Voorzitter Algemene Rekenkamer heeft vertrouwen in IT niet verloren

Nou, ‘oplossen’ is misschien wel wat hoog ingezet. Maar het zal zeker meer greep op de projecten bieden dan tot dusverre het geval was. Een van de bevindingen uit het eerste rapport was dat ICT-projecten bij de Rijksoverheid een verhoogd risico lopen door een spanning tussen organisatorische, politieke en technische complexiteit. Elk van die drie domeinen heeft een eigen logica en een eigen dynamiek, en als daar geen afstemming plaatsvindt, als die spanningen niet worden opgeruimd, dan belandt dat probleem op het bordje van de IT en die is niet toegerust om dat op te lossen. P-Direct is daarvan een klassiek voorbeeld. Afgesproken wordt het HR-management van de departementen onder te brengen in één gezamenlijke service met een HR-portal, waarop de medewerkers zaken als mutaties en verlofaanvragen zelf zouden kunnen invoeren. Prachtig: efficiënt en meer service voor de betrokken medewerkers. Dus dat project werd op de rit gezet, inclusief de uiteraard noodzakelijke harmonisatie van de arbeidsvoorwaarden. Maar toen pas bleken de secretarissen-generaal die harmonisatie niet te ondersteunen, ontstond er een geweldig organisatorisch probleem, en werd besloten toch door te gaan en dan maar al die varianten te automatiseren. Daardoor staat P-Direct nu te boek als een ‘mislukt IT-project’, terwijl in feite de organisatie mislukte. Een van de taken van de departementale CIO zou moeten zijn, te zorgen voor een heldere demarcatie van politiek, organisatie en techniek. Daarmee worden de condities gecreëerd waaronder de technici hun vakmanschap kunnen bewijzen. Maar de departementen hebben toch al CIO’s in de persoon van de plaatsvervangend secretaris-generaal? Dat klopt, maar het pakket bevoegdheden dat nodig is om die functie goed in te kunnen vullen ontbreekt nog. Zo is bijvoorbeeld het portfoliobeheer nu niet duidelijk geregeld. Zo’n plaatsvervangend secretaris-generaal kan nu nog niet zeggen: “Okay, vijf zware IT-projecten kunnen we aan, maar tien niet. Politiek, u zult keuzes moeten maken.” Zonder duidelijkheid over bevoegdheden, kosten en prioriteiten valt er weinig te managen. Nu is vaak niet eens duidelijk welke projecten wel of geen IT-projecten zijn. Als je op die lijst van IT-projecten van het Ministerie van Binnenlandse Zaken kijkt, dat zie je daar heel veel projecten op staan die door het publiek of door de politiek niet als IT-projecten worden beleefd. Maar er zit dan wel degelijk een IT-component in. Hoe groot moet die component zijn om te zeggen dat het een IT-project is? En dat er dus regels ten aanzien van informatiearchitectuur op van toepassing zijn en dat het ook onder het portfoliomanagement van de CIO valt?Portfoliomanagement is prioritering, wat moet daarbij de maatlat zijn? We bevelen aan dat voor alle IT-projecten boven een bepaalde omvang een business case wordt gemaakt. In de businesscase moeten randvoorwaarden, kosten en opbrengsten in alle betrokken domeinen, politiek, organisatie en techniek zijn meegenomen. De gedachte daarbij is dat die projecten dan niet meer worden opgevat als kostenposten maar als investeringen, die je rationeel beoordeelt op hun return. Die return is dan, samen met de haalbaarheid, maatgevend bij het portfoliomanagement van de CIO. Heel belangrijk is daarbij dat zo’n business case impliceert dat elk project een beperkte houdbaarheid heeft en dat men als zo’n project stagneert niet eindeloos door kan blijven sleutelen . Het kan niet zo zijn dat de maatschappij stilstaat in afwachting van de oplevering van een project, dat vijf jaar of langer uit de planning loopt. 
Een business case is in de kern van de zaak een afweging van kosten en baten. Het lijkt echter inherent aan de politiek dat de ambities niet altijd een batenkant hebben. De samenleving is geen onderneming.Klopt, baten moet je in dit verband niet uitsluitend financieel opvatten. Je kunt de politieke keuze maken om te investeren in gezondheid, veiligheid of vrede als doel op zich. Waar het om gaat is dàt een keuze wordt gemaakt. Zodat een departement de kamer kan confronteren met de prijs van de uitgesproken ambitie, de prijs in geld, doorlooptijd, capaciteitsbeslag en misschien ook wel in prioriteit: ‘Kamer als u dit wilt, dan moet u een ander project opschorten’. Dat betekent dus dat de Kamer bij besluiten met IT-consequenties moet wachten tot dat de projecteigenaar - meestal een departement - de business case heeft onderzocht?Ja. Dat zouden ze nu ook moeten doen.In de Verenigde Staten kent men de zogeheten Clinger Cohen Act, een wet op de IT die onder meer een set IT-governanceregels definieert waaraan de CIO’s van overheidsdiensten zich dienen te houden. In de aanbevelingen van de Rekenkamer lijken dergelijke minimumeisen voor het optreden en functioneren van de CIO’s te ontbreken.Zo’n set van IT-governanceregels voor overheidsdiensten bestaat al, zij het dat ze hier niet dwingend is. We hebben gekeken naar de effectiviteit van de Clinger Cohen Act. Maar het blijkt dat er geen evaluatie van beschikbaar is, ook onze Amerikaanse collega-instelling heeft er geen onderzoek naar gedaan. Er valt dus weinig te zeggen over de effectiviteit van zo’n wet op de IT. Maar dat is toch op zich een reden om een model af te schieten? Als geen effecten bekend zijn, dan kun je kijken naar de geloofwaardigheid van het model, of dat elementen bevat waarvan je analiserenderwijze mag verwachten dat ze problemen ondervangen? Ja, dat hebben we ook gedaan. We hebben daaruit we de overtuiging opgedaan dat het een sterk door de Amerikaanse verhoudingen bepaald model is, dat je niet zomaar hier kunt implementeren. Je kan hooguit elementen overnemen en hier inpassen, zoals de rol van de CIO binnen de departementen. Is er geen noodzaak om ook over de departementen heen coördinatie en architectuur te waarborgen? We denken niet dat één overkoepelende ‘Rijks IT-bouwmeester’ in Nederland zal werken. Het wringt met de cultuur van eigen verantwoordelijkheid van ministeries en ministers. Waar projecten departementen overstijgen, zal de CIO van Binnenlandse Zaken coördinerend optreden, met oog voor de relatieve posities binnen de IT-Architectuur. De zorg voor de architectuur ligt voor een deel al besloten in de eisen ten aanzien van de business case. Een belangrijke voorwaarde in dat verband is de harmonisatie van het begrippenkader en de uitgavensystematiek, wat uiteraard wel op rijksniveau dient te gebeuren. Om business cases te maken, om portfolio’s te beheren en om kennis en ervaring te delen, moet je uiteraard dezelfde definities hanteren. Het kan natuurlijk niet zo zijn dat nergens vast ligt wat het begin of het einde van een project is, zoals we nu bij een aantal cases moesten vaststellen dat het geval was. Het rapport pleit voor invoering van de Gateway-methode. Een vorm van peer-review waarbij onafhankelijke vakgenoten tussenresultaten evalueren, maar zonder formele bevoegdheden om een deraillerend project ‘on hold’ te zetten. Had u bij de evaluaties van de mislukte projecten de indruk opgedaan dat de verantwoordelijken steeds goed hebben geluisterd naar waarschuwingen van collega’s en deskundige buitenstaanders? Ik weet dat in een aantal gevallen niet is geluisterd. Iedereen hoopt altijd dat het lukt om zo’n haperend project toch weer op de rit te krijgen. Ik denk ook niet dat de peer reviews alle ellende gaan voorkomen. Ik denk wel dat het een verschuiving in de goede richting teweeg kan brengen en bovendien wordt ermee bereikt dat men kan leren van elkaars ervaringen.