Tussen compliance en performance

De aandacht voor performanceverbetering en investeren in IT neemt weer toe. Tegelijk staan thema's als IT-governance en compliance nog hoog op de agenda. Gelukkig kunnen laatstgenoemde activiteiten ook als enabler dienen voor betere prestaties. In de zoektocht naar de juiste balans tussen compliance en performance is het evenwel belangrijk dat de toegevoegde waarde van IT en IT-projecten wordt vastgesteld. Val IT, het jonge zusje van CobiT, biedt uitkomst.

De eerste jaren van het nieuwe millennium waren organisaties voornamelijk gefocust op kostenbesparingen, en stonden thema’s als compliance en governance op de agenda. Thema’s waarvan de toegevoegde waarde nog steeds moeilijk te meten is, die vaak een dwingend karakter hebben en waar niet zelden een flinke kostenpost aan hangt.

Onderzoeksbureaus als Gartner en Forrester blijven maar schrijven over falende IT-projecten en buitensporige IT-uitgaven die weinig bijdragen aan de verbetering van bedrijfsprocessen en winstgevendheid. Die rapporten zijn als een foute soapserie: voor sommigen vermakelijk, maar met weinig nieuws.

Dit artikel gaat niet over falende IT-projecten, maar onder andere over het belang van een goede businesscase als onderdeel van IT-governance. Compliance-eisen zouden deel moeten uitmaken van de businesscase om maximaal waarde toe te kunnen voegen.

Tijdens de compliance-activiteiten in IT-omgevingen hebben veel organisaties CobiT als IT-governanceraamwerk geïntroduceerd. Hoewel CobiT goed bruikbaar is voor het inrichten en uitvoeren van IT-governance, biedt het geen hulp bij het sturen op de performance van projecten.

Sinds kort is er aan het CobiT-raamwerk ‘Value of IT’ (kortweg: Val IT) toegevoegd. Deze standaard is een handreiking voor het meten, monitoren en maximaliseren van de financiële opbrengst van IT-investeringen.

Hieronder wordt beschreven hoe de waarde-creatie van IT-investeringen met Val IT geborgd kan worden, om tot een goede balans te komen in governance-investeringen. In combinatie met CobiT levert dit een integrale benadering van IT-governance op: de juiste dingen doen (Val IT) en die dingen goed doen (CobiT).

AANDACHTSGEBIEDEN
Value delivery wordt gezien als een van de vijf aandachtsgebieden van IT-governance, naast strategic alignment, performancemanagement, resourcemanagement en riskmanagement. De toegevoegde waarde van IT is alleen zichtbaar wanneer de overige aandachtsgebieden ook succesvol zijn.

In navolging van de IT-governancestandaard CobiT werd in 2006 Val IT als standaard gepubliceerd. Val IT complementeert CobiT op bedrijfs- en financieel vlak. Val IT stelt dat het – bij het zichtbaar maken van de toegevoegde waarde van IT-investeringen – belangrijk is om gebruik te maken van formele, consistente businesscases, aandacht te hebben voor portfoliomanagement en programmamanagement, en gebruik te maken van kwantitatieve methodieken als ROI, netto contante waarde en terugverdientijd.

Val IT is dus interessant voor iedereen met een interesse in waardecreatie door IT. In de volgende paragrafen worden achtereenvolgens de oorsprong, de waarde en het toekomstscenario van Val IT besproken.

GOVERNANCEFAMILIE
De vader van de IT-audit, de Information Systems Audit and Control Association (ISACA), is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers, opgericht in 1967. Doel van ISACA is de uitoefening van het IT-auditvakgebied op een hoger niveau te brengen. Dat gebeurt onder meer door het faciliteren van onderzoek.

Ook CobiT is hieraan onderworpen. Om de adoptie te vergroten heeft ISACA het IT Governance Institute (ITGI) opgericht om CobiT verder te ontwikkelen. Sindsdien is het gebruik ervan enorm gestegen, vooral vanwege de toepasbaarheid als toetsingskader voor de compliance-audits die bijvoorbeeld de Amerikaanse Sarbanes-Oxleywetgeving voorschrijft.

Hoewel CobiT een bruikbaar raamwerk is voor het inrichten en uitvoeren van IT-governance biedt het geen hulp om te bepalen welke projecten een organisatie zal moeten uitvoeren. CobiT is bovendien niet gericht op het verbeteren van de waarde van projecten met een IT-component. Daarom is ISACA onlangs gekomen met een aanvullende standaard onder de naam Val IT, specifiek bedoeld voor het optimaliseren van de ‘Value of IT’.

CobiT is vooral gericht op het goed uitvoeren van IT-beheer om daar waarde uit te halen. Val IT gaat in op het uitvoeren van de juiste projecten en kan bepalen welke voordelen daarmee te behalen zijn. Een andere samenstelling van een projectportfolio kan bijvoorbeeld meer waarde opleveren. Andersom geldt hetzelfde: een winstgevend initiatief op papier hoeft in de praktijk geen succes te betekenen als het slecht wordt uitgevoerd en tot kosten- en tijdsoverschrijdingen leidt.

IT ALS INVESTERING
‘Manage IT as an investment’ is het devies van Val IT. De Val IT-standaard is geen rocket science, het is een praktisch handvat voor actief portfolio-management, voor het verhogen van de kwaliteit van businesscases (inclusief kosten, risico’s, en (niet-)financiële opbrengsten), het selecteren van de juiste projecten en het houden van overzicht over de hele portfolio aan investeringen.

En dan met name het risico en rendement van die portfolio. Val IT stelt de CIO in staat te verantwoorden dat het geld voor de IT goed is geïnvesteerd. Om dit mogelijk te maken is het noodzakelijk om verantwoordelijkheden en bevoegdheden te beleggen in de organisatie. Dat is de kern van Val IT.

De standaard bestaat tot op heden uit drie delen: 1. het raamwerk, 2. de businesscase en 3. de ING-casestudie. Net als CobiT werkt ook Val IT in een cyclus van processen. Per proces zijn managementpractices gedefinieerd die de processen ondersteunen.

Bovendien worden verantwoordelijkheden en bevoegdheden beschreven. Naast de in totaal 40 managementpractices bestaan er referenties naar de CobiT-processen en zijn RACI-verantwoordelijkheden aangegeven.

Het eerste deel van de standaard, ‘het raamwerk’, bestaat uit drie processen: value governance (VG), portfoliomanagement (PM) en investmentmanagement (IM). Hoewel deze processen cyclisch worden uitgevoerd, is er sprake van hierarchie.

Ter ondersteuning van het Val IT-raamwerk behandelt de ‘businesscase’ (het tweede deel van de Val IT-standaard) hoe een betrouwbare businesscase tot stand komt. Volledige en betrouwbare data en informatie is hierbij essentieel. Vaak is een businesscase niet volledig, zijn alleen de kosten gekwantificeerd en blijven de baten kwalitatief van aard.

In dit geval is het belangrijk te onderzoeken waarom informatie ontbreekt. Draagt het project niet bij aan de performanceverbetering? Komt dit door de scope? Moet het project misschien niet worden geïnitieerd? En kunnen de belangrijkste projecten voor waardeontwikkeling van de hele portfolio dat ook realiseren? Dit zijn een aantal vragen die met behulp van Val IT beantwoord kunnen worden.

Het derde deel van de Val IT-standaard, de ING-casestudie, beschrijft ten slotte hoe ING het Val IT-raamwerk gebruikt om projecten en kosten te managen. De casestudie laat bovendien zien hoe businesscases te consolideren zijn tot een inzichtelijk portfolio. Alleen hiermee kan de toegevoegde waarde van IT-projecten en -investeringen worden gemonitord en gestuurd. Dat is de toegevoegde waarde van Val IT.

VAL IT’S VALUE
Organisaties gebruiken vaak de benchmarkmethode om het IT-budget te bepalen. Het zou echter zuiverder zijn om alleen projecten met toegevoegde waarde en passend bij de bedrijfsstrategie te selecteren. Val IT biedt een objectieve en betrouwbare manier om de waarde te bepalen van IT-investeringen en deze vorm te geven als een complete portfolio.

Het resultaat van een dergelijke exercitie: een toekomstgericht beleid en standaardisatie van het IT-investeringsproces, hetgeen leidt tot meer financiële en risicotransparantie bij de besluitvorming over IT. Dit zorgt vervolgens voor een vermindering van onbetrouwbare en onrealistische investeringsvoorstellen.

Hierdoor worden op termijn weer budgetoverschrijdingen en vertragingen gereduceerd, wordt het vertouwen in de IT-organisatie verbeterd en gaat de performance omhoog. Tot slot slaat Val IT de brug tussen de financiële wereld en de IT-omgeving en zorgt de standaard ervoor dat IT verbonden is met het hoger management.

TOEKOMSTSCENARIO
Het ITGI zal Val IT in de toekomst continu verbeteren op basis van onderzoek en praktijkervaringen over IT-projecten, best practices en risicomanagement van business-investeringen met een IT-component. De Val IT-standaard richt zich nu vooral op nieuwe initiatieven en niet op vervangingsprojecten of verplichte projecten door regelgeving.

In de toekomst zal Val IT wel alle projectsoorten afdekken. Ook zal het ITGI meerdere casestudies toevoegen en zal een ‘capability-maturitymodel’ worden opgesteld. Tot slot wordt de kwantitatieve methode voor waardeberekening uitgebreid en zal er gratis een benchmarking methode beschikbaar worden gesteld waarmee organisaties hun best practices over IT-valuemanagement kunnen uitwisselen.

De ambitie van ITGI is de Val IT-methode volledig te integreren in IT-governance. De recent herziene IT Governance Implementation Guide is de bevestiging hiervan. Ook Val IT is in deze gids verwerkt. Het IT Governance Institute zal ook vernieuwde versies en uitbreidingen van Val IT kosteloos beschikbaar stellen op zijn website www.itgi.org.

GEZINSUITBREIDING
De Val IT-standaard is pas in 2006 ontwikkeld en weinig organisaties hebben Val IT al volledig omarmd en geïmplementeerd. De ING-casestudie door SeaQuation is een van de eerste in een serie en beschrijft de manier waarop Val IT bijdraagt aan het identificeren van de toegevoegde waarde van de 2,5 miljard euro (25 procent van de Opex) aan IT-investeringen.

CobiT en Val IT vormen samen, kortom, een sterk duo voor volwassen IT-governance in organisaties. Het zal een kwestie van tijd zijn voordat andere organisaties het voorbeeld van ING volgen en de governance uitbreiden met een nieuwe loot aan de tak.

WAT IS COBIT?
Control Objectives for Information and related Technology (COBIT) is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. CobiT is vanaf 1992 ontwikkeld door de Information Sys-tems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI).

CobiT stelt IT-managers in staat om op basis van algemeen geaccepteerde best practices de ICT-beheermaatregelen in te richten. Daarnaast kunnen auditors op basis van het framework hun controleprogramma beschrijven en uitvoeren.

CobiT staat momenteel vooral opnieuw in de belangstelling doordat de huidige versie bij uitstek geschikt is om een organisatie in staat te stellen te voldoen aan de Sarbanes-Oxley-wet-geving (SOX) en het COSO- (Committee of Sponsoring Organizations of the Treadway Commission) referentiemodel.

WAT IS VAL IT?
Value of IT (Val IT) is de standaard die CobiT sinds 2006 aanvult met methoden voor het meten, monitoren en maximaliseren van businesswaarde van IT-investeringen. Door de toegenomen focus op performance heeft het IT-governance-instituut samen met een aantal marktpartijen gewerkt aan de Val IT-standaard.

Deze maakt CobiT compleet vanuit een business- en een financieel perspectief en maakt duidelijk hoe organisaties de waarde van hun IT-investeringen kunnen bepalen en vormgeven in een portfolio alvorens projecten uit te voeren. Waar CobiT zich vooral richt op de uitvoering, focust Val IT op de investeringsbeslissing en de realisatie van benefits.

NIEUWE COBIT
Kenmerkend aan de nieuwe CobiT (versie 4.1) is de focus op IT-governance in relatie tot wetgeving (SOX, Bazel) en verbeterde control objectives door de ontwikkelingen rondom de Val IT-standaard. Doel is IT-governance op een nog hoger niveau te brengen. De Val IT standaard is in 2006 toegevoegd aan de CobiT en stelt organisaties beter in staat om de toegevoegde waarde van IT te bepalen.

Naast de nieuwe CobiT-versie is de ‘IT Governance Implementation Guide’ verniewd. Deze is aangevuld met de Val IT-uitgangspunten en richt zich op compliance en performance. Verder staat voor eind 2007 het document ‘IT Control Objectives for Basel II’ gepland. Nieuwe edities, uitbreidingen en toekomstige services zijn vrij beschikbaar op
www.itgi.org.

SUZANNE JANSE
is manager bij Protiviti, aanbieder van risk-consultingservices. Voor meer informatie en contactgegevens zie www.protiviti.nl.

CORJAN BAST is business-developmentmanager bij SeaQuation, een spin-off van de voormalige ING Groep, en gespecialiseerd in de bijdrage van IT aan het ondernemingsrendement. Voor meer informatie en contactgegevens zie www.seaquation.com

Gerelateerde artikelen