Rondetafelbijeenkomst IT-governance: van last naar lust

De Amerikaanse schandalen van Enron, Worldcom en, in Nederland, Ahold hebben ervoor gezorgd dat corporate governance weer volop in de belangstelling staat. En dit keer niet als een loze kreet, maar als een serieus item. Internationale regelgeving zoals IFRS, Bazel II, maar ook de Amerikaanse Sarbanes-Oxley Act en de Clinger-Cohen Act (voor publieke IT-investeringen) hebben hun uitwerking in Nederland. Naast tal van financiële zaken wordt in al die regels nu ook expliciet aandacht besteed aan IT.

Lange tijd werd IT in vrijwel alle regelgeving buiten beschouwing gelaten, maar nu vrijwel ieder bedrijf de papieren boekhouding heeft vervangen door SAP, Oracle of een van de talloze andere systemen, wordt dit manco in een razend tempo aangepakt. Te meer ook omdat inmiddels ruim 90 procent van alle bedrijfsprocessen wereldwijd via allerhande IT-systemen loopt. En daarmee is IT in menig bedrijf niet langer ‘een’ gereedschap, maar een van de kern-assets en minstens zo belangrijk als andere kapitaalgoederen zoals machines, voorraden en gebouwen. Het is dan ook niet voor niets dat IT-governance inmiddels een structureel onderdeel is van corporate governance.

Voor veel bedrijven is IT-governance vooralsnog een weinig concrete term. Inmiddels heeft ieder zichzelf respecterend adviesbureau wel een definitie gepubliceerd, waarbij het accent – uiteraard – steeds weer net even anders wordt gelegd. Al die definities hebben echter wel allemaal dezelfde basis, zegt Christopher Lochhead, chief marketing officer van softwareleverancier Mercury, leverancier van producten en diensten op het gebied van Business Technology Optimization (BTO).

“IT-governance draait om drie aspecten die je overal terugziet: het controleren van IT-kosten en -risico’s, het voldoen aan wet- en regelgeving en het in lijn brengen van IT met de business.” Of zoals Marco Gianotten van onderzoeksbureau Giarte het stelt: “Simpel gezegd is IT-governance het vermogen om de juiste beslissingen op IT-gebied te nemen, alsmede de randvoorwaarden hiervoor te creëren.”

ONVOLDOENDE
Tijdens een rondetafelbijeenkomst op initiatief van Mercury presenteerde Gianotten de resultaten van Giarte op het gebied van topmanagement en IT, IT-governance, de volwassenheid van IT-governance binnen Nederlandse ondernemingen. Het onderzoek, dat in februari van dit jaar in opdracht van Mercury en Accenture werd gehouden onder 190 topmanagers van middelgrote en grote Nederlandse ondernemingen, laat vooral zien dat bedrijven onvoldoende in staat zijn te sturen op de toegevoegde waarde van IT.

Gianotten: “Het IT-governancebeleid binnen bedrijven blijkt voornamelijk gericht te zijn op het controleren van IT-kosten en het beperken van de risico’s. Dat er met name wordt gefocust op de kosten, komt vooral voort uit een stuk onvermogen om de baten van IT-projecten goed te kwantificeren en daarmee ook een reële doorbelasting van kosten te realiseren.”

Efficiënt gebruik van IT-middelen is volgens het onderzoek bij de meeste Nederlandse bedrijven dan ook vaak een probleem. De belangrijkste oorzaak: er is nog nauwelijks inzicht in de strategische waarde van IT-projecten. Dat blijkt onder meer uit de wijze waarop IT-kosten worden doorbelast aan de business units: in 87 procent van de bedrijven bestaat de doorbelasting uit een grote vaste kostenpost, waar de business units geen invloed op hebben.

Uit het onderzoek blijkt onder meer ook dat nog altijd een groot deel (42 procent) van de ondernemingen maar een beperkte strategische waarde toekent aan IT en het vooral beschouwt als een ondersteunend proces. Slecht bij één op de drie bedrijven is IT een volwaardig onderwerp in de boardroom en heeft de top inzicht in de toegevoegde waarde. Gianotten: “Het ontbreken van een reële doorbelasting op basis van werkelijk verbruik en marktconforme prijzen is een hindernis om het efficiënt gebruik van IT te stimuleren.”

KLOOF
Volgens Lochhead onderschrijven de resultaten van het onderzoek de noodzaak van IT-governance: “Nog altijd is er een grote kloof tussen enerzijds wat vanuit de business van IT wordt verwacht en anderzijds wat IT levert. Nog altijd worden IT-beslissingen in menige onderneming onvoldoende gefundeerd genomen. Zaken als portfoliomanagement en programmamanagement worden nog nauwelijks ingezet op IT-gebied. In wezen komt het erop neer dat je IT op eenzelfde manier benadert als alle andere bedrijfsonderdelen. Kijk, als het gaat om financiële transacties is alles tot in het kleinste detail vastgelegd, inclusief wie wat wel en niet mag doen. Voor niet-IT-investeringen wordt vooraf een goede afweging gemaakt tussen kosten enerzijds en mogelijke opbrengsten en risico’s anderzijds. Die financieel-economische benadering wordt nog maar zeer beperkt toegepast op IT.”

Tot tien jaar geleden waren de voordelen van IT onmiskenbaar: het automatiseren van handmatige processen. Ook de besparingen die dat opleverde waren duidelijk. Inmiddels is die slag gemaakt en moeten er andere voordelen tegenover staan. Gelijktijdig heeft het economisch klimaat van de afgelopen jaren directies duidelijk gemaakt dat een euro maar één keer kan worden uitgegeven. Ook bij IT-investeringen moet er dus wel een bepaald rendement tegenover staan. Lochhead: “Het gaat erom dat IT in lijn wordt gebracht met de business. Dat dus ook qua IT de zwaartepunten op dezelfde processen liggen. Als een voorraadsysteem essentieel is voor de bedrijfsdoelstellingen, kan daar naar verhouding meer in worden geïnvesteerd dan in een verkoopsysteem. De business moet de toon zetten voor IT-investeringen.”

Wat dat betreft zijn Nederlandse ondernemingen op de goede weg. Uit het Giarte-onderzoek blijkt dat bij een meerderheid van de ondervraagde organisaties businessmanagers de verantwoordelijkheid krijgen én nemen voor IT-projecten. Daarnaast wordt steeds vaker de toewijzing van IT-budgetten afgestemd op de businessprioriteiten en zijn de businessmanagers leidend bij het bepalen van de IT-agenda.

VOLWASSEN
Naar analogie van het Capability Maturity Model (CMM), waarin de volwassenheid van softwareontwikkeling binnen een organisatie wordt vastgelegd, heeft Accenture een model ontwikkeld dat de volwassenheid van IT-governance binnen een organisatie vaststelt. Dit IT-Governance Maturity Model (GMM) kent net als het CMM vijf niveaus (zie kader).

Een belangrijke voorwaarde voor IT-governance is volgens Marc Schuuring, partner bij Accenture, dat de IT op orde is. “Als je echt aan de slag wilt met IT-governance moet je er wel voor zorgen dat alle IT-processen zijn vastgelegd en geborgd. Daarbij zijn zaken als ITIL en CMM belangrijke hulpmiddelen. Vaak is er wel het nodige vastgelegd op papier, maar wordt er in de praktijk toch anders gewerkt. Als het gaat om IT-governance, kan dat niet meer.”

Volgens Schuuring ontkomt ook een IT-afdeling niet aan duidelijke regels en afspraken, waar mensen ook op kunnen worden afgerekend. “Menigeen denkt bij IT-governance aan een methode om een IT-afdeling te managen. Dat is het dus niet. Het is een model waarmee de business IT kan aansturen en inzetten op strategisch niveau. Het is dus ook geen democratie, maar werkt volgens dezelfde regels en afspraken als alle andere bedrijfsprocessen. Je ziet ook dat steeds meer bedrijven dat beginnen te beseffen. Het aantal CIO’s zonder IT-achtergrond groeit momenteel gestaag. En dat is een gezonde ontwikkeling.”

Een ander aspect dat in de ogen van Schuuring niet mag worden vergeten, is dat ook de business een belangrijke rol speelt. “IT-governance gaat niet alleen de IT-afdeling aan, maar net zo goed alle andere afdelingen. Waar de IT-afdeling de zaken op orde moet hebben, moet de business dat ook. De leidende rol van de business bij de strategische inzet van IT moet ook wel kunnen worden ingevuld door de business.”

BALANS
Uit het Giarte-onderzoek blijkt dat het realiseren van toegevoegde waarde van IT ondanks de goede bedoelingen een achilleshiel is binnen Nederlandse ondernemingen. Wanneer bedrijven niet alleen de IT-kosten willen beheersen, maar ook een strategische toepassing willen garanderen, moeten ze de omslag maken van een kostenfocus naar een focus op toegevoegde waarde.

Wat dat betreft wordt het tijd dat ook IT-afdelingen hun activiteiten gaan kwantificeren in duidelijke financieel-economische resultaten. Niet alleen biedt dat een uitstekende basis voor nieuwe beslissingen, maar het kan ook een belangrijke brugfunctie vervullen tussen de IT-afdeling en de business. Op dat vlak is er immers vaak nog een behoorlijke communicatiekloof.

Lochhead: “In veel bedrijven is IT een grote kostenpost. Dat hoeft op zich geen probleem te zijn, als de opbrengsten aan de businesskant maar navenant zijn. Voor een optimale aansluiting tussen IT en business is het essentieel om alle IT-processen helder te hebben. Dat betekent dat de juiste processen, mensen en middelen voorhanden moeten zijn om IT te vertalen naar en te beoordelen op min of meer dezelfde financieel-economische criteria als alle andere activiteiten. Dan ook ontstaat er meer inzicht in de toegevoegde waarde van IT voor de business, die daardoor beter in staat is IT strategisch in te zetten. Dat houdt niet alleen in alle kosten goed en eenduidig vastleggen, maar ook de opbrengsten tellen mee. Dan kun je namelijk budgetten mede bepalen aan de hand van de toegevoegde waarde die ze gaan opleveren. Het gaat om de balans. En dan wordt het mogelijk dat bedrijven als geheel – inclusief de IT-afdeling – snel en flexibel in kunnen spelen op veranderingen in de markt en zo de winstgevendheid te verhogen. Onderzoek van de Gartner Group heeft uitgewezen dat bedrijven die hun IT-governance op orde hebben, door de bank genomen 25 procent beter presteren. Over toegevoegde waarde gesproken.”