Menu

IT Governance - Mag het een onsje meer zijn?

We lezen en horen steeds meer over datalekken, nepnieuws, Denial of Service (DoS) acties, enzovoorts. Er lijkt daarbij veel aandacht te ontstaan voor de veiligheid van data, vooral ook met het nieuwe werken in de cloud. Het verbaast Richard Fransen, Senior Consultant bij Motion10, dat er dan niet veel meer aandacht lijkt te komen voor IT Governance. Een artikel van Richard, over hoe Governance de veiligheid van uw data borgt, en daarbij ook nog kan zorgen voor de grootste return on investment voor uw IT.

Informatie (technologie) is een essentieel bedrijfsbezit

De afgelopen decennia hebben de technologische vooruitgang en de globalisering gezorgd voor een enorme stijging van de hoeveelheid informatie(technologie) binnen bedrijven en overheden. En hoewel in de meeste bedrijfstakken en overheidsprocessen de mens nog steeds onmisbaar is, zijn die bedrijven en overheden inmiddels net zo afhankelijk geworden van informatie(technologie). Die afhankelijkheid zal – kan dat? – de komende jaren alleen maar groter worden. Technologieën zoals het Internet-of-Things, de robotica en de kunstmatige intelligentie zijn nog lang niet uitontwikkeld.

Juist omdat de belangen en de voordelen zo groot zijn, verbaas ik me regelmatig over de mate van aandacht voor IT Governance. Je hoeft er maar een nieuwssite voor te openen en je wordt overspoeld door berichten over datalekken, nepnieuws, Denial of Service acties (om andere hacks te verhullen), etc.

IT Governance – de balans tussen ‘conformeren’ en ‘presteren’

Mede onder invloed van de recente financiële crises en schandalen is iedere organisatie tegenwoordig onderworpen aan een vorm van enterprise governance. In 1996 wist John Kotter enterprise governance al te verwoorden als:

“Een verzameling van verantwoordelijkheden en praktijken die door de directie en het managementteam worden uitgevoerd met als doel het geven van strategische richting, het zorgen dat doelen worden bereikt, het garanderen dat risico’s op de juiste manier worden gemanaged en het verifiëren dat de resources op een verantwoordelijke manier worden gebruikt.”

Enterprise governance kan worden opgedeeld in Corporate Governance en Business Governance. Corporate Governance (behoorlijk bestuur) geeft aan hoe een organisatie goed, efficiënt en verantwoord geleid moet worden, alsmede het afleggen van verantwoording over het gevoerde beleid richting belanghebbenden waaronder de eigenaren (aandeelhouders), werknemers, afnemers en de samenleving als geheel. In Nederland is dit mede vormgegeven via de code-Tabaksblat. Business Governance richt zich op de governance – onafhankelijk zowel als in samenhang – van de zes door Weill en Ross in 2004 geïdentificeerde – strategische bedrijfsbezittingen: medewerkers, financiën, fysieke bedrijfsmiddelen, informatie(technologie), samenwerkingsverbanden en intellectueel eigendom. IT Governance is dus een onderdeel van de Business Governance. En IT moet ‘de strijd aangaan’ met die andere bedrijfsbezittingen om de schaarse middelen.

Bij IT Governance gaat het er dus om de IT-doelen en -strategie af te stemmen op de organisatiedoelen en -strategie, en wel op een zodanige manier dat een optimale mix ontstaat tussen ‘presteren’ en ‘conformeren’. Bij ‘presteren’ draait het om enerzijds de bijdrage van IT aan de bedrijfsdoelen en anderzijds om de inzet van de daarvoor benodigde IT resources. Bij ‘conformeren’ draait het om risicobeheersing en het afleggen van verantwoording.

Governance: dataveiligheid en meer

Dat het toepassen van IT Governance resultaten afwerpt blijkt uit een onderzoek in 2014 door ISACA. Op de vraag naar “de belangrijkste voordelen die een organisatie kan realiseren met effectieve IT Governance” waren de meest genoemde voordelen:

  • Integratie van business met IT – 75%
  • Verbeteren van risicomanagement – 56%
  • Verbeteren van de zichtbaarheid van IT bij de directie – 35%
  • Kostenreductie – 28%

Afstemmen!

Maar wat moet er dan ‘afgestemd’ zijn? Of ik nu het COBIT5 raamwerk voor Governance of Enterprise IT pak of het 9-vlaks model voor informatiemanagement van Rick Maes dan worden twee van de assen waarop afstemming nodig is snel duidelijk:

  • De afstemming tussen strategie en operatie – Het COBIT5 model vertaalt dit mijns inziens mooi via een Goals Cascade, waarbij Stakeholder Drivers, Stakeholder Needs, Enterprise Goals, IT Goals en Enabler Goals aligned moeten zijn.
  • De afstemming binnen een niveau – Ik ben nog geen organisatie tegengekomen – ook geen persoon trouwens – waar maar één IT-hulpmiddel in gebruik is. En omdat de middelen niet onuitputtelijk zijn, moeten er op ieder niveau keuzes gemaakt worden. Portfolio management is onontbeerlijk.
  • De derde as wordt gevormd door de tijd. Stakeholder behoeften veranderen, de organisatie wordt volwassener en IT heeft ook geen eeuwig leven. Dat betekent dat lifecycle management nodig is, evenals periodieke heroverweging (van de Business Case) en ‘re-alignment’.

IT-Governance: Mag het een onsje meer zijn?

Ik durf te stellen dat de meeste organisaties er inmiddels wel van overtuigd zijn dat informatie(technologie) één van haar belangrijkste assets is. Maar ik zie nog te weinig aandacht voor de ‘afstemming’, hèt kernwoord bij (IT) Governance. Vaak werkt men – om het in termen van Rik Maes te houden – in één vlak of langs één as.

Het is dan ook niet zo verbazingwekkend dat de resultaten van de IT-inspanningen achterblijven bij de verwachtingen/beloften. En worden ‘pleisters geplakt’ in de vorm van bijvoorbeeld adoptieplannen. Het diagnosticeren en wegnemen van de oorzaak wordt vaak over het hoofd gezien.

Zoals uit de eerder genoemde onderzoeksresultaten blijkt doen die organisaties daarmee zichzelf en hun stakeholders te kort.

Nu is het niet mijn bedoeling dat een organisatie hals over kop door de gehele organisatie een volledig IT Governance framework gaat implementeren. Maar men kan wel een start maken met één van de toepassingen of platformen die binnen een organisatie aanwezig zijn. Als eerste stap, om ervaring op te doen.

Mijn advies? Zeg ‘Ja’ op de vraag:

“Mag het een onsje meer
IT Governance zijn?”

U zult zien, het smaakt naar meer!