Boter bij de vis -- IT-portfoliomanagement als onderdeel van IT-governance

PDF Versie

De naleving van regelgeving als Sarbanes-Oxley
treedt niet in de plaats van it-portfoliomanagement
en -governance. In beide gevallen is transparantie
het doel, maar de ene transparantie is de andere
niet.  Wat zijn het doel en de uitdaging van
it-portfoliomanagement?

De transparante en businessgeorienteerde afrekencomponent
van it-governance krijgt nu pas de aandacht die ze
verdient, nu we weer alle dubbeltjes moeten omdraaien
en de roep om transparantie luider klinkt dan ooit.
Hoewel serieuze it-governance een sterke wissel
trekt op organisaties en op organiseren, is ze
noodzakelijk vanwege de impact van informatie en it
en de grote investeringen die daarmee zijn gemoeid.
Niet zelden betreft het de helft of meer van alle
kapitaalsinvesteringen.

Voor it-governance is een modelmatige indeling handig
als plaatsbepaling. Maar de elementen vormen een
sterk interacterend stelsel dat organisch ineen moet
grijpen.  Bovendien moet dat stelsel zijn ingebed
in organisatie- en besturingsstructuren waardoor de
menselijke maat---het gewenste gedrag in de omgang
met informatie en it---waarvan we hier noodzakelijkerwijs
grotendeels abstraheren, de doorslaggevende factor
wordt.

Een waarschuwing met betrekking tot de transparantiewet-
en regelgeving vanuit de corporate-governancehoek
is hier op haar plaats. Deze wet- en regelgeving
kan de aandacht voor it-portfoliomanagement aanwakkeren,
maar op korte termijn is het waarschijnlijk dat
organisaties zich wat it-transparantie betreft,
zullen beperken tot een compliance-aanpak die alleen
de gestelde sanctioneerbare doelen recht doet (bijv.
Sarbanes-Oxley). Die brengen al genoeg werk en kosten
met zich mee. Vanuit de it-auditinghoek biedt CobiT,
de Control Objectives for Information and Related
Technology, hiervoor een raamwerk met haar Control
Objectives for Sarbanes-Oxley. Volgens gerenommeerde
bronnen laten we dan echter enorme kansen liggen [1] door ons voornamelijk bezig
te houden met de kwaliteit van financiele rapportages
en niet met de waarde die it-gerelateerde investeringen
moeten opleveren voor de business.

MetricNet, een onderdeel van Meta Group, beschouwt
it-portfoliomanagement als een doorslaggevende stap
in de richting van volwassen omgaan met it.
It-organisaties lijken vier evolutionaire fasen door
te maken [2]:

1. It als uitvoerende dienst

In deze fase draagt it niet direct bij aan businessgroei
en is in die zin dus niet strategisch. De aandacht
gaat voornamelijk uit naar een kostenefficiente
operatie. Benchmarking wordt vaak toegepast, evenals
radicale downsizing.

2. It als business enabler

It draagt wat meer bij aan de groei en kan nieuwe
manieren opleveren om de winstgevendheid te vergroten.
Vaak worden er in deze fase forse investeringen
gedaan. De aandacht is gericht op kosten en immateriele
effectiviteit.  De meer ontwikkelde it-organisaties
gebruiken een balanced scorecard om de financien
plus het effect op klanten en processen in kaart te
brengen.

3. It als business binnen de business

Stringentere kosten- en prestatienormen voor de
it-organisatie maken een vergelijking mogelijk met
marktpartijen.  Scorecards spelen ook hier een rol,
met de nadruk op kosten, kwaliteit van de dienstverlening,
contacten en procesefficientie en -effectiviteit.

4. Volledige integratie van it met de business

De it-organisatie treedt op als een onderneming en
wordt ook zo bestuurd. Dit is het stadium waarin
portfoliomanagement gaat spelen. De it-organisatie
bestuurt haar activiteitenportefeuille---business-support,
vervanging en ontwikkeling, en high-risk
business/it-initiatieven---zo actief en adequaat
mogelijk. Portfoliomanagement is noodzakelijk om
steeds verder te kunnen groeien naar volledige
integratie.

Plan-Do-Check-Act

It-portfoliomanagement is de afrekencomponent in de
cirkel van plannen, investeren, samenhang bewaken
en afrekenen. Zo'n budgetcyclus genereert belangrijke
gegevens voor de beantwoording van de tegenwoordig
prangende vraag: wat levert onze manier van omgaan
met informatie/it-projecten op voor de business?
Indachtig de substantiele hoogte van onze it-gerelateerde
investeringen is het heel logisch dat ons dat erg
bezighoudt.

Het ligt voor de hand om plannen, investeren,
samenhang bewaken en afrekenen te zien als een
Plan-Do- Check-Act-cirkel. Maar dan vooral niet te
mechanisch.  Niet alleen moet dit stelsel zijn
ingebed in organisatie- en besturingsstructuren,
zodat de menselijke maat de doorslaggevende factor
wordt. Ook is er een spiegelrelatie tussen plan en
check en tussen do en act. Tegelijkertijd kan de
businessplanning niet los worden gezien van de
projectportfolioafrekening en van de mate van
rigiditeit waarmee we onze investeringen sturen:
ons investeringsmanagement [3].  Plan-Do Check-Act:
we weten hoe het moet en er is dus eigenlijk geen
excuus meer voor slordig it-bestuur.  Maar u voelt
ook wel dat dit vanwege dwarsverbanden en
inbeddingsuitdagingen in de praktijk vaak een enorm
understatement blijkt te zijn, ondanks de vele
raamwerken, softwaretools, best practices en lessons
learned [4]. Goed it-governance bedrijven is geen
sinecure: "Folks don't have the knowledge to make
these things reality" [5] is meer dan eens de
teleurstellende praktijk. Evangelisatie en bewustzijn
creeren zijn daarom van groot belang.

Alle elementen die tot nu toe zijn genoemd, hangen
ten nauwste samen. En elke modelmatige afkadering
daarbinnen is niet meer dan een plaatsbepaling. Net
als iedere andere vorm van governance is it-governance
een hecht stelsel van meet- en regelkringen, dat
via de genoemde cyclus en via onze organisatie- en
besturingsstructuur zo geolied mogelijk moet
functioneren. We organiseren opdat onze processen---die
staan of vallen met de betrokkenheid van
medewerkers---organisch kunnen verlopen.  Maar in
de praktijk pakt dat vaak precies anders uit. Met
name complexe stelsels van meet- en regelkringen
dienen steeds op dat gevaar te worden gecontroleerd.

Zonder softwaretools geen
portfoliomanagement

Deze situatieschets maakt aannemelijk dat we er
zonder deugdelijke hulpmiddelen nooit uit kunnen
komen.  PMoffice (www.pmoffice.com), Niku (www.niku.com),
Mercury Interactive (www.mercuryinteractive.com/products/it_gov)
en Mirror42 (www.mirror42.com) lijken op dit moment
een bijzondere plaats in te nemen in het groeiende
scala aanbieders van it-governance- en
portfoliomanagementsotfware.

Weliswaar beweert iValue (www.ivalueinstitute.com)
in zijn marketing dat we met simpele spreadsheets
de aandeelhouderswaarde van it-investeringen positief
kunnen beinvloeden (Creating Shareholder Value from
Information Technology); de praktijk is heel anders,
althans in de meer complexe omgevingen.  Al was het
alleen maar omdat we vanuit wet- en regelgeving als
de Public Company Accounting Reform and Investor
Protection Act (Sarbanes-Oxley) gehouden zijn om
ook historische gegevens paraat te hebben en we op
verzoek van toezichthouders moeten kunnen switchen
tussen de verslaglegging en de onderliggende data,
onder meer uit ERP- en emailsystemen.

De geschetste complexiteit en de geschetste samenhang
zijn twee kanten van dezelfde medaille. In die
dynamiek, waar zoals bekend veel geld omgaat, is
het niet onverstandig om het it-investeringsmanagement
en het it-portfoliomanagement te koppelen met de
boekhoudsystemen.  Zeker nu IFRS, de nieuwe
International Financial Reporting Standard, op komst
is (www.nivra.nl/verslaggeving/verslaggeving_home.htm).
Uiteraard legt ook die standaard weer meer transparantie
op, bijvoorbeeld in het kader van de waardering van
immateriele middelen [6].  Daarvan maakt it een
groot deel uit.

Architecturen en portfoliomanagement:
Sarbanes Oxley lanceert Clinger-Cohen

Net als de Sarbanes-Oxley Act uit 2002 staat in de
Clinger Cohen Act (1996) transparantie centraal.
Sinds in 1996 de it-Management Reform Act (Clinger-Cohen)
van kracht werd om paal en perk te stellen aan slecht
it-management, moesten in Amerika de CIO Offices
van overheidsorganisaties zich actief gaan bezighouden
met architectuur en met portfoliomanagement.  Echter,
een rapport uit 2000 [7] maakte duidelijk dat daar
in de praktijk niets van terecht kwam, ondanks
allerlei richtlijnen en best practices die nog extra
waren gepubliceerd [8].

In oktober 2003 zei Paul Brubaker, voormalig deputy-CIO
van het Amerikaanse ministerie van Defensie, in
Federal Computer Week er het volgende over: "Folks
don't have the knowledge to make these things reality"
[5]. Om te beginnen hanteert de Amerikaanse
overheids-CIO Norm Lorenz daarom nu het principe no
architecure, no funding.  Wie zelfs nog steeds niet
goed heeft nagedacht over de samenhang tussen
organisatie, informatie en it, krijgt dus gewoon
geen geld.

Al deze informatie is openbaar omdat het gaat om
geld van de Amerikaanse belastingbetaler, maar in
Amerika springen CIO's heen en weer van bedrijfsleven
naar overheid. We kunnen dus gevoegelijk aannemen
dat het bedrijfsleven met vergelijkbare problemen
worstelt.

Zoals architecturen het structureringscomplement
vormen van businessplanning, zo is portfoliomanagement
het afrekencomplement van geld beschikbaar stellen.
Daarnaast volgt portfoliomanagement in de
Plan-Do-Check-Act-cyclus niet voor niets op de
architectuurcomponent.  De structuren en hun samenhang
behoren namelijk belangrijke views te geven op de
asset- en projectportefeuilles.  De derde les van
"A Summary of First Practices and Lessons Learned
in Information Technology Portfolio Management" [4]
gaat hierop in.

Sarbanes-Oxley kan de aandacht voor it-portfoliomanagement
aanwakkeren, maar op korte termijn is het waarschijnlijk
dat organisaties zich qua it-transparantie zullen
beperken tot een compliance-aanpak. Zoals aangegeven
laten we dan echter kansen liggen [3].

Evangelisatie en bewustzijnsontwikkeling

Waar we op dit moment staan, is in dit artikel
voldoende duidelijk geworden: de ontwikkeling van
kennis en vaardigheden met betrekking tot wat er
moet gebeuren, is een allereerste vereiste. Eigenlijk
zijn we nog maar net begonnen met it-projectportfoliomanagement
en met it-governance, de paraplu waaronder deze
deeldiscipline, samen met andere, vaart.

De vrij toegankelijke werken van Thomas Pisello,
Paul Strassmann [9] en Chris Verhoef [10] dragen
hieraan bij, net als bijvoorbeeld de
it-portfoliomanagementlessen [4] en waardemetingmethoden
[11] van de Amerikaanse CIO Council op Internet.
Het zijn fundamentele kennisbronnen waaraan iedere
manager die medeverantwoordelijk is voor de omgang
met informatie en it zich zou moeten laven.

It-governance [kader]

It-governance is een vorm van businessprestatiemanagement
die zich richt op de besturing van informatie, van
it en van de omgang daarmee. Dat overschrijdt de
competenties van afzonderlijke managementlijnen en
-lagen.  Vandaar ook het begrip governance. Idealiter
is dat een transparante trias politica van bestuur,
verantwoording en toezicht, in het kader van een
adequate behartiging van uiteenlopende belangen en
een transparante verslaglegging.  Op zijn minst
organisatie-intern, maar bij het toenemende belang
van it ook richting Raad van Commissarissen en
extern, richting share- en stakeholders.  Traditioneel
heeft de rapportage over interne controle- en
risicobeheersingssystemen hierin een centrale plaats.
Samenhangende it-governancepraktijken doortrekken
de gehele organisatie en budgetcycli en zijn een
belangrijke spil in het hele governancecontinuum
(van corporate governance, financial governance,
hr-governance en it-governance).  Centraal bij
it-governance staat prioriteitstelling gerelateerd
aan businessdoelen. Die prioriteitstelling wordt
afgemeten aan kosten, baten en risico's. Heldere
maatstaven en goed ingerichte primaire en ondersteunende
processen, waarin medewerkers prettig kunnen en
willen functioneren, zijn daarbij van cruciaal
belang. Verantwoording afleggen aan stakeholders en
toezichthouders geeft de buitenwereld inzicht in
het belang en de beheersing van informatie en it.
[eind kader]

Jaap Bloem 

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

voetnoten

[1] Meta Group beschouwt het proces van it-portfoliomanagement
als de hoeksteen voor de dynamische alignment van
business en it. Door met it om te gaan vanuit een
investeringsperspectief---voortdurend gefocust op
kosten, baten, risico's en op prioriteitstelling---hebben
ondernemingen, aldus Meta Group, hun it-kosten met
dertig procent kunnen terugdringen, terwijl de it
twee tot drie maal meer opbracht. (META Group (2002):
"The Business of it Portfolio Management: Balancing
Risk, Innovation, and ROI" www.verizonit.com/pdf/focus/portfolio.pdf)

[2] MetricNet: it-portfoliomanagement
128.121.222.187/specials/it_portfolio_management.html)

[3] General Accounting Office (2000): "Information
Technology Investment Management. A Framework for
Assessing and Improving Process Maturity"

[4] CIO Council (2002): "A Summary of First Practices
and Lessons Learned in Information Technology
Portfolio Management" www.cio.gov/documents/BPC_portfolio_final.pdf

[5] Frank, D. (2003): OVERWHELMED? If your daily work
leaves you no time to focus on OMB's management
agenda, you're not alone'
www.fcw.com/fcw/articles/2003/1006/cov-over-10-06-03.asp

[6] Daum, J. (2002): "Accounting, Reporting and
Intangible Assets, Interview with Baruch Lev"
www.juergendaum.com

[7] "Investigative Report of Senator Fred Thompson
on Federal Agency Compliance with the Clinger-Cohen
Act" (2000) www.senate.gov/~gov_affairs/101900_table.htm

[8] State of Washington (1998): "IT Portfolio Management
Policy, Standards and Guidelines"
www.wa.gov/dis/portfolio/index.htm

[9] Pisello, T., Strassmann, P.A. (2003): "IT Value
Chain Management Maximizing the ROI from it Investments.
Performance metrics and management methodologies
every it stakeholder should know"
www.alinean.com/roiarchives/roiresources.asp

[10] Publicaties van Chris Verhoef: www.cs.vu.nl/~x/qipm.html

[11] CIO Council (2002): "Value Measuring Methodology
-- How-To guide" www.cio.gov/documents/ValueMeasuring_
Methodology_HowToGuide_Oct_2002.