Zonder IT-governance geen resultaat

Maar het draagt ook bij aan de steeds strenger wordende eisen (bijvoorbeeld SOx) die de business stelt aan de IT en de control daarvan. PricewaterhouseCoopers houdt, in samenwerking met het IT Governance Institute, tweejaarlijks wereldwijd een onderzoek bij organisaties over hun ervaringen met de implementatie en inbedding van IT-governance in hun organisatie. Uit de onderzoeken van afgelopen jaren zijn enkele belangrijke conclusies af te leiden. Deze worden hieronder genoemd en nader toegelicht:

1. IT is meer en meer een bestuurskwestie
Het recente onderzoek laat zien dat IT-governance nog steeds primair wordt gezien als een IT-issue van de IT-directeur. Maar het lijkt erop dat steeds meer non-IT-stakeholders (onder andere de COO en de CFO) nauw betrokken zijn of worden bij het verbeteren van de IT-governance. Dit komt enerzijds omdat IT nog vaak via de financiële kolom is vertegenwoordigd in het bestuur, maar ook omdat thema’s als getting in control en prestatieverbetering primair gedreven worden vanuit de COO en de CFO/financieel directeur.

Deze thema’s hebben tegenwoordig als belangrijke randvoorwaarde het op orde krijgen en hebben van IT. Elke verandering in een organisatie heeft tegenwoordig impact op de IT en haar organisatie, waardoor IT meer en meer aandacht krijgt. Ook van niet IT-stakeholders…

2. Afstemming tussen IT en business is de belangrijkste drijfveer voor initiatieven op het gebied van IT-governance
De belangrijkste reden om te investeren in Itgovernance is een betere afstemming tussen business en IT. Dat de centralisatie en formalisatie van afspraken en procedures een belangrijke factor vormt voor de volwassenheid van IT-organisaties blijkt uit het uitgevoerde onderzoek. Organisaties waar afstemming geen drijfveer was voor initiatieven op het gebied van IT-governance, scoren gemiddeld een punt lager op de volwassenheidsmeter: gemiddeld 2,3 tegenover 3,3 bij organisaties die afstemming wel als drijfveer zien. Dat op een schaal van 0 (geen) tot 5 (optimaal).

Bij de ondervraagde organisaties worden naast afstemming verschillende andere redenen genoemd die bij de betrokken organisaties hebben geleid tot initiatieven op het gebied van IT-governance. De belangrijkste overige redenen zijn performanceverbeteringen, corporate governance-initiatieven, wet- en regelgeving en risicomanagement.

3. Er is geen eenduidige visie op het begrip IT-governance
Er is in de markt nog steeds geen eenduidige visie op en definitie van het onderwerp Itgovernance. Het is nog steeds een container-begrip. Vanuit de respondenten kwamen verschillende perspectieven en definities, waarbij de helft van de ondervraagden IT-governance primair ziet als compliance, een controlemechanisme en operationeel management in plaats van de sturing op de organisatorische aspecten, zoals architectuur en besluitvorming.

Enkele visies en definities die uit het onderzoek naar voren komen: ‘IT-governance is all about conducting business honestly and ethically in the IT-environment’, ‘doing the right things right’ en ‘IT-governance is about setting up accountability and responsibility’. Duidelijk is dat hoe hoger de volwassenheid van de organisatie is, hoe meer de stakeholders zaken als besluitvorming en processen van IT-governance (zoals portfoliomanagement) zien als onderdeel van een raamwerk voor IT-governance.

4. Kwantitatieve voordelen door initiatieven op het gebied van IT-governance zijn moeilijk meetbaar te maken
Sturing op  resultaten en IT-governance is als een eeneiige tweeling. Ze zijn onlosmakelijk met elkaar verbonden. IT-governance is immers, als onderdeel van het corporate governance, gericht op het creëren van waarde. Uit het onderzoek bleek dat slechts enkele organisaties een mechanisme hebben geïmplementeerd dat het succes of de voordelen van hun initiatieven op het gebied van Itgovernance meetbaar maakt.

Op dit punt zijn er twee conclusies uit de interviews te distilleren:
1. De meeste meetinstrumenten zijn informeel, subjectief en kwalitatief gericht.
2. Er vindt vaak sturing plaats op procesindicatoren in plaats van resultaatgedreven performance-indicatoren (bijvoorbeeld kostenreductie).

De meest benoemde voordelen die uit het onderzoek naar voren komen zijn verbeterde afstemming, kostenreductie, verbeterde klanttevredenheid en verbeterde beveiliging. Slechts 16 procent van de ondervraagden heeft kwantitatieve resultaten beschikbaar over de effecten van een verbeterde IT-governance. Daar waar resultaten actief zijn gemeten, worden kostenbesparingen van meer dan 30 procent gerapporteerd.

5. Meeste organisaties kennen en gebruiken (delen van) bestaande raamwerken uit de markt
Uit de meest recente informatie vanuit het IT-governance-onderzoek blijkt dat bij de ondervraagde  organisaties veelal bestaande raamwerken en oplossingen worden gebruikt voor het initiëren van een traject op het gebied van IT-governance. Veel voorkomende frameworks zijn CobiT, ITIL (ISO 20000) en ISO 9000. Daarbij moeten we opmerken dat veel organisaties ook aangeven dat zij bij gebruik de raamwerken verder aanpassen aan de specifieke behoeft en van de organisatie.

Ervaringen met de implementatie
In het algemeen stellen organisaties dat de implementatie van IT-governance een ontdekkingsreis is. Deze gaat gepaard met verschillende hobbels en valkuilen. Om momentum te creëren, dient zoveel mogelijk gebruik te worden gemaakt van bestaande raamwerken (CobiT, Val IT, ITIL en ISO) en initiatieven in de organisatie. Denk aan belangrijke businessthema’s (bijvoorbeeld kostenreductie en innovatie), de ontwikkeling van een corporate governance-raamwerk of ontwikkelingen als uitbestedingen en fusies en overnames.

Op zichzelf wijkt een implementatie van IT-governance niet af van andere grote organisatieontwikkelingen. Belangrijk blijft dat het verandermoment wordt bepaald door de behoeft de naar duidelijkheid in verantwoordelijkheden n afstemming tussen business en IT. Als organisaties willen starten met IT-governance, dan komen uit de verschillende onderzoeken de volgende aandachtspunten naar voren:

1 Focus op de drie C’s:
IT-governance is een verandertraject dat aandacht nodig heeft . Denk aan cultuur, weerstand tegen verandering (change) en gerichte communicatie.
2 Aandacht voor de interne politiek:
IT-governance zorgt vaak voor een verschuiving van taken, verantwoordelijkheden en bevoegdheden en roept daarmee weerstand op bij verschillende stakeholders.
3 Betrekken van de business:
afstemming wordt gezien als de belangrijkste drijfveer voor IT-governance, maar de business wordt ondanks dat nog onvoldoende betrokken. De business is en blijft echter de belangrijkste klant van de IT en deze moet dus een actieve rol krijgen bij IT-governance en bij het stellen van prioriteiten in de verschillende initiatieven.

Succesfactoren
Uit de analyse van de verzamelde onderzoeksdata en de ervaringen van PwC, blijkt dat er enkele succesfactoren te benoemen zijn voor initiatieven op het gebied van Itgovernance:
1. Commitment en draagkracht bij het senior management. Het is een open deur maar daarom niet minder belangrijk. IT-governance is onderdeel van de business en daarmee van de strategische visie die senior managers moeten uitstralen naar de gehele organisatie. Zoals eerder gesteld is IT één van de zaken die nieuwe initiatieven mogelijk maken. Het is niet alleen een kostenpost. Daarmee is IT-governance van groot belang voor het voortbestaan van de organisatie.
2. Focus op evolutie in plaats van revolutie. De introductie van initiatieven op het gebied van IT-governance heeft tijd nodig. Het heeft te maken met veranderingen in processen en procedures en mogelijk cultuurwijzigingen. Organisaties moeten IT-governance zorgvuldig plannen en in de executiefase met daadkracht bewaken. Dat ondanks de weerstand die soms optreedt. Dit betekent extra aandacht en focus op verandermanagement en communicatie bij initiatieven op het gebied van IT-governance.
3. Definieer een businesscase voor het meten van de juiste resultaten. IT-governance is vooral gericht op het verbeteren van de waarde van IT gerelateerd aan de businessinitiatieven, het verminderen van de betrokken risico’s en last but not least het realiseren van de afstemming tussen business en IT. De introductie van IT-governance zonder een systeem dat de effecten van deze initiatieven meetbaar maakt, is eigenlijk een contradictio in terminis. IT-governance staat namelijk echt voor managing the value of IT.

Tot slot
Terugkijkend blijkt dat nog weinig bedrijven een holistische kijk op IT-governance hebben. Ondernemingen zien IT-governance onvoldoende als het noodzakelijke raamwerk voor het nemen van beslissingen, het regelen van betrokkenheid van de verschillende stakeholders en het organiseren van structuren, processen, verantwoordelijkheden en andere mechanismen. Dit komt tot uiting in het feit dat veel organisaties IT nog zien als kostenpost, en performancemanagement en sturing op resultaat (key peformance indicatoren) zien als onderdeel van een volgende volwassenheidsniveau.

Hiermee geven bedrijven indirect aan dat hun huidige volwassenheid op  IT-governance relatief laag is. Zonder IT is er in bedrijven geen resultaat meer te behalen. Dit geldt eigenlijk ook voor de noodzakelijke focus die IT- en niet-IT-gerelateerde zaken moeten hebben op hun IT-governance. Anders gezegd: zonder het vaststellen van de spelregels en het bewaken ervan, weten organisaties eigenlijk niet of ze wel of niet gescoord hebben.

Ragnar van der Valk, Principal Manager bij PricewaterhouseCoopers Advisory. Hij maakt onderdeel uit van de groep IT Effectiveness.