinitiatief te accorderen. De bijdrage aan het realiseren van de bedrijfsstrategie is minstens zo belangrijk. Daarnaast brengt ieder project veranderingen en derhalve risico’s met zich mee. Ook deze moeten worden afgewogen. Wat ik voorsta is dat ieder project(initiatief) wordt beoordeeld op de potentiële businesswaarde en op de businessrisico’s. De projecten kunnen vervolgens geplot worden in een zogenaamde waarderisicomatrix (zie figuur 2). Businesswaarde en -risico worden bepaald vanuit het IT-governanceraamwerk: ~ businessalignment: de bijdrage aan de bedrijfsstrategie; ~ performance en risico’s: kostenbesparing, omzetkansen, gebruikerstevredenheid, compliancy met wet- en regelgeving; ~ IT-principes en -architectuur: mate waarin het project hieraan voldoet; ~ IT-services: beschikbaarheid, performance, beveiliging; ~ portfoliomanagement: afhankelijkheden met andere projecten en invloed op bestaande applicaties en aanwezige infrastructuur. To do
Laag
de projecten vanuit haar strategisch doel. Op deze wijze wordt gezorgd voor focus: die projecten worden geselecteerd die daadwerkelijk een significante bijdrage leveren aan een van de strategische doelstellingen van de organisatie. Voor de geselecteerde projecten wordt een projectenkalender samengesteld. Alleen een jaarplan voldoet niet. In de projectenkalender wordt aangegeven welk project wanneer start en wanneer de extern relevante mijlpalen worden gerealiseerd. De projectenkalender houdt rekening met projectafhankelijkheden en met de beschikbaarheid van mensen en middelen. Resourcemanagement is een belangrijk aandachtspunt voor projectportfoliomanagement. Op basis van de projectenkalender mogen de projectmanagers aan de slag en krijgen zij mensen en middelen toegewezen. De projectportfoliomanager bewaakt dat de projecten tijdig resultaten opleveren, dat de projectenkalender wordt gerealiseerd en dat uiteindelijk de doelen en waarde die de organisatie wil bereiken gerealiseerd worden. Dit stopt dus niet als een project af is. IT-governance gaat hier dus om besluitvorming over welke projecten worden gedaan, over wanneer de projecten worden gedaan en over met wie en met welke middelen de projecten worden gedaan. Het gaat niet om een eenmalig of periodiek keuzemoment. Daarvoor is de dynamiek van de meeste organisaties te groot. Projectportfoliomanagement zal op verschillende niveaus de voortgang bewaken en het portfolio bijstellen. Het beheersbaar houden van de dynamiek is hierbij de grootste uitdaging. Het opzetten van een effectief proces voor projectportfoliomanagement is niet eenvoudig maar kan wel veel winstpunten opleveren.
To guard
Waarde en kosten van applicaties Bij het beoordelen van projectvoorstellen wordt vaak gefocust op de projectkosten, de kosten om een nieuwe applicatie te bouwen en te implementeren. Er wordt uit het oog verloren dat de kosten van een applicatie voor meer dan 80% de beheer- en exploitatiefase betreffen. De ontwikkelkosten zijn dus slechts een fractie van de lifetime kosten van de applicatie. We zien dan ook dat beheer en exploitatie een steeds groter deel van het IT-budget opslokken en uiteindelijk geen ruimte voor innovatie overlaten (zie figuur 3).
Toegevoegde waarde
Hoog
CONTROL
For fun Laag
To kill Bedrijfsrisico
Hoog
Figuur 2 Waarderisicomatrix
Bij omvangrijke projectportfolio’s worden verschillende strategic buckets onderkend per te realiseren strategisch doel, met eigen gewichten voor de waarde- en risicoaspecten. Iedere strategic bucket heeft een eigen budget en beoordeelt
16
|
Applicatieportfoliomanagement wordt steeds belangrijker. Bedrijven zien steeds meer dat het aantal applicaties in de loop der jaren enorm is toegenomen. Applicaties zien het levenslicht (zowel off-the-shelf- als zelf ontwikkelde applicaties), maar er worden nauwelijks applicaties afgestoten. Het totaal aantal applicaties is vaak groot: al snel enkele duizenden applicaties. Bij door ons uitgevoerde inventarisaties blijkt iedere keer dat het totaal aantal aanwezige applicaties in de organisatie (zowel kantoorautomatisering als businessapplicaties)
DECEMBER 2007
FINANCE
&
Geen ruimte voor innovatie: alles gaat op aan beheer en exploitatie
CONTROL
Hoog
Functioneel vernieuwen
Beheersen en (her)gebruiken
Implementatiefase Geld
!
Operationele fase Technische waarde
IT-budgetten stabiliseren na jaren van groei
Kosten groeien tot 80% van het IT-budget
Ontwikkelingsfase
Veroudering Uit productie 2007
Tijd
Vervangen/vervallen
Laag
Technisch vernieuwen
Laag
Functionele waarde
Hoog
Figuur 3 Beschikbare ruimte voor innovatie
Figuur 4
Bron: Ordina !T eXcellence.
Applicatielevensduur
tweemaal het aantal is dat de organisatie vooraf zelf inschat. Dit brengt onnodig veel kosten met zich, terwijl de businesswaarde van een groot applicatieportfolio meestal kleiner is dan bij een goed doordacht, beperkt applicatieportfolio (zie ook kadertekst).
Risico’s van applicaties Het applicatieportfolio vertegenwoordigt niet alleen waarde (en kosten), maar brengt ook significante risico’s met zich mee. Een extra reden dus om dit portfolio adequaat te managen! Vaak komen de risico’s pas naar voren als een applicatie hapert. Urgentie wordt pas gevoeld als klanten weglopen of als ‘de pers wordt gehaald’. De computersystemen van Prorail zijn een treurig voorbeeld hiervan en ook de publiciteit die het telebankieren van de Postbank heeft gehaald, lijkt me vanuit de organisatie gezien, zeer ongewenst. Het is dan vaak al te laat. Het systeem is in de loop der jaren zo complex geworden dat niemand er meer aan durft te sleutelen. En vervanging vraagt om hoge investeringen en veel tijd. Een heel ander risico heeft zijn oorzaak in het feit dat de organisatie niet weet welke software zij in huis heeft. Zoals eerder aangegeven, komen wij regelmatig tweemaal zoveel applicaties tegen als dat men zelf heeft geregistreerd. Noodzakelijke softwarelicenties ontbreken. We gaan ervan uit dat dit niet
Om goede beslissingen te kunnen nemen over een applicatie, is inzicht in de waarde van de applicatie nodig. We maken hierbij onderscheid tussen de functionele waarde en de technische waarde. De functionele waarde van een applicatie wordt in hoofdzaak bepaald door: ~ de waarde voor de organisatie (businessalignment); ~ de waarde voor de bedrijfsprocessen (portfoliomanagement); ~ de kwaliteit van de applicatie (performance en risico’s). De technische waarde van een applicatie wordt in hoofdzaak bepaald door: ~ het gebruik van standaarden (IT-principes en -architectuur); ~ de aanpasbaarheid (portfoliomanagement); ~ de onderhoudbaarheid (IT-services).
Wanneer is een applicatieportfolio te groot of onvoldoende gemanaged? ~ De kosten van beheer nemen jaarlijks toe.
Op basis van deze waardeanalyse wordt de levensfase van een applicatie vastgesteld en kunnen onderbouwde keuzes voor de toekomst van de applicatie worden gemaakt (zie figuur 4). Het gaat erom de voor de business belangrijke applicaties in het kwadrant ‘beheersen en (her)gebruiken’ te houden. Als echter door veroudering de technische waarde te veel is afgenomen, is een technische migratie een goede optie. Als ook de functionele waarde is afgenomen, zal vervanging of buitengebruikstelling worden overwogen.
~ Een samenhangende visie op het gehele applicatielandschap ontbreekt. ~ Er worden nauwelijks applicaties afgestoten. ~ Een zorgvuldige planning op grond van de levenscyclus van applicaties ontbreekt. ~ Migratie van applicaties vindt ongestructureerd of niet plaats. ~ Beslissingen omtrent verbouw of nieuwbouw worden uitgesteld
DECEMBER 2007
omdat ze niet goed onderbouwd zijn.
|
17
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
FINANCE
&
bewust is. Het lukt gewoonweg niet om de licentiebewijzen te tonen (en na diepgaande inventarisatie blijkt vervolgens dat er voor sommige pakketten veel te veel licenties zijn). De risico’s zijn groter dan gedacht. Regelmatig blijkt het verschil in aanwezige software en aantoonbare licenties miljoenen euro’s te vertegenwoordigen. Aan u als CFO de vraag of dit volgens de IFRS-boekhoudregels moet worden gerapporteerd? De BSA, ook wel bekend als de ‘softwarepolitie’, wordt steeds actiever en schroomt niet om hoge claims neer te leggen.
Business units willen meestal niet investeren in nieuwe infrastructuur die na bewezen waarde ook door de andere units zal worden gebruikt Op welke wijze kunt u grip krijgen op het totale applicatieportfolio? Wij hanteren hiervoor de in figuur 5 weergegeven administraties en focussen op de verschillen. Voor het oplossen van een licentietekort is het lang niet altijd nodig om
CONTROL
nieuwe licenties aan te schaffen. Vaak staat software op veel werkplekken geïnstalleerd, maar wordt het weinig gebruikt. Ook zien we regelmatig software die wel leuk is, maar die geen bedrijfsdoel dient. Reductie van het applicatieportfolio helpt het licentietekort te verminderen en bespaart tevens op allerlei exploitatiekosten zoals onderhoud en support. Een volgende stap vormt het rationaliseren van het applicatieportfolio. Hierbij wordt actief gezocht naar een zo optimaal mogelijke portfolio. Waardevolle applicaties worden tot standaard verheven en vervangen applicaties met overlappende functionaliteit. Een Nederlandse multinational heeft op deze wijze haar portfolio gereduceerd van 4000 naar 1200 applicaties. De terugverdientijd was korter dan het project en er zijn zeer significante jaarlijkse besparingen. Governance van het applicatieportfolio is lastig. Niet omdat het moeilijk is, maar wel omdat het veelomvattend is, met veel verschillende aspecten en meestal veel applicaties. Het is dan ook noodzakelijk om hiervoor processen in te richten met duidelijke taken, verantwoordelijkheden en bevoegdheden. Meebeslissen over IT In het voorafgaande hebben we het IT-governanceraamwerk geïntroduceerd en zijn we in het bijzonder ingegaan op het projectportfolio en het applicatieportfolio. Over het infraGebruikerslandschap
Gebruikersverschil
Geïnstalleerde software Voorraadverschil
Installatieverschil
Aangekochte software
Geadministreerde software Inkoop verschil
Gebruikte software Administratief verschil
Functioneel verschil
Licentieverschil
Registratieverschil
Licentielandschap
Gebruikte IT-standaarden Afwijking van standaard
Softwarecontracten
Functionaliteit software
Kortingsverschil
Functionele overlap
Figuur 5 Softwareadministraties en verschillen
18
|
DECEMBER 2007
Architectuurlandschap
FINANCE
IT-governance
&
CONTROL
Business centraal Business decentraal
IT centraal
IT decentraal
Figuur 6
Businessalignment A R I I
RACI-matrix voor het
Performance en risico’s A R I I
IT-governanceraamwerk
IT-principes en -architectuur I C A R IT-services I C A R Projectportfoliomanagement A R R R Applicatieportfoliomanagement C A R R Infrastructuurportfoliomanagement I I A R
structuurportfolio hebben we aangegeven dat de hoogte van de gevraagde investeringen om specifieke aandacht vraagt (we gaan hier in dit artikel echter niet nader op in). Met het voorafgaande heb ik laten zien dat IT alleen met goede besturing businesswaarde oplevert. Besturing betekent dat besluiten moeten worden genomen en uitgevoerd. Maar wie beslist er als het over IT gaat? Is dat de Chief Information Officer (CIO) of de IT-manager, is dat ‘de business’ en wat is hierin de rol van de CFO? Nu is ‘IT’ een te breed begrip om deze vraag eenduidig te beantwoorden. We hebben het IT-veld echter niet voor niets uitgewerkt in het raamwerk van figuur 1. We proberen deze vraag dus per onderdeel van het IT-governanceraamwerk te beantwoorden. Ook speelt de vraag of IT-governance voor iedere organisatie hetzelfde moet worden ingevuld. Uit een omvangrijk onderzoek van het gerenommeerde Massachusetts Institute of Technology (MIT) samen met onderzoeksbureau Gartner (Weill, 2004) blijkt dat er grote overeenkomst is in de wijze waarop succesvolle organisaties IT-governance hebben ingericht. Weill heeft op basis van dit onderzoek diverse ‘governancearrangementen’ uitgewerkt, waarin aangegeven is hoe business en IT bij de verschillende IT-beslissingen (al dan niet) kunnen samenwerken om succesvol te zijn. Een meer eenvoudige wijze om verantwoordelijkheden voor IT-beslissingen aan te geven is de zogenaamde ‘RACI-matrix’. Het voordeel hiervan is dat deze werkwijze niet specifiek op IT gericht is en in veel organisaties al wordt toegepast. In een RACI-matrix worden vier rollen onderscheiden: ~ accountable; degene die eindverantwoordelijk is voor een te nemen besluit; ~ responsible; degenen die verantwoordelijk zijn voor de uitvoering van het besluit; ~ consulted; degenen die vooraf betrokken worden bij de besluitvorming; ~ informed; degenen die achteraf geïnformeerd worden over het besluit. Belangrijk hierbij is dat voor ieder besluit slechts één functionaris accountable kan zijn. De andere drie rollen kunnen wel bij meerdere functionarissen of afdelingen worden gelegd. Naast verantwoordelijkheden bij besluitvorming kunnen ook
verantwoordelijkheden voor activiteiten in een RACI-matrix worden vastgelegd. Een groot voordeel van de RACI-matrix is dat ook duidelijk wordt wie niet betrokken is bij bepaalde besluitvorming. Dit resulteert in rust in de organisatie. Terugkomend op besluitvorming en IT zien we dat het op globaal niveau vaak gaat om welke beslissingen centraal of decentraal en bij de business of bij IT worden genomen. Figuur 6 toont de high-level RACI-matrix, zoals wij deze invullen voor IT-governance. Natuurlijk moet deze matrix voor praktisch gebruik op een meer gedetailleerd niveau worden ingevuld en kunnen daarbij organisatiespecifieke keuzes worden gemaakt. Tot slot: wat betekent dit voor de CFO? Ten eerste zal de CFO vanuit de business (op centraal niveau) betrokken zijn bij ITbesluiten. Maar veel belangrijker is dat goede IT-governance zorgt voor focus op waarde, het terugdringen van (onnodige) kosten en aandacht voor risico’s. IT-governance draagt hiermee bij aan een financiële bewustwording van de verantwoordelijken voor IT. Er kunnen goede discussies plaatsvinden over de businesscases, waarbij het echter niet alleen over de financiële onderbouwing mag gaan. Het is belangrijk dat zowel de CFO als de CIO betrokken zijn bij discussies over de bedrijfsstrategie en het gebruik van IT. We zien dat bedrijfsprocessen en IT steeds meer verweven zijn. De CFO (en andere bestuurders) dienen dan ook voldoende kennis te hebben van IT– en in het bijzonder van de IT-portfolio’s – om samen met de CIO tot de juiste beslissingen te komen. Aanbevolen literatuur ~ IT Governance Institute, IT Control Objectives for Sarbanes-Oxley, Rolling Meadows, ITGI 2004. ~ Levine, H.A., Project Portfolio Management: A Practical Guide to Selecting Projects, Managing Portfolios, and Maximizing Benefits, San Francisco, Jossey-Bass 2005. ~ Weill, P. and J.W. Ross J.W, IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Boston, Harvard Business School Press 2004.
Ir. Henk Zwaan (
[email protected]) is senior business consultant bij Ordina ICT Management & Consultancy. Hij is medeauteur van het boek ‘Puzzelen met portfolio’s, een praktische handleiding voor IT-governance’ (Den Haag, Academic Service 2007).
DECEMBER 2007
|
19
W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L
