Artikel
Het toetsen van architectuur bij de Rabobank Ervaringen en aanbevelingen vanuit de praktijk Hans Bielok en Arjan Uittenbogerd
Bij veel bedrijven is het belang dat wordt gehecht aan de architectuur van de informatievoorziening de afgelopen jaren sterk toegenomen. Dit komt omdat bedrijven voor de ondersteuning van hun bedrijfsprocessen te maken hebben met een complex ICT-landschap, waarvan het beheer lastig is en dat vaak ook hoge kosten met zich meebrengt. Een goed doordachte architectuur met duidelijke regelgeving die in de praktijk strak wordt nageleefd is één van de hulpmiddelen om de complexiteit binnen de perken te houden. Maar dat niet alleen. De architectuur wordt ook gezien als een goed hulpmiddel voor de afstemming van businessen ICT-doelstellingen op langere termijn.
Beide auteurs zijn werkzaam binnen het directoraat Groep ICT van
V
oor de uitvoering van een architectuurreview zijn inmiddels al verschillende benaderingen beschreven [Smil05]. Toch lijkt in de praktijk de architectuur nog niet vaak getoetst te worden door IT-auditors. Door de toenemende aandacht voor en belang van architectuur is de kans groot dat een IT-auditor hier mee te maken gaat krijgen, als object van toetsing of als norm in het geval dat architectuur randvoorwaarden geeft voor het ontwikkelen en beheren van systemen. Binnen de Rabobank wordt architectuur gezien als belangrijk hulpmiddel bij het ontwikkelen en beheren van informatiesystemen. Sinds eind jaren ‘80 wordt gewerkt onder architectuur en architectuurprocessen en -producten zijn in samenhang met andere ICT-processen en -producten beschreven. In 2004 is voor het eerst een meting uitgevoerd naar de volwassenheid van de architectuurprocessen. Hierbij werd gebruik gemaakt van het Architecture Maturity Model (AMM). In 2006 is een vervolg-assessment uitgevoerd. Dit keer werd het AMM-assessment uitgebreid met een inhoudelijke toets van de architectuurproducten. Met name deze laatste toets wordt in dit artikel toegelicht. We beschrijven hoe dit onderzoek is uitgevoerd, de resultaten ervan en wat de toegevoegde waarde was voor de Rabobank. Ten slotte geven we een aantal algemene aanbevelingen voor het toetsen van architectuurproducten. De structuur van het artikel is als volgt: • In deel I beschrijven we het begrip architectuur en introduceren we een globaal model met aspecten die voor architectuur van belang zijn. Op basis van dit model wordt een aantal architectuurproducten van de Rabobank beschreven die voor de toets van belang waren. • In deel II zijn de opzet en uitvoering van de toets beschreven. • Deel III bevat de resultaten van de toets en algemene aanbevelingen voor het toetsen van architectuur.
Rabobank Nederland. J.C.H. (Hans) Bielok RE (l) is Control & Compliance Officer bij de afdeling ICT Beleid en Architectuur. A.C.A. (Arjan) Uittenbogerd EMITA (r) is informatiemanager bij de afdeling Programmaen Informatiemanagement. Hij is onlangs afgestudeerd aan de postdoctorale opleiding EDP-auditing van de Erasmus Universiteit Rotterdam
Architectuur (deel I) Om de resultaten van de toets te kunnen plaatsen is het van belang om een beeld te hebben van het begrip ‘architectuur’ en hoe hier binnen de Rabobank mee omgegaan wordt.
(EURAC). Ter afsluiting van deze opleiding heeft hij een referaat vervaardigd met de titel ‘Het toetsen van informatiearchitectuur: een praktijk-
Begripsomschrijving van architectuur
voorbeeld’.
Er zijn verschillende en uiteenlopende definities van het 17 | de EDP-Auditor nummer 2 | 2007
Artikel begrip ‘architectuur’. Dit is niet vreemd omdat het architectuurdenken nog relatief jong is en de doelstellingen die ermee nagestreefd worden zeer divers zijn. In de literatuur kom je nieuwe begrippen tegen zoals ‘informatiearchitectuur’, ‘ICT-architectuur’, ‘digitale architectuur’ en ‘beveiligingsarchitectuur’. In het onderzoek en dit artikel zijn we uitgegaan van de definitie zoals deze binnen de Rabobank gehanteerd wordt. Daarnaast hebben we in dit artikel ook een aantal aspecten uit een aantal andere definities in een eenvoudig model gezet om een meer algemeen beeld van architectuur te geven. Een aantal architectuurproducten van de Rabobank wordt aan de hand van dit model toegelicht. De inrichting van architectuur binnen de Rabobank is gebaseerd op Dynamische Architectuur (DYA) van Sogeti [Berg04], waarvan in een vorig nummer van de EDP-Auditor een boekbeschrijving is gepubliceerd, en Tapscott [Taps93]. De volgende definitie wordt gehanteerd: ‘Een consistent geheel van principes en modellen dat richting geeft aan ontwerp en realisatie van de processen, organisatorische inrichting, informatievoorziening en technische infrastructuur van een organisatie.’ [Wagt02] De doelstelling ervan is als volgt geformuleerd: ‘De architectuur kan gezien worden als het geheel van afspraken dat ervoor zorgt dat individuele ontwikkelingen aansluiten op elkaar en op het overkoepelende bedrijfsbelang. Door het stellen van concrete kaders, is duidelijk waar individuele projecten zich aan te houden hebben en waar ze vrijheid in hebben. De producten van de projecten die zich aan de architectuur houden passen in het groter geheel.’ [Fort04] De definitie onderkent verschillende views (processen, organisatorische inrichting, informatievoorziening en technische infrastructuur) en verschillende manieren van uitwerken (principes en modellen). Hiernaast wordt binnen de Rabobank ook onderscheid gemaakt in het niveau binnen de organisatie (Rabobankgroep, Rabobanklabel en domeinen binnen het Rabobanklabel). Bij de doelstelling wordt onderscheid gemaakt tussen het aansluiten van ontwikkelingen op elkaar en op het bedrijfsbelang. Tevens worden er vanuit de samenhang kaders gesteld voor individuele projecten. Zonder al te veel in te gaan op andere definities van architectuur hebben we getracht om op basis van een aantal daarvan een model te maken om zo het begrip ‘architectuur’ vanuit een breder perspectief (dan uitsluitend dat van de Rabobank) te bezien. Op basis van de definities hebben we de volgende aspecten onderkend: • Niveau in de organisatie: Is de scope van de architectuur de hele organisatie of een specifiek onderdeel? • Manier van uitwerken: Wordt architectuur beschreven in de vorm van principes, modellen, componenten, regels? • Views: Vanuit welke gezichtspunten wordt de architectuur
uitgewerkt? Veel voorkomende gezichtspunten zijn business, proces, informatie, applicatie en technologie. • Tijdshorizon: Beschrijft de architectuur een bepaald moment in de toekomst en, zo ja, welk moment of de huidige situatie? Gartner heeft hiervoor de begrippen ‘tomorrow architecture’ (3-5 jaar), ‘next-minute architecture’ (volgend jaar) en ‘today architecture’ (huidige situatie) geïntroduceerd. [Ross99] • Overig: Naast bovenstaande aspecten zijn er nog enkele andere die we voor de eenvoud van het model onder het kopje ‘overig’ geschaard hebben, hoewel ze zeer divers zijn. Dit betreft planning, kosten, ethische aspecten, gevoelswaarde. et cetera. In onderstaande figuur is dit schematisch weergegeven:
!SPECTEN BIJ ARCHITECTUUR ARCHITECTUUR
.IVEAU )N ORGANISATIE
-ANIER VAN UITWERKEN
6IEWS
4IJDS HORIZON
OVERIG
%NTERPRISE
0RINCIPES
"USINESS
4OMORROW
0LANNING
/NDERDEEL
-ODELLEN
0ROCESSEN
.EXT MINUTE
%THISCHE ASP
3AMENHANG
)NFORMATIE
4ODAY
'EVOELS WAARDE
#OMPONENTEN
!PPLICATIE
&RAMEWORKS
4ECHNOLOGIE
2EGELS
"ELEIDSMODEL /NTWIKKEL "EHEER
Architectuur binnen de Rabobank
Om de resultaten van de uitgevoerde toets te kunnen plaatsen is het van belang om een beeld te hebben van de Rabobank en de manier waarop binnen de Rabobank wordt omgegaan met architectuur. Hiervoor beschrijven we de architectuurproducten die voor de toets van belang waren aan de hand van het voorgaande model. Dit geeft een beeld van hoe we intern tegen architectuur aankijken. Om ook een extern beeld te krijgen zijn tevens de resultaten van een begin 2006 uitgevoerd AMM-assessment beschreven. Dit assessment was gericht op architectuurprocessen en had dus een andere invalshoek. De Rabobankgroep omvat naast de Aangesloten Banken en Rabobank Nederland ook gelieerde instellingen, zoals Robeco en De Lage Landen. Rabobank Nederland is onder andere onderverdeeld in een wholesale- en internationaal retailbedrijf en een binnenlands retailbedrijf. De ICT-functie is voor een belangrijk deel gecentraliseerd onder de naam Groep ICT. De rol en toepassing van architectuur is voor de verschillende businesseenheden wisselend en divers. Voor het binnenlands retailbedrijf bijvoorbeeld wordt de architectuur in
18 | de EDP-Auditor nummer 2 | 2007
!RCHITECTUUR 2ABOBANK +LANT )NTERACTIE LAAG
"ANKHAL
)NTERNET
-EDEWERKER
%XTRANET
3PRAAK
%XTERNE PARTIJ 0OST
)NTRANET
/VERIGE KANALEN
4OEGANG
-ULTI CHANNEL
-ARKT $ISTRIBUTIE LAAG
6ERKOOP
+LANT
+LANTENSERVICES
+LANTOVEREENKOMST
-ULTI LABEL
,AGEN
0RODUCTOPDRACHTBEWAKING 0RODUCTPAKKETOVEREENKOMST "ELEGGEN RETAIL
0RODUCT LAAG
&INANCIEREN
Er zijn binnen Groep ICT aparte afdelingen met een eigen verantwoordelijkheid voor architectuur: • ICT Beleid en Architectuur (IBA) voor de overall architectuur. • Programma- en Informatiemanagement (PIM) voor de domeinarchitecturen. • Systeemrealisatie is gericht op constructieprincipes. • Beheer & Exploitatie op inrichting van de fysieke infrastructuur.
Voor de afbakening en inrichting van applicatieve domeinen is een lagenmodel uitgewerkt. Dit bevat een aantal logische lagen en per laag een aantal logische domeinen. Deze domeinen zijn verder uitgewerkt in domeinarchitecturen. Binnen de domeinen worden onder andere ICT-componenten uitgewerkt. Zie Figuur achitectuur Rabobank.
3PAREN
De architectuurfunctie is binnen Groep ICT verder uitgewerkt dan bij de businesseenheden. Dit uit zich in het aantal personen dat hieraan werkt, binnen Groep ICT meer dan honderd en bij de businesseenheden een tiental, en ook in de mate waarin processen en producten gedefinieerd en gestandaardiseerd zijn. De businesseenheden hebben soms zelf architecten in dienst, maar maken meestal gebruik van diensten van Groep ICT.
ken in de Architectuur Rabobank zijn grotendeels overgenomen in het toetsingskader dat voor de inhoudelijke toets van de domeinarchitecturen en de PSA’s is opgesteld.
"ETALEN
aparte projecten over de volle breedte vooraf uitgewerkt; voor het wholesale- en internationaal retailbedrijf gebeurt dit op het moment dat er ontwikkelingen zijn waarvoor het noodzakelijk is dat er ook een architectuurvisie is. Op dat moment wordt de architectuur voor het specifieke onderdeel binnen het project uitgewerkt. De architectuurtoets is uitgevoerd voor het binnenlands retailbedrijf. Dit is het onderdeel van waaruit de massamarkt wordt bediend.
&INANCIpLE