Beheer

Governance
governance

IT-governance als concurrentiemiddel

20 mei 2011

De banken en verzekeringsmaatschappijen krabbelen weer op. Na een turbulente tijd met veel imagoverlies maken zij weer reclame als vanouds. Alsof er niets is gebeurd. Bij banken zijn de meest gebruikte reclametermen: hoog rendement en aantrekkelijk rentepercentage. Bij verzekeringsmaatschappijen wordt gelokt met gunstige poliscondities. Op zich zijn dit valide concurrentiemiddelen, maar een slimme consument kijkt naar meer, zeker na de crisis. Hoe betrouwbaar is de bank? Wat is het bonusbeleid? Een IT’er gaat echter nog verder en zal zich ook afvragen hoe solide het IT-portfolio is. Want uit ervaring weet hij dat dit een zwak punt is, erg zwak soms. En hoe zwakker het IT-portfolio, hoe onzekerder dat nu gedane beloften in de toekomst kunnen worden waargemaakt. Wat is de praktijk? En hoe kan deze verbeterd worden zodat de concurrentiepositie toeneemt?

IT vormt een cruciaal onderdeel van bedrijfsprocessen bij veel organisaties, met name in de financiële sector. Valt internetbankieren een halve dag uit, dan weet heel Nederland dit; bepaald geen reclame. Blijkt er simpele fraude van binnenuit of buitenaf mogelijk, idem dito. Het is niet bekend wat de financiële gevolgen van zulke missers zijn, maar ze zijn zeker niet gering. Daarnaast is door stijgende kosten een goed en transparant beheer van het portfolio van IT-systemen steeds belangrijker. Weten wat je hebt, weten wat je ermee kunt en weten wat je eraan wilt of moet veranderen, vormen hier de pijlers. Ten slotte neemt de wet- en regelgeving op het gebied van IT-beheer toe, met name in de financiële sector. Complicerende factor hierbij is dat bij het voldoen aan deze wet- en regelgeving weinig concrete en praktisch bruikbare richtsnoeren worden gegeven. Het hoofd bieden aan al deze aspecten van IT staat bekend als IT-governance. Goede IT-governance vereist onder meer een economische benadering, waarbij met name de huidige en toekomstige kosten van alle IT-systemen in kaart worden gebracht. Hierbij worden als componenten onderscheiden: voorziene onderhoudskosten, eventuele kosten voor aanpassingen en uitbreidingen en de bedrijfs- of operationele kosten. In de praktijk blijkt deze benadering slechts mondjesmaat toegepast te worden. Wat is hier de oorzaak van? Onwetendheid, onwil of onkunde?

In de financiële wereld ontbreekt het niet aan economen. Dus het kiezen van een economische invalshoek moet als bekend worden verondersteld, van onwetendheid kan geen sprake zijn. Onwil dan? De toenemende wet- en regelgeving dwingt organisaties ertoe aandacht te schenken aan IT-governance, dus onwil wordt eenvoudigweg niet meer geaccepteerd. Dan blijft er dus onkunde over als oorzaak van falende IT-governance. Men weet dat het moet, men kan er niet omheen, maar men heeft veel moeite het handen en voeten te geven. Hoe komt dat?

Stabiliteit
Er blijken twee belangrijke oorzaken te zijn voor falende IT-governance, beide gerelateerd aan de kwaliteit van IT-systemen. In de eerste plaats dient de vraag beantwoord te worden hoe betrouwbaar het huidige portfolio is. Wat zijn de risico’s op instabiliteit, hoeveel bedragen de daarvoor te reserveren kosten? Hiervoor dient inzicht verworven te worden in de kwaliteit van elk IT-systeem. En helaas wordt die in het algemeen pas bekend bij ingebruikname van zo’n IT-systeem en meestal blijken er dan onverwacht veel fouten op te treden. Deze ervaringsregel zal bij menig Eerste Kamerlid bewust of onbewust meegenomen zijn bij het stemmen tegen een landelijk patiëntendossier. Waarom is de kwaliteit van IT-systemen pas zo laat bekend? Als oorzaak wordt gezien dat IT-architecten en programmeurs een grote vrijheid hebben bij het kiezen van een ontwerp en het implementeren hiervan. Toetsing van het onderwerp aan kwaliteitscriteria en het bewaken van de implementatiekwaliteit gebeurt niet of te weinig. Dit is een groot verschil met de embedded industrie, waar het kwaliteitsbewustzijn veel hoger is. Het voldoen aan vastgelegde criteria en kwaliteitsnormen wordt hier continu bewaakt. Philips Healthcare kan het zich niet veroorloven dat de kwaliteit van een röntgenapparaat pas bij ingebruikneming bekend wordt. TomTom heeft te maken met een enorme afzetmarkt, waarin kwaliteitsproblemen niet alleen kosten met zich meebrengen maar ook groot imagoverlies en directe aantasting van de concurrentiepositie. In die zin kan de financiële industrie leren van de productenindustrie, waar men duidelijk enkele stappen verder is. Hier wordt proactief gestuurd op kwaliteit en dus stabiliteit, zodat problemen zo veel mogelijk voorkomen worden.

Levensduur
In de tweede plaats dient de vraag beantwoord te worden wat de te verwachten levensduur van elk IT-systeem is en hoe die eventueel positief beïnvloed kan worden. Ook hier strandt het schip in de praktijk. Onderhoudbaarheid en uitbreidbaarheid worden weliswaar bekendere begrippen, maar het periodiek meten van en sturen op deze karakteristieken blijft achterwege. Waarom? De belangrijkste reden is te hoge projectdruk. De meeste IT-projecten maken een valse start door een te optimistische schatting voor de opleverdatum af te geven. De gemaakte schatting wordt vertaald naar een toezegging, en dan is het kwaad reeds geschiedt. Alle zeilen worden bijgezet om deze einddatum te halen, geld speelt een ondergeschikte rol, evenals de kwaliteit in de toekomst. Het gevolg is minder aandacht voor onderhoudbaarheid en uitbreidbaarheid, hetgeen zich later wreekt. Het onderhouden van IT-systemen wordt bemoeilijkt, het uitbreiden gaat met steeds meer moeite gepaard. Hoelang zo’n IT-systeem nog mee kan – en tegen welke kosten – wordt een nauwelijks te beantwoorden vraag. Ook hier is de embedded industrie verder. Bij de verkoop van een medisch systeem bijvoorbeeld, wordt een garantie afgegeven voor een periode van twintig jaar. Hier wordt dus proactief gestuurd op kwaliteit in de toekomst in tegenstelling tot wat waar te nemen is in de financiële industrie.

De toenemende cruciale rol van IT in de financiële sector en het gebrek aan goed en transparant beheer zijn zorgwekkend. Niet alleen voor de organisaties zelf, maar uiteindelijk ook voor de consument. Wat heb je aan mooie beloften van adviseurs als ze niet waargemaakt kunnen worden door haperende IT-systemen, waarvan niet bekend is hoelang ze nog kunnen overleven? Ben je als consument blij te horen dat je bank IT-ontwikkeling en -beheer uitbesteedt aan Oost-Europa of nog verder weg? Wat gebeurt er met je spaargeld als de bank samengaat met een andere bank en twee haperende IT-portfolio’s in elkaar geschoven moeten worden? Er komt een tijd waarin goede IT-governance gezien kan worden als concurrentievoordeel.

Van ‘bit naar board’
Toch gloort er een waterig zonnetje aan de horizon. De IT-industrie zelf roert zich, zij het nog langzaam. Vroeger was een bestaande IT-applicatie vaak nog een ongedocumenteerd iets waar vooral van afgebleven moest worden. Tegenwoordig stelt technologie IT’ers steeds beter in staat stabiliteit, onderhoudbaarheid en uitbreidbaarheid te meten en er dus ook op te sturen. Daarnaast kan er veel geleerd worden van de embedded industrie. Adoptie van deze technologie op de werkvloer is belangrijk, maar er is meer. Het aggregeren van de data op de werkvloer naar zinnige informatie in de bestuurskamer is cruciaal. Van ‘bit naar board’ zoals Chris Verhoef dit kernachtig samenvat. Alleen op deze wijze kan men komen tot goede IT-governance, alleen zo kan een IT-portfolio proactief worden beheerd.

Wet- en regelgeving

Organisaties – vooral de beursgenoteerde – hebben in toenemende mate te maken met wet- en regelgeving op het gebied van corporate governance en risicomanagement. Continuïteit van de bedrijfsvoering van IT-applicaties is hiervan een belangrijke component. De wetten en regels die in dit kader onder meer gehonoreerd moeten worden, zijn:

  • Sarbanes-Oxley Act (organisaties met een beursnotering in de Verenigde Staten)
  • Code-Tabaksblat (organisaties met een beursnotering in Nederland)
  • Basel II (banken)
  • Regeling Organisatie en Beheersing (financiële sector in Nederland)

Bij het voldoen aan deze wet- en regelgeving worden vanuit de betreffende instanties weinig concrete en praktisch bruikbare handvatten aangereikt. Zo is bijvoorbeeld over de Sarbanes-Oxley-regelgeving veel geschreven en gesproken, bij de vertaling van de regelgeving naar de praktijk blijkt veel onduidelijk.

Er is dus behoefte aan praktische IT-standaarden die organisaties helpen wet- en regelgeving in de praktijk na te leven. Bekende standaarden zijn:

  • Information Technology Infrastructure Library (ITIL) is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een IT-organisatie. ITIL is geen methode of model, maar eerder een reeks van best practices (de beste praktijkoplossingen) en concepten. Het resultaat van een ITIL-implementatie is vergelijkbaar met de ISO 9000-regulering in andere branches, waarbij alle onderdelen van de organisatie zijn beschreven en in een bepaalde hiërarchie zijn gerangschikt qua bevoegdheid/verantwoordelijkheid.
  • Control Objectives for Information and related Technology (COBIT) is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. COBIT stelt IT-managers in staat om op basis van algemeen geaccepteerde best practices de IT-beheersmaatregelen in te richten. Daarnaast kunnen auditors op basis van het framework hun auditprogramma beschrijven en uitvoeren.

Beide standaarden dekken in grote mate dezelfde processen af. Er is wel een verschil. ITIL beschrijft in detail een set van processen en functies en geeft dus antwoord op de hoe-vraag. COBIT is een controleframework voor de wat-vraag. Het beschrijft geen processen maar stelt eisen aan processen.


Hans Sassenburg is zelfstandig adviseur en visiting scientist aan het Software Engineering Institute.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!