Op verschillende fronten is onvrede nog steeds een belangrijk effect van informatiesystemen. Daardoor is ‘it-governance’ ofwel it-bestuur actueler dan ooit. Bepalen waar de lekken zitten is essentieel voor het stelsel van meet- en regelkringen dat ook wel ‘full-cycle governance’ wordt genoemd. Zijn die kringen niet lekvrij, dan kan de informatiestroom in het bestuurssysteem nooit op druk komen.
In het hart De verwevenheid van bedrijfsactiviteiten en it stelt ‘it-governance’, de besturing van informatie en de bijbehorende technologie, in het hart van het continuüm van andere bestuurssmaken, zoals ‘corporate’-, financieel- en hr-bestuur (human resource). Dat blijkt onder meer uit wetgeving als de Public Company Accounting Reform And Investor Protection Act (Sarbanes-Oxley, 2002) en de IT Management Reform Act (Clinger-Cohen, 1996). In het kader van Sarbanes-Oxley wordt Cobit (Control Objectives For Information And Related Technology) aangeraden voor een systematische bedrijfsverslaglegging met meer diepgang. Clinger-Cohen benadrukt de combinatie van it-portfoliomanagement en bedrijfsarchitectuur. De leidraad ‘A summary of first practices and lessons learned in it portfolio management’ (2002) benadrukt dat de informatievoorziening een financieel tastbaar effect moet hebben op de bedrijfsprestaties en besteedt aandacht aan leiderschap, de besluitvormingsstructuur, methoden en ’tooling’, en betrokkenheid. Realisten aan het roer. Naar een prestatiegerichte governance van it van Menno van Doorn en Jaap Bloem presenteert de ingrediënten van een totaalaanpak voor de besturing van informatie en technologie in organisaties. |
Extra aandacht voor ontwerp, ontwikkeling, implementatie, beheer, uitfasering, migratie en integratie van systemen is van belang, maar daar zit tegenwoordig maar een deel van de pijn. De grootste zorgen ontstaan uit de economische en functionele verwevenheid van bedrijfsactiviteiten en it, en uit het feit dat medewerkers nu eenmaal niet automatisch mee veranderen met de (opgelegde) ontwikkeling van de informatievoorziening. De grootste it-bestuur pijnpunten hebben tegenwoordig te maken met besluitvorming en prioriteitstelling, rapportage over de bedrijfsactiviteiten, bedrijfsprocessen en het gedrag dat nodig is om de informatievoorziening goed te laten functioneren. Al deze dingen vragen om een ‘van onderaf’-aanpak die rolbewustzijn stimuleert.
Mistig
Bij het thema onvrede en it springen drie partijen in het oog: aandeelhouders, directies en medewerkers. Aandeelhouders hebben vaak niet veel aan de informatie die ze ontvangen. Wat de financiële kant van de zaak betreft pleit de Koninklijke Nivra ervoor om nettowinst te rapporteren en bepleiten andere partijen meer aandacht voor kasstromen. Mistig cijferwerk is natuurlijk uit den boze, maar ook de diepgang van de verslaglegging laat sterk te wensen over. De verwachtingen van waardecreatie op basis van informatiesystemen bijvoorbeeld staan in geen verhouding tot wat er in jaarverslagen over wordt gemeld.
De directies zijn ontevreden over het rendement van investeringen in it. Er moet beter inzicht komen in kosten, baten, doorlooptijden en risico’s. Tot overmaat van ramp blijkt de effectiviteit van informatiesystemen nog steeds tegen te vallen doordat medewerkers niet de juiste dingen doen. Aan al deze dingen moet het nodige gebeuren. De vraag is wat, en wie, bepaalt die agenda? Van bovenaf met onvoldoende oog voor van onderaf werkt averechts, want de waarde van it wordt van onderaf gerealiseerd. Daarom kijken we naar de twee topprioriteiten op de it-bestuursagenda (‘houd de baas uit de bak’ en ‘bepaal de bedrijfswaarde van it’) en naar het fundament van onderaf dat we daaronder moeten timmeren.
Strafrechtelijk
‘Houd de baas uit de bak’ staat nu boven aan de agenda. Zelf zorgen voor transparantie en integriteit is tegenwoordig de opdracht voor alle organisaties met een substantieel belang in de Verenigde Staten na de fraudes bij onder meer Enron, Adelphia, Tyco en Worldcom. Onlangs werd bekend dat Worldcom (tegenwoordig MCI) geen 5,47 miljard dollar winst heeft gemaakt over 2000-2002 maar 73,7 miljard verlies. Met zijn e-marktplaats-activiteiten leek Enron als enige in staat om zich te handhaven als succesverhaal van de ‘nieuwe economie’.
Verdere nadelige gevolgen van deze fraudes voor haar economie wilde de Amerikaanse overheid niet afwachten. De na het Worldcom-schandaal van kracht geworden Sarbanes-Oxley Act stelt bestuurders hoofdelijk strafrechtelijk aansprakelijk met miljoenen dollars boete en jarenlange gevangenisstraffen in het verschiet. De 136 Control Objectives For Sarbanes-Oxley, een subset van Cobit (Control Objectives For Information And Related Technology), worden daarbij aanbevolen als leidraad (zie http://www.itgi.org).
Met een budget van 840 miljoen dollar jaagt de SEC (Securities Exchange Commission) nu op bedrijven die hun aandeelhouders niet van de juiste informatie voorzien. Ze schromen niet om in het vliegtuig te stappen om net als bij Ahold te komen kijken hoe de informatievoorziening concreet is ingericht. Hier is sprake van een mondialisering van transparantiewet- en regelgeving. Tijdens een ontbijt begin april met William McDonough, de voorzitter van de door Sarbanes-Oxley in het leven geroepen Pcaob (Public Company Accounting Oversight Board) gaf EU-commissaris Frits Bolkestein te kennen dat zijn jongste voorstellen voor auditregels bewust zijn geënt op de Sarbanes-Oxley Act.
Met alles wat er volgens de wet gebeuren moet, kunnen organisaties met gemak hun it-bestuursagenda vullen. Een belangrijk deel van het budget daarvoor gaat dus naar Sarbanes-Oxley (zie http://www.fei.org). Alleen al de opzet van het transparantiesysteem waaruit onder meer erp-data (enterprise resource planning), mails en im’s (instant message) jaren na dato nog moeten kunnen worden opgediept, kost grote bedrijven twintig manjaar.
Portfoliomanagement
Ook het vaststellen van de bedrijfswaarde van it staat hoog op de agenda. Bestuurders zijn ontevreden over het rendement van it-investeringen en de mate van inzicht die ze daarin hebben. Net als aandeelhouders overigens, maar die kunnen meestal hooguit gissen naar dit type omissie – totdat een bedrijf zichzelf in de etalage zet vanwege grove it-missers die de hele bedrijfsvoering verlammen, zoals recent het geval was bij AT&T Wireless.
De it-bestuur ‘best practice’ die de bedrijfswaarde van it helpt bepalen, heet portfoliomanagement. Bekend is het voorbeeld van Schlumberger, waar Jane Walton drie miljoen dollar bespaarde met de eerste conclusies uit een projectendatabase die ze had opgezet. Bij Vodafone Nederland startte Mark van der Pas een vergelijkbare exercitie, waardoor het bedrijf de it-kosten kon drukken met 40 procent.
Kostenreductie is echter niet het doel van portfoliomanagement. Het gaat om een betere sturing op hoe en hoeveel it bijdraagt aan de bedrijfsdoelen. De itim-adviezen (it investment management) en het itim-volwassenheidsmodel, gepubliceerd in 2000 door de Amerikaanse rekenkamer, laten dat in concept mooi zien. Het is dus al lang niet meer de vraag of portfoliomanagement op de it-bestuursagenda staat, maar hoe hoog de lat daarbij ligt. We kunnen beginnen met lijstjes te maken van projecten en bedrijfsmiddelen, we kunnen ontbrekende gegevens aanvullen uit benchmarks of zelfs abc (activity-based costing) invoeren. Voor haar eigen it-uitgaven gaat de Nederlandse overheid nu het Amerikaanse voorbeeld volgen. Eerder dit jaar maakte Mark Frequin, directeur-generaal telecommunicatie en post, en verantwoordelijk voor het rijksbrede it-beleid, bekend dat overheidsorganisaties it-portfoliomanagement gaan toepassen.
Met portfoliomanagement hebben we een it-bestuursaanpak te pakken die nooit af is en waarmee organisaties in combinatie met architectuur, investeringsmanagement en zakelijke rechtvaardigingen (business cases) hun tijd makkelijk zinvol kunnen doorbrengen. In de praktijk zijn er echter nog steeds organisaties waar projecten eigenlijk nooit worden afgeblazen. Het betekent gezichtsverlies en dat ligt erg gevoelig. Dus beweegt men hemel en aarde om er altijd toch maar het beste van te maken. Ondanks alle aandacht voor portfoliomanagement is ‘Bringing the rigour of financial investing to it’, zoals de Financial Times verleden jaar kopte, dus nog geen gemeengoed. (De rol die portfoliomanagement kan spelen om de waarde van it te bepalen en bij het maken van keuzes is beschreven door Chris Verhoef.
Rolbewustzijn
Het derde agendapunt is bestuur van onderaf in gang zetten. Voor Sarbanes-Oxley, portfoliomanagement en aanverwante zaken bestaan tegenwoordig allerlei softwaretools, waaronder Alinean, Icso/Bwise, Kintana/Mercury Interactive, Mirror42, Niku en PMoffice. Op basis van wet- en regelgeving als Sarbanes-Oxley, Hipaa, Gramm-Leach-Bliley, de US Partriot Act en Basel II is er ook een markt ontstaan voor opslag/terughaal-oplossingen als die van Zantaz en IBM. In het kader van zijn grid-initiatief zet IBM met partners een ‘ecosysteem’ op voor ‘real-time disclosure compliance’. Op die manier kan de behoefte aan transparantie en integriteit een drijvende kracht worden achter de uitbesteding van onderdelen van de informatievoorziening.
Toch zullen organisaties portfoliomanagement en ‘voldoen aan de normen en regels’ grotendeels in huis doen, samen met externe deskundigen. In beide gevallen moet van hoog tot laag draagvlak en rolbewustzijn worden gestimuleerd. Vooral portfoliomanagement stelt forse ‘van onderaf’-eisen vanwege het beoogde doel: de bedrijfsprestatiegerichte besturing van informatie en de bijbehorende technologie. Daarmee is portfoliomanagement, dat de economische en functionele verwevenheid van bedrijfsactiviteiten en it op de agenda zet, ook een kans om ‘volledige cyclus bestuur’ goed op de rit te krijgen.
Dode letters
Een kans, maar we moeten de realiteit onder ogen zien. De leidraad ‘A summary of first practices and lessons learned in it portfolio management’ (2002) volgde op een auditrapport van Senator Fred Thompson (2000) waaruit bleek dat de architectuur- en portfolio-aanbevelingen in de IT Management Reform Act vier jaar na dato nog steeds dode letters waren. Pas toen de recessie een feit was, inclusief schandalen en terroristische aanslagen die de economie geen goed deden, raakte men zo gealarmeerd dat de daad bij het woord werd gevoegd om beter de vijftig miljard dollar te verantwoorden die de Amerikaanse overheid jaarlijks uitgeeft aan it. Nog in oktober 2003 liet ex-deputy-cio Paul Brubaker zich voor Federal Computer Week ontvallen dat het de mensen eigenlijk ontbreekt aan kennis en vaardigheden. Een ‘Summary of first practices and lessons learned’ is niet meer dan een druppel op de gloeiende plaat, want eigenlijk is het allemaal gewoon te veel: er moet zoveel worden omgebouwd en opnieuw ingeregeld.
Iets dergelijks zien we bij Sarbanes-Oxley. Voor de invulling van die wet is de SEC verantwoordelijk. Die stelde aanvankelijk het Coso-raamwerk uit 1992 voor (Committee Of Sponsoring Organizations Of The Treadway Commission), dat in het kader van transparantie en integriteit ook de bedrijfsefficiëntie en -effectiviteit meeneemt. Dat heeft dus veel weg van portfoliomanagement. Na een hoop ophef hierover is uiteindelijk het eisenpakket teruggeschroefd naar transparante financiële informatievoorziening op basis van een Cobit-subset. Zowel Sarbanes-Oxley (waarvan de deadlines voor ‘voldoen aan de normen en regels’ overigens zijn verschoven) als architectuur en portfoliomanagement trekken dus een zware wissel op wat er in organisaties allemaal moet worden ingericht en blootgelegd.
Sarbanes-Oxley en portfoliomanagement leiden tot een andere omgang met informatiesystemen. Nu weten we eigenlijk wel dat we aan de omgang daarmee – van onderaf dus – niet genoeg aandacht kunnen besteden, maar in de praktijk is er toch altijd veel verwarring, onvrede en contraproductiviteit. Wat dat betreft komen deze twee bestuursinitiatieven niet erg gelegen.
Adequaat
Volgens Donald Machand, hoogleraar informatiemanagement en strategie aan het Institute for Management Development in Lausanne, staat na alle debacles tegenwoordig een positieve roi (return on investment) en eva (economic value added) voor it-investeringen voorop. We mogen echter nooit de fout maken om ons met deze noodzakelijkheid tevreden te stellen. Het echte nut van it zit hem in de adequate inzet van informatie. Die invalshoek moet altijd leidend zijn.
Onder meer in het boek Making the invisible visible, How companies win with the right information, people and it (2001) pleit Marchand voor een duidelijke gerichtheid op het gebruik van informatie. It dient immers geen ander doel. Het verlies van die gerichtheid is fnuikend. Meestal gaan we er stilzwijgend vanuit dat informatieverwerkingsvaardigheden op de werkplek tot ontplooiing komen. Gegevens verzamelen en structureren zijn echter geen inspirerende bezigheden. Daarom moeten we die belonen en hun belang benadrukken. Daarnaast is fouten toegeven essentieel: je moet medewerkers motiveren om problemen te delen met het management. De aanpak van Marchand is empirisch gefundeerd en wordt geschraagd door een gevalideerd meet- en regelsysteem. Bedrijven als Dell, Heineken, Ikea, Hilti, Nokia, Ritz-Carlton, Sony, verschillende banken en Wal-Mart laten zich er lovend over uit.
Uit alle beschreven ervaringen komt hetzelfde beeld naar voren: wie zich tevredenstelt met een it-bestuursagenda die alleen is gevuld met een instrumentele benadering als Sarbanes-Oxley en portfoliomanagement, zal de inspanningen tien tegen één ergens in de uitvoering zien stranden. Met alle nieuwlichterij is van onderaf-aandacht voor het gedrag dat medewerkers in de organisatie moeten ontplooien nu essentiëler dan ooit.< BR>
Menno van Doorn, Jaap Bloem, Vint, Verkenningsinstituut Nieuwe Technologie van Sogeti Nederland