Teveel IT in IT Governance
[white paper] een kritische kijk op beheer van ict Prof. dr. Steven De Haes Prof. dr. Wim Van Grembergen
Steven De Haes PhD, Antwerp Management School & Universiteit Antwerpen
Wim Van Grembergen PhD, Universiteit Antwerpen & Antwerp Management School
Hoe komt het toch dat we – ondanks het toegenomen bewustzijn van het belang van IT governance en alignment - het laatste decennium zo weinig vooruitgang hebben geboekt op dit gebied? In de literatuur noemt men dit fenomeen de ‘knowing-doing gap’: we zijn ons bewust van het probleem, maar hebben grote moeite om het op te lossen. (Pfeffer and Sutton, 2000). In dit artikel stellen de auteurs dat één van de oorzaken te ligt in het feit dat IT governance teveel een discussie is geweest van en voor ict’ers. In die context stellen ze ook een verschuiving voor van IT governance naar enterprise governance of IT, met een meer primaire rol voor de business in de aansturing en inrichting van ict. De auteurs refereren hierbij ook naar de internationale IT governance raamwork COBIT, dat in zijn nieuwe editie dezelfde evolutie zal onderschrijven.
2
Teveel IT in IT Governance: een kritische kijk op beheer van ict
De Haes, 2009
IT governance, of goed beheer van ict, is een belangrijk thema geworden in zowel de academische wereld als het bedrijfsleven. Zo’n tien jaar geleden werd het concept gedefinieerd zoals wij het nu begrijpen. Daarvoor was het vaak een discussie over het onderwerp centralisatie versus decentralisatie van ict.
Van Grembergen, 2002
Op één van de leading academische conferenties werd in 2002 de volgende definitie gepresenteerd: ‘IT governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT’.
Van Grembergen & De Haes, 2009
Ondertussen hebben heel wat bedrijven en overheidsinstellingen in die geest IT governance projecten opgezet.
Luftman & Tal Ben-Zvi, 2010
Een recente studie van de Society for Information Management toont ook aan dat het gerelateerde thema van ‘alignment’ het laatste decennium continu een topprioriteit (eerste of twee plaats van belangrijkheid) is geweest voor CIO’s en ict-managers.
En toch blijft het fenomeen van de ‘IT Black Hole’ of de ‘IT productivity paradox’ (Strassman, 1990; Brynjolfsson, 1993) in veel organisaties actueel en de gemoederen bezig houden. Na vele jaren van IT governance en alignment inspanningen blijft de business zich vragen stellen bij de hoge kosten van ict en de bedrijfswaarde die er al dan niet uit wordt gerealiseerd. Deze kritisch houding werd zeker verstekt door de financieel-economische crisis vanaf 2008: iedereen moest besparen en dus zeker ook de ict-afdeling.
3
Teveel IT in IT Governance: een kritische kijk op beheer van ict
Te veel nadruk op de IT van IT Governance
Van Grembergen & De Haes, 2010
IT governance is het voorbije decennium teveel een discussie geweest binnen ict, voor en door IT’ers. Er zijn tal van opleidingen en conferenties geweest rond IT governance, met alleen CIO’s en ict-managers als participanten. En tal van rapporten werden geschreven over het belang van IT governance, maar ook die werden enkel gelezen door CIO’s en ict-managers. De paradox zit eigenlijk al een beetje in het woord. Zolang we praten over IT governance, waarin het woord IT zeer centraal staat, zal de perceptie blijven bestaan dat IT governance in de eerste plaats een verantwoordelijkheid is van ict.
Van Grembergen & De Haes, 2010 Thorp, 2003
Uiteraard is een belangrijk punt in dit debat dat waardecreatie, de ultieme doelstelling van IT governance, niet komt uit de zuivere technologie, maar wel uit de veranderingen in de organisatie die door de technologie mogelijk zijn. Als zodanig kan de eindverantwoordelijkheid voor waardecreatie, en dus voor IT governance, alleen maar liggen bij de organisatie zelf, en niet bij ict.
Van Grembergen & De Haes, 2009 ISACA, 2008 Thorp, 2003
Neem nu het eenvoudige voorbeeld van Customer Relationship Management (CRM): als ict er in slaagt om de nieuwe CRM-applicatie op tijd, binnen budget en met de gewenste functionaliteit op te leveren, dan is er nog geen bedrijfswaarde gerealiseerd. Er zal enkel waarde worden gerealiseerd als de verkoopmensen effectief de applicatie gaan gebruiken om meer omzet, en dus bedrijfswaarde, te realiseren. Dit vergt echter, naast het opleveren van de technische applicatie, ook het uittekenen van een gepast bedrijfs/verkoopproces en het opleiden van de verkopers om volgens dit nieuwe proces en applicatie te werken. Zuivere ict-investeringen bestaan dus eigenlijk niet (met uitzondering van infrastructuurprojecten en dergelijke), het zijn eerder bedrijfsinvesteringen met een grote ict-component. In literatuur spreekt men dan ook minder over IT investments maar meer en meer over IT enabled business investments, waarmee onmiddellijk de verantwoordelijkheid voor waardecreatie bij de business wordt gelegd.
De uitdaging zit hem dus in het overtuigen van de business dat zij de eindverantwoordelijkheid voor het beheer van en waardecreatie uit ict op zich moet nemen. Dit veronderstelt een belangrijke shift in de geesten van business- en ict- managers, waarbij ict niet wordt aangestuurd als een ‘cost’, maar meer als een ‘asset’ om waarde te creëren voor de organisatie. Weill en Ross (2009) formuleren dit als volgt in hun ‘IT Savvy Book’: ‘If senior managers do not accept accountability for IT, the company will inevitable throw its IT money to multiple tactical initiatives with no clear impact on the organisational capabilities. IT becomes a liability instead of a strategic asset’.
4
Teveel IT in IT Governance: een kritische kijk op beheer van ict
De evolutie van IT Governance naar Enterprise Governance of IT Er is in elk geval een sterke stroming aan de gang, die tracht om deze mindset te veranderen. In 2008 kwam ISO uit met een nieuwe standaard onder de titel Corporate Governance of IT’ (ISO38:500), en de auteurs van dit artikel schreven in 2009 een nieuw managementboek onder de titel ‘Enterprise Governance of IT: Achieving Strategic Alignment en Value’. Dit boek benadrukt dat enterprise governance of IT integraal deel uitmaakt van enterprise governance en primair een verantwoordelijkheid is van de Raad van Bestuur en directie: ‘Enterprise governance of IT is an integral part of corporate governance and addresses the definition and implementation of processes, structures and relational mechanisms in the organization that enable both business and IT to execute their responsibilities in support of business/IT alignment and the creation of business value from IT enabled investments’. Om de ‘knowing-doing’ gap te overbruggen en enterprise governance of IT effectief te introduceren in een organisatie, bepleit deze definitie de noodzaak van een ‘organizational system’ (De Wit and De Meyer, 2005), bestaande uit structuren (bv. steering committee), processen (bv. portfoliomanagement) en relationele mechanismen (bv. training), zodat zowel business als ict effectief hun verantwoordelijkheid kunnen nemen in het beheer van en de waardecreatie uit ict (zie figuur 1).
Figuur 1 Organisationeel systeem om Enteprise Governance of IT te realiseren
Structures
Processes
e.g. IT steering committee, CIO on executive committee, roles and responsabilities
e.g. IT performance management, portfolio managerment, benefits management
Enterprise governance of IT
Relational Mechanisms e.g. job-rotation, colocation, account management
5
Teveel IT in IT Governance: een kritische kijk op beheer van ict
Enterprise Governance of IT & COBIT 5
COBIT 5, de nieuwe versie van COBIT die binnenkort wordt verwacht, zal helemaal meegaan in deze evolutie naar Enterprise Governance of IT. COBIT is ontstaan in de jaren negentig als een IT audit en controle raamwerk (zie figuur 2), ontwikkeld door ISACA (www.isaca.org). De eerste twee versies van COBIT beschreven 34 processen en bijbehorende controle objectieven die auditors een belangrijke leidraad boden bij het beoordelen en evalueren van ict-processen. Met de lancering van COBIT 3 in 2000 werd een eerste stap gezet naar management. De 34 COBIT-processen werden aangevuld met concrete managementinstrumenten, zoals maturiteitsmodellen en metrieken. Vanaf dat moment begon COBIT meer toegang te vinden tot de wereld van ict-management en ict-professionals, terwijl de sterke basis binnen de audit- en controlewereld bleef bestaan (en nog steeds bestaat). In deze periode nam de adoptie van COBIT ook sterk toe, mede als gevolg van het ontstaan van reguleringen zoals Sarbanes-Oxley, waarvoor COBIT een zeer geschikt compliancy instrument is.
Van Grembergen & De Haes, 2009
Figuur 2
Enterprise Govenance of IT
Evolutie van COBIT
evolution
IT Govenance
IT Management
IT Control
IT Audit COBIT 1 1996
6
COBIT 2 1998
COBIT 3 2000
COBIT 4 2005
Teveel IT in IT Governance: een kritische kijk op beheer van ict
COBIT 5 2012
Van Grembergen & De Haes, 2009 ISACA, 2007
In 2005 neemt COBIT in zijn 4de editie belangrijke IT governance elementen op. In deze nieuwe editie werden concepten opgenomen rond het koppelen van bedrijfsdoelstellingen aan ict-doelstellingen, rond de relaties tussen ictprocessen en de verantwoordelijkheden binnen ict-processen (RACI charts). Ook de 34 COBIT-processen worden verrijkt met nieuwe IT governance inzichten van dat moment, zoals het belang van een IT strategy committee op het niveau van de Raad van Bestuur.
ISACA, 2010 COBIT 5 kan gezien worden als weer een belangrijke nieuwe generatie van het COBIT gedachtegoed, waarin een duidelijke shift wordt gemaakt naar het bredere concept van enteprise governance of IT. Als je immers kritisch kijkt naar COBIT4, dan zie je dat de voornaamste focus ligt op verantwoordelijkheden van ict, terwijl recente gerelateerde raamwerken van ISACA, zoals VALIT (ISACA, 2008) en RISKIT (ISACA, 2009), meer de nadruk leggen op de business verantwoordelijkheden in waardecreatie en risicobeheer. COBIT 5 zal een geïntegreerd zicht geven op enterprise governance of IT, gebaseerd op COBIT, VALIT en RISKIT. Door de integratie van die raamwerken zal COBIT 5 end-to-end management en governance processen aanleveren, waarin zowel ict als de business een belangrijke rol spelen in het realiseren van waarde uit ict en het beheren van ict-gerelateerde risico’s.
7
Teveel IT in IT Governance: een kritische kijk op beheer van ict
Conclusie
Het gedachtegoed van IT governance staat al meerdere jaren hoog op de agenda van veel organisaties en toch blijft de business in vele organisaties zich vragen stellen bij de hoge kosten van ict en de bedrijfswaarde die er al dan niet uit wordt gerealiseerd. Eén van de oorzaken van dit probleem is dat IT governance teveel een discussie van en door ict’ers is geweest. Bovendien, zolang we praten of IT governance waarin het woord IT zeer centraal staat, zal de perceptie ook blijven bestaan dat IT governance in de eerste plaats een verantwoordelijkheid is van ict. Een belangrijke uitdaging zit hem dus in het overtuigen van de business dat zij de eindverantwoordelijkheid op zich moet nemen voor het beheer van en waardecreatie uit ict. Er is een sterke stroming aan de gang, die tracht om deze mindset te veranderen en in die context wordt meer en meer gepraat over enterprise governance of IT, met een primaire verantwoordelijkheid voor de Raad van Bestuur en directie. De economische crisis heeft zeker als katalysator gewerkt om het thema nog scherper te stellen. In tijden van beperkte budgetten staat immers meer dan ooit de vraag rond rendement uit (ict-)investeringen centraal. In dat opzicht bevinden we ons nu in een uniek momentum om een belangrijke stap vooruit te zetten, en echt te evolueren van IT Governance naar Enterprise Governance of IT. Met de beschikbare raamwerken en beste praktijken (bv. COBIT), die vooral gekend zijn binnen ict, hebben CIO’s en informatiemanagers het perfecte instrumentarium om de business te begeleiden in dit veranderingstraject naar volledige aansturing van ict door de business.
Over de auteurs
Prof. dr. Steven De Haes is Associate Professor Information Systems Management aan de Antwerp Management School en gastdocent aan de Universiteit Antwerpen. Hij is actief in executive education en research in de domeinen van IT governance, alignment en waardecreatie. Hij is nauw betrokken bij de ontwikkelingen van COBIT, VALIT en RISKIT en zit momenteel in de COBIT 5 Taskforce.
[email protected]
Prof. dr. Wim Van Grembergen is Gewoon Hoogleraar Information Sytems Management aan Universiteit Antwerpen en de Antwerp Management School. Zijn onderwijs en onderzoeksactiviteiten focussen op de domeinen van IT Governance, Alignment en Waardecreatie. Hij is nauw betrokken bij de ontwikkeling van COBIT en ISO38:500.
[email protected]
8
Teveel IT in IT Governance: een kritische kijk op beheer van ict
IT managementopleidingen aan Antwerp Management School Antwerp Management School biedt een aantal IT managementopleidingen aan voor professionals die rechtstreeks betrokken zijn bij de implementatie van het IT beleid in hun organisatie. In de Executive Master of IT Governance and Assurance, in samenwerking met de Universiteit Maastricht, leert u frameworks zoals COBIT, Val IT en Risk IT toepassen. Voor wie actief is met architectuurraamwerken is er de Executive Master of Enterprise IT Architecture, in samenwerking met de TU Delft. Naast de meerjarige Excutive Masters worden er ook kortlopende Master Classes aangeboden. De Master Class IT Leadership geeft u alle essentiële elementen van IT management en is gericht op professionals die via hun IT-investeringen optimaal waarde willen realiseren voor hun organisatie. Verder behoren de Master Class Business Process Management, de Master Class IT Architecture en de Master Class IT Assurance tot de opleidingsportfolio.
Hoe krijgt u de informatietechnologie (IT) in uw onderneming onder controle zodat het de diensten en informatie aflevert die uw organisatie nodig heeft? Hoe beheerst u de risico’s en de beveiliging van de IT infrastructuur waarvan u afhankelijk bent? Hoe selecteert u de portefeuille vanITIT investeringen zodat n De Haes Steven. The relationship between governance and business/ IT alignment,waarde ISBN 978-3-8383-1797-7 - Saarbrücken: Lambert, 2009 - 211 p. optimaal wordt gerealiseerd voor de ganse organisatie? n Brynjolfsson, E., 1993, The productivity paradox of Information Technology, Vragen zoals deze houden heel wat business en IT managers Communications of the ACM, vol. 36, no. 12 bezig, en ze zijn op zoek naar een raamwerk dat kan helpen bij n We Wit B, Meyer R (2005) Strategy Synthesis: Revolving Strategy Paradoxes deCreate beveiliging, controle en beheer hun informatiesystemen. to Competitive Advantage. Cengagevan Learning EMEA.
www.antwerpmanagementschool.be Referenties
n Luftman, Tal Ben-Zvi, Key Issues for IT Executives 2009: Difficult Economy’s
Impact IT, MISQ Executive, vol for 9, no. 1, 2010. COBITon(Control Objectives Information
and Related Technologies) is internationaal erkend als een belangrijk n ISACA (2008) RISKIT, beschikbaar op www.isaca.org. raamwerk tegemoet komt aan deze behoeftes. n ISACA (2009)dat Val IT 2.0, beschikbaar op www.isaca.org. n ISACA (2010) COBIT 5 Design: ExposureinDraft, beschikbaar op www.isaca.org. Het omschrijft goede praktijken het beheer, controle en n ISO/IEC (2008)van 38500:2008, Corporate governance of informationrond technology, beveiliging informatietechnologie, georganiseerd een beschikbaar op www.iso.org. logisch procesraamwerk. In 2011 zal ISACA een nieuwe versie n Pfeffer, J.; R. Sutton; The Knowing-Doing Gap, Harvard Business School Press, van 2000 COBIT uitgeven: COBIT 5. Deze nieuwe editie heeft de USA, ambitie om het hedendaagse concept van “Enterprise n Strassman, P. (1990). The business value of Computers. New Canaan, Connecticut: The information Economics Goverance of IT” volledig te omhelzen in eenPress. geïntegreerd, n Thorp, J. (2003). The Information Paradox, McGraw-Hill Reyerson. volledig en toepasbaar raamwerk. n ISACA (2007) COBIT 4.1, beschikbaar op www.isaca.org.
n Van Grembergen, W., 2002, Introduction to the minitrack IT Governance and
its Mechansims, Proceedings of the 35th Hawaii International Conference on De auteurs van dit artikel zijn vanuit de Antwerp Management System Sciences (HICSS). n Van Grembergen W, De Haes Sbij (2009) Enterprise Governance of IT: Achieving School nauw betrokken de ontwikkeling van COBIT, zowel Strategic Alignment and Value. Springer, New York.
tijdens de vorige versies als voor de nu geplande nieuwe editie. In dit artikel lichten ze een tipje van de sluier hoe de nieuwe versie van COBIT 5 eruit zal zien. De auteurs van dit artikel gaan ervan uit dat de lezer vertrouwd is met de COBIT 4 concepten.