Het Vertalen Van is-strategie Naar is-operatie. Cobit in Relatie Tot Itil en Cmmi

Het vertalen van IS-strategie naar IS-operatie

INLEIDING

Kostenbeheersing is nu ook voor IS realiteit.Bij veel organisaties lopen programma’s omIS-kosten te reduceren en beheersen.Ingrijpende reorganisaties zijn aan de ordevan de dag, met een meer dan gemiddeldetendens om onderdelen van de IS-organisa-tie uit te besteden (meestal ingegeven vanuitde wens om kosten te reduceren).Tegelijkertijd neemt de druk op IS-afdelingentoe om snel nieuwe diensten te ontwikkelenwaarbij (mede door het toenemende gebruikvan web-applicaties) een hoge betrouwbaar-heid, performance en beschikbaarheidbelangrijker zijn dan ooit. De spagaat die ont-staat door enerzijds gedwongen te wordenzo efficiënt mogelijk te werken en anderzijdszo veel mogelijk met de klant mee te moetendenken geeft aan dat het afstemmen van deIS-strategie op de businessstrategie nogsteeds actueel is.De snelle rationalisatie van IS betekent ook

dat IS-afdelingen in staat moeten zijn om eentransparante vertaling te maken van degekozen IS-strategie naar operationele pro-cessen. Transparant, omdat verantwoordingnaar het hoger management belangrijker isdan ooit. De vertaling van strategie naar ope-ratie wordt in veel organisaties belemmerdomdat een uniforme manier van procesin-richting, procesrapportage en procesverbe-tering ontbreekt.

Dit artikel richt zich op de problematiek vanhet vertalen van een gekozen IS-strategienaar operationele IS processen. Daarbijwordt gebruik gemaakt van veel gebruikte(de facto) standaardmodellen, zodat degekozen oplossing voor velen herkenbaar zalzijn. Organisaties die kiezen voor de hierbeschreven aanpak hoeven geen desinves-teringen te doen door geheel nieuwe model-len te introduceren. Als we de scope van ditartikel afzetten tegen het Business ITAlignment (=BITA) model van Henderson &

IT Service Management, best practices

Uitvoeren van IT-dienstverlening door de leverancier

287

4

Het vertalen van IS-strategie naarIS-operatieCobiT in relatie tot ITIL & CMMI

Als gevolg van de snelle rationalisatie van IS (Information Ser-vices), moeten IS-afdelingen in staat zijn een transparante

vertaling te maken van een gekozen IS-strategie naar procesin-richting, procesrapportage en procesverbetering. In de praktijkwordt dit belemmerd door het ontbreken van een gemeenschap-pelijk referentiekader voor het definiëren van stuurinformatie enprocesvolwassenheid voor de verschillende disciplines binnenIS. In dit artikel wordt geschetst hoe CobiT in relatie tot ITIL enCMMI kan worden gebruikt om aan deze problemen het hoofd tebieden. Behalve als een eenvoudig stappenplan om een gekozenIS-strategie te vertalen naar operationele procesdoelstellingen, isdit artikel dan ook te lezen als een introductie in de samenhangtussen CobiT, ITIL en CMMI.

Auteurs: M.J. van der Velden, Senior Consultant, Quint Wellington Redwood en F.U. Grift, CEO, Quint Wellington Redwood.

4.6

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

Venkatraman (1994) dan zien we dat het arti-kel de rechterhelft van het model betreft.Omdat de aanpak mede is gebaseerd op(onderdelen van) CobiT (IT GovernanceInstitute, 2000), CMMI (SEI, 2002), enITIL/IPW (Bom et al., 2001) kan dit artikel ookworden gelezen als een overzichtsartikel omde onderlinge positionering van deze model-len te begrijpen, zonder dat de lezer ver-dwaalt in een gedetailleerd overzicht van deovereenkomsten en verschillen tussen dezemodellen. Voor een gedetailleerde beschrij-ving van deze modellen wordt verwezen naarde literatuurlijst.In het onderdeel ‘Het vertalen van IS-strate-gie naar IS-operatie’ worden de afstem-mingsproblemen tussen IS-strategie en IS-operatie beschreven. Vervolgens wordt eengestructureerde aanpak beschreven waar-mee een gekozen IS-strategie consistent kanworden doorvertaald naar operationele IS-processen. In het gedeelte daarna wordtingegaan op het nut en de beperkingen vande beschreven aanpak, waarna de afsluiten-de conclusies worden getrokken.

AFSTEMMINGSPROBLEMEN TUS-SEN IS-STRATEGIE EN IS-OPERATIE

Het kiezen van een IS-strategieHet afstemmen van IS-strategie en IS-opera-tie begint met het bepalen van een strategie.Dit kan bijvoorbeeld aan de hand van hetgedachtegoed van Treacy & Wiersema(1993). Op basis van empirisch onderzoekkomen zij tot de conclusie dat een succes-volle onderneming uit drie mogelijkhedenaltijd één dominante strategie kiest. Demogelijke strategieën die worden onder-scheiden zijn: Operational Excellence,Product Leadership en Customer Intimacy(Figuur 2).

Operational Excellence (OE)Bij een Operational Excellence strategiewordt gekozen voor een optimale prijs-pres-tatieverhouding van geleverde IS-diensten.Een OE-strategie leidt tot kostenbeheersing,standaardisatie en voorspelbare kwaliteit.McDonalds en IKEA zijn bekende voorbeel-den van bedrijven die deze strategie metsucces toepassen.

288

Business scope

Differentiation BusinessGovernance

Admin. infra

Processes People

Strategic fit

BUSINESS

Technologyscope

Systemcompetences

ITGovernance

Admin. ITInfrastructure

Processes People

IT

External

Internal

free after HendersonFiguur 1 Scope van dit artikel



Product Leadership (PL)Bij een Product Leadership strategie wordt ervoor gekozen steeds het ‘beste’ product inde markt te zetten. Dit gaat gepaard methoge kosten voor Research & Development,maar minder margedruk op het eindproductomdat de competitieve positie uniek is. Intelis een voorbeeld van een bedrijf dat dezestrategie met succes toepast. Kenmerkend isdat in tijden van economische teruggangIntel haar R&D budgetten verhoogd om deafstand met de concurrentie verder te ver-groten.

Customer Intimacy (CI)Bij een Customer Intimacy strategie wordenprocessen en producten maximaal afge-stemd op de specifieke behoeften van eenklant. Veel consultancy bureaus volgen dezestrategie.Onder druk van de economische omstandig-heden kiezen veel IS-afdelingen voor eenOE-strategie. Klanten zijn echter in veelgevallen door de hoogconjunctuur aan heteind van de vorige eeuw gewend aan IS-afdelingen die een CI-strategie volgen. Veelklanten vragen dat nog steeds (een informa-tiemanager: ‘ik wil best wat meer betalen, alsze maar eens gingen meedenken’).Dit levert een ambivalente situatie op.Klanten vragen customer intimacy, terwijl deboard IS-afdelingen aan de hand van kosten-

besparingsdoelstellingen dwingt een opera-tional excellence strategie te volgen. Dit leidttot ontevreden klanten, en bovendien blijkeninterne IS-afdelingen meestal minder goed tekunnen concurreren op kosten dan eenexterne IS-leverancier, omdat ze minder kun-nen profiteren van schaalvoordelen. Het vol-gen van een OE-strategie verhoogt daarmeehet risico van IS-afdelingen uitbesteed teworden, omdat op termijn geen concurren-tievoordeel meer bestaat op IS outsourcers.In de rest van dit gedeelte wordt ingegaan opde afstemmingsproblemen die ontstaan alseen eenmaal gekozen strategie vertaaldmoet worden naar operationele processen.Het bepalen van een adequate IS-strategievalt buiten de scope van dit artikel.Afstemmingsproblemen tussen strate-gie en operatieBottom-up/top-downBij veel organisaties worden procesverbete-ringen niet bepaald door een (top-down)vertaling van strategie naar operatie, maarworden verbeteringen bottom-up in ganggezet. Dit gebeurt dan vaak op grond vantechnische expertise en met behulp vanmethoden als het CMMI en ITIL/IPW. Alsgevolg hiervan kan een organisatie ontstaanwaar de relatie tussen verbeteringen enbedrijfsstrategie niet meer duidelijk is.



289

4

Product Leadership"Beste product"

Customer Intimacy"Beste customer solution"

Operational Excellence"Best prijs/prestatie verhouding"

Figuur 2 Dominante Strategiën volgens Treacy & Wiersema (1993)


VoorbeeldBij een financiële dienstverlener werd doorde centrale IS-afdeling gekozen voor eenprocesverbetertraject gebaseerd op ITIL. Erwerd gekozen voor een ‘standaard’ ITILimplementatie; dat wil zeggen, er werd stevigingezet op het professionaliseren van dehelpdesk, en de processen incidentenbe-heer, wijzigingsbeheer en configuratiebeheer.Nadat op deze manier ‘de winkel op orde’was gebracht werd dienstenniveaubeheeropgepakt.Uit een onderzoek naar de bedrijfscontinuï-teit bleek dat uitwijk bij deze organisatiemaar zeer beperkt was geregeld, in iedergeval te beperkt in het licht van de sterk toe-genomen afhankelijkheid van de organisatievan haar informatiesystemen. In gesprekkenmet informatiemanagers bleek bovendiendat deze redelijk tevreden waren over destructuur en naleving van dienstenniveauo-vereenkomsten. Een analyse van de bedrijfs-strategie en van daaruit de vaststelling welkeprocessen moesten worden verbeterd haddus waarschijnlijk voor dienstenniveaube-heer geleid tot een lagere prioriteit en voorcontinuïteitsbeheer (dat dus geheel buitenbeschouwing was gelaten) tot een hogereprioriteit.

StuurinformatieIn menige organisatie is de laatste jarengewerkt aan het genereren van stuurinforma-tie voor processen. Het aantal KeyPerformance Indicators (KPI’s) dat (in iedergeval op papier) is bedacht is schier onein-dig. Hoeveel levert dit op? In een aantalgevallen is het voor een procesmanager eenuitstekend hulpmiddel om grip te krijgen opzijn of haar proces. In andere gevallen wordtzoveel stuurinformatie opgeleverd dat eengoede interpretatie door het managementmoeilijk is.

VoorbeeldBij een overheidsorganisatie werd maande-lijks een incidentrapportage opgesteld. Hetdetailniveau van de rapportage was zodanigdat het management de rapportage nooit las;ze volstond met de vraag of er nog bijzon-

derheden waren. De incidentmanagergebruikte de rapportage ook niet, omdat hetopstellen van een maandelijkse rapportagevoor hem meer een kwestie van archiverenvan gebeurtenissen was, dan een hulpmiddelom tijdig het proces te kunnen bijsturen. Hetkoste hem overigens wel enige uren permaand om dit ritueel in stand te houden.

Domeinspecifieke procesverbeteringenIn het recente verleden zijn bij veel organisa-ties procesverbeterprogramma’s uitgevoerdbinnen het ontwikkeldomein en/of hetbeheerdomein. In een aantal gevallen werddit weliswaar tegelijkertijd gedaan, maar zel-den onder centraal programmamanagement.Traditioneel heeft elk vakgebied haar eigenproces- en volwassenheidsmodellen ontwik-keld. Vanuit het perspectief van de betreffen-de vakgebieden is dit natuurlijk valide; demodellen brengen theorie en praktijkervaringbij elkaar in best practices. Voor professio-nals behoren ze zonder meer tot de vereiste‘body of knowledge’.

Er is echter ook een keerzijde bij het gebruikvan al deze modellen, die het best kan wor-den samengevat onder de noemer ‘spraak-verwarring’ (Figuur 3).

‘Horizontale spraakverwarring’ ontstaat alsspecialisten uit verschillende domeinen metelkaar moeten samenwerken onder meerdoor overlap en onvoldoende aansluitingtussen modellen. Logischerwijs wordtgebruik gemaakt van terminologie uit heteigen vakgebied, wat in een aantal gevallentot problemen kan leiden.

VoorbeeldBij het inrichten van domeinoverstijgendeprocessen, zoals incidentenbeheer en re-leasebeheer, moet ter ondersteuning ookaandacht worden besteed aan configuratie-beheer. CMMI onderscheidt binnen configu-ratiebeheer zowel versiebeheer als hetafhandelen van wijzigingsverzoeken (‘ChangeRequests’). ITIL ziet configuratiebeheer enhet afhandelen van wijzigingsverzoeken(‘Requests for Change’) als gescheiden pro-

290



cessen. Voor het voeren van een versiebe-heeradministratie en het beheren van wijzi-gingsverzoeken wordt in het ontwikkeldo-mein gebruik gemaakt van tools zoalsContinuus van Telelogic en ClearCase/ClearQuest van Rational. Binnen het beheer-domein wordt gebruik gemaakt van bijvoor-beeld IT Service Desk van Hewlett Packardof Remedy van BMC. Een ontwikkelaar(CMMI) en een beheerder (ITIL) hebben dusals gevolg van de in hun domein populairemodellen een net ander referentiekader, ter-wijl ze het over dezelfde problematiek heb-ben.

‘Verticale spraakverwarring’ ontstaat als van-uit het management verbeterdoelstellingenworden geformuleerd, geïnitieerd en gemoni-tord. Een probleem hierbij is namelijk dat elkdomein haar eigen (proces-)volwassenheids-modellen kent. Zo zijn er bijvoorbeeld vol-wassenheidsmodellen voor Human Re-source Management, Financiële Processen,Ontwikkeling en Beheer. Populaire modellenin de IS zijn ITIL/IPW en het IT Service CMM

(Niessink, 2000) voor beheer, en CMMI voorontwikkeling.

Een gedetailleerde discussie over de over-eenkomsten en verschillen tussen dezemodellen valt buiten de scope van dit artikel.De volgende verschillen zijn hier echter rele-vant:• De modellen verschillen in terminologie en

structuur. Waar ITIL/IPW spreekt vanProcessen, daar spreekt CMMI vanProcess Areas (bij de voorganger CMMwerd overigens de term Key Process Areagebruikt).

• Het verschillende aantal niveaus per pro-ces. CMMI onderkent zes zogenaamdeCapability Levels per proces (in deContinuous variant van het model) en vijforganisatieniveaus (in de Staged variant).ITIL/IPW kent zes niveaus per proces,waarvan het onderlinge verband leidt toteen inschaling van de organisatie op éénvan vijf organisatieniveaus (ITIL/IPW is eenzogenaamd Hybride model).



291

4

Sturende processen

Services Applicatie

Tactisch/Sturend

Verbindendeprocessen

Richting-gevend

Beheer Onderhoud/vernieuwing

ACMOCM

Uitvoerend

Supply

Delivery

Demand

Outside inInside out

Techno-logy

definitionSkills

definition

Servicedelivery

definition

Accountdefinition

Marketdefinition

ICT development

strategy

Customerenvironment

strategy

Customer organization

strategy

ICT portfoliomanage-

ment

Life cycle manage-

ment

Kwaliteits-management

Planning en control

Kosten-management

Service levelmanagement

Ontwerp

Realisatie

Impact-analyse

Testen

Implemen-tatie

Incidentbeheer

Capaci-teits

beheer

Conti-nuiteitsbeheer

Configu-ratie

beheer

Beschik-baarheids

beheer

Pro-gramma-beheer

en distributie

Wijzigingenbeheer

User-environment

Product-basedplanning technique

Document controltechnique

Change controltechnique

Quality reviewtechnique

Con

figur

atio

nM

anag

emen

t

Change control Organisation

Plans

Quality

ina

project environment

Management of risk Stages

Cont

rols

Directing a project

Planning

Startup

initiatinga project

Controllinga stage

Managingstage

boundaries

Managingproductdelivery

Closing aproject

RESULTAATORGANISATIE

Leiderschap Processen Eindresultaten

Leren & Verbeteren

Waarderingdoor klanten

enleveranciers

Waarderingdoor de

maatschappij

Waarderingdoor

medewerkersMedewerkers

Strategie &beleid

Middelen

Steeds verderVerbeteren o.b.v.metingen

Proces-beheersing

Proces-metingen

Proces-definitie

Project-management

Beschrijvenhuidige situatie

Voorspelbaar,Meetbaar,Beheerst

Generieke basissetvan processenPro-actief

Focus op projectenGediciplineerdPlanmatig werken

Ad HocOnvoorspelbaarReactief

Niets vastgelegd

Optimizing

QuantitativelyManaged

Defined

Managed

Initial

Notperformed

ASL

EFQM

Prince 2

CobIT

CMM

Figuur 3 Het modellenmoeras


VoorbeeldBij de IS-afdeling van een groot warenhuisliepen tegelijkertijd projecten voor het beha-len van CMMI level 2 bij ontwikkeling enITIL/IPW level 3 voor een aantal beheerpro-cessen. Daarnaast werd gewerkt aan deimplementatie van DSDM (DSDM Con-sortium, 2002) en er liep een project voor deinrichting van een projectmanagementme-thode waar een op PRINCE2 (CCTA, 1999)lijkende, maar in eigen huis ontwikkelde,methode voor werd gebruikt. Nadat werdvastgesteld dat steeds minder managerszich iets van deze projecten aantrok ( “iksnap er helemaal niks meer van…”) werdendeze projecten onder centrale regie geplaatsten werd zoveel mogelijk overlap uit de ver-beterplannen verwijderd. Hierdoor ontstondeen verbeterplan met een duidelijke focusdat beter kon worden gemanaged.

Als door een organisatie slechts één volwas-senheidsmodel zou kunnen worden gebruiktheeft dit de volgende voordelen (Ahern et al.,2001, pp. 14):• Kosten. Door procesverbeteringen in de

gehele organisatie op één model te base-ren kan worden bespaard op trainingkos-ten, assessment kosten, beheer van deprocesbibliotheek en inkoop van externeexpertise.

• Focus. De meeste projecten en processengaan over domeinen heen. Vaak wordenbedrijfsprioriteiten beter bediend door der-gelijke domeinoverstijgende verbeteringendan door verbeteringen binnen een enkeldomein (het voorkomt hobbyisme). Ookcentraal programmamanagement draagthier aan bij.

• Uitwisselen kennis en ervaring. Doorhet bezit van een gezamenlijk referentieka-der krijgen specialisten vanuit verschillen-de domeinen een extra instrument omkennis en ervaring uit te wisselen.

• Flexibiliteit. Bij gebruik van een uniformvolwassenheidsmodel kunnen nieuwe dis-ciplines in een organisatie eenvoudigeraansluiten bij lopende initiatieven.

Een extra reden voor het gebruik van eenenkel volwassenheidsmodel is:• Rapportage. Het wordt eenvoudiger voor

het (hoger) management om een beeld tekrijgen van de volwassenheid van de pro-cessen in de verschillende bedrijfsdiscipli-nes als één referentiekader wordt gebruikten op eenduidige wijze kan worden gerap-porteerd. Dus zowel interne benchmarkingals (potentieel) externe benchmarkingwordt eenvoudiger.

HET VERTALEN VAN IS-STRATEGIENAAR IS-OPERATIE

In de beschrijving van de aanpak voor hetvertalen van een gekozen IS-strategie naaroperationele prioriteiten en processen wordtingespeeld op de eerder beschreven proble-men. De aanpak bestaat uit de volgendestappen:Stap 0 Kies een strategische oriëntatie.Stap 1 Bepaal de consequenties voor IS

processen.Stap 2 Bepaal procesdoelstellingen en

richt een scorecard in.Stap 3 Bepaal procesindicatoren en richt

een dashboard in.Stap 4 Bepaal het huidige en het gewens-

te volwassenheidsniveau.Stap 5 Maak een verbeterplan en monitor

de feitelijke verbetering.

Het stappenplan geeft een methode voor hettop-down afstemmen van IS-strategie opprocesdoelstellingen. Om uniforme stuurin-formatie te genereren en één volwassen-heidsmodel voor het gehele IS-domein tehanteren wordt gebruik gemaakt van CobiT.CobiT onderscheidt een 34-tal processen diezijn ondergebracht in vier domeinen, teweten Planning & Organisation (PO),Acquisition & Implementation (AI), Delivery &Support (DS) en Monitoring (M) (Figuur 4).Het stappenplan wordt in de volgende para-grafen nader toegelicht.

292



Stap 0: Kies een strategische oriëntatieDe eerste stap is het bepalen van een IS-strategie op basis van Operational Exellence(OE), Customer Intimacy (CI) of ProductLeadership (PL). De gevolgen van een strate-giekeuze zijn (per definitie) groot. Zoals eer-der opgemerkt worden IS-afdelingen na jareneen min of meer CI-strategie te hebbengevolgd nu vaak gedwongen over te gaan opeen OE-strategie. Een direct gevolg is dat(vaak ingrijpende) applicatie- en infrastruc-tuur consolidatieprogramma’s nodig zijn omde hardware en softwareomgeving in lijn tebrengen met de nieuwe strategische oriënta-tie.Zoals gezegd beperkt dit artikel zich tot deaanname dat er een IS-strategie is bepaald.

VoorbeeldTer illustratie worden de opeenvolgendestappen toegelicht aan de hand van een fic-tieve centrale IS-afdeling die diensten ver-leent aan verschillende bedrijfsonderdelen.De gekozen strategie is OperationalExcellence.

Stap 1: Bepaal de consequenties voorIS-processenIn Figuur 5 wordt een globaal overzicht gege-ven van de consequenties van een gekozenIS-strategie op de IS domeinen. Dit gebeurtdoor voor ieder domein de belangrijksterequirements te formuleren die door de (totdat domein behorende) processen moetenworden gerealiseerd.Om de tabel in Figuur 5 te begrijpen wordentwee voorbeelden toegelicht. Allereerst devraag hoe wordt omgegaan met standaard-oplossingen versus maatwerk. Vertrekkendvanuit een OE-strategie wordt gestreefd naarmarktconforme oplossingen, ‘proven tech-nology’ en voorspelbare kwaliteit. Dit zal inde regel leiden tot de aanschaf van stan-daardoplossingen. Vertrekkend vanuit eenCI-strategie staat niet meer de prijs-presta-tieverhouding centraal, maar het voldoen aande klantwens. Als de klantbehoefte met stan-daardoplossingen kan worden ingevuld isdat natuurlijk prima, maar bij een CI-strategiepast ook maatwerk (zelf ontwikkelde oploss-ingen, of aanpassingen van standaardoplos-singen aan de specifieke klantsituatie). Bij



293

4

Figuur 4 CobiT processes for managing IT resources


een PL-strategie zal vaak worden gekozenvoor maatwerk en in huis ontwikkelen, omdatop de markt nog onvoldoende standaardop-lossingen verkrijgbaar zullen zijn. Als tweedevoorbeeld kijken we naar diensten-niveaubeheer. Bij een OE-strategie wordtgestreefd naar één dienstenniveauovereen-komst die geldt voor alle klanten. Bij een CI-strategie past het afsluiten van verschillendeniveaus van dienstverlening voor verschillen-de klanten. Bij een PL-strategie zal het dien-stenniveaubeheer minder stringent zijn,omdat daar de oplossing meer centraal staat.

Op basis van Figuur 5 kan voor ieder proceshet relatieve belang worden bepaald. Alseen organisatie daarnaast een inschattingmaakt van de huidige prestaties van de ver-schillende processen, ontstaat een eersteindruk van de aansluiting van de huidige pro-cesinrichting op de gekozen strategie. InFiguur 6 wordt hiervoor een hulpmiddelgegeven dat gebruikt kan worden bij een OE-strategie.

OpmerkingDe processen in Figuur 6 zijn de 34 proces-sen die door CobiT worden onderkend. Deprocesarchitectuur van uw eigen organisatiezal hier zeer waarschijnlijk van afwijken. Indat geval zijn er in essentie twee mogelijkhe-den: de tabel wordt aangepast aan de feite-lijke procesarchitectuur of andersom.Het aanpassen van de tabel zou kunnenbetekenen dat er bijvoorbeeld processenworden toegevoegd. Voor het hier gepresen-teerde stappenplan is dat geen probleem,maar in de vervolgstappen kan mogelijk min-der direct van CobiT gebruik worden ge-maakt. In veel gevallen zal de aanpassingechter beperkt zijn omdat CobiT is geba-seerd op bestaande modellen (zoals ITIL enCMM) en zich bovendien richt op doelstellin-gen en niet op procesimplementaties. Dekans is dus groot dat processen uit uw orga-nisatie dezelfde doelstellingen nastreven alsde CobiT processen; een vertaling is danbetrekkelijk eenvoudig.Het aanpassen van de procesarchitectuuraan CobiT is natuurlijk ook mogelijk, maar ligtniet erg voor de hand vanwege de potentieelgrote gevolgen voor uw organisatie.

294

• Marktconforme oplossingen• IS afdeling als Profit Center• HRM beleid gericht op 'IS processen'• Integratie en 'proven technology• Stringente beheersing van Kosten

• Focus op kopers van standaardoplossingen• Conservatief in autoriseren van gebruikers en IS wensen

• Standaard dienstenniveau- overeenkomsten• Managen van dienstenniveaus volgens gedefinieerd proces• Efficiënte standaardprocessen gemanaged op prijs/kwaliteit ratio

• Efficiënte processen• (Externe) benchmarking

Planning &Organisation (PO)

Acquisition &Implementation(AI)

Delivery & Support(DS)

Monitoring (M)

Operation Excellence Customer Intimacy

• Maatwerk• IS afdeling als Cost Center• HRM beleid gericht op 'business intelligence'• Oportunity based architectuurkeuzes• Pricing Cost

• Standaardoplossingen waar mogelijk, maatwerk en ontwikkeling niet schuwen• Progressief in autoriseren van gebruikerswensen

• Managen van verschillende dienstenniveaus voor verschillende klanten mogelijk• Procesinrichting afgestemd op klantprioriteiten

• Effectieve processen

Figuur 5 Outsourcing is het doorknippen van de IT-organisatie



Voorbeeld - Incidenten en ProblemenIn het gekozen voorbeeld gingen we uit vaneen IS-afdeling met een OE-strategie. InFiguur 6 kunnen we aflezen welke processenbij deze strategische oriëntatie van belangzijn. Onze fictieve organisatie heeft ondermeer een op ITIL gebaseerd proces voorincidentenbeheer en een op ITIL gebaseerdproces voor probleembeheer. Om het voor-beeld eenvoudig te houden gaan we ervanuit dat alleen deze processen onvoldoendepresteren. Omdat CobiT mede op ITIL isgebaseerd en zich bovendien richt op doel-stellingen, ligt het voor de hand om Figuur 6niet aan te passen, maar vast te leggen dat inde organisatie twee aparte processen (inci-dentbeheer en probleembeheer) bestaan diesamen de doelstellingen van DS10 ‘ManageProblems and Incidents’ moeten realiseren.

Voorbeeld - Human Resource Manament(HRM)Als tweede voorbeeld nemen we het beleidten aanzien van Human Resource Mana-gement. Ook hier geldt dat CobiT zich sterkricht op doelstellingen. Denk in dit verband

aan doelstellingen ten aanzien van wervingen selectie, training, en de formulering vanrollen en verantwoordelijkheden. Ongeachtde feitelijke inrichting van de HRM-activitei-ten in de organisatie kan worden vastgesteldof aan de doelstellingen van PO7 ‘ManageHuman Resources’ wordt voldaan.

Stap 2: Bepaal procesdoelstellingenen richt een scorecard inUit stap 1 is het relatieve belang van IS-pro-cessen in het licht van de gekozen strategiebekend. Om nu te kunnen beoordelen ofdeze processen hun bedrijfsdoelstellingenwaarmaken worden zogenaamde Key GoalIndicators (KGI’s) opgesteld en opgenomenin een scorecard. CobiT definieert voor de 34onderkende processen een verzamelingKGI’s die als startpunt kan worden genomenvoor het vaststellen van de KGI’s voor uworganisatie. De scorecard zou eens permaand of kwartaal kunnen worden opgestelden geeft het management inzicht in de vraagof met de processen de gewenste bedrijfs-doelstellingen worden bereikt.



295

4

Figuur 6 Belang & Performance


Voorbeeld - Incidenten en ProblemenAls Key Goal Indicators die zichtbaar moetenmaken of de doelstellingen worden bereiktkiezen we bijvoorbeeld:• een meetbare reductie van het aantal inci-

denten;• een meetbare reductie van de (business)

impact van problemen en incidenten;• een meetbare reductie van incidenten die

herhaald optreden.

Voorbeeld - Human Resource ManagementVoor het bepalen van de effectiviteit van deHRM activiteiten kiezen we bijvoorbeeld:• percentage IS medewerkers dat voldoet

aan het competentieprofiel voor hun rol inde organisatie;

• de tijd die gemiddeld nodig is voor het re-kruteren van nieuwe medewerkers.

Stap 3: Bepaal procesindicatoren enricht dashboard inNu bekend is welke (bedrijfs)doelstellingenmet een proces moeten worden behaald, kanworden gewerkt aan het bepalen van opera-tionele stuurinformatie voor de relevante pro-cessen. CobiT definieert voor de 34 onder-kende IS-processen zogenaamde KeyPerformance Indicators (KPI’s) die als start-punt voor het bepalen van deze performancedoelstellingen kunnen worden gebruikt.Deze KPI’s worden opgenomen in een dash-board. Een dergelijk dashboard moet dage-lijks (of wekelijks) worden geactualiseerd omprocesmanagers in staat te stellen tijdig bij testuren, zodat ze op voorhand weten dat deprocesdoelstellingen worden gehaald.

Voorbeeld - Incidenten en ProblemenBij stap 2 hebben we een drietal Key GoalIndicators bepaald om het effect van hetinrichten van incidentenbeheer en probleem-beheer te kunnen bepalen. In deze stap moe-ten we de stuurparameters bedenken omeen procesmanager in staat te stellen actiefte sturen op het behalen van deze KGI’s.Omwille van de eenvoud werken we hieralleen de gevolgen van de eerste KGI (‘eenmeetbare reductie van het aantal incidenten’)verder uit.

Om te sturen op het behalen van een meet-bare reductie van het aantal incidenten kie-zen we als Key Performance Indicator het‘voortschrijdend gemiddelde van het aantalincidenten dat per week wordt vastgesteld’.Het meten en beoordelen van deze KPIgebeurt bijvoorbeeld met een ShewartControl Chart, een in de industrie gebruike-lijk hulpmiddel om statistisch verantwoordebeslissingen te kunnen nemen over de sta-biliteit en performance van een productie-proces (Grant & Leavenworth, 1988). Dehoge ‘omloopsnelheid’ van het incidentmanagement proces leent zich hier goedvoor (Figuur 7).Hoe komt Figuur 7 tot stand? Om het aantalincidenten te kunnen beoordelen wordt iede-re dag het aantal incidenten geregistreerd.Per week leidt dit tot een gemiddeld aantalvoor die week. Na een 15-tal weken is hetstatistisch verantwoord om het gemiddeldevan deze weekgemiddelden te bepalen enmet behulp daarvan een onder- en boven-grens te berekenen ten behoeve van trend-analyse. De controlekaart kan op de volgen-de manieren worden gebruikt:• De incidentmanager vult iedere dag het

aantal incidenten in en ziet zo de kaartvoor zijn ogen ontstaan. Dit is belangrijk,omdat zo nauwelijks vertraging ontstaattussen de registratie en (een deel van) deinterpretatie van de rapportage. Merk opdat in week 16 de kaart ‘gewoon eenweekje opschuift’, het is dus niet nodigweer 15 weken te wachten.

• Met behulp van de onder- en bovengren-zen kan de incidentmanager direct zien ofop een dag een uitschieter is geweest ofdat zich een trend voordoet1. Hij/zij kandus ook direct het effect zien van hetoplossen van structurele problemen watzou moeten leiden tot afname van het aan-tal incidenten (en dus een daling van hetcentraal gemiddelde).

296

1 Voor de statistici onder de lezers: er is sprake van eentrend als 6 opeenvolgende meetpunten steeds naarboven of steeds naar beneden gaan, of als 6 opeen-volgende meetpunten onder of boven het centraalgemiddelde liggen (Grant & Leavenworth, 1988).



Voorbeeld - Human Resource ManagementAls KPI om te kunnen sturen op het behalenvan de in de vorige stap geschetste KGI’szou bijvoorbeeld gekozen kunnen wordenvoor het bijhouden van:• het percentage IS-medewerkers met een

persoonlijk ontwikkelingsplan;• het percentage gealloceerde en gebruikte

trainingstijd per medewerker.

Stap 4: Bepaal het huidige en hetgewenste volwassenheidsniveauWe weten nu wat de doelstellingen zijn voorde relevante processen en hebben het ins-trumentarium om de procesresultaten enprocesperformance te kunnen meten. Devolgende stap is het bepalen van de nood-zaak om de processen (verder) te verbeteren.De volgende vragen helpen om deze nood-zaak te kunnen vaststellen:• Worden door het proces de beoogde doel-

stellingen (structureel) behaald?



297

4

Figuur 7 Controlekaart aantal incidenten


• Is het mogelijk om aan de hand van hetdashboard vast te stellen of het proces debeoogde doelstellingen bij de volgendescorecardrapportage zal hebben behaald?

• Zijn de implementatierisico’s van het pro-ces acceptabel? Om deze vraag te beant-woorden kan worden onderzocht of bij deimplementatie van de processen wordtvoldaan aan de Key Success Factoren(KSF’s) die CobiT definieert voor de 34processen.

Als op grond van deze vragen wordt beslotendat procesverbeteringen nodig zijn, danwordt vervolgens het huidige volwassen-heidsniveau van het proces bepaald.Als er uiteindelijk gekozen wordt om proces-verbeteringen door te voeren, dan moet eersthet huidige volwassenheidsniveau van debetreffende processen worden bepaald. Vooralle 34 onderkende IS-processen definieertCobiT een volwassenheidsmodel dat geba-seerd is op de volwassenheidsniveaus vanCMM. Een op CobiT gebaseerd assessmentlevert dus een uniform beeld op van de hui-dige en gewenste volwassenheid per proces.

VoorbeeldStel dat in onze voorbeeldorganisatie geenmeetbare reductie van het aantal incidentenkan worden bereikt. Bovendien blijkt het pro-ces niet stabiel te zijn waardoor de controle-kaart weinig voorspellende waarde heeft.Tenslotte blijkt dat er geen goede integratie isvan probleembeheer en wijzigingsbeheer(één van de CobiT Key Success Factors voorDS10 ‘Manage Problems and Incidents’). Hetis dan duidelijk dat het proces moet wordenverbeterd. Vermoedelijk zal bij een assessment van ditproces het volwassenheidsniveau op 2 wor-den vastgesteld. Bij een OE-strategie pasteen hoog volwassenheidsniveau van opera-tionele ‘delivery’ processen; op grond waar-van we het streefniveau vaststellen op niveau4.

Stap 5: Maak een verbeterplan enmonitor de feitelijke verbeteringUit de voorgaande stappen weten we welkeprocessen moeten worden verbeterd enwelke verbeteringen (in termen van proces-volwassenheid, maar ook in te bereikenresultaten) moeten worden gerealiseerd.

298

Proces voortdurend geoptimaliseerd aan omstandigheden op basis van best practices.

0

Efficiency en effectiviteit worden gemeten.Proactieve sturing.

Gestandaardiseerd en gedocumenteerd process.Voornamelijk weergave van bestaande activiteiten.Reactief.

In verschillende situaties wordt min of meerhetzelfde proces gevolgd. Grote afhankelijkheidvan individuen.

Noodzaak is onderkend, activiteitenworden ad hoc toegepast.

Proces is niet aanwezig, de organisatie is zichniet bewust van de noodzaak.

Optimized

Managed andMeassurable

Defined Process

Repeatablebut Intuitive

Initial/Ad Hoc

Non-existend

1

2

3

4

5

Figuur 8 CobiT Maturity Levels



Nu kan een verbeterplan worden opgesteldom het gewenste volwassenheidsniveau terealiseren. Tijdens het realiseren van het planwordt gebruik gemaakt van het ontwikkelderapportage-instrumentarium om direct in-zicht te hebben in het effect van de groei involwassenheid (Figuur 9).Om het verbeterplan uit te werken wordtgeleund op de volgende bronnen:• De CobiT volwassenheidsstadia, Key

Success Factors en procesdoelstellingengeven inzicht in de resultaten die door hetverbeterplan moeten worden bereikt.

• Andere modellen zoals CMMI, ITIL enPRINCE2 kunnen worden gebruikt alshulpmiddel voor het bepalen van de imple-mentatie van de procesverbeteringen.

VoorbeeldHet verbeteren van DS10 ‘Manage Problemsand Incident’ kan mede worden gebaseerdop de ITIL processen Incidentenbeheer enProbleembeheer. Het verbeteren van PO7‘Manage Human Resources’ kan mede wor-den gebaseerd op de People Service Index(Gompers & Meijers, 2001).

OVERWEGINGEN

In dit artikel is een aanpak beschreven voorhet vertalen van een gekozen IS-strategienaar operationele procesinrichting. Daarbijwordt gebruik gemaakt van CobiT alsbelangrijkste vehicel in aanvulling op popu-laire modellen als CMMI en ITIL/IPW. Terafsluiting volgen hieronder nog een aantalopmerkingen over de mogelijkheden enbeperkingen van de beschreven werkwijze.

Instrumentele benaderingDe beschreven aanpak suggereert dat eeninstrumentele top-down benadering vandeze complexe materie mogelijk is. Dat zal inde praktijk niet zo zijn. In de praktijk is hetechter ook niet belangrijk of de stappen pre-cies zo worden doorlopen als hierbovenbeschreven. Waar het om gaat is dat heteindresultaat (strategie, prioriteiten, stuurin-formatie) dat binnen een organisatie wordtgebruikt een samenhangend geheel vormtdat begrijpelijk is alsof het uit een top-downstappenplan is ontstaan. Het kunnen gevenvan een dergelijke uitleg is op zichzelf al eenbewijs van de consistentie van het eindresul-



299

4

Figuur 9 Kwaliteitsverbetercycles

Bepaaloorzaak

Bepaaloplossing

Test enevalueer

Fout indentificatie

Input Activiteit

Metingen

Output

Oplossing Fout

Oorzaak


taat, ongeacht of dat nu top-down, bottom-up, middle-out of zelfs random tot stand isgekomen (Parnas en Clements, 1990).

CobiT is toch voor auditors?Hoewel CobiT bij een groot aantal organisa-ties wordt toegepast, is dat meestal bij deaudit-afdelingen. Dat leidt er in een aantalgevallen toe dat IS-managers CobiT eerderals een bedreiging zien, dan als een aanvul-lend hulpmiddel om hun werk te structureren(Mingay & Bittinger, 2002). Als CobiT op dehier beschreven wijze wordt toegepast zalhet echter de samenwerking tussen IS-afde-lingen en auditors eerder bevorderen danverstoren.

Samenhang CobiT, ITIL/IPW & PRINCE2Dat de vraag naar de samenhang tussen dein dit artikel gebruikte modellen actueel isblijkt wel uit de uitspraak van S. Mingay dat‘questions from out customers about therelationship between models like PRINCE2,ITIL and CMM raised from 20 per year in2000 to 20 per week currently’ (uitspraak tij-dens conference call met de auteurs op 19maart 2003).

Compleet?De beschreven werkwijze is niet compleetomdat het met name de proceskijk op orga-nisaties belicht. Een aspect als leiderschapwordt bijvoorbeeld niet meegenomen.Hieraan zou tegemoet kunnen worden geko-men door op organisatieniveau gebruik temaken van het EFQM-model (EFQM, 1992).De hier beschreven aanpak kan vervolgensworden gebruikt voor het detailleren van deIS-functie.

Aansluiting CobiT op andere modellenDe niet volledige aansluiting van CobiT opITIL, CMMI en andere modellen vormt voorde hier beschreven werkwijze geen wezenlijkprobleem. Zoals eerder opgemerkt komt ditomdat CobiT zich richt op te behalen doel-stellingen, en niet op de wijze van implemen-tatie van processen. Een andere reden is datCobiT wel mede op deze modellen is geba-seerd. Als gevolg daarvan bestaat er een

hoge mate van overlap tussen de CobiT pro-cessen en doelstellingen, en de processenen doelstellingen van veel andere populairemethoden. In een specifieke situatie moeteen organisatie echter wel bereid zijn de ver-taalslag uit te voeren. Stap 1 en stap 5 ver-gen hierbij de meeste aandacht.

Free Lunch?Het toepassen van de geschetste aanpaklangs de hoofdlijnen van CobiT is niet geheeleen ‘free lunch’ vanwege de genoemdeinspanning die nodig is om de aansluitingvan procesdefinities tussen CobiT en anderemethoden te realiseren. Dit betaalt zich ech-ter terug in een betere Return on Investmentop procesverbetertrajecten omdat de verbe-tering vanuit de strategie wordt aangelopen(en dus belangrijk is). Prioriteiten wordenzoals het hoort top-down gesteld. Dit integenstelling tot bottum-up procesverbete-ringstrajecten waar de verantwoording vaninvesteringen vaak te wensen overlaat metals grootste risico dat na verloop van tijd hetverbetertraject geen draagvlak meer heeft eneen zachte dood sterft.

CONCLUSIE

De beschreven aanpak om te komen tot eenoperationele procesinrichting in het licht vaneen gekozen IS-strategie komt tegemoet aande eerder beschreven afstemmingsproble-men door:• Het geven van een top-down stappenplan

waardoor de aansluiting tussen IS-strate-gie en IS-operatie wordt gewaarborgd.

• De omvang van de hoeveelheid stuurinfor-matie te beperken door verschillende rap-portages af te stemmen op hun eigendoelgroep. Met de Shewart Control Chartis bovendien een voorbeeld gegeven vaneen dashboard dat door een zeer kortefeedback-lus goed voor de dagelijkse stu-ring van een proces als incident manage-ment kan worden gebruikt.

• Het probleem van domeinspecifieke rap-portages en volwassenheidsmodellen tebeperken door het gebruik van CobiT.

300



De aanpak is daarnaast een hulpmiddel voorhet begrijpen van de positionering van CobiT,CMMI en ITIL/IPW.

LITERATUUR

• Ahern, D.M., A. Clouse & R. Turner.CMMI Distilled, SEI Series in SoftwareEngineering, Addison-Wesley, 2001.

• Bom, J. et al. Het ABC tot IntegraalIPW™, Implementatie van eenProcesgerichte Werkwijze. ICTManagement Pocket Guides, Ten Hagen& Stam, 2001.

• CCTA. Managing Succesful Projects withPRINCE2, The Stationary Office, London,1999.

• DSDM Consortium. Framework forBusiness Centred Development. DSDMManual, Version 4.1. 2002.

• EFQM. EFQM Excellence Model, EFQM,1992.

• Gompers, R. & J. Meijers. PeopleService Index, Internal Report, QuintWellington Redwood, 2001.

• Grant, L. & R.S. Leavenworth. StatisticalQuality Control, Sixth Edition, McGraw-Hill Book Company, New York, 1988.

• Hagen, L. van der. Application ServicesLibrary, Introductie Best Practices enFramework voor Application Management,ASL Foundation, 2001.

• IT Governance Institute. CobiT® 3rdEdition - Framework, July 2000.

• Lanowitz, T. en D. Curtis. Unity in the ISOrganization Improves BusinessProcesses, GartnerGroup, 2003.

• Mingay, S. and S. Bittinger. CombineCobiT and ITIL for Powerful ITGovernance, GartnerGroup, 2002.

• Niessink, F. IT Service CMM, SoftwareEngineering Research Centre, 2000.

• OGC. ITIL Service Delivery, TSO, 2001.• OGC. ITIL Service Support, TSO, 2000.• Parnas David L. and Paul C. Clements.

‘A Rational Design Process: How andWhy to Fake it’. In: IEEE Trans. SoftwareEng. 12(2): 251-257, 1986.

• SEI. Capability Maturity Model®

Integration (CMMISM), Version 1.1,CMMISM for Systems Engineering,Software Engineering, Integrated Productand Process Development, and SupplierSourcing (CMMI-SE/SW/IPPD/SS, V1.1)Continuous Representation. CMU/SEI-2002-TR-011; also ESC-TR-2002-011.Pittsburgh, PA: Software EngineeringInstitute, Carnegie Mellon University,March 2002.

• Treacy, M., and F. Wiersema. ‘CustomerIntimacy and Other Value Disciplines’. In:Harvard Business Review, January-February, 1993.



301

4


Het Vertalen Van is-strategie Naar is-operatie. Cobit in Relatie Tot Itil en Cmmi

Documents

Transcript of Het Vertalen Van is-strategie Naar is-operatie. Cobit in Relatie Tot Itil en Cmmi