IT Governance: Hoe draagt ICT anno 2010 bij aan het succes ... Whitepaper IT... · 6.1 ISO 38500:...
Transcript of IT Governance: Hoe draagt ICT anno 2010 bij aan het succes ... Whitepaper IT... · 6.1 ISO 38500:...
Een verslag van ontwikkelingen en mogelijkheden op het gebied van IT Governance bij binnenlandse en buitenlandse overheden voor bestuurders, directieleden en CIO‟s.
Jan F. Bouman, CGEIT 1
Management Consultant
Programmamanager
versie 1.0, december 2009
© Inter Access 2009
IT Governance: Hoe draagt ICT anno 2010
bij aan het succes van de overheid?
Whitepaper
Whitepaper
2
Inhoudsopgave
Voorwoord ............................................................................................. 3
1. Inleiding ............................................................................................ 4
2. Zijn ICT projecten dan zo moeilijk? .................................................... 9
3. Rijksoverheid ................................................................................... 11
3.1 Grip op informatievoorziening ............................................................. 11
3.2 Een spiraal van toenemende complexiteit ............................................. 12
3.3 Meldpunt ICT-verspilling ..................................................................... 14
3.4 Onvolwassen ICT bij de overheid ......................................................... 14
4. Gemeenten ....................................................................................... 16
4.1 Algemeen ......................................................................................... 16
4.2 Gemeente Rotterdam ......................................................................... 17
4.3 Gemeente Amsterdam: Complexe organisatie ....................................... 18
4.4 ICT op Normaal Amsterdams Peil (NAP)................................................ 21
5. Buitenland ........................................................................................ 23
5.1 Lessen uit Australië ............................................................................ 23
5.2 Lessen uit de VS: Clinger Cohen en SOx ............................................... 24
5.3 Het Verenigd Koninkrijk: GatewayTM reviews ......................................... 25
6. Handreikingen voor bestuurders, CIO’s en managers ...................... 26
6.1 ISO 38500: een strategische handreiking voor bestuurders en CIO‟s ..................................................................................................... 26
6.2 ISO checklist voor bestuurders en CIO‟s ............................................... 27
6.3 Gateway reviews: handreiking voor CIO‟s en managers .......................... 28
6.4 CobiT®: Voor ICT managers die „in control‟ willen zijn ............................ 30
6.5 Val ITTM: Wat levert de ICT op? ........................................................... 33
6.6 Buiten de overheid: ING ..................................................................... 36
7. Conclusies en aanbevelingen ........................................................... 38
7.1 Wat is er aan de hand? ....................................................................... 38
7.2 Waarom IT Governance ...................................................................... 39
7.3 Wat gebeurt en nu binnen de overheid? ............................................... 40
7.4 Welke vragen moet ik stellen? ............................................................. 41
7.5 Wat moet ik doen? ............................................................................. 44
7.6 Eindconclusie .................................................................................... 44
Nawoord: Inter Access ......................................................................... 45
Verwijzingen ........................................................................................ 46
Whitepaper
3
IT Governance: hoe draagt ICT anno 2010 bij aan het succes van de overheid? Handreikingen voor bestuurders, directieleden en CIO‟s
Voorwoord
Uw organisatie drijft op informatie. Informatie-voorziening
en ICT zijn daarom te belangrijk om alleen aan ICT’ers over
te laten.
Succesvol aansturen van ICT betekent dat bestuurders en directies
weten welke ICT gerelateerde risico´s zij lopen en wat zij er aan
kunnen doen. Zij draaien aan de knoppen. Zij bepalen hoeveel ICT
bijdraagt aan het succes van ministerie, provincie, waterschap of
gemeente.
Welke informatie is nodig om politieke, bestuurlijke of
bedrijfsmatige ambities te halen? Of om burgers,
volksvertegenwoordigers en andere deelnemers aan de
samenleving van de juiste informatie te voorzien? Wat kan de ICT
daaraan bijdragen?
Deze whitepaper presenteert handreikingen voor bestuurders,
directies en CIO‟s om te sturen, zonder dat zij diepgaande
inhoudelijke kennis van ICT hoeven te hebben. Hierbij passeren
een aantal spraakmakende onderzoeken naar ICT binnen de
overheid de revue.
IT Governance helpt bestuurders, directieleden en CIO‟s anno 2010
niet alleen om ICT debacles te voorkómen, maar vooral om
overheidsorganisaties beter te laten functioneren.
IT GOVERNANCE BIJ DE
OVERHEID
INFORMATIEVOORZIENING
TE BELANGRIJK OM
ALLEEN AAN ICT‟ERS OVER
TE LATEN
HANDREIKINGEN VOOR
BESTUURDERS, DIRECTIES
EN CIO‟S
Whitepaper
4
1. Inleiding
1.1 Wat gaat er mis met ICT bij de overheid?
Wat gaat er mis op het gebied van ICT bij de overheid? Deze vraag
wordt al jaren gesteld aan de hand van signalen uit verschillende
hoeken. In 2007 ontstond een discussie in de Tweede Kamer over
5 miljard euro aan verspild ICT geld bij de Rijksoverheid. Of dat nu
allemaal weggegooid geld was, bleef onduidelijk. Door de
Socialistische Partij werd een meldpunt ICT verspilling bij de
overheid georganiseerd. De Minister van Binnenlandse zaken
kondigde een onderzoek van de Algemene Rekenkamer aan. Zo
werd gezocht naar duidelijkheid.
1.2 Ook gemeenten, provincies, waterschappen en
provincies
Met meer duidelijkheid wordt nog niet vastgesteld wat er aan
gedaan kan worden. Deze whitepaper gaat daar nader op in. Het
gaat niet alleen om de grootste en duurste ICT projecten van
tientallen miljoenen euro‟s, maar ook om de kleinere projecten.
Doelgroep voor dit document is daarom breder dan de
rijksoverheid. Het richt zich ook op gemeenten, waterschappen en
provincies.
1.3 Niet voor ICT‟ers
Deze whitepaper richt zich op bestuurders en directies die
betrokken zijn bij aansturing van informatievoorziening en IT.
Overheidsinstanties zijn immers informatiefabrieken waarin de
informatievoorziening essentieel is. Zowel intern in de
bedrijfsvoering als extern naar burgers, bedrijven en andere
overheidsinstanties. De inhoud is dus niet bedoeld voor ICT‟ers,
maar voor bestuurders en directies die hun verantwoordelijkheid
alleen kunnen waarmaken met gebruikmaking van ICT.
1.4 Verantwoordelijkheid die de ICT overstijgt
Sturing van informatievoorziening als belangrijke productiefactor
(naast personeel en financiën) is iets anders dan management en
beheer van ICT. Laat de techniek over aan de technici. Echter,
sturing van informatievoorziening kan niet overgelaten worden aan
technici en ICT‟ers. Op dat gebied dienen bestuurders en directies
hun verantwoordelijkheid te nemen. Dit is een zaak die de ICT
overstijgt. Deze whitepaper geeft enkele handreikingen.
VIJF MILJARD EURO
VERSPILLING
RIJK, PROVINCIES,
WATERSCHAPPEN EN
GEMEENTEN
OVERHEIDSINSTANTIES
ZIJN
INFORMATIEFABRIEKEN
LAAT TECHNIEK AAN DE
TECHNICI
Whitepaper
5
1.5 Niet alleen in Nederland
Het is wellicht een schrale troost maar Nederland is niet het enige
land dat worstelt met ICT bij de overheid. Deze whitepaper kijkt
ook naar Australië, het Verenigd Koninkrijk en de Verenigde
Staten. Er zijn lessen te leren over de aanpak van ICT en de
sturing vanuit het hoger management bij overheidsinstanties in die
landen.
1.6 IT Governance bij de overheid
Die sturing door bestuurders en directies duiden we aan met een
modern begrip: IT Governance.
IT Governance stelt en beantwoordt de volgende drie vragen:
- Performance: doet de ICT wat ervan verwacht wordt?
- Conformance: wordt er aan de geldige regels voldaan?
- Transparantie: zijn performance en conformance duidelijk,
meetbaar en controleerbaar?
Het laatste punt, transparantie, wordt vaak weggelaten. Voor de
overheid moet het zeker genoemd worden, omdat de meeste
instanties onderworpen zijn aan de Wet openbaarheid van bestuur
(Wob). Bovendien treden er voor overheidsinstanties allerlei
toezichthoudende organen op. Tenslotte is er de morele en formele
plicht van bestuurders om van tijd tot tijd verantwoording af te
leggen. Ook voor bedrijven is het noemen van „transparantie‟ als
aspect van IT Governance relevant omdat de regels over eerlijk
zaken doen steeds scherper worden (Code Tabaksblatt, Sarbanes
Oxley).
In het boek „Focus op IT-bestuur‟ 2 van het Nederlands
Architectuur Forum, wordt IT Governance als volgt gedefinieerd:
“IT Governance betreft de inrichting van de besturing van de IT-
functie”. Hier wordt IT Governance gezien in relatie tot Enterprise
Governance en Business Governance.
Schema 1. Vormen van governance
LESSEN UIT HET
BUITENLAND
PERFORMANCE,
CONFORMANCE EN
TRANSPARANTIE
Whitepaper
6
Schema 1 (afkomstig uit „Focus op IT-bestuur‟) onderscheidt vier
vormen van Governance.
- Enterprise Governance: Overkoepelend bestuur van de
complete organisatie waarin de samenhang wordt bewaard.
- Corporate Governance: Besturing van het naleven van wet-
en regelgeving. Dus vooral het „conformance‟ aspect.
- Business Governance: Besturing van de prestaties van de
organisatie. Dus vooral het „performance‟ aspect.
- IT Governance: De ICT aspecten van corporate en business
governance. IT Governance is een afgeleide van corporate en
business governance.
1.7 Veel investeringen in efficiency van IT
Er zijn geluiden dat IT Governance niet gebracht heeft wat er van
verwacht werd, ondanks het feit dat er wereldwijd veel is
geïnvesteerd om ICT beter te laten functioneren. Methoden en
technieken die ICT professioneler maken, buitelen over elkaar
heen. Beter beheer door ITIL, betere projecten door Prince2,
betere softwareontwikkeling door CMMi en betere sturing door
CobiT®. En toch mislukken projecten. De gevolgen daarvan
bereiken de publiciteit, zeker als het om veel gemeenschapsgeld
gaat.
1.8 IT management en IT governance
Hoe komt dit? De verklaring ligt onder andere in het verschil
tussen management en governance. Veel pogingen om iets te
bereiken met methoden en technieken hebben te maken met
management van ICT, ongeacht de vraag of de ICT activiteiten
wel echt zinvol zijn. Management van het ICT-aanbod is hierdoor
inderdaad verbeterd. Het is mogelijk met ICT op efficiënte wijze,
slecht lopende en inefficiënte bedrijfsprocessen te automatiseren.
De ICT-vraag binnen organisaties is onderbelicht gebleven. We
hebben het dan over de strategische vraag hoe ICT kan bijdragen
aan de organisatiedoelstellingen. Tot nu toe zijn wij onvoldoende in
staat geweest om aan de vraagkant van ICT voldoende besef en
inzicht te creëren dat de juiste vragen en eisen worden gesteld.
Wat wordt er van ICT verwacht, hoe formuleren we dat en hoe
sturen we dat aan? En dat terwijl ICT essentieel is voor het
functioneren van organisaties.
BESTURING VAN DE IT
FUNCTIE
VEEL METHODEN EN
TECHNIEKEN: TOCH
MISLUKKEN PROJECTEN
GOVERNANCE IS GEEN
MANAGEMENT
IT GOVERNANCE:
STRATEGISCHE VRAAG
EN AANBOD
Whitepaper
7
IT Governance geeft strategie aan en doelen die IT Management
moet bereiken. IT Governance controleert of IT management zich
hier aan houdt en stuurt zo nodig bij. Als er sprake is van balans
tussen „efficiënt aanbod van IT‟ en „voldoende aandacht voor de
vraag naar IT‟, dan is IT Governance effectief en zullen projecten
succesvol afgerond kunnen worden.
De Algemene Rekenkamer zegt in zijn rapport uit 2008 „Lessen uit
ICT-projecten bij de overheid‟ (waarover hierna meer) Het
volgende:“Anders dan bij zaken als financiën en human resources,
is ICT een bedrijfsmiddel waarvan nog niet zo goed begrepen
wordt hoe deze bijdraagt aan de business‟‟.
1.9 Positionering van IT-Governance
Een belangrijk begrip bij IT-Governance is „portfolio‟. In het
raamwerk 3 van schema 2 worden drie verschijningsvormen van
„portfolio‟ genoemd. De term portfolio is ontleend uit de
effectenhandel waar beslissingen genomen worden op basis van
kosten, baten, verwachtingen en risico‟s.
Het totaal van de gedocumenteerde producten- en diensten die een
overheidsinstelling levert, wordt de businessportfolio genoemd.
Voor een gemeente zijn dat er bijvoorbeeld in totaal meer dan 500,
variërend van uitgifte van paspoorten, vergunningen, subsidies,
beheer van straten en plantsoenen, stadsontwikkeling,
leerlingenvervoer enzovoort. Ook hierover worden beslissingen
genomen op basis van kosten, baten, verwachtingen en risico‟s,
maar (vooral) ook op basis van verplichtingen in verband met
collegeprogramma‟s en wet- en regelgeving.
De IT-portfolio is het totaal van gedocumenteerde diensten en
producten die de ICT levert. Dit is het niveau waar IT Governance
op stuurt. In dit IT-portfolio wordt onderscheid gemaakt tussen:
- de projectportfolio voor alle veranderingen en nieuwe
ontwikkelingen. Deze zijn, zoals blijkt uit het schema,
ingegeven door de kansen en bedreigingen voor de
businessportfolio;
- de applicatieportfolio voor alle applicaties (functies) en
infrastructuur die de ICT levert. Deze zijn gericht op de status-
quo en ondersteunen de bestaande producten en diensten van
de businessportfolio.
ICT IS EEN
BEDRIJFSMIDDEL DAT
NOG NIET BEGREPEN
WORDT
PORTFOLIO
PORTFOLIO VAN MEER
DAN 500 PRODUCTEN EN
DIENSTEN
IT GOVERNANCE STUURT
OP HET NIVEAU VAN DE IT
PORTFOLIO
Whitepaper
8
Schema 2. IT Governance raamwerk 3
1.10 Interesse bij bestuurders en directies
Tot op heden zien wij onvoldoende animo bij bestuurders en
directies om zich met ICT bezig te houden. Er wordt dus niet
gestuurd van bovenaf. De lagen onder de top (van
overheidsinstanties) zijn daardoor onvoldoende in staat
samenhang te bereiken, aan te sluiten bij strategische doelen,
politieke ambities (ten koste van het haalbare) te weerstaan en
vele andere zaken die in de volgende hoofdstukken aan de orde
komen. En dat terwijl in de moderne informatiemaatschappij ICT
op even strategische wijze aangestuurd moet worden als personeel
en financiën.
ICT wordt gemanaged op tactisch niveau, maar niet bestuurd op
strategisch niveau. Er wordt dus te weinig aan IT Governance
gedaan. Daardoor gaapt er een gat tussen resultaten en
verwachtingen. Geen wonder dat zoveel projecten mislukken.
Bestuurders en directieleden hebben daarnaast het idee dat ze er
te weinig verstand van hebben. Zij redeneren: laat de ICT manager
als specialist het maar oplossen. Er moet anders te veel tijd en
energie aan besteed worden terwijl ze (ook) met andere
belangrijke zaken te maken hebben. En daarom gaat het dikwijls
fout.
Dit is de uitdaging waar deze whitepaper verder op in gaat. De
volgende hoofdstukken gaan over de wijze waarin de
Rijksoverheid, de gemeenten Rotterdam en Amsterdam, de
Australische, de Amerikaanse en de Britse overheden met deze
problematiek om gaan. Ook nemen we een kijkje buiten de
overheid. Maar eerst: Zijn ICT projecten dan zo moeilijk?
GEEN STURING VAN
BOVENAF
GAT TUSSEN RESULTATEN
EN VERWACHTINGEN
LAAT DE ICT MANAGER
HET MAAR OPLOSSEN?
Whitepaper
9
2. Zijn ICT projecten dan zo moeilijk?
In 2005 brachten Heemstra, Kusters en Snel het
onderzoeksrapport „Eenzijdige risico-inventarisaties bedreigen ICT-
projecten‟ uit 4. Zij presenteren de volgende tabel 5 waarin wordt
aangegeven dat in 2004 slechts ca. 30% van de ICT projecten een
succes genoemd mag worden. Deze projecten voldoen aan
afspraken over tijd, geld en kwaliteit. De overige 70% ICT
projecten stopt voortijdig of voldoet niet aan de genoemde
afspraken.
Tabel 1: Kans op slagen van ICT projecten
1994 1996 1998 2000 2002 2004
Succes 16% 27% 26% 28% 34% 29%
Mislukking 31% 40% 28% 24% 15% 18%
Matig succes 53% 33% 46% 48% 51% 53%
Succes: Voldoet aan afspraken over tijdsduur, budget en kwaliteit Mislukking: Het ICT project stopt voortijdig Matig succes: Voldoet niet aan afspraken over tijdsduur, budget of kwaliteit
Heemstra, Kusters en Snel geven inzicht in de oorzaken van deze
mislukkingen door een 50-tal risico‟s te benoemen. Interessant
daarbij is echter de wijze waarop de verschillende
belanghebbenden (opdrachtgever, projectleider, adviseur,
materiedeskundige, gebruiker, projectmedewerker) die risico‟s
zien. Het blijkt dat de betrokkenen totaal verschillende risico‟s zien,
elk vanuit hun eigen invalshoek. Ook blijkt dat niemand zichzelf als
risicofactor ziet. Er is per definitie gebrek aan kritische zelfreflectie.
De consequenties hiervan zijn verstrekkend. Als de risico‟s door
slechts één betrokkene in kaart worden gebracht, dan geeft dit een
eenzijdig beeld. Elke betrokkene ziet vooral risico‟s op de gebieden
waar hij het meest verstand van heeft én waar hij niet direct voor
verantwoordelijk is.
Zie hiervoor tabel 2: Afwijkende risico-uitspraken. Voor het
onderzoek zijn alle risico‟s, genoemd door alle betrokkenen,
geïnventariseerd. Neem nu de opdrachtgever als voorbeeld van
een betrokkene. Het blijkt dat de 18% van de risico‟s alleen door
de opdrachtgever genoemd worden en door niemand anders.
Daarnaast wordt 24% van de risico‟s door de opdrachtgever niet
genoemd terwijl die wel door tenminste één van de andere
betrokkenen genoemd worden. In totaal wijkt de opdrachtgever
dus voor 42% af als het gaat om zijn inschatting van de risico‟s.
70% VAN DE PROJECTEN
VOLDOET NIET
NIEMAND ZIET ZICHZELF
ALS RISICOFACTOR
Whitepaper
10
Tabel 2: Afwijkende risico-uitspraken (als percentage van het totaal aantal uitspraken)
Betrokkene Wordt alleen door de betrokkene als risico genoemd (en niet door de anderen)
Wordt alleen door de betrokkene NIET als risico genoemd (en wel door de
anderen)
Totaal
Projectleider 13% 18% 31%
Opdrachtgever 18% 24% 42%
Gebruiker 22% 12% 34%
Materiedeskundige 26% 7% 33%
Projectmedewerker 16% 18% 34%
Adviseur 18% 19% 37%
De belangrijkste drie (van de ruim vijftig) risico‟s die door de
onderzoekers worden gesignaleerd en waarover door betrokkenen
totaal verschillend wordt gedacht zijn:
- testen en migreren (te weinig aandacht, ondeugdelijke
testplan/migratieplan);
- projectkenmerken (te omvangrijk, te complex, te innovatief);
- afhankelijkheden (andere projecten, leveranciers).
Politieke bestuurders met hun mandaat van meestal vier jaren,
komen niet voor in Heemstra‟s lijstje van betrokkenen. Echter bij
grote overheidsprojecten zijn altijd (politieke) bestuurders
betrokken met een eigen unieke wijze van denken en handelen.
Juist door inbreng van bestuurders wordt de complexiteit nog
groter dan voorgesteld in dit onderzoek. Het zou heel goed kunnen
zijn dat als bestuurders in dit onderzoek van afwijkende risico-
uitspraken betrokken zouden zijn, de afwijking boven de 50% uit
komt, zeker als de opdrachtgever (op ambtelijk niveau) al op 42%
uit komt. De conclusie is dat betrokkenen in verschillende werelden
leven en daardoor risico‟s totaal verschillend inschatten.
Uitdaging bij ICT projecten is dus risico‟s vermijden en
neutraliseren, door rekening te houden met de perceptie van alle
betrokkenen en daarop te sturen. Zeker in (en vóór) het begin van
ICT projecten moeten consequenties van politieke ambities
duidelijk en openbaar gemaakt worden. Het zijn directies, CIO‟s en
vooral de bestuurders die dit moeten eisen. Haalbaarheid en
stuurbaarheid van ICT komt daarmee in een ander licht te staan.
Een uitdaging voor IT Governance bij de overheid.
HAALBAARHEID EN
STUURBAARHEID KOMEN
IN EEN ANDER LICHT TE
STAAN
Whitepaper
11
3. Rijksoverheid
3.1 Grip op informatievoorziening
IT Governance wordt bij de Nederlandse rijksoverheid al jaren
besproken. In maart 2006 werd het rapport „Grip op
informatievoorziening IT Governance bij ministeries‟ 6 door de
Algemene Rekenkamer aangeboden aan de Tweede Kamer. Met dit
rapport wilde men ICT blijvend hoog op de agenda zetten bij
politiek en leiding van ministeries. De rekenkamer concludeerde
dat ministeries anno 2006 al volop bezig zijn met IT Governance.
Het rapport gaf de volgende kijk op het recente verleden:
“ Kabinet en Tweede Kamer zijn zich ook bewust van het belang
van ICT en informatievoorziening. Dit komt duidelijk tot uiting in
het beleid dat verwoord is in het programma Andere Overheid
(Ministerie van BZK, 2003), in de twee nota‟s Beter presteren met
ICT (Ministerie van EZ e.a., 2004a, 2004b, 2004c) en in het
programma ICT en administratieve lastenverlichting (ICTAL)
(Ministerie van EZ, 2003). Het rijksbrede karakter van het beleid
brengt met zich mee dat ministeries bij het inrichten van hun IT
Governance over de eigen muren heen moeten kijken‟‟.
Het rapport uit 2006, aangeboden aan de Tweede Kamer, benoemt
de volgende aandachtspunten. Deze aandachtpunten zijn hier
aangevuld met commentaar van de auteur van deze whitepaper.
– Vermijd ‘blinde vlekken’ bij de inrichting van IT
Governance. In 2006 waarschuwt de rekenkamer al voor
een eenzijdig beeld als het gaat om IT Governance. Denk
aan de opmerkingen hiervoor over IT management en IT
Governance.
– Werk vanuit omgevingsbewustzijn. IT Governance kan
voor een ministerie (of gemeente) niet geïsoleerd bestaan.
Anno 2010 is dit nog veel duidelijker geworden,
bijvoorbeeld door allerlei wetgeving die overheidsinstanties
dwingt om informatie te delen en te combineren.
Ketenregie is dus noodzakelijk geworden. Bijvoorbeeld de
Wet algemene bepalingen omgevingsrecht (Wabo).
– Zorg voor een goede aansluiting tussen beleid,
organisatiestrategie en informatiestrategie.
Informatiebeleid moet bewust aansluiten op de strategie
van de organisatie én aansluiten op ander beleid,
bijvoorbeeld op het gebied van personeel en financiën.
OVERHEID AL JAREN
BEZIG MET IT
GOVERNANCE
EENZIJDIG BEELD
Whitepaper
12
– Beschouw het ministerie als één concern. Echter, ook
binnen ministeries zal samenhang gebracht moeten worden
op het gebied van informatiebeleid. Geen ad-hoc
beslissingen op afdelingsniveau meer maar portfoliobeleid:
het centraal vaststellen en beheren van uitgangspunten op
het gebied van te reserveren middelen,
investeringsdrempels, stellen van prioriteiten voor
investeringen en management van de portfolio. Zie ook
paragraaf 1.9 in de inleiding over de IT portfolio.
– Ontwikkel een gestandaardiseerde concern-
informatiearchitectuur. Architectuur wordt wel de gezien
als de basis waarop effectief IT Governance gestoeld is. Als
men geen principes af spreekt waarop keuze, ontwerp en
realisatie van alle ICT voorzieningen zijn gebaseerd, dan
kan men ook niet sturen.
– Organiseer vraag en aanbod van de ICT-
dienstverlening. Het organiseren van de vraag naar ICT
blijkt tot op de dag van vandaag een lastig punt te zijn,
zoals ook blijkt uit de volgende paragraven. Men moet wel
weten wat wel en niet gevraagd kán worden, wat reëel is.
– Beschouw IT Governance als een groeitraject naar
een permanent proces. Neem de tijd om effectief IT
Governance te organiseren. Creëren van bewustzijn, ook
bij bestuurders en directies heeft tijd nodig. De vraag is of
dit in het rapport uit 2006 ook zo geformuleerd zou zijn als
de discussies over miljarden verspillende ICT projecten in
volle hevigheid losgebarsten waren. Zie volgende
paragraaf.
– Zorg voor leiderschap en centrale regie. Het rapport
pleit hier voor het aanstellen van een CIO per ministerie.
Dit is in 2009 inderdaad gerealiseerd.
3.2 Een spiraal van toenemende complexiteit
In 2007 kwamen een aantal financiële debacles op ICT gebied aan
het licht. Er werd gesproken over 5 miljard Euro verspilling door
mislukte ICT-projecten. Voorbeelden waren P-direct, het
salarissysteem van de ministeries, C2000, het
communicatiesysteem van politie en hulpdiensten en de problemen
bij de belastingdienst.
In november van dat jaar kwam de Algemene Rekenkamer met
Deel A van het rapport „Lessen uit ICT-projecten bij de overheid‟ 7.
GEEN AD-HOC
BESLISSINGEN MAAR
PORTFOLIOBELEID
ARCHITECTUUR IS DE
BASIS
LEIDERSCHAP
FINANCIËLE DEBACLES
Whitepaper
13
Dit rapport in twee delen werd in opdracht van de Minister van
Binnenlandse Zaken opgesteld naar aanleiding van de problemen
met grote ICT-projecten bij de rijksoverheid.
Dit eerste deel concludeert dat de overheid het zich vaak te
moeilijk maakt met te complexe projecten. Naast successen zijn er
daardoor vaak mislukkingen. Dit is een hardnekkig probleem. Ook
zegt het rapport dat de constatering dat overheidsprojecten vaak
niet beheersbaar zijn, niet nieuw is.
De actoren in ICT-projecten houden elkaar gevangen. De Tweede
Kamer wil dat de regering complexe problemen zo snel mogelijk op
lost. Ministers tonen graag daadkracht en nemen daardoor te veel
ICT-hooi op hun vork. Een haalbaarheidsonderzoek vooraf wordt
niet als daadkrachtig signaal beschouwd. ICT leveranciers hebben
grote projecten nodig om hun voortbestaan te garanderen. Door de
belangen van deze actoren ontstaat een spiraal van toenemende
complexiteit en is er geen weg terug. Projecten worden
onbeheersbaar.
De Algemene Rekenkamer zegt in „Lessen uit ICT-projecten bij de
overheid, Deel A‟, ervan overtuigd te zijn dat ministers en hun
ambtenaren de sleutel voor de oplossing in handen hebben. Een
minister wordt in dit geval gezien als bestuurder die er op moet
toezien dat de genoemde spiraal van toenemende complexiteit niet
plaats vindt. Volgens de rekenkamer dient de minister zich het
volgende te bedenken:
- ICT is geen „quick fix‟ voor een probleem;
- Politieke deadlines kunnen fataal zijn voor een project;
- Er is (ook) bij ICT-ambities een kloof is tussen beleid en
uitvoering;
- Heroverwegingen onderweg zijn vaak onvermijdelijk;
- Een exitstrategie voorkomt doormodderen.
Verder pleit de rekenkamer voor het onderbouwen van projecten
met business cases en de aanstelling van CIO‟s (Chief Information
Officers) bij ministeries en andere overheidsinstellingen. Ook wordt
de Minister van Binnenlandse Zaken geadviseerd in de Verenigde
Staten de ervaringen met wetgeving aldaar op te vragen.
TE COMPLEXE PROJECTEN
ACTOREN HOUDEN ELKAAR
GEVANGEN
BESTUURDERS EN
AMBTENAREN HEBBEN DE
SLEUTEL
Whitepaper
14
3.3 Meldpunt ICT-verspilling
De discussie in 2007 over de verspilde miljarden was voor de
Socialistische Partij in januari 2008 aanleiding met een Meldpunt
ICT-verspilling te beginnen. In mei 2009 werd gemeld dat er al 300
reacties binnen waren. Vaak ging het om bekende problemen,
maar er werden ook nieuwe zaken gemeld. Druk van de politiek, te
weinig kennis en te weinig nadenken over de meerwaarde van ICT-
oplossingen werden als belangrijke oorzaken van problemen
genoemd. Niet iedereen was te spreken over het meldpunt.
Sommigen zien dit als gemakkelijk scoren van de SP. Anderen zien
in dit meldpunt echter een mogelijkheid om de conclusies van de
Algemene Rekenkamer en andere officiële onderzoekers te toetsen
aan de basis. Ten aanzien van dit laatste heeft het meldpunt zeker
een functie, mits zaken goed onderzocht en onderbouwd worden
en meldingen niet misbruikt worden voor beslissingen en acties op
basis van gelegenheidspolitiek.
3.4 Onvolwassen ICT bij de overheid
Deel B van „Lessen uit ICT-projecten bij de overheid‟ kwam in juni
2008 uit en moest de conclusies van deel A uitwerken tot concrete
maatregelen.
Eén aspect waar deel B op wijst, is het gebrek aan informatie over
ICT projecten bij de rijksoverheid, op basis waarvan beoordeling
kan plaatsvinden. Bovendien is het financieel beheer van projecten
niet ordelijk en controleerbaar. Het is dus eenvoudig gezegd een
rommeltje. Ook legt het rapport de vinger op een zere plek van de
ICT, namelijk de onvolwassenheid van het vakgebied. Dit blijkt uit
de volgende passage:
“De „business‟ 8 en ICT zijn als het ware twee gescheiden werelden.
De business denkt bijvoorbeeld te snel in ICT-oplossingen. Ook
wordt er te weinig rekening gehouden met de impact van een
organisatieverandering op ICT. Anders dan bij zaken als financiën
en human resources is ICT een bedrijfsmiddel waarvan nog niet zo
goed begrepen wordt hoe deze bijdraagt aan de business”‟.
De rekenkamer constateert dat informatievoorziening met behulp
van ICT, beter moet worden aangestuurd vanuit de top. De
uitvoeringsinstanties die het beleid van de minister uitvoeren,
moeten meer inzicht hebben in de mogelijkheden en
onmogelijkheden van ICT. Hierbij speelt de CIO (Chief Information
Officers) een belangrijke rol, die op elk ministerie benoemd moet
DE VERSPILDE MILJARDEN
TOETSEN AAN DE BASIS
FINANCIEEL BEHEER: EEN
ROMMELTJE
TE WEINIG REKENING
HOUDEN MET IMPACT OP
DE ORGANISATIE
CHIEF INFORMATION
OFFICER (CIO)
Whitepaper
15
worden en op het hoogste niveau met de leiding aan tafel zit. Ook
wordt onafhankelijke collegiale toetsing genoemd, te houden aan
het begin en op cruciale momenten van een project. Dit is een
verschijnsel waar men in het Verenigd Koninkrijk enkele jaren
ervaring heeft in de vorm van de zogenaamde GatewayTM Reviews
(waarover later meer in deze whitepaper). Ten aanzien van het
financieel beheer bepleit de rekenkamer het definiëren en
vaststellen van uniforme kostensoorten zodat vergelijken mogelijk
wordt.
De algemene rekenkamer concludeert dus dat de ICT nog niet
goed begrepen wordt. Dat blijkt ook uit de focus op aanschafkosten
terwijl de exploitatiekosten vaak over het hoofd gezien worden.
Bestuurders zijn niet gewend te denken in termen van de
levenscyclus van een ICT-systeem, temeer omdat de exploitatie
meestal reikt tot ver na de termijn van hun mandaat. Kengetallen
die iedere bestuurder en directielid in zijn oren zou moeten
knopen, is dat als hij een ICT-systeem aanschaft van 10 miljoen
Euro, hij zijn opvolgers opzadelt met exploitatiekosten van 30 tot
40 miljoen euro. De verhouding 1 op 3 à 4 is een gemiddelde en
kan per ICT project afwijken.
DRIEKWART VAN DE
KOSTEN IN EXPLOITATIE
Whitepaper
16
4. Gemeenten
4.1 Algemeen
De Commissie Jorritsma 9 onder voorzitterschap van de
burgemeester van Almere, gaf in juni 2005 aan dat de gemeente
„dé poort tot publieke dienstverlening‟ zou worden van de hele
overheid. De burger zou niet meer van het kastje naar de muur
gestuurd worden en bij de gemeente altijd aan het juiste loket zijn.
Het rapport „Publieke dienstverlening, professionele gemeenten.
Visie 2015‟ presenteerde een tijdpad van 10 jaren waarin dit
gerealiseerd moest worden.
Sindsdien is er veel beweging in de informatievoorziening van
gemeenten. Er zijn inmiddels een achttal wettelijke
basisregistraties gedefinieerd en door nationale wetgeving wordt
dat éne loket steeds meer afgedwongen. Voorbeelden daarvan zijn
de Wet maatschappelijke ondersteuning (Wmo), de Wet algemene
bepalingen omgevingsrecht (Wabo) en de Wet kenbaarheid
publiekrechtelijke beperkingen (Wkpb). Uitgangspunt in de
dienstverlening is dat de overheid de logica van de burger moet
volgen en niet die van zijn eigen structuur, organisatie of
processen. Dit heeft grote consequenties voor de
informatiehuishouding van overheidsinstanties en vooral van
gemeenten.
We zien de trend dat de Rijksoverheid verschillende aspecten van
het functioneren van gemeenten verplaatst van „business
governance‟ naar „corporate governance‟ (zie paragraaf 1.6).
Zelfgekozen doelstellingen, bijvoorbeeld op het gebied van
kwaliteit van dienstverlening, worden na verloop van tijd verplicht
vastgelegd in wetgeving: performance wordt conformance.
Veel gemeenten vertalen bovenstaande ontwikkelingen in
innovatief klinkende actieprogramma‟s. Bijvoorbeeld: „Apeldoorn
verandert‟, „Innovatie actieprogramma Groningen‟, „programma
Brainport in Eindhoven‟, „IZI does it!‟ in Amsterdam, „Regie op
Maat‟ in Leiden. „ICT in de stadsprogramma‟ (al vanaf 2001) in Den
Haag en „Van Groei naar Bloei‟ in Purmerend. De vraag is of al deze
programma‟s wel brengen wat er van verwacht wordt en hoe de
sturing vanuit bestuurders en directies, de IT Governance, is.
POORT TOT PUBLIEKE
DIENSTVERLENING
LOGICA VAN DE BURGER
VAN BUSINESS
GOVERNANCE NAAR
CORPORATE GOVERNANCE
Whitepaper
17
4.2 Gemeente Rotterdam
De gemeenteraad van Rotterdam heeft in juli 2008 de stedelijke
rekenkamer gevraagd een onderzoek te doen naar de ICT
projecten van de gemeente. De gemeenterekening 2007 gaf
aanleiding hiervoor. Dit leidde in maart 2009 tot het voorstel van
de Rekenkamer voor een onderzoeksopzet waarin de volgende
vragen werden geformuleerd:
- Is de aansturing en beheersing van ICT-projecten adequaat
opgezet?
- Is de verantwoording over ICT-projecten adequaat vorm
gegeven?
- Is het toezicht op ICT-projecten adequaat vormgegeven?
- Is de kwaliteit van de informatievoorziening over ICT-
projecten aan de raad adequaat voor wat betreft de
voortgang en de beoogde en gerealiseerde baten en lasten
(waaronder inverdieneffecten)?
In oktober 2009 verscheen het rapport van de rekenkamer, met
als titel „Foutmelding in beeld‟ 10. Het persbericht van de
rekenkamer zelf geeft de volgende conclusie:
“ICT is meer dan techniek alleen. Het grijpt vaak diep in in de
dagelijkse werkprocessen. Bovendien vormt ICT in toenemende
mate het primaire proces zelf in plaats van dat het dit ondersteunt.
College en ambtelijke top van de gemeente Rotterdam erkennen
dit onvoldoende. In de afgelopen jaren stonden zij aan de zijlijn
van de ICT-ontwikkelingen. Het college heeft geen grip op de
samenhang tussen ICT-projecten en de realisatie ervan binnen
budget en planning”.
De Rotterdamse rekenkamer oordeelde dat onafhankelijk toezicht
ontbreekt en de betrouwbaarheid van informatie over ICT-
projecten niet wordt getoetst. Business cases bij het opstarten van
projecten zijn er niet of onvoldoende. Overschrijdingen van
planningen en kosten én tegenvallende kwaliteit zijn de gevolgen.
De gemeente Rotterdam heeft in augustus 2009 een CIO
aangesteld, maar de rekenkamer stelde dat er meer nodig was om
de sturing te verbeteren. Er waren quick-win acties gestart die
volgens de rekenkamer niet tot structurele verbetering van de
sturing leidden. Hierbij werd gedoeld op borging van informatie uit
de projecten op basis waarvan gestuurd kon worden. Er werd
gewezen naar het college van B&W en de ambtelijke top. Zij
namen volgens de rekenkamer onvoldoende verantwoordelijkheid
COLLEGE EN AMBTELIJKE
TOP ERKENNEN
ONVOLDOENDE BELANG
ICT
Whitepaper
18
voor ICT en daarmee voor de informatievoorziening van
„informatiefabriek Rotterdam‟, onder andere door de CIO te weinig
mandaat te geven. De CIO van Rotterdam werd namelijk onder de
Directie Middelen en Control geplaatst. Deze conclusie werd niet
herkend door het college en topambtenaren. Zij vonden dat de
genomen maatregelen toereikend waren.
In het blad Computable van 21 oktober 2009 11 werd hier in een
interview met de CIO van Rotterdam verder op ingegaan. Op de
vraag of de positionering van de CIO niet te ver af staat van de
politiek om ICT structureel op de bestuurlijke agenda te krijgen,
antwoordde de CIO als volgt:
“,Het college heeft bewust gekozen om de CIO onder te brengen
bij deze dienst, omdat er dan een veel snellere start kan worden
gemaakt met het ICT-verbetertraject. De inrichting van een aparte
CIO-afdeling zou meer tijd hebben gekost. Bij Directie Middelen en
Control bestond al de rol van informatiemanager, alleen vulden de
directeur en de adjunct-directeur deze rol in naast hun andere
taken. Bovendien, niemand bij de gemeente heeft er belang bij om
de rol van CIO af te zwakken. Iedereen beseft de noodzaak van
een strakkere aansturing van ICT. Er is niets voor niets een
verbetertraject gestart. Het behoort ook tot mijn taak om aan de
bel te trekken mocht ICT weer in de verdrukking komen‟‟.
Gezien de andere in deze whitepaper genoemde onderzoeken is er
ook in Rotterdam weinig nieuws onder de zon. Echter, zijn de
genomen maatregelen echt voldoende? Zal blijken dat de CIO
serieus genomen wordt? De tijd zal het leren, maar het verdient
aanbeveling dat college en topambtenaren van Rotterdam te rade
gaan bij andere overheidsinstanties. Wat heeft daar gewerkt en
wat niet?
4.3 Gemeente Amsterdam: Complexe organisatie
Door de bestuursstructuur van de stad, opdeling in stadsdelen 12,
diensten en bedrijven, is er een zodanige versnippering van ICT
beleid en uitvoering ontstaan dat het College van B&W in 2004
concludeerde dat het te ver doorgeschoten was. Aanleiding hiervan
was een manifest opgesteld door een aantal directies. Dit leidde tot
de vorming van een Shared Service Center voor de ICT, het latere
Servicehuis ICT. Naast het beheer van het gemeenschappelijk
interlokaal communicatienetwerk (E-Net) voor de stad, werden er
voor een achttal zogenaamde startgroepdiensten een aantal
specifiek benoemde ICT functies centraal belegd. Brede acceptatie
ROTTERDAMSE CIO
AANGESTELD
CIO TE WEINIG MANDAAT?
TE RADE GAAN BIJ
ANDERE
OVERHEIDSINSTELLINGEN
AMSTERDAM:
DOORGESCHOTEN
VERSNIPPERING
Whitepaper
19
van dit Servicehuis ICT binnen de organisatie werd echter niet
bereikt en men worstelde met de kwaliteit van dienstverlening. De
veertien stadsdelen van Amsterdam namen nauwelijks of geen
diensten af van het servicehuis ICT, behalve het interlokaal
netwerk E-Net.
In 2008 werd McKinsey gevraagd om de ICT-functie van de stad
door te lichten 13. Er werd een aantal risico‟s voor de stad
blootgelegd vanwege gebrekkige vertaling van bestuurlijke en
bedrijfsvoeringambities naar samenhangende ICT-programma‟s.
Amsterdam liep grote risico‟s als het ging om veiligheid en
beschikbaarheid van informatie. Met de toenemende digitalisering
van documentenstromen én de communicatie met burgers en
bedrijven werd dit risico snel groter. Ook had McKinsey het over
gebrek aan standaardisatie en coördinatie van de ICT
infrastructuur.
De onderzoekers constateerden dat informatievoorziening en ICT
werd gezien als ondergeschikt aan de bedrijfsprocessen en dat
daarom aan elke gril voldaan werd op een eigen specifieke manier.
Van coördinatie was nauwelijks sprake.
Dit maakte het nodig, volgens de onderzoekers, dat ICT een eigen
zelfstandige status moest krijgen met een eigen directeur. De
aanbevelingen van McKinsey waren gericht op meer samenhang en
minder versnippering van de ICT, standaardisatie voor alle
onderdelen van de stad, dus ook voor de stadsdelen, het aanwijzen
van generieke applicaties én betere sturing door het aanwijzen van
een CIO voor de stad die rapporteert aan de hoogste ambtenaar
(gemeentesecretaris), en een Raad van Toezicht bestaande uit
directeuren van diensten en secretarissen (directeuren) van
stadsdelen.
De aanbevelingen werden vervolgens uitgewerkt door een
werkgroep Doorlichting IT, die met concrete adviezen en
voorstellen aan het College van B&W kwam. De door McKinsey
voorgestelde Raad van Toezicht werd niet nodig geacht maar de
andere aanbevelingen werden door de werkgroep overgenomen en
uitgewerkt. Onder leiding van de nieuwe CIO als directeur ICT,
benoemd per 1 juni 2009, werd er per 1 januari 2010 in
Amsterdam een nieuwe Dienst ICT opgericht waarvan in oktober
2009 de contouren bekend werden gemaakt in het plan „ICT op
NAP‟ 14.
ICT ONDERGESCHIKT AAN
BEDRIJFSPROCESSEN
AMSTERDAMSE CIO
Whitepaper
20
Gemeente Amsterdam is bij uitstek een voorbeeld van IT
Governance problematiek in een zeer complexe
overheidsorganisatie. De stadsdelen hechten aan hun
zelfstandigheid en menen daar goede redenen voor te hebben. Men
ziet in dat samenhang op ICT gebied noodzakelijk is om de
ambities waar te maken op het gebied van dienstverlening (aan
burgers en bedrijven), handhaving, beheer, regelgeving en
efficiency. Het Amsterdamse model blijft echter gestoeld op
samenwerking en draagvlak en minder op sturing van bovenaf. Het
motto van de nieuwe organisatie is „gemeenschappelijk waar
mogelijk, verbijzondering waar noodzakelijk‟. Al deze zaken leiden
tot zeer complexe ICT.
Oorzaken en gevolgen van complexiteit van ICT, waar Amsterdam
dus nadrukkelijk mee te maken heeft, worden beschreven (voor
ICT Managers) in het artikel 15 „Veroorzakers van complexiteit in
ICT-infrastructuur‟. Gevolgen zijn verhoging van kosten en
verlaging van de kwaliteit (van dienstverlening). Als oorzaken
worden genoemd:
- Wijzigingen in de organisatie. Er ontstaan nieuwe
koppelingen en combinaties die aanvankelijk niet voorzien
waren.
- Legacy-systemen. Met kunst en vliegwerk moeten oude
systemen draaiend gehouden worden terwijl ze niet
voldoen aan de (kwaliteits)eisen van deze tijd.
- Meer applicaties. Er is altijd een direct verband tussen
het aantal verschillende applicaties (soms voor de zelfde of
gelijksoortige functies) en complexiteit van de ICT.
- Toenemende mobiliteit van medewerkers. Als iedereen
op dezelfde plek blijft zitten is beheer en beveiliging
redelijk simpel. Bij mobiliteit wordt complexiteit
toegevoegd.
- Meer regelgeving en andere voorschriften. Als een
organisatie zijn eigen plan kan trekken, kan het een ICT
infrastructuur op maat kiezen. In de praktijk is door wet-
en regelgeving die vrijheid beperkt, zeker voor
overheidsinstanties.
- Meer spullen in het datacenter. Meer, groter en
complexer.
- (On)volwassenheid van de ICT-beheerorganisatie.
Professionaliteit gaat uit van de kracht van de eenvoud.
Onvolwassenheid van het beheer maakt zaken juist
complexer.
COMPLEXITEIT VAN ICT
WETGEVING EN BUDGET
ALS STUURMIDDELEN
Whitepaper
21
Nieuwe wetgeving, die burgers en bedrijven recht geeft op snelle
en correcte antwoorden en op een basiskwaliteit van
dienstverlening, zijn belangrijke stuurmiddelen voor de CIO. Dat
geldt ook voor het „budgetwapen‟ dat stuurt op meer efficiency en
meer samenwerking. Binnen de bestuursstructuur van Amsterdam
is en blijft de regie van ICT - en daarmee IT Governance - een
uitdaging.
4.4 ICT op Normaal Amsterdams Peil (NAP)
Het genoemde reorganisatieplan „ICT op NAP‟ presenteerde een
driedeling van (1) stadsdelen en centrale diensten, (2)
zogenaamde clusters en (3) de nieuwe dienst ICT.
Schema 3. Amsterdamse structuur van ICT op NAP
De stadsdelen en diensten vormen de delen van Amsterdam waar
de bedrijfsprocessen plaats vinden. Daar wordt de
bevolkingsadministratie bijgehouden, gemeentelijke belastingen
geïnd, rijbewijzen en paspoorten verstrekt, het huisvuil opgehaald,
leerlingenvervoer geregeld, subsidies beoordeeld, de openbare
ruimte gepland en beheerd enzovoort. Kortom, alles waar een
gemeente voor bestaat.
De clusters zorgen voor de afstemming van vraag en aanbod van
ICT, ofwel „business alignment‟. Zij weten wat er binnen stadsdelen
en diensten gebeurt en kunnen daarom met passende ICT
antwoorden komen. Er zijn vier clusters, namelijk (status
november 2009):
– Cluster Ontwikkeling;
– Cluster Sociaal;
PASSENDE ICT
ANTWOORDEN VOOR
AMSTERDAM
Whitepaper
22
– Cluster Besturen & Ondersteunen;
– Cluster Stadsdelen.
De Dienst ICT levert ICT en regisseert het. Dat zijn applicaties of
voorzieningen van technische infrastructuur (bijvoorbeeld het
stedelijk communicatienetwerk). De Dienst ICT werkt uit efficiency
overwegingen zoveel mogelijk met een afgebakend aantal
producten en diensten.
Een uitdaging voor Amsterdam in deze nieuwe structuur is dat er
nog relatief weinig gestandaardiseerd is. Het bereiken van een
optimale situatie is vooral een kwestie van overleg tussen de drie
lagen diensten/stadsdelen, clusters en Dienst ICT. Hierbij geholpen
door wetgeving, Amsterdamse regelgeving en budgettaire dwang
(dit laatste wordt vooral in de stadsdelen ervaren). De optimale
situatie is dat zoveel mogelijk ICT geleverd wordt als standaard
producten en diensten door de Dienst ICT, én dat elke dienst en elk
stadsdeel ervaart dat aan de eigen specifieke eisen en wensen
wordt voldaan. Vanuit IT Governance optiek een interessant model
dat het verdient om op de voet gevolgd te worden. De IT
Governance uitdagingen van Amsterdam op het gebied van
prestaties (performance) zijn dus ingewikkeld. Voor wie moet er
gepresteerd worden? De centrale dienst, het stadsdeel of beide?
Op het gebied van conformance (het zich houden aan de regels),
een ander aspect van IT Governance, is er recente wetgeving zoals
Wmo, Wabo en Wro en zijn er de verplichte basisregistraties.
Interne samenwerking in Amsterdam op dit gebied is nodig. Deze
samenwerking is op een aantal vlakken volop bezig en zal
waarschijnlijk in de toekomst ondermeer onder regie van de
nieuwe clusters voortgezet worden. Een voorbeeld is het
programma IZI (Iedereen Zaakgerichte Informatie) met als doel
om zaakgericht werken binnen de gemeente Amsterdam te
implementeren. Onderdeel van dit programma is het realiseren van
ICT hulpmiddelen voor een documentmanagement-, zaak- en
archiefsysteem. Ook rond de nieuwe Wet algemene bepalingen
omgevingsrecht (Wabo) wordt intensief samengewerkt.
Conformatie aan interne regels van Amsterdam lijkt ingewikkeld.
Welke regels moeten gevolgd worden: die van stadsdelen, centrale
diensten of de gemeentelijke bedrijven? Taken, opdrachten en
belangen van deze organisaties zijn totaal verschillend. ICT-
Architectuur, het stelsel van principes, afspraken en standaarden in
de ICT waar men zich aan houdt, wordt wel de basis van effectieve
IT Governance genoemd. Hierover is men het in binnen- en
OP DIT MOMENT NOG
WEINIG
GESTANDAARDISEERD
VOOR WIE MOET ER
GEPRESTEERD WORDEN?
WETGEVING
INTERNE REGELS VAN
AMSTERDAM
Whitepaper
23
buitenland eens. Gemeente Amsterdam heeft sinds 2007 een eigen
handboek Architectuur. De verdere ontwikkeling van dit handhoek
is echter onduidelijk, terwijl up-to-date architectuur afspraken
noodzaak zijn voor de gemeente. Het schept de kaders om de
gemeentelijke informatievoorziening en ICT stuurbaar te maken.
Na de presentatie van het plan „ICT op NAP‟, dat vooral over de
structuur gaat, kijken we uit naar de inrichting van ICT
Governance. Hoe zorgt Amsterdam ervoor dat ICT optimaal
bijdraagt aan het succes van de stad en hoe wordt dat gemeten?
Er zijn een aantal ontwikkelingen die voorzichtig in de richting van
meer sturing (IT Governance) wijzen, namelijk de inrichting van
een afdeling ICT-Control, plannen voor uitbouwen van de
architectuur en opzetten van het project portfoliomanagement. CIO
van Amsterdam is op dit moment ongetwijfeld één van de meest
uitdagende IT Governance functies in Nederland.
5. Buitenland
5.1 Lessen uit Australië
16 In 2008 stelde de Australische regering Sir Peter Gershon aan,
een Britse expert, als onderzoeker van de overheids ICT op
strategisch niveau. Er was veel fout gegaan. Bekendste (maar lang
niet enige) voorbeeld was het volledig lam leggen van de
Australische douane door een grootschalig ICT project.
Drie weken lang konden er nauwelijks goederen in- en uitgeklaard
worden in de Australische havens. Voordat dit gebeurde, was de
algemene gedachte dat de douane effectieve regie had over zijn
eigen ICT. De processen rond ontwikkeling en beheer van de ICT
waren namelijk goed geregeld, daar was iedereen het over eens.
Sir Peter Gershon ontkende dat niet toen hij zijn rapport
presenteerde in het najaar van 2008 17. Er kwamen echter heel
andere zaken aan het licht die structureel waren voor de ICT
binnen de Australische overheid.
Essentie van de conclusies was dat ICT bij de overheid mislukt als
de verantwoordelijkheid aan de top niet goed geregeld is. Sir Peter
concludeerde dat als de hoogste ambtenaren en ministers hun
verantwoordelijkheid niet nemen, het dan fout gaat. In de praktijk
wordt de verantwoordelijkheid van de ICT te laag belegd, zodat er
twee problemen ontstaan, namelijk het ontbreken van samenhang
tussen de verschillende projecten, en het ontstaan van competitie
ARCHITECTUUR: BASIS VAN
IT GOVERNANCE
CIO VAN AMSTERDAM:
UITDAGENDE FUNCTIE
LAM LEGGEN VAN DE
AUSTRALISCHE DOUANE
VERANTWOORDELIJKHEDEN
AAN DE TOP
Whitepaper
24
wat leidt tot korte termijn successen. Het 'laag hangend fruit'
wordt onder politieke druk belangrijker dan het eindresultaat.
Ook ontdekte Sir Peter –en dat was opvallend– dat bij
aanbestedingen de aandacht veel te weinig uit gaat naar de kosten
van een ICT systeem als het eenmaal operationeel is. De
exploitatiekosten zijn normaal een veelvoud van de aanschaf- en
ontwikkelkosten en daar kan veel op bespaard worden. Hier gaat
veel belastinggeld 'down the drain' volgens Sir Peter Gershon.
Er wordt over veel meer zaken gerapporteerd maar één wil ik hier
nog noemen. Het menselijk gedrag en de cultuur binnen de
overheid. Sir Peter zegt dat dit meer bepalend is voor succes dan
de technologie. Weerstand tegen verandering is een obstakel. Er
bestaat het vastgeroeste idee dat een ICT-systeem de bestaande
processen altijd moet volgen. Vaak is veel voordeel te behalen als
bestaande werkwijzen worden aangepast gebruikmakend van
nieuwe mogelijkheden van ICT. Hierdoor kan een
overheidsinstantie zijn taak veel beter en efficiënter uitvoeren.
5.2 Lessen uit de VS: Clinger Cohen en
SOx
In de VS is het (mis)lukken van ICT bij de overheid al 10 jaar
langer een actuele kwestie. Op 8 augustus 1996 is de zogenaamde
„Information Technology Management Reform Act (ITMRA)‟, in de
volksmond de Clinger Cohen wet van kracht geworden. Aanleiding
was het mislukken van vele miljoenen dollars verslindende ICT
projecten. Men ontdekte dat de projecten vaak gericht waren op
het introduceren van nieuwe technologie en niet op het realiseren
van oplossingen voor de bedrijfsvoering. De ICT ondersteunde ook
vaak bedrijfsprocessen die slecht functioneerden, waardoor het
verbeteren van die processen alleen maar moeilijker werd. Ook
werden er gevallen van fraude gerapporteerd die mogelijk gemaakt
waren door slechte ICT oplossingen.
De Clinger Cohen wet geldt voor elke aanbesteding, acquisitie of
ontwikkelproject voor de Amerikaanse overheid. Het schrijft voor
dat een CIO de verantwoordelijkheid neemt voor het project en dat
vastgelegd is waarom het project nodig is en welke baten er voor
welke bedrijfsprocessen te verwachten zijn. De wet bepaalt dat
bedrijfsprocessen eerst geanalyseerd moeten zijn, dat aangetoond
is dat uitbesteding geen optie is, dat het Return on Investment
(ROI) is vastgesteld en dat best practices worden gebruikt.
EXPLOITATIEKOSTEN VAN
ICT
MENSELIJK GEDRAG EN
CULTUUR BINNEN DE
OVERHEID
ONDERSTEUNEN VAN
BEDRIJFSPROCESSEN DIE
SLECHT FUNCTIONEREN
Wettelijke
verantwoordelijkheid van
de CIO
Whitepaper
25
Daarnaast zijn er nog veel andere zaken vastgelegd in de wet. De
CIO zorgt ervoor dat de wet uitgevoerd wordt.
Na meer dan een decade van deze wet zijn er in de VS duidelijke
verbeteringen te zien. Jaarlijks wordt dit geëvalueerd door de
Information Technology Association of America (ITAA). ICT bij de
overheid is beter afgestemd op de bedrijfsvoering, de projecten
worden beter gemanaged en er zijn minder
kostenoverschrijdingen.
Meer bekend en van recentere datum is de Sarbanes Oxley (SOx)
wet uit 2002 ofwel de „Company Accounting Reform and Investor
Protection Act‟. Aanleiding was het ten onder gaan van diverse
bedrijven waaronder Enron en WorldCom door niet integer
handelen van bestuurders en verziekte managementculturen.
Sarbanes Oxley stelt regels op het gebied van financiële
vastlegging en rapportage, gedrag van bestuurders en directies en
maakt de bestuurders persoonlijk aansprakelijk. De wet heeft
aanzienlijke gevolgen voor de ICT op het gebied van
informatiebeveiliging, betrouwbaarheid en integriteit van gegevens
en informatievoorziening ten behoeve van controle en rapportage.
We zien dat de Amerikaanse aanpak gericht is op het stellen van
regels in de vorm van wetgeving. Dit heeft zijn voordelen omdat
iedereen weet waar hij zich aan te houden heeft. Echter, het risico
is groot dat men zich na verloop van tijd aan de letter van de wet
houdt en minder aan de geest. Men loopt de kans dat een
dergelijke wet verwordt tot bureaucratie en niet tot een effectieve
maatregel om IT Governance af te dwingen. Dit risico is zeker in de
ICT groot omdat het vakgebied en de markt zo snel verandert.
5.3 Het Verenigd Koninkrijk: GatewayTM reviews
Ook aan de andere kant van de Noordzee heeft men te maken met
moeizame projecten bij de overheid. De problemen en uitdagingen
zijn dezelfde als hiervoor geschetst. Daarom is men daar enkele
jaren geleden begonnen met de zogenaamde Gateway Reviews, de
collegiale toetsing van onafhankelijke deskundigen. De Britse
overheid past deze reviews toe op allerlei grootschalige projecten,
niet alleen op het gebied van ICT. Doel is de leiding van een
project of een programma een spiegel voor te houden en daarmee
de kwaliteit te verhogen en de kans op succes te vergroten.
In Nederland ondersteunt men de Gateway Reviews sinds 2007
onder leiding van Het Expertise Centrum (HEC), opgericht in 1988
SARBANES OXLEY
LETTER EN GEEST VAN DE
WET
Whitepaper
26
en exclusief bezig met het verbeteren van de organisatie en
informatisering van de overheid. HEC werkt samen met het Britse
Office of Government Commerce (OGC), eigenaar van de Gateway
Review methode 18. In het volgende hoofdstuk over handreikingen
wordt de Gateway review nader toegelicht.
6. Handreikingen voor bestuurders, CIO‟s
en managers
6.1 ISO 38500: een strategische handreiking voor
bestuurders en CIO‟s
Medio 2008 is de internationale ISO 38500 standaard voor IT
Governance gelanceerd 19. Deze standaard levert handreikingen op
strategisch niveau om te bepalen of ICT wel doet dat het moet
doen. Doelgroep is het hoger algemeen management en
uitdrukkelijk niet de ICT staf. ISO 38500 is bedoeld voor alle
sectoren van de maatschappij, dus niet alleen voor de overheid. Bij
het ontwikkelen daarvan heeft men goed gekeken naar een
gelijksoortige standaard van de Australische overheid (de AS-8015
norm). De Australische overheid heeft een voorsprong ten opzichte
van andere landen op het gebied van IT Governance.
De tekst van ISO 38500 bestaat uit slechts 15 pagina‟s en is
opvallend toegankelijk. Voor de volgende zes principes wordt een
aanpak gepresenteerd:
- Verantwoordelijkheden;
- Strategie en beleid;
- Acquisitie;
- Prestaties (performance);
- Conformiteit;
- Menselijk gedrag.
Op basis van deze principes kan een bestuurder, directeur of CIO
de juiste vragen stellen aan zijn organisatie en daarmee gaan
sturen. Het levert een strategische checklist die altijd gehanteerd
kan worden. Voorwaarde is wel dat de topmanager de checklist
gebruikt vanuit het besef dat informatievoorziening en ICT
essentiële elementen zijn voor het bereiken van zijn doelstellingen.
Met andere woorden, dat het evenals Human Resources en
Financiën sturing nodig heeft. Dat, om te spreken met de woorden
van de Algemene Rekenkamer, ICT een bedrijfsmiddel is waarvan
begrepen wordt hoe deze bijdraagt aan de business.
GATEWAY: COLLEGIALE
TOETSING
HANDREIKINGEN OP
STRATEGISCH NIVEAU
ISO 38500: SLECHTS 15
PAGINA‟S
BESTUURDER KAN DE
JUISTE VRAGEN STELLEN
Whitepaper
27
6.2 ISO checklist voor bestuurders en CIO‟s
Tabel 3 geeft een door de auteur van deze whitepaper opgesteld
overzicht van vragen aan de hand van de bovenstaande zes
principes in relatie tot de governance activiteiten
onderzoeken/evalueren, richting geven/sturen en bewaken.
Corporate Governance of Information Technoloy ISO/IEC 38500:2008
Principes Governance activiteiten
Onderzoeken en Evalueren (heden en toekomst)
Richting geven en sturen
Bewaken
Verantwoor-delijkheden
Wie is waarvoor verantwoordelijk binnen het domein van informatievoorziening en ICT. Hoe wordt dat vastgesteld? Is alles belegd? Wordt de samenhang geborgd? Zijn er onduidelijkheden?
In hoeverre sluiten ICT plannen binnen de organisatie aan op de verantwoordelijkheden? Bijv. is er voor ieder belegd onderwerp een plan?
In hoeverre wordt het voldoen aan verantwoordelijkheden gemeten en gerapporteerd? Bijv. hoe goed werken stuurgroepen?
Strategie en beleid
In hoeverre is men zich bewust van ICT-ontwikkelingen binnen bedrijfsprocessen? Zijn de betreffende managers op de hoogte en waaruit blijkt dat?
In hoeverre wordt richting gegeven aan ICT-beleid en –plannen. Wordt aandacht gegeven aan het geven van richtlijnen gebaseerd op bedrijfsbeleid en business? Is ICT- innovatie gericht op strategie en beleid?
Worden ICT-beleid en -plannen getoetst aan de bedrijfsbeleid en aan de business? Is bijvoorbeeld de inzet van geld en menskracht in overeenstemming hiermee?
Acquisitie Waarin wordt geïnvesteerd als het gaat om ICT? Doet men het zelf of wordt het
uitbesteed? Welke vormen van uitbesteding?
In hoeverre wordt er gestuurd op bedrijfsbeleid, kwaliteit, standaards, kosten
(TCO, ROI), regelgeving en risico-aspecten bij inkoop en aankoop van IT?
Blijft de in- of aangekochte ICT efficiënt, effectief en acceptabel? Hoe wordt dat gemeten?
Prestaties (performance)
In welke mate ondersteunt ICT de bedrijfsprocessen? Waar wel en waar niet, waarom? Wat is de toegevoegde waarde? Hoe wordt die bepaald?
In hoeverre sluit het aanwenden van geld en resources aan op de toegevoegde waarde voor de business processen? Wordt er geïnvesteerd in succes of juist niet?
In hoeverre wordt de meetbaarheid (en rapportage) van toegevoegde waarde van ICT geborgd?
Conformiteit In hoeverre sluit ICT aan op standaards, wet- en regelgeving. Bijvoorbeeld op het gebied van aanbestedingen, beveiliging en vertrouwelijkheid.
In hoeverre wordt er binnen de organisatie bindende regels gehanteerd. Bijvoorbeeld op het gebied van standaards, beveiliging, methoden en technieken en business cases.
In hoeverre vindt er regelmatig en frequent doorlichting (audit) plaats. In hoeverre zijn standaards, wet- en regelgeving geborgd in procedures.
ZES PRINCIPES VAN IT
GOVERNANCE
Whitepaper
28
Menselijk gedrag
In hoeverre sluit de cultuur in de (IT)-organisatie aan op de doelstellingen. Is het gedrag van managers en medewerkers daarmee in overeenstemming?
In hoeverre wordt er gestuurd op cultuur en gedrag van mensen. Bijvoorbeeld door effectieve manieren van motivatie, beloning en beoordeling
Houdt het management voeling met de ICT-werkvloer? Wordt de tevredenheid over ICT service gemeten?
6.3 Gateway reviews: handreiking voor CIO‟s en
managers
In de paragraaf over het Verenigd Koninkrijk werd de Gateway
review genoemd 18. Ook daar heeft men te maken met de
problemen en uitdagingen geschetst in deze whitepaper. Enkele
jaren geleden is men daarom begonnen met de zogenaamde
Gateway Reviews, de collegiale toetsing van onafhankelijke
deskundigen. De Britse overheid past deze reviews toe op allerlei
grootschalige en kritische projecten, niet alleen op het gebied van
ICT. Doel is de leiding van een project of een programma een
spiegel voor te houden en daarmee de kwaliteit te verhogen en de
kans op succes te vergroten.
Door middel van een aantal interviews en het bestuderen van
documentatie, beoordelen een 3 à 4 vakcollega‟s of alle
voorwaarden voor succes van een project aanwezig zijn. Zo‟n
review duurt over het algemeen niet meer dan een week. Voor de
voorbereiding moet men echter enkele weken rekenen. Men doet
een risicoanalyse met een gestandaardiseerd diagram en vult een
managers checklist in. De resultaten worden vanuit een flinke dosis
ervaring uit vorige projecten geëvalueerd. Dit leidt tot een advies
op papier en een eindgesprek met de leiding van het project (of
desgewenst met de opdrachtgever). De adviezen zijn concreet en
gericht op actie.
Het voordeel van deze benadering is dat men zich niet verliest in
details en dat de nadruk ligt op sturing van het project in de (vaak
wijzigende) omstandigheden. Een zaak zoals hiervoor genoemd
naar aanleiding van het rapport van de Algemene Rekenkamer, het
elkaar gevangen houden in een spiraal van toenemende
complexiteit, worden hierdoor voorkomen. Of het efficiënt
digitaliseren van inefficiënte bedrijfsprocessen, waardoor
verbetering van de bedrijfsvoering alleen maar moeilijker wordt.
Althans, dat is de bedoeling.
TOETSING DOOR
ONAFHANKELIJKE
DESKUNDIGEN
SPIEGEL VOORHOUDEN
CONCREET, GERICHT OP
ACTIE
NADRUK OP STURING,
NIET OP DETAILS
Whitepaper
29
Gateway kent de volgende reviews die worden toegepast
afhankelijk van de fase waarin een project of een programma zich
bevindt:
- Review 0: Strategische analyse. Deze review is gericht op
programma‟s en in mindere mate op projecten. Aan de orde
komen de bijdrage van het programma aan de strategie van de
organisatie, de ondersteuning van betrokkenen met een
sleutelpositie, de mate waarin het programmamanagement kan
sturen (en dat ook doet), financiële en personele dekking, de
context van andere overheidsprogramma‟s, de context van
overheidsbeleid en risicobeheersing op programmaniveau.
- Review 1: Rechtvaardiging van het project. Deze review
onderzoekt legitimatie van het project/programma vanuit de
bedrijfsvoering en kernactiviteiten. Aan de orde komen de
business case, de robuustheid daarvan, de afweging van
alternatieve oplossingen, een eventueel marktonderzoek, het
onderkennen van risico‟s, realistische reikwijdte en
specificaties, de verwachte voordelen, plannen voor de
volgende fase (na dit project) en evaluatiemomenten in het
project.
- Review 2: Wijze van opleveren. Deze review onderzoekt de
wijze waarop resultaten opgeleverd worden. Aan de orde
komen de afstemming van resultaten op de verwachtingen, het
projectplan, de meet- en stuurinstrumenten op kwaliteit,
voortgang en financiën, de mogelijkheden van leveranciers,
beheersing van risico‟s, kwaliteitsplanning, ondersteuning van
belanghebbenden en sleutelfiguren, en opleidingen.
- Review 3: Investeringsbeslissingen. Deze review
onderzoekt of de beoogde resultaten betaalbaar en
financierbaar blijven gedurende het project. Aan de orde komen
de blijvende geldigheid van de business case, blijvende
afstemming van resultaten op de verwachtingen,
contractaangelegenheden, juridische zaken en terugverdientijd.
- Review 4: Inbedding in de organisatie. Deze review toetst
of de organisatie is voorbereid op de veranderingen die het
project/programma te weeg brengt. Aan de orde komen de
eventueel veranderende omstandigheden (rond de business
case) tijdens het project/programma, inbedding van de
resultaten in de organisatie, voorwaarden voor lange termijn
succes, continuïteit maatregelen bij calamiteiten of storingen,
contracten voor service en support en implementatieplannen.
- Review 5: Er uit halen wat er in zit. Deze review is gericht
op het behalen van optimale voordelen als het projectresultaat
eenmaal geleverd is en wordt gedurende het eerste jaar
ZES REVIEWS VOOR
VERSCHILLENDE FASEN
Whitepaper
30
herhaaldelijk uitgevoerd. Aan de orde komen het evalueren van
de business case, onderzoeken van de te behalen voordelen,
continuïteit van bemensing, afhandeling van de contracten, de
wijze waarmee met veranderende omstandigheden wordt
omgegaan en zo nodig het bestaan van exitstrategieën.
Ervaringen met de Gateway reviews zijn over het algemeen
positief. In het Verenigd Koninkrijk, waar men er al jaren mee
werkt, zegt men dat het de overheid al voor menige misser heeft
behoed. De compacte vorm spreekt veel overheidsmanagers aan.
Een kanttekening hierbij is dat, door de onafhankelijke opstellingen
van de reviewers, een politiek beladen project of programma flink
opgeschud kan worden. Ongedocumenteerde belangen worden niet
altijd meegenomen. Voor de manager die het succes van een
project en het belang voor effectieve besteding van publieke
gelden hoog in het vaandel heeft staan, is dit een bewuste keuze.
6.4 CobiT®: Voor ICT managers die „in control‟
willen zijn
Deze en de volgende paragraaf zijn vooral bedoeld voor ICT
Managers en geeft informatie over twee aan IT Governance
gerelateerde methodes, die wereldwijd belangstelling genieten.
CobiT 20 staat voor Control Objectives for Information and related
Technology. Dit model, dat al sinds midden jaren 90 bestaat,
geniet sinds de Sarbanes Oxley wetgeving in de USA (2002)
groeiende belangstelling. Het wordt geassocieerd met IT
Governance en audit activiteiten. CobiT is er op gericht ICT risico‟s
te beheersen.
Hier volgt een uitleg van Karoline Muijs-De Graaf 21.
“,CobiT is gebaseerd op de gedachte dat ICT-resources moeten
worden beheerst en beheerd op basis van een set op natuurlijke
wijze gegroepeerde processen. Hierdoor krijgt een organisatie de
beschikking over meetbare en betrouwbare informatie voor het
realiseren van haar doelstellingen en de ondersteunende ICT-
dienstverlening. Het doel van CobiT is om het management en de
proceseigenaren middels een IT Governance model te
ondersteunen bij het begrijpen en beheersen van ICT-gerelateerde
risico‟s‟‟.
GATEWAY: DE OVERHEID
VOOR MENIGE MISSER
BEHOED
COBIT POPULAIR SINDS
SARBANES OXLEY
Whitepaper
31
CobiT is er op gericht de volgende zaken te bereiken 22:
– Het effectiever maken van de organisatie, dat wil zeggen:
meer doen met hetzelfde geld;
– Het efficiënter maken van de organisatie, dat wil zeggen:
meer doen tegen lagere kosten;
– Maar rekening houdend met de risico‟s op het gebied van
security, betrouwbaarheid en regels en wetten
(conformance).
CobiT kent 4 domeinen: „Plan and Organise‟, „Acquire and
Implement‟, „Deliver and Support‟ en „Monitor and Evaluate‟.
Verdeeld over deze domeinen zijn er 34 processen gedefinieerd die
zich concentreren op specifieke onderwerpen.
De methode is gebaseerd op de Plan-Do-Check-Act cyclus van Dr.
W. Edwards Deming. Zie schema 4 uit „Focus op IT-bestuur‟ 2.
Schema 4. De plan-do-check-act-cyclus van CobiT
Daarnaast heeft CobiT het volwassenheidsmodel van CMMi
(Capability Maturity Model) geadopteerd, ooit ontwikkeld door het
Amerikaanse Ministerie van Defensie, om de mogelijkheden van
organisaties te beoordelen voor het nemen, verwerken en borgen
van maatregelen. Het is namelijk belangrijk om te bepalen hoe
volwassen de organisatie is en te nemen maatregelen daar op af te
stemmen.
Als voorbeeld is in Tabel 4 een checklist voor projectmanagement
bijgevoegd, gebaseerd op de zogenaamde „Control Objectives‟ van
het proces PO10 Manage Projects. Dit is slechts één van de 34
processen. Voor andere processen bestaan er gelijksoortige
checklijsten. In de checklist zijn de originele CobiT aanduidingen
van de „Control Objectives‟ gehandhaafd.
EFFECTIEVER,
EFFICIËNTER EN MINDER
RISICO‟S
PLAN DO CHECK ACT
HOE VOLWASSEN IS DE
ORGANISATIE?
Whitepaper
32
Checklist CobiT projectmanagement (Proces PO10 Manage
Projects) 23
1. PO10.1 Programme Management Framework. Bepaal van welk programma van projecten het project onderdeel is. Een programma kenmerkt zich door gemeenschappelijke organisatiedoelstellingen. Stel vast hoe de organisatie met programmamanagement om gaat. Stel vast hoe de doelstellingen van het project zich verhouden tot die van het programma.
2. PO10.2 Project Management Framework. Stel vast welke projectmanagement methode wordt gebruikt en hoe daarin scope, werkwijze en doelstellingen worden geborgd.
3. PO10.3 Project Management Approach. Stel vast welke projectmanagementregels en -procedures worden gehanteerd, waar binnen het project wordt uitgevoerd. Deze regels kunnen variëren op basis van complexiteit en scope van het project. Stel ook vast welke specifieke rollen, bevoegdheden en verantwoordelijkheden zijn vastgelegd. Bepaal vervolgens welke specifieke rapportageregels worden gehanteerd. Hierbij kan gebruik gemaakt worden van de Prince2 best practices, gecombineerd met een aantal voor de organisatie specifieke invullingen (procedures, formulieren, communicatie). Bijvoorbeeld een eigen standaard voor het schrijven van een Business Case en Project Initiatie Document.
4. PO10.4 Stakeholder Commitment. Stel vast of alle betrokkenen in woord en daad het project ondersteunen, zowel bij de start, bij de uitvoering als bij het accepteren van de resultaten. We denken hierbij vooral aan de
budgethouder, gebruiker, opdrachtgever, programmamanager, projectmanager en materiedeskundige.
5. PO10.5 Project Scope Statement. Stel vast of aard en scope van het project gedocumenteerd zijn en of er uitdrukkelijke goedkeuring daarvoor is van alle betrokkenen. Stel bovendien vast of aard en scope ondubbelzinnig en helder omschreven zijn en toets of de verwachtingen van alle betrokkenen op één lijn liggen. Geef daarbij ook aan hoe het project zich verhoudt ten opzichte van de totale IT-investeringen.
6. PO10.6 Project Phase Initiation. Stel vast of er goedkeuring van alle betrokkenen is bij de start van elke belangrijke fase in het project. Hierbij denken we weer vooral aan budgethouder, gebruiker, opdrachtgever, programmamanager, projectmanager en materiedeskundige. De goedkeuring moet gebaseerd zijn op van te voren gedefinieerde acceptatiecriteria en –testen van de afgesloten fase. Daarnaast moet goedkeuring gebaseerd zijn op een (eventueel) gewijzigde Business Case voor de volgende fasen.
7. PO10.7 Integrated Project Plan. Stel vast of er een formeel projectplan is waarin alle relevante zaken vastgelegd en geïntegreerd zijn. Dat wil zeggen zowel de bedrijfsmatige als de projectinhoudelijke zaken. Bepaal of dit plan ook daadwerkelijk gebruikt wordt als gids voor uitvoering en controle van het gehele project. Belangrijk is dat hier ook de afhankelijkheden met andere projecten (binnen en buiten het programma) zijn vastgesteld en begrepen. Elke verandering in dit projectplan moet formeel worden goedgekeurd daar
alle betrokkenen.
Whitepaper
33
8. PO10.8 Project Resources. Stel vast of de verantwoordelijkheden, relaties, bevoegdheden en prestatiecriteria van alle medewerkers binnen het project gedefinieerd zijn. Ga na of er een procedure is voor het rekruteren van geschikte projectmedewerkers (intern of extern). Stel vast of inkoop van producten en diensten ten behoeve van het project geregeld is conform de regels van de organisatie.
9. PO10.9 Project Risk Management. Stel vast of risico‟s worden geëlimineerd of tot aanvaardbare proporties worden verkleind. Hiervoor moet een planmatige werkwijze bestaan, voor identificeren, vastleggen, analyseren, reageren op, meten./volgen en beheersen van gebeurtenissen die ongewilde veranderingen teweeg brengen.
10. PO10.10 Project Quality Plan. Stel vast of er een kwaliteitsplan wordt gebruikt, met daarin een kwaliteitssysteem dat borgt dat (tussentijdse) projectresultaten aan de gestelde criteria voldoen. Bepaal of die criteria van te voren beschreven zijn en dat daarover consensus is tussen alle betrokkenen.
11. PO10.11 Project Change Control. Stel vast of alle veranderingen in het project worden beheerst. We denken hierbij aan veranderende doelen, scope, planning, budget, tijd, organisatie, criteria, beoogde resultaten, ingezette mensen of middelen enzovoort. De veranderprocedure moet de consequenties vaststellen en analyseren en alle veranderingen integreren in het projectplan.
12. PO10.12 Project Planning of Assurance Methods. Stel vast of (EDP-) auditors hun werk kunnen blijven doen bij de veranderingen die het project teweeg brengt. Bepaal of de door de organisatie gehanteerde werkwijzen voor governance, interne controle en beveiliging, in de projectresultaten geborgd zijn.
13. PO10.13 Project Performance Measurement, Reporting and Monitoring. Stel vast of er genoeg meetinstrumenten of -methoden in het project zijn voor scope, tijdsplanning, kwaliteit, kosten en risico‟s. Stel vast of gemeten afwijkingen van het projectplan leiden tot rapportages (aan stuurgroep) en maatregelen ter correctie.
14. PO10.14 Project Closure. Stel vast of alle betrokkenen voldoende inbreng hebben bij het afsluiten van het project. Alle betrokkenen moeten kunnen vaststellen of het project de geplande resultaten en voordelen oplevert. Stel vast of eventuele restpunten worden bepaald, gedocumenteerd, gecommuniceerd en of de afhandeling is geborgd binnen vastgestelde termijnen. Stel vast of leerpunten uit het project worden vastgelegd en gebruikt in lopende en toekomstige projecten
Tabel 4: Checklist CobiT projectmanagement
6.5 Val ITTM: Wat levert de ICT op?
Naast CobiT is er sinds 2006 een nieuwe methode ontstaan om ICT
investeringen te sturen op toegevoegde waarde voor de
organisatie. Dit is de het zogenaamde „Value of IT Framework‟ (Val
IT) 24 .
Met Val IT wil men voor organisaties die het toepassen het
volgende bereiken 25:
– Meer inzicht in kosten, baten en risico‟s van ICT
investeringen;
– Meer kans op het kiezen van die ICT investeringen die voor
de organisatie de meeste baten opleveren;
– Verhoogde kans dat investeringen ook zodanig worden
benut dat de verwachtingen worden waargemaakt.
Volgend schema geeft de relatie tussen CobiT en Val IT aan:
VAL IT: STUREN VAN ICT
INVESTERINGEN
KOSTEN, BATEN EN
VERWACHTINGEN
Whitepaper
34
Schema 5. Relatie tussen Val IT en CobiT
Val IT gaat uit van een aantal principes die gehanteerd moeten
worden, wil men bovenstaande voordelen bereiken.
– Beheren van portfolio. Ten eerste moeten alle ICT
investeringen beheerd worden als een portfolio van
investeringen. Dit betekent dat de onderlinge samenhang
tussen investeringen moet worden vastgesteld en tegen
het licht worden gehouden van de strategische
doelstellingen. Ook zullen investeringen moeten worden
gevolgd en eventueel worden aangepast bij veranderde
omstandigheden of tegenvallende prestaties.
– Complete scope. Ten tweede zullen bij een ICT
investering alle factoren meegenomen moeten worden die
van invloed zijn op het te behalen voordeel. Een ICT
project is vaak slechts één factor in het bereiken van een
bepaald doel. Een ICT project voor een nieuw
salarisadministratiesysteem kan bijvoorbeeld geheel
volgens de specificaties opgeleverd worden, maar als er
geen rekening gehouden wordt met een compleet nieuw
functie- en salarisstructuur dat over een half jaar wordt
ingevoerd, is de investering niet goed geweest.
– Complete levenscyclus. Ten derde dient bij het kiezen
van ICT investering de complete levenscyclus van „het
systeem‟ te worden betrokken. Voor aanschaf en
ontwikkeling worden kosten gemaakt. Het beheer tijdens
de exploitatiefase is echter een veelvoud van die kosten.
VAL IT VERSUS COBIT
PORTFOLIO
SCOPE
LEVENSCYCLUS
Whitepaper
35
De vraag is: welke voordelen staan hier tegenover en hoe
lang blijven die bestaan?
– Verschillend behandelen. Ten vierde: niet iedere ICT
investering moet gelijk behandeld worden. Investering in
een basisinfrastructuur (hardware, netwerk, werkstations)
is anders dan die in een bedrijfsapplicatie, bijvoorbeeld
voor Bouw en Woning Toezicht. De ene is gerelateerd aan
een bedrijfsproces en de andere is generiek van karakter.
Ook kan onderscheid gemaakt worden in typen te behalen
voordelen: bijvoorbeeld efficiency, betere dienstverlening
aan burgers of voldoen aan wetgeving.
– Meten van behalen voordelen. Ten vijfde: elk te behalen
voordeel van een ICT investering zal gemeten moeten
kunnen worden. Er moeten prestatie indicatoren en
meetmethoden of –instrumenten worden vastgesteld die
snel reageren op veranderingen of afwijkingen.
– Informatie aan betrokkenen. Ten zesde, helemaal in lijn
met het hoofdstuk „Zijn ICT projecten dan zo moeilijk?‟,
zullen alle betrokkenen voorzien moeten worden van juiste
en tijdige informatie over het waarmaken van hun
verwachtingen door de ICT investering. We denken hierbij
aan bestuurders, directie, opdrachtgever, betrokken
lijnmanagers en betrokken medewerkers. In bepaalde
situaties kunnen ook leveranciers hierbij aansluiten.
– Constante evaluatie van uitvoering. Tenslotte en
zevende: de uitvoering van ICT investeringen zal constant
gemeten, bewaakt, geëvalueerd, bijgesteld en verbeterd
moeten worden. Gebruik van methoden als CobiT, Prince2
en ITIL ligt daarom voor de hand.
Als één of meer van deze principes niet wordt gehanteerd zijn er
zwakke schakels in het sturen van de voordelen te behalen door
IT. Val IT zegt daarom dat in ieder gaval de volgende processen
binnen de organisatie geborgd moeten zijn:
– Value Governance. Vaststellen en beheren van
strategische uitgangspunten op het gebied van te
gebruiken methode, het definiëren van portfolio‟s en het
definiëren van ICT investeringen
– Portfolio management. Vaststellen en beheren van
uitgangspunten op het gebied van te reserveren middelen,
investeringsdrempels, stellen van prioriteiten voor
investeringen en management van de portfolio.
VERSCHILLEN
VOORDELEN
BETROKKENEN
EVALUATIE VAN DE
UITVOERING
Whitepaper
36
– Investment management. Vaststellen en beheren van
uitgangspunten over „business requirements, eisen
waaraan investeringsaanvragen moeten voldoen, analyse
van alternatieve oplossingen, management van de
investering gedurende de gehele levenscyclus en bewaken
en rapporteren.
Verdeeld over deze drie processen definieert Val IT een 40-tal
zogenaamde „key management practices‟ waarmee invulling
gegeven wordt aan de inrichting van de processen.
6.6 Buiten de overheid: ING
Het is zinvol voor overheidsmanagers om te kijken wat er buiten
de overheid gebeurt op het gebied van IT Governance. Een
organisatie die al jaren serieus werk maakt van IT Governance is
ING. De financiële instelling doet dit op internationale schaal en
timmert aan de weg met kennis, ervaring en onderzoek op
wetenschappelijk niveau. Zo blijkt bijvoorbeeld uit de documentatie
van Val IT, dat ING actief heeft meegewerkt aan het tot stand
komen van deze methode. ING houdt zich daadwerkelijk bezig met
het aantonen van de relatie tussen effectief IT Governance en de
bedrijfsresultaten. Voor CIO‟s en Managers bij de overheid biedt
het kansen om kennis te nemen van IT Governance bij de ING en
andere bedrijven, omdat juist financiële multinationals veel geld
besteden aan het vergroten van de kennis op het gebied van IT
Governance.
Op een congres in mei 2009 26 gaf Dr. H.F. Folkerts van ING en de
Universiteit van Twente aan dat architectuur één van de
belangrijkste pilaren is onder effectief IT Governance. Zonder
duidelijke afspraken over de principes die gehanteerd worden bij
ontwerp en realisatie van ICT voorzieningen, is er geen houvast om
te sturen. Zij stelden ook dat effectief verandermanagement
noodzakelijk is waarbij risico‟s, complexiteit en controleerbaarheid
worden gewaarborgd.
ING presenteert IT Governance als een raderwerk van zeven
tandwielen waarin verandermanagement een centrale functie
heeft.
ERVARINGEN BIJ EEN
GROTE BANK
ARCHITECTUUR IS DUS
BELANGRIJK
EFFECTIEF
VERANDERMANAGEMENT
IS NOODZAKELIJK
Whitepaper
37
Schema 6. Het IT Governance raderwerk van ING
De tandwielen stellen de volgende thema‟s voor:
- Verandermanagement;
- Bij elkaar brengen van vraag uit de business en aanbod van de
ICT (Business & IT Alignment);
- Meten van de prestaties;
- Beheersen van ICT kosten en baten;
- Projectmanagement en risico beheersing;
- Architectuur (te hanteren principes bij ontwerp en realisatie van
IT);
- Middelen (geld, personeel, kennis, uitbesteding).
Voor elk van deze thema‟s worden de strategische, tactische en
operationele aspecten beschreven in de vorm van checklists. Op
strategisch niveau zijn er de principes die gehanteerd worden, op
tactisch niveau het beleid dat afgeleid wordt van deze principes en
op operationeel niveau de procedures.
Voor het bij elkaar brengen van vraag uit de business en aanbod
van de ICT (business & IT alignment) heeft men bijvoorbeeld een
checklist voor de vraagkant, een voor de aanbodkant en een voor
de CIO die over het vraag- en aanbodproces waakt. Voor het
thema architectuur is er een check op het hanteren van een
referentiearchitectuur (bij de overheid kan dat NORA zijn, de
Nederlandse Overheid Referentie Architectuur) en zogenaamde
Project Start Architectuurplannen (PSA) bij elk ICT project dat
gestart wordt. Een architectuur levert de meetlat, en zonder
meetlat kan er niet effectief gemeten en gestuurd worden. Zo zijn
er voor elk van de genoemde thema‟s een aantal checklists.
PRINCIPES, BELEID EN
PROCEDURES
NEDERLANDSE OVERHEID
REFERENTIE
ARCHITECTUUR (NORA)
Whitepaper
38
ING heeft de ervaring dat deze thema‟s een vrij compleet beeld
vormen van hoe IT Governance zou moeten werken en men geeft
aan dat de bedrijfsresultaten dit aantonen. ING claimt ook dat het
model van de zeven raders zich goed laat uitleggen aan
bestuurders. Wel stelt men dat commitment van de Raad van
Bestuur een kritieke succesfactor is.
Wij kunnen inderdaad leren van organisaties als de ING. Het is de
vraag of de checklists van ING zondermeer toepasbaar zijn op een
overheidsinstantie. Schaalgrootte en aard van de organisatie
komen vaak niet overeen. Het is echter zeker zinvol om de kennis
vanuit ING mee te nemen in het ontwikkelen van een eigen aanpak
voor IT Governance.
7. Conclusies en aanbevelingen
7.1 Wat is er aan de hand?
Verspilling
ICT projecten bij de overheid hebben een imagoprobleem. Er wordt
gesproken over miljarden euro‟s verspilling. Wat kunnen wij
hiervan leren nadat het stof is neergedaald en er menig rapport
over is verschenen? De rijksoverheid heeft zich die vraag gesteld
en onderzocht wat er aan de hand is. Ook de grote gemeenten
hebben kritisch laten kijken naar hun ICT.
Het onderzoek van Heemstra, Snel en Kusters, beschreven in deze
whitepaper, toont aan dat betrokkenen bij ICT projecten in
verschillende werelden leven en daardoor risico‟s totaal
verschillend inschatten. Het beeld van een bestuurder op ICT wijkt
aanzienlijk af van die van andere betrokkenen zoals ambtelijk
opdrachtgever, projectleider, gebruiker of materiedeskundige.
De overheid drijft op informatievoorziening
Het effect van ICT op het functioneren van de overheid wordt vaak
nog niet goed begrepen door bestuurders en directies.
Informatievoorziening door ICT is, naast personeel en financiën,
één van de aspecten waar een overheidsorganisatie op drijft.
Verkeerde inschattingen leiden tot een onsamenhangende en
ondeugdelijke informatievoorziening waarbij de organisatie grote
risico‟s loopt. Het is dus nodig dat bestuurders en directies dit
weten, begrijpen en daadwerkelijk gaan sturen.
IT GOVERNANCE
BEÏNVLOEDT
BEDRIJFSRESULTATEN
ICT PROJECTEN HEBBEN
EEN IMAGOPROBLEEM
INFORMATIE IS
ESSENTIEEL, NAAST
PERSONEEL EN FINANCIËN
Whitepaper
39
Bestuurlijke ambities en haalbaarheid
Rapportages van de Algemene Rekenkamer wijzen op het gat
tussen bestuurlijke ambities en haalbaarheid van ICT-projecten.
Als er geen IT Governance is loopt men het gevaar binnen
overheidsinstanties in een spiraal van toenemende complexiteit
terecht te komen. Een tijdbom die niet onschadelijk gemaakt
wordt, omdat niemand op hoog niveau zich ervan bewust is dat er
maatregelen genomen moeten worden, totdat het te laat is.
7.2 Waarom IT Governance
Eerst inzicht, dan doen
Door IT Governance krijgen bestuurders, directies en CIO´s inzicht
in ICT gerelateerde risico´s en handreikingen om die te beheersen.
IT Governance geeft bestuurders en directies mogelijkheden om
ICT te sturen zonder dat ze zich inhoudelijk in ICT hoeven te
verdiepen. Wel wordt van ze gevraagd om het effect van de juiste
informatievoorziening op waarde te schatten. Dat kost tijd en
aandacht en daar is een zekere interesse voor nodig. In eerste
instantie moeten bestuurders en directies zich bewust zijn van het
feit dat informatievoorziening door ICT even belangrijk is als
personeel of financiën. De overheid is een informatiefabriek die
zonder ICT niet kan draaien en daarom is IT Governance nodig.
Het devies is dus: eerst inzicht, dan doen.
Handreikingen voor bestuurders
IT Governance biedt handreikingen voor bestuurders, directies en
CIO‟s om informatievoorziening aan te sturen. IT Governance
controleert of ICT management zijn werk doet en stuurt zo nodig
bij. Als er sprake is van balans tussen efficiënt aanbod van ICT en
voldoende aandacht voor de vraag naar ICT, dan is IT Governance
effectief en zullen projecten succesvol afgerond kunnen worden. IT
Governance stelt en beantwoordt de volgende drie vragen:
- Doet de ICT wat ervan verwacht wordt (performance)?
- Wordt er aan de geldige regels voldaan (conformance)?
- Zijn performance en conformance duidelijk en controleerbaar
(transparantie)?
GAT TUSSEN
BESTUURLIJKE AMBITIES
EN HAALBAARHEID
BESTUURDERS: HET
EFFECT VAN
INFORMATIEVOORZIENING
OP WAARDE SCHATTEN
BALANS TUSSEN VRAAG
EN AANBOD VAN ICT
IT Governance op hoog
Whitepaper
40
7.3 Wat gebeurt en nu binnen de overheid?
Chief Information Officers
Naar aanleiding van onderzoeken hebben ministeries en
gemeenten CIO‟s (Chief Information Officers) aangesteld. IT
Governance moet zo op hoog niveau in de organisatie worden
geborgd, anders is er onvoldoende sturing en onvoldoende
tegenwicht tegen irreële ambities op hoog niveau. Ook wordt de
financiële verslaglegging rondom ICT investeringen verbeterd.
Zonder te weten wat men waaraan uitgeeft, is bewaken en
bijsturen niet mogelijk.
Rol van de CIO
De rol van CIO draagt een aantal tegenstrijdigheden in zich. Hij
moet de ICT strategisch inzetten om de organisatie verder te
helpen, maar hij moet ook een operationele manager zijn die er
voor zorgt dat de systemen altijd werken. Hij moet ervoor zorgen
dat ICT een „business enabler is‟, maar hij moet ook op de kosten
letten. CIO‟s kunnen falen 27 ondanks dat ze precies doen wat van
ze gevraagd wordt. Een CIO moet vooral leider zijn die er voor
zorgt dat iedereen op de juiste plek zit en de juiste focus heeft. De
CIO moet sturing geven aan ICT-projecten, -applicaties en -
infrastructuur (de zogenaamde project- en applicatieportfolio in
paragraaf 1.9), onder andere door een eigen visie te hebben over
de mogelijkheden van de technologie in zijn eigen organisatie.
Daarnaast moet hij in staat zijn de ICT financieel in de hand te
houden voor wat betreft de kosten, baten en investeringen. Niet in
de laatste plaats moet hij diepgaande kennis hebben van datgene
waar de organisatie zijn bestaansrecht aan ontleend: de „business‟
oftewel de kernactiviteiten van het ministerie, de gemeente, de
provincie of het waterschap.
IT Governance in het buitenland
Bij de Nederlandse overheid is IT Governance vooral gericht op de
structuur. Inzichten uit het buitenland vormen hier aanvullingen
op. Bij de Britse overheid zoekt men het niet alleen in
structuurmaatregelen, zoals blijkt uit de Gateway reviews voor
collegiale toetsing. In Australië heeft men aandacht voor menselijk
gedrag op de werkvloer.
Nederlandse onderzoeksrapporten besteden relatief weinig
aandacht aan menselijk gedrag. Kennelijk is het in de Nederlandse
arbeidsverhoudingen bij de overheid vaak „not done‟ kritisch te
kijken naar het gedrag van de mensen op de werkvloer.
Australische onderzoekers hebben daar geen moeite mee.
Weerstand tegen veranderingen wordt genoemd als obstakel om
DE CIO MOET EEN LEIDER
ZIJN
DE CIO MOET EEN VISIE
HEBBEN OVER DE
MOGELIJKHEDEN VAN ICT
AANDACHT VOOR
MENSELIJK GEDRAG IN DE
ICT
Whitepaper
41
ICT bij de overheid te laten functioneren. Ook het idee dat ICT
altijd bestaande werkwijzen moeten volgen, wordt als een
belemmering gezien. ICT kan nieuwe mogelijkheden scheppen
waar de organisatie profijt van heeft, maar waardoor mensen
anders moeten gaan werken: ICT als „enabler‟. Aandacht voor
menselijk gedrag wordt door buitenlandse onderzoekers cruciaal
genoemd. Dit aspect is verwerkt in de ISO 38500 standaard voor
IT Governance dat grotendeels voortkomt uit ervaringen in
Australië.
7.4 Welke vragen moet ik stellen?
Vragen op strategisch niveau
ISO 38500 geeft een aantal te stellen vragen waarop bestuurders,
directieleden en de CIO antwoorden uit hun organisatie mogen
eisen. Die vragen moeten echter wel door hen worden gesteld.
- Wie is waarvoor verantwoordelijk binnen het domein van
informatievoorziening en ICT? Hoe wordt dat vastgesteld? Is
alles belegd? Wordt de samenhang geborgd? Zijn er
onduidelijkheden?
- In hoeverre is men zich bewust van ICT ontwikkelingen binnen
bedrijfsprocessen? Zijn de betreffende managers op de hoogte
en waaruit blijkt dat?
- Waarin wordt geïnvesteerd als het gaat om ICT? Doet men het
zelf of wordt het uitbesteed? Welke vormen van uitbesteding?
- In welke mate ondersteunt ICT de bedrijfsprocessen? Waar wel
en waar niet, waarom? Wat is de toegevoegde waarde? Hoe
wordt die bepaald?
- In hoeverre sluit ICT aan op standaarden, wet- en regelgeving?
Bijvoorbeeld op het gebied van aanbestedingen, beveiliging en
vertrouwelijkheid.
- In hoeverre sluit de cultuur in de (IT)-organisatie aan op de
doelstellingen? Is het gedrag van managers en medewerkers
daarmee in overeenstemming?
Vragen naar toegevoegde waarde
ICT moet bijdragen aan de programma‟s, opdrachten, taken en
ambities van de organisatie. Het is de verantwoordelijkheid van
bestuur, directie en CIO om daarop toe te zien en zo nodig bij te
sturen. Zij moeten dus inzicht hebben in het volgende:
– Hoogte van kosten, baten en grootte van risico‟s van ICT
investeringen;
– Keuze van ICT investeringen die voor de organisatie de
meeste baten opleveren;
VRAGEN OP STRATEGISCH
NIVEAU
WAT LEVERT ICT OP?
Whitepaper
42
– Kans dat investeringen ook zodanig worden benut dat de
verwachtingen worden waargemaakt.
Vragen naar haalbaarheid
De vraag naar haalbaarheid van ICT-projecten is essentieel.
Bestuurder, directielid of CIO moet weliswaar de inhoudelijke
verantwoordelijkheid bij de (project)manager laten, maar hij moet
wel eisen dat die haalbaarheid aannemelijk wordt gemaakt. Is het
project niet te complex? Wordt het niet te duur? Levert het wel op
wat er van verwacht wordt? En vooral ook de vraag: welke
rapportages verwacht ik? Hier moet bestuurder, directielid of CIO
begrijpelijk en ondubbelzinnig antwoord op laten geven.
Vragen naar architectuur
Het werken met van te voren vastgestelde en samenhangende
principes en standaarden voor informatievoorziening en ICT (de
informatiearchitectuur), wordt bepleit of zelfs noodzakelijk geacht.
Het wordt de basis van effectieve IT Governance genoemd.
Hierover is men het in binnen- en buitenland eens. Het schept de
kaders om informatievoorziening en ICT stuurbaar te maken.
Bestuurder, directielid of CIO moet dus vragen naar een
beschrijving van de architectuur en zich ervan laten overtuigen dat
de organisatie zich daar ook aan houdt.
Vragen naar de uitvoering
Vervolgens moet bestuurder, directielid of CIO laten toetsen of
projecten wel goed uitgevoerd worden. Of er geen lijken uit de kast
komen en hij voor onaangename verrassingen komt te staan. De
uit het Verenigd Koninkrijk afkomstige Gateway reviews kunnen
daarbij helpen. Die zijn in de eerste plaats bedoeld voor
(ambtelijke) opdrachtgever, programma- en projectmanagement,
maar ook bestuurder, directielid of CIO zal er beter door slapen.
Zorg dat een project of programma wordt getoetst door
onafhankelijke ervaren deskundigen. Niet om het
projectmanagement mee om de oren te slaan, maar om te sturen
met de juiste informatie en effectieve maatregelen. Een Gateway
review kost weinig tijd en geeft snel informatie. Voor verschillende
fasen in een project/programma bestaan er verschillende reviews:
- Strategische analyse, specifiek voor programma‟s.
- Rechtvaardiging van het project. Is het wel nodig?
- Wijze van opleveren van resultaten. Hoe landt het in de
organisatie?
- Investeringsbeslissingen. Is en blijft het betaalbaar en
financierbaar?
AANTONEN VAN
HAALBAARHEID
ARCHITECTUUR IS
NOODZAKELIJK
ONAFHANKELIJKE
DESKUNDIGEN
Whitepaper
43
- Inbedding in de organisatie. Is de organisatie voldoende
voorbereid?
- Er uit halen wat er in zit. Worden de voordelen optimaal benut?
Vragen naar de levenscyclus
Verder is er nog de valkuil van het verschil tussen aanschaf en
exploitatie. Een goedkoop ICT-project kan leiden tot dure
exploitatie en andersom. Men moet beseffen dat bij ICT zeventig
tot tachtig procent van de kosten in de exploitatie komt te liggen.
Een verantwoordelijke bestuurder wordt dus gevraagd over de
termijn van zijn mandaat heen te kijken. Elke ICT ontwikkeling
heeft een eigen levenscyclus en die moet als geheel worden
beschouwd. Kengetallen die iedere bestuurder en directielid in zijn
oren zou moeten knopen, is dat als hij een ICT-systeem aanschaft
van 10 miljoen Euro, hij zijn opvolgers opzadelt met
exploitatiekosten van 30 tot 40 miljoen Euro. De verhouding 1 op 3
à 4 is een gemiddelde en kan per ICT project afwijken.
Vragen naar de geleerde lessen
Alle methoden voor projectmanagement besteden aandacht aan de
vraag: welke lessen heb ik geleerd? Toch worden ervaringen en
lessen uit ICT projecten niet of nauwelijks vastgelegd. Als de
resultaten opgeleverd zijn gaat men door met de volgende
uitdaging. Geen tijd om terug te blikken. De waardevolle kennis en
ervaring, die vaak specifiek van toepassing is op de organisatie,
gaat verloren. Daardoor worden steeds weer opnieuw dezelfde
fouten gemaakt. Bestuurder, directielid en CIO moeten eisen dat
de ervaringen worden vastgelegd en beschikbaar blijven voor de
organisatie.
Vragen naar meetbaarheid en stuurbaarheid
Tenslotte dient bestuur, directie of CIO de vraag naar
meetbaarheid en stuurbaarheid te vragen. Hoe worden alle hier
boven genoemde zaken gemeten en hoe wordt er over
gerapporteerd? Hoe betrouwbaarheid zijn die metingen? Welke
mogelijkheden zijn er om bij te sturen?
LEVENSCYCLUS VAN EEN
ICT SYSTEEM
WAT HEBBEN WE
GELEERD?
MEETBAARHEID EN
STUURBAARHEID
Whitepaper
44
7.5 Wat moet ik doen?
Zolang bestuurder, directielid of CIO het gevoel heeft dat er geen
duidelijke en ondubbelzinnige antwoorden worden gegeven op de
vragen van de vorige paragrafen, is er actie vereist. Die
antwoorden moeten er komen en dat mag men eisen. De taal
waarin de antwoorden zijn geformuleerd moeten te begrijpen zijn
voor bestuurders, directieleden of managers zonder specifieke ICT
kennis. Ook is er actie vereist als er wel duidelijkheid is, maar de
antwoorden niet tot tevredenheid stemmen. Bijvoorbeeld als er
geen architectuur is, de kosten van de hele levenscyclus niet te
bepalen zijn, er geen collegiale toetsing wordt uitgevoerd of er
geen duidelijke rapportages zijn. Er moeten dan verbeteracties
plaatsvinden, kortom er moet gestuurd worden.
7.6 Eindconclusie
IT Governance helpt bestuurders, directieleden en CIO‟s anno 2010
niet alleen om ICT debacles te voorkómen, maar vooral om
overheidsorganisaties beter te laten functioneren.
ZORGEN VOOR
DUIDELIJKE EN
ONDUBBELZINNIGE
ANTWOORDEN
Whitepaper
45
Nawoord: Inter Access
De auteur van deze whitepaper is werkzaam bij Inter Access B.V.
Jan Bouman adviseert op het gebied van IT Governance en
informatiemanagement, hij doet projectmanagement en
programmamanagement voor ICT ontwikkelingen (met nadruk op
aanbestedingsprojecten) en hij is coach voor directe collega‟s én
voor klanten.
Met ruim 1000 medewerkers in Nederland en België is Inter Access
de ICT-dienstverlener voor de ontwikkeling én het beheer van de
informatievoorziening van middelgrote en grotere organisaties in
de publieke sector, zorg, handel, industrie en financiële
dienstverlening. Met de kernactiviteiten Consulting, Technology,
Solutions en Managed Services biedt Inter Access klanten integrale
ICT-oplossingen op basis van standaardcomponenten dan wel op
basis van maatwerk, of door de inzet van mensen met
hoogwaardige kennis en ervaring.
Burgers en bedrijven eisen een slagvaardige en transparante
overheid. Hoe vertaalt u dat naar uw specifieke situatie? En welke
bijdrage biedt de technologie? Inter Access beantwoordt die vragen
al sinds de oprichting in 1979. De adviseurs van Inter Access zijn
thuis in de verschillende werkgebieden en bekend met culturen,
normen en waarden binnen (de)centrale overheden, de sector zorg
& welzijn en het SUWI-domein. Inter Access heeft een heldere visie
op de overheidsontwikkelingen. En onze ervaring omvat de meest
uiteenlopende overheidssystemen. De visie van Inter Access op de
ontwikkelingen in de sector wordt onder meer verwoord in ons
halfjaarlijks magazine InPublic.
Binnen de decentrale overheid levert Inter Access dienstverlening
in de meest brede zin van het woord. Naast onze oplossingen voor
digitale dienstverlening (digitaal loket met de WEB+ Suite) en
jeugd-signalering (Zorg voor Jeugdsysteem) hebben we een
langdurig beheercontract gesloten met gemeente Leiden en
mantelcontracten voor ICT dienstverlening en infrastructurele
projecten. Relaties van Inter Access zijn ondermeer de volgende
gemeenten: Almere, Alphen aan den Rijn, Amsterdam, Arnhem,
Baarle-Nassau, Capelle aan den IJssel, Castricum, Eindhoven,
Haarlemmermeer, Heemstede, Helmond, Leiden, Leiderdorp,
Leidschendam-Voorburg, Lelystad, Nieuwkoop, Oisterwijk,
Oosterhout, Rotterdam, Havenbedrijf Rotterdam, Tiel, Tilburg,
Utrecht, Dienst Stadswerken, Waalwijk en Waddinxveen.
Zie verder op http://www.interaccess.nl/
Whitepaper
46
Verwijzingen
(1) CGEIT staat voor Certified in the Governance of Enterprise IT. Dit is
een internationaal certificaat op het gebied van IT Governance
uitgegeven door ISACA. Zie http://www.isaca.org
(2) Focus op IT-bestuur: Essentiële elementen van IT-Governance,
Nederlands Architectuur Forum, Daniel Smits (red) e.a., Sdu. ISBN 978
90 12 128247
(3) Succes met IT Governance, Daniël Smits, Sogeti, 2006, ISBN 10 090-
75414-11-0
(4) Fred Heemstra, Rob Kusters, Ruud Snel, Eenzijdige risico-
inventarisaties bedreigen IT-projecten, Automatisering Gids, 14 april
2005, zie http://www.automatiseringgids.nl. Tabel 2 hebben wij in
deze whitepaper „afwijkende risico-uitspraken‟ genoemd in plaats van
„verkeerde risico-uitspraken‟ zoals vermeld in het artikel van Heemstra,
Kusters en Snel.
(5) Tabel uit The Choas Reports van Standish group
(6) Grip op informatievoorziening IT Governance bij ministeries, Tweede
Kamer der Staten Generaal, vergaderjaar 2005–2006, 30 maart 2006,
30 505, zie http://www.rekenkamer.nl
(7) Lessen uit ICT-projecten bij de overheid, Algemene Rekenkamer, Deel
A: 29 november 2007, Deel B: 25 juni 2008, zie
http://www.rekenkamer.nl
(8) Met de „business‟ wordt hier bedoeld de organisatie waarvoor de ICT
bestaat, waaraan de ICT desgevraagd zijn diensten aan biedt
(9) Publieke dienstverlening, professionele gemeenten. Visie 2015,
Commissie Gemeentelijke Dienstverlening/Commissie Jorritsma, VNG,
juni 2005
(10) Foutmelding in beeld, Rekenkamer Rotterdam, oktober 2009, zie
http://www.rekenkamer.rotterdam.nl
(11) Hans Nijman: Rotterdam is toe aan CIO, Computable, 21 oktober
2009, http://www.computable.nl/
(12) Vanaf 1 mei 2010 is door fusies het aantal stadsdelen teruggebracht
van veertien naar zeven
(13) Zie http://digitaalbestuur.nl/nieuws/ ICT-gemeente-amsterdam-schiet-
tekort en http://www.computable.nl/artikel/
ICT_topics/overheid/2708548/1277202/cio-moet-amsterdamse- ICT-
op-orde-brengen.html en vele andere perspublicaties over dit rapport,
alsmede de inleiding van het openbare rapport „ICT op NAP‟
(14) ICT op NAP, (Re)organisatieplan Dienst ICT, Gemeente Amsterdam, 15
oktober 2009, zie http://www.bestuursinformatie.amsterdam.nl
(15) Veroorzakers van complexiteit in ICT-infrastructuur, Vincent A.W.G.
Jansen, Computable, 16 september 2009. De auteur van dit artikel is
ook reviewer van deze whitepaper.
(16) Deze paragraaf werd op 2 september 2009 in grote lijnen gebruikt als
Weblog voor www.overheidsmanagement.nl
(17) Review of the Australian Government‟s Use of Information and
Communication Technology, Sir Peter Gershon CBE FREng, August
2008, zie http://www.finance.gov.au
Whitepaper
47
(18) Office of Government Commerce (OGC). Zie http://www.ogc.gov.uk
met verwijzingen naar uitgebreide informatie. Expertise Centrum
(HEC). Zie http://www.hec.nl
(19) Corporate governance of information technology, International
Standard ISO/IEC 38500:2008(E), First Edition, 1 juni 2008, zie
http://www.iso.org
(20) CobiT® 4.1, Framework/Control Objectives/Management
Guidelines/Maturity Models, IT Governance Institute (ITGITM) 2007,
ISBN 1-933284-72-2,
(21) K. Muijs-De Graaf, IT Governance in de dagelijkse praktijk, ITSMF Best
Practices Magazine nr 1, 2007
(22) Bijdrage J. van Puffelen in: Focus op IT-bestuur: Essentiële elementen
van IT-Governance, Nederlands Architectuur Forum, Daniel Smits (red)
e.a., Sdu. ISBN 978 90 12 128247
(23) Zie ook van de auteur van deze whitepaper: ITSMF Academy
(proceedings 27 mei 2008) volume 1, pagina‟s 64-71, redactie Arjan
Droog, ISBN 978-90-79272-03-7, Slechts dertig procent van de ICT-
projecten is een succes. Wat nu?
(24) Val IT is evenals CobiT eigendom van het Amerikaanse IT Governance
Institute (ITGITM)
(25) Enterprise Value: Governance of IT Investments. The Val IT
Framework. IT Governance Institute. ISBN 1-933284-32-2.
www.itgi.org
(26) Dr. H.F. Folkerts van ING en Universiteit van Twente, Presentatie: IT
Governance, NAF Insight IT Governance Practices, Nieuwegein, 20 mei
2009, zie http://www.naf-insight.nl
(27) What Does a CIO Actually Do? Ken Anderson, Burton Group,
www.burtongroup.com, 1 november 2007