Handelen met voorkennis

PDF Versie

Het grootste deel van de IT-projecten bij de
overheid looptonderweg averij op. De bestuurder
wordt echter vooraf nauwelijks voorgelicht over
de risico's. Tijd dat hij die zelf
leertinschatten. Handelen met voorkennis levert
namelijk geheid winst op en is -anders dan bij
aandelen- niet strafbaar. Professor Chris
Verhoef geeft college IT-portefeuillebeheer.

Nooit op 1 paard wedden, een gevleugeld
spreekwoord dat de noodzaak van
risicodiversificatie tot uitdrukking brengt. En
inderdaad, als je al je geld in 1 aandeel
belegt, kun je hoog rijzen, maar ook diepe dalen
tegemoet zien. Daarom zijn er fondsen die
risico's dempen: als bijvoorbeeld
maatwerksoftware hot is, dan zijn pakketten uit,
en omgekeerd. Dus een IT-fonds zou beide
soorten moeten hebben om die tegengestelde
bewegingen een beetje uit te vlakken. Al met al
hebben we zo allerlei technieken tot onze
beschikking om financiele portefeuilles met
een grote varieteit aan risico-profielen en
dito rendement door te kunnen rekenen. Dat heet
portefeuillebeheer.

IT is eigenlijk net een aandeel. Je
investeert erin en daar wil je rendement voor
terug in de vorm van geld, klanttevredenheid,
effectiviteit, efficientie en wat dies meer
zij. Nu kunnen we onze risico's niet spreiden
door zowel in software voor oorlogsbodems als ook
in IT voor de zorg te investeren omdat die twee
lines of business nooit in 1 organisatie
verenigd zijn. Dus een andere strategie is
vereist als het gaat om IT-risico's.

Risicospreiding

Laten we eerst eens kijken naar zogenaamde
executierisico's. Dat zijn risico's tijdens de
ontwikkeling van informatietechnologie. Simpel
te begrijpen vormen zijn dan risico's op
budgetoverschrijding, tijdsoverschrijding en
onvolgroeide functionaliteit bij oplevering. Als
bestuurder krijg je risico-inzichten niet op een
dienblaadje aangereikt. Vragen naar
uitvoeringsrisico's levert allerlei
geruststellende taal op, zonder dat uit de
antwoorden kan worden opgemaakt of men over
wenselijkheid of feitelijkheid praat.

Dus je zult als bestuurder zelf aan de slag
moeten. Net als bij het wedden op 1 paard,
voel je op je klompen aan dat je niet alleen maar
grote complexe IT-projecten kunt uitvoeren. Die
capaciteit heb je als overheid niet in huis. De
mix van rijp en groen personeel, van onervaren
managers tot diegenen die het klappen van de
zweep kennen, en de geldkraan die niet altijd
wagenwijd open staat, laat duidelijk zien dat er
een maximum zit op grote IT-investeringen.

Maar wanneer ben je aan je tax, wanneer kan er
nog wat bij en wanneer moet er iets af? Op
investeringsgrootte kun je wel degelijk
diversifieren om de uitvoeringsrisico's te
beteugelen. Grote IT-investeringen brengen
namelijk hoge executierisico's met zich mee. Dus
de topinvesteringen kennen en de hoeveelheid
ervan maximeren is dan een effectieve vorm van
risicobeheersing.

IT-portefeuillebeheer

In de VS is handelen met voorkennis een must als
het gaat om IT-projecten bij de overheid.
IT-portefeuillebeheer is onder de wet op de IT,
de Clinger Cohen Act, verplicht en heeft de
overheid al flink wat kosten bespaard zoals in
een eerdere Digitaal Bestuur te lezen viel. Hoe
maak je daarmee een begin?

Het linker diagram toont de frequentiekarakteristiek
van de IT-portefeuille van een bestaande
organisatie met daarin ongeveer 200 projecten.
Een dergelijk diagram is eenvoudig te maken met
bijvoorbeeld een spreadsheetprogramma als het
aantal projecten en de kosten bekend zijn. De
verticale as toont het aantal projecten en de
horizontale as de kosten, waarbij het cijfer 1
staat voor de kosten van het duurste project.
Het gaat om een laag-risico-portefeuille
waarbij het grootste deel van de projecten een
kleine en redelijk behapbare omvang heeft.
De rechtergrafiek toont daarnaast ook een
midden-risico- en een
hoog-risico-portefeuille met meer grotere
projecten. De lijn van die laatste moet elke
bestuurder alarmeren: de risico's zijn te groot!

Een zaak die je snel boven tafel krijgt, is de
hoeveelheid IT-projecten en de daarbij behorende
effort. Die kun je meten in fte's, geld of een
technische inhoudsmaat zoals de functiepunt. Dan
weet je tenminste wat je zoal in je
IT-portefeuille hebt. Die projecten kun je dan
uitzetten in een staafdiagram of, als we luxe
willen doen, in een frequentiekarakteristiek.
Dat kan eenvoudig met elk spreadsheetprogramma.
Een dergelijke frequentiekarakteristiek heeft
meestal een speciale vorm: een smalle piek en
lange uitlopers. Dat soort vormen is wiskundig
precies te definieren en zie je ook regelmatig
bij financiele portefeuilles.

Op de linkergrafiek is een
laag-risico-portefeuille van een private
organisatie te bewonderen. Het gaat om een
portefeuille van ongeveer tweehonderd
IT-projecten met een totale investering van vele
miljoenen euro's. Waarom laag risico? Omdat we
van die IT-investeringen weten dat ze zonder
grote uitvoeringsproblemen zijn opgeleverd. Op
de horizontale as zijn de kosten van de projecten
uitgezet.

Hoe moeten we dit plaatje lezen? Stel je stopt
die IT-projecten in een grote doos en je neemt er
een uit met een blinddoek op. Dan is de kans het
grootst dat je er eentje uitpikt die bij de piek
zit: met een kostenindex van 0.06. Oftewel de
kans is het grootst dat je er een IT-investering
uittrekt die 6 procent bedraagt van de kosten van
het grootste project. De lange uitloper naar
rechts geeft aan dat er ook een gerede kans is om
een veel groter project uit de schoenendoos op te
diepen, maar wel veel kleiner dan de bulk. Met
andere woorden, de totale IT-investering van vele
miljoenen is onderverdeeld in een bulk aan
redelijk kleine projecten die goed behapbaar zijn
en dito gemanaged kunnen worden, plus een aantal
grote kritische projecten. En daarvoor heb je je
ervaren teams, je doorgewinterde managers en je
hoogstpersoonlijke toezicht.

Benchmarking

Uiteraard is het beter om met eigen gegevens een
organisatiespecifieke frequentiekarakteristiek te
maken van een laag-risico-portefeuille. Maar bij
gebrek aan beter zullen we onze
voorbeeldportefeuille gebruiken als benchmark.
Laten we nu eens kijken naar een paar
verschillende portefeuilles van organisaties die
zijn afgezet tegen onze laag-risicobenchmark. Op
de rechtergrafiek zien we drie van die
portefeuilles. De doorgetrokken zwarte curve is
weer de portefeuille die we al kennen: ons
laag-risicovoorbeeld.

Het eerste dat opvalt is dat de pieken lager
worden en meer naar rechts gaan en dat de
uitlopers dikker worden. De paarse lijn is een
midden-risico-portefeuille. Je ziet dat de piek
naar rechts zit en dat de kans groter is dat je
met projecten te maken hebt die per stuk een
groter percentage zijn van de grootste
investering. Voor deze portefeuille is de kans
het grootst dat we een project trekken met een
budget dat 13 procent bedraagt van het grootste
project. Bovendien is de piek breder naar rechts
toe, dus de kans dat je een nog groter project
trekt is groter dan in de
laag-risico-portefeuille.

In de uitlopers zien we geen noemenswaardige
bobbels, dus daar lijken de risico's in dezelfde
categorie te vallen als de
laag-risico-portefeuille. Echter, omdat er al
meer grotere projecten zijn, zijn er minder
mensen beschikbaar om die grotere risico's te
managen. Dus doordat de piek meer naar rechts
staat en de projecten significant groter en vaker
groter zijn dan bij de laag-risico-portefeuille,
zal het meer geld, tijd en moeite kosten om
dezelfde uitlopers te managen dan in een
laag-risico-portefeuille. Het is dan ook zaak om
de grotere projecten tegen het licht te houden en
daar kleinere eenheden van te maken waar
mogelijk. Voorts moet je kijken naar de
personele bezetting en wellicht ervaren mensen
inhuren om bepaalde midden-risico-projecten nog
beter aan te sturen.

De zwarte streeplijn is een
hoog-risico-portefeuille. Die tref je typisch aan
bij overheidsorganisaties die ineens een hoop
meer werk en bijzondere projecten te verstouwen
krijgen. De piek zit behoorlijk naar rechts en
is laag. In de uitloper zit een enorme bult en
zelfs aan het einde zit de lijn hoger dan de
andere twee. Als we weer het gedachte-experiment
uitvoeren, is de kans het grootst dat we een
project te pakken hebben met een budget dat zo'n
20 procent uitmaakt van het project met de
hoogste kosten. En daarna worden de projecten
alleen maar groter want de piek is laag en de
uitloper breed.

Bij de hoog-risico-portefeuille moet per se worden
ingegrepen. Uit het plaatje is namelijk
duidelijk op te maken dat men alleen op grote
paarden aan het wedden is. De kans is minimaal
dat de juiste mensen bij alle grote projecten
zitten omdat er te veel ervaren teams, managers
en bestuurders nodig zijn om dit succesvol te
kunnen managen. De bobbel in de uitloper moet
gladgestreken worden. Dat vraagt een limiet aan
het aantal grote projecten dat tegelijkertijd
loopt en het faseren van de monsterprojecten
zodat er kleinere opeenvolgende projecten
ontstaan die beter te besturen zijn. Bij
voortsudderen krijg je gegarandeerd een aantal
overkokende projecten op rij.

Houvast

Voor bestuurders is het devies: zorg dat je snel
inzicht krijgt in de IT-functie door elementair
IT-portefeuillebeheer op te starten. Dat geeft
een onderhandelingspositie om door het politieke
krachtenveld te laveren. Met
IT-portefeuillebeheer heb je een wapen in handen
waarmee je gericht kunt sturen om de missie waar
je voor staat te kunnen volbrengen.

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica 
aan de Vrije Universiteit in Amsterdam. Hij
schrijft maandelijks een column in AG II. hij is
te bereiken via email: x@cs.vu.nl. Deze tekst is 
copyright SDU. Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.