Dicht lekken in it-bestuur -- Informatiesystemen blijven leiden tot onvrede

PDF Versie

Op verschillende fronten is onvrede nog steeds een
belangrijk effect van informatiesystemen. Daardoor is
'it-governance' ofwel it-bestuur actueler dan ooit.
Bepalen waar de lekken zitten is essentieel voor het
stelsel van meet- en regelkringen dat ook wel 'full-cycle
governance' wordt genoemd. Zijn die kringen niet lekvrij,
dan kan de informatiestroom in het bestuurssysteem nooit
op druk komen.

In het hart [kader]

De verwevenheid van bedrijfsactiviteiten
en it stelt 'it-governance', de besturing
van informatie en de bijbehorende technologie,
in het hart van het continuum van andere
bestuurssmaken, zoals 'corporate'-,
financieel- en hr-bestuur (human resource).
Dat blijkt onder meer uit wetgeving als
de Public Company Accounting Reform And
Investor Protection Act (Sarbanes-Oxley,
2002) en de IT Management Reform Act
(Clinger-Cohen, 1996). In het kader van
Sarbanes-Oxley wordt Cobit (Control
Objectives For Information And Related
Technology) aangeraden voor een systematische
bedrijfsverslaglegging met meer diepgang.
Clinger-Cohen benadrukt de combinatie van
it-portfoliomanagement en bedrijfsarchitectuur.
De leidraad 'A summary of first practices
and lessons learned in it portfolio
management' (2002) benadrukt dat de
informatievoorziening een financieel
tastbaar effect moet hebben op de
bedrijfsprestaties en besteedt aandacht
aan leiderschap, de besluitvormingsstructuur,
methoden en 'tooling', en betrokkenheid.
"Realisten aan het roer. Naar een
prestatiegerichte governance van it" van
Menno van Doorn en Jaap Bloem presenteert
de ingredienten van een totaalaanpak voor
de besturing van informatie en technologie
in organisaties. [einde kader]

Extra aandacht voor ontwerp, ontwikkeling, implementatie,
beheer, uitfasering, migratie en integratie van systemen
is van belang, maar daar zit tegenwoordig maar een deel
van de pijn. De grootste zorgen ontstaan uit de economische
en functionele verwevenheid van bedrijfsactiviteiten en
it, en uit het feit dat medewerkers nu eenmaal niet
automatisch mee veranderen met de (opgelegde) ontwikkeling
van de informatievoorziening. De grootste it-bestuur
pijnpunten hebben tegenwoordig te maken met besluitvorming
en prioriteitstelling, rapportage over de bedrijfsactiviteiten,
bedrijfsprocessen en het gedrag dat nodig is om de
informatievoorziening goed te laten functioneren. Al deze
dingen vragen om een 'van onderaf'-aanpak die rolbewustzijn
stimuleert.

Mistig

Bij het thema onvrede en it springen drie partijen in
het oog: aandeelhouders, directies en medewerkers.
Aandeelhouders hebben vaak niet veel aan de informatie
die ze ontvangen. Wat de financiele kant van de zaak
betreft pleit de Koninklijke Nivra ervoor om nettowinst
te rapporteren en bepleiten andere partijen meer aandacht
voor kasstromen. Mistig cijferwerk is natuurlijk uit den
boze, maar ook de diepgang van de verslaglegging laat
sterk te wensen over. De verwachtingen van waardecreatie
op basis van informatiesystemen bijvoorbeeld staan in
geen verhouding tot wat er in jaarverslagen over wordt
gemeld.

De directies zijn ontevreden over het rendement van
investeringen in it. Er moet beter inzicht komen in
kosten, baten, doorlooptijden en risico's. Tot overmaat
van ramp blijkt de effectiviteit van informatiesystemen
nog steeds tegen te vallen doordat medewerkers niet de
juiste dingen doen. Aan al deze dingen moet het nodige
gebeuren. De vraag is wat, en wie, bepaalt die agenda?
Van bovenaf met onvoldoende oog voor van onderaf werkt
averechts, want de waarde van it wordt van onderaf
gerealiseerd. Daarom kijken we naar de twee topprioriteiten
op de it-bestuursagenda ('houd de baas uit de bak' en
'bepaal de bedrijfswaarde van it') en naar het fundament
van onderaf dat we daaronder moeten timmeren.

Strafrechtelijk

'Houd de baas uit de bak' staat nu boven aan de agenda.
Zelf zorgen voor transparantie en integriteit is tegenwoordig
de opdracht voor alle organisaties met een substantieel
belang in de Verenigde Staten na de fraudes bij onder
meer Enron, Adelphia, Tyco en Worldcom. Onlangs werd
bekend dat Worldcom (tegenwoordig MCI) geen 5,47 miljard
dollar winst heeft gemaakt over 2000-2002 maar 73,7
miljard verlies. Met zijn e-marktplaats-activiteiten leek
Enron als enige in staat om zich te handhaven als
succesverhaal van de 'nieuwe economie'.

Verdere nadelige gevolgen van deze fraudes voor haar
economie wilde de Amerikaanse overheid niet afwachten.
De na het Worldcom-schandaal van kracht geworden
Sarbanes-Oxley Act stelt bestuurders hoofdelijk
strafrechtelijk aansprakelijk met miljoenen dollars boete
en jarenlange gevangenisstraffen in het verschiet. De
136 Control Objectives For Sarbanes-Oxley, een subset
van Cobit (Control Objectives For Information And Related
Technology), worden daarbij aanbevolen als leidraad (zie
http://www.itgi.org).

Met een budget van 840 miljoen dollar jaagt de SEC
(Securities Exchange Commission) nu op bedrijven die hun
aandeelhouders niet van de juiste informatie voorzien.
Ze schromen niet om in het vliegtuig te stappen om net
als bij Ahold te komen kijken hoe de informatievoorziening
concreet is ingericht.  Hier is sprake van een mondialisering
van transparantiewet- en regelgeving.  Tijdens een ontbijt
begin april met William McDonough, de voorzitter van de
door Sarbanes-Oxley in het leven geroepen Pcaob (Public
Company Accounting Oversight Board) gaf EU-commissaris
Frits Bolkestein te kennen dat zijn jongste voorstellen
voor auditregels bewust zijn geent op de Sarbanes-Oxley
Act.

Met alles wat er volgens de wet gebeuren moet, kunnen
organisaties met gemak hun it-bestuursagenda vullen. Een
belangrijk deel van het budget daarvoor gaat dus naar
Sarbanes-Oxley (zie http://www.fei.org). Alleen al de
opzet van het transparantiesysteem waaruit onder meer
erp-data (enterprise resource planning), mails en im's
(instant message) jaren na dato nog moeten kunnen worden
opgediept, kost grote bedrijven twintig manjaar.

Portfoliomanagement

Ook het vaststellen van de bedrijfswaarde van it staat
hoog op de agenda.  Bestuurders zijn ontevreden over het
rendement van it-investeringen en de mate van inzicht
die ze daarin hebben. Net als aandeelhouders overigens,
maar die kunnen meestal hooguit gissen naar dit type
omissie---totdat een bedrijf zichzelf in de etalage zet
vanwege grove it-missers die de hele bedrijfsvoering
verlammen, zoals recent het geval was bij AT&T Wireless.

De it-bestuur 'best practice' die de bedrijfswaarde van
it helpt bepalen, heet portfoliomanagement. Bekend is
het voorbeeld van Schlumberger, waar Jane Walton drie
miljoen dollar bespaarde met de eerste conclusies uit
een projectendatabase die ze had opgezet. Bij Vodafone
Nederland startte Mark van der Pas een vergelijkbare
exercitie, waardoor het bedrijf de it-kosten kon drukken
met 40 procent.

Kostenreductie is echter niet het doel van portfoliomanagement.
Het gaat om een betere sturing op hoe en hoeveel it
bijdraagt aan de bedrijfsdoelen. De itim-adviezen (it
investment management) en het itim-volwassenheidsmodel,
gepubliceerd in 2000 door de Amerikaanse rekenkamer,
laten dat in concept mooi zien. Het is dus al lang niet
meer de vraag of portfoliomanagement op de it-bestuursagenda
staat, maar hoe hoog de lat daarbij ligt. We kunnen
beginnen met lijstjes te maken van projecten en
bedrijfsmiddelen, we kunnen ontbrekende gegevens aanvullen
uit benchmarks of zelfs abc (activity-based costing)
invoeren. Voor haar eigen it-uitgaven gaat de Nederlandse
overheid nu het Amerikaanse voorbeeld volgen. Eerder dit
jaar maakte Mark Frequin, directeur-generaal telecommunicatie
en post, en verantwoordelijk voor het rijksbrede it-beleid,
bekend dat overheidsorganisaties it-portfoliomanagement
gaan toepassen.

Met portfoliomanagement hebben we een it-bestuursaanpak
te pakken die nooit af is en waarmee organisaties in
combinatie met architectuur, investeringsmanagement en
zakelijke rechtvaardigingen (business cases) hun tijd
makkelijk zinvol kunnen doorbrengen. In de praktijk zijn
er echter nog steeds organisaties waar projecten eigenlijk
nooit worden afgeblazen. Het betekent gezichtsverlies en
dat ligt erg gevoelig. Dus beweegt men hemel en aarde om
er altijd toch maar het beste van te maken. Ondanks alle
aandacht voor portfoliomanagement is 'Bringing the rigour
of financial investing to it', zoals de Financial Times
verleden jaar kopte, dus nog geen gemeengoed. (De rol
die portfoliomanagement kan spelen om de waarde van it
te bepalen en bij het maken van keuzes is beschreven door
Chris Verhoef, http://www.cs.vu.nl/~x/qipm.html).

Rolbewustzijn

Het derde agendapunt is bestuur van onderaf in gang
zetten. Voor Sarbanes-Oxley, portfoliomanagement en
aanverwante zaken bestaan tegenwoordig allerlei softwaretools,
waaronder Alinean, Icso/Bwise, Kintana/Mercury Interactive,
Mirror42, Niku en PMoffice. Op basis van wet- en regelgeving
als Sarbanes-Oxley, Hipaa, Gramm-Leach-Bliley, de US
Partriot Act en Basel II is er ook een markt ontstaan
voor opslag/terughaal-oplossingen als die van Zantaz en
IBM. In het kader van zijn grid-initiatief zet IBM met
partners een 'ecosysteem' op voor 'real-time disclosure
compliance'. Op die manier kan de behoefte aan transparantie
en integriteit een drijvende kracht worden achter de
uitbesteding van onderdelen van de informatievoorziening.

Toch zullen organisaties portfoliomanagement en 'voldoen
aan de normen en regels' grotendeels in huis doen, samen
met externe deskundigen. In beide gevallen moet van hoog
tot laag draagvlak en rolbewustzijn worden gestimuleerd.
Vooral portfoliomanagement stelt forse 'van onderaf'-eisen
vanwege het beoogde doel: de bedrijfsprestatiegerichte
besturing van informatie en de bijbehorende technologie.
Daarmee is portfoliomanagement, dat de economische en
functionele verwevenheid van bedrijfsactiviteiten en it
op de agenda zet, ook een kans om 'volledige cyclus
bestuur' goed op de rit te krijgen.

Dode letters

Een kans, maar we moeten de realiteit onder ogen zien.
De leidraad 'A summary of first practices and lessons
learned in it portfolio management' (2002) volgde op een
auditrapport van Senator Fred Thompson (2000) waaruit
bleek dat de architectuur- en portfolio-aanbevelingen in
de IT Management Reform Act vier jaar na dato nog steeds
dode letters waren. Pas toen de recessie een feit was,
inclusief schandalen en terroristische aanslagen die de
economie geen goed deden, raakte men zo gealarmeerd dat
de daad bij het woord werd gevoegd om beter de vijftig
miljard dollar te verantwoorden die de Amerikaanse overheid
jaarlijks uitgeeft aan it. Nog in oktober 2003 liet
ex-deputy-cio Paul Brubaker zich voor Federal Computer
Week ontvallen dat het de mensen eigenlijk ontbreekt aan
kennis en vaardigheden. Een 'Summary of first practices
and lessons learned' is niet meer dan een druppel op de
gloeiende plaat, want eigenlijk is het allemaal gewoon
te veel: er moet zoveel worden omgebouwd en opnieuw
ingeregeld.

Iets dergelijks zien we bij Sarbanes-Oxley. Voor de
invulling van die wet is de SEC verantwoordelijk. Die
stelde aanvankelijk het Coso-raamwerk uit 1992 voor
(Committee Of Sponsoring Organizations Of The Treadway
Commission), dat in het kader van transparantie en
integriteit ook de bedrijfsefficientie en -effectiviteit
meeneemt. Dat heeft dus veel weg van portfoliomanagement.
Na een hoop ophef hierover is uiteindelijk het eisenpakket
teruggeschroefd naar transparante financiele
informatievoorziening op basis van een Cobit-subset.
Zowel Sarbanes-Oxley (waarvan de deadlines voor 'voldoen
aan de normen en regels' overigens zijn verschoven) als
architectuur en portfoliomanagement trekken dus een zware
wissel op wat er in organisaties allemaal moet worden
ingericht en blootgelegd.

Sarbanes-Oxley en portfoliomanagement leiden tot een
andere omgang met informatiesystemen. Nu weten we eigenlijk
wel dat we aan de omgang daarmee---van onderaf dus---niet
genoeg aandacht kunnen besteden, maar in de praktijk is
er toch altijd veel verwarring, onvrede en contraproductiviteit.
Wat dat betreft komen deze twee bestuursinitiatieven niet
erg gelegen.

Adequaat

Volgens Donald Machand, hoogleraar informatiemanagement
en strategie aan het Institute for Management Development
in Lausanne, staat na alle debacles tegenwoordig een
positieve roi (return on investment) en eva (economic
value added) voor it-investeringen voorop. We mogen echter
nooit de fout maken om ons met deze noodzakelijkheid
tevreden te stellen. Het echte nut van it zit hem in de
adequate inzet van informatie. Die invalshoek moet altijd
leidend zijn.

Onder meer in het boek Making the invisible visible, How
companies win with the right information, people and it
(2001) pleit Marchand voor een duidelijke gerichtheid op
het gebruik van informatie. It dient immers geen ander
doel. Het verlies van die gerichtheid is fnuikend. Meestal
gaan we er stilzwijgend vanuit dat informatieverwerkingsvaardigheden
op de werkplek tot ontplooiing komen.  Gegevens verzamelen
en structureren zijn echter geen inspirerende bezigheden.
Daarom moeten we die belonen en hun belang benadrukken.
Daarnaast is fouten toegeven essentieel: je moet medewerkers
motiveren om problemen te delen met het management. De
aanpak van Marchand is empirisch gefundeerd en wordt
geschraagd door een gevalideerd meet- en regelsysteem.
Bedrijven als Dell, Heineken, Ikea, Hilti, Nokia,
Ritz-Carlton, Sony, verschillende banken en Wal-Mart
laten zich er lovend over uit.

Uit alle beschreven ervaringen komt hetzelfde beeld naar
voren: wie zich tevredenstelt met een it-bestuursagenda
die alleen is gevuld met een instrumentele benadering
als Sarbanes-Oxley en portfoliomanagement, zal de
inspanningen tien tegen een ergens in de uitvoering zien
stranden. Met alle nieuwlichterij is van onderaf-aandacht
voor het gedrag dat medewerkers in de organisatie moeten
ontplooien nu essentieler dan ooit.
  
Menno van Doorn, Jaap Bloem

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef