NCOI Onderzoeksinstituut

Onderzoekslijn: IT-governance

Opleiding
Lector
Betrokken lid Academic Board




 
Inleiding

IT-governance, een deelgebied van Corporate Governance, vertrekt vanuit het IM-beleid (en wanneer nodig ook IT-beleid) en stuurt en bewaakt de acties die nodig zijn om dit beleid uit te voeren. Dit deelgebied kan met recht een uitdagend gebied worden genoemd. Organisaties verschillen in complexiteit, aan businesszijde spelen grote belangen bij een goed functionerende informatievoorziening en aan IT-zijde gaat de (technisch-inhoudelijke) ontwikkeling onverminderd voort.
Hoe krijgt de op strategisch niveau opererende informatiemanager (of CIO) richting en vaart in de processen en activiteiten? Hoe kan IT optimaal bijdragen aan de doelstellingen en strategie van de business?
Allereerst, denken wij, door een visie te communiceren over de rol die IT moet spelen en (ook weer door communicatie) overeenstemming daarover te bereiken bij alle business stakeholders. Afstemming op operationeel niveau begint immers met afstemming op strategisch niveau. Daarnaast door zo veel mogelijk gestructureerd, ofwel procesmatig, te werken. Er wordt daarom in dit onderzoeksgebied veel gewerkt met zogenaamde frameworks die zich op de strategisch-managementprocessen (op de 'board room' dus), of op de tactische en operationele (management)processen richten. Frameworks vullen elkaar doorgaans goed aan. Belangrijk is ook dat de visies achter de frameworks goed op elkaar aansluiten. Deze frameworks zijn echter maar een middel, het doel is en blijft het inzetten van IT om de business (nog) concurrerender of succesvoller te maken.
 
Naast de besturing van de activiteiten op het gebied van demand en service management dient er vanuit de IT governance ook aandacht te worden besteed aan onderwerpen als applicatieontwikkeling en sourcing.
Tegelijkertijd verandert de omgeving waar de klantorganisatie zich in bevindt steeds sneller en volgen ook de technologische veranderingen elkaar steeds sneller op. Een van de interessante onderwerpen van IT-governance is dan ook in hoeverre de vaak zeer geformaliseerde governancestructuren zijn toegerust op het inspelen op nieuwe businesstrends en ‘disruptive technologies’.
 
Context

Veel organisaties hebben de afgelopen jaren veel geïnvesteerd om compliant te worden (SOX, Tabaksblat, Basel II, enzovoort), de efficiency te verhogen en om de business demand beter aan te laten sluiten op de IT-supply. Dit heeft in de praktijk geleid tot een standaardisering en uniformering van procedures en werkwijzen binnen IT-organisaties. De IT-governance is de afgelopen jaren door de toegenomen aandacht voor externe verantwoording en interne beheersing transparanter geworden. Een veel gehoorde klacht is echter wel dat de toegenomen beheersing organisaties bureaucratiseert en intern gericht maakt. Terecht is er dan ook de zorg dat 'de markt' uit het oog wordt verloren onder de druk om te voldoen aan alle wet- en regelgeving en om de kosten te drukken. De meeste organisaties hebben hierin een enorme voortgang geboekt.
Veel organisaties hebben in het kader van hun governancestructuur frameworks opgesteld. Het werken met dergelijke frameworks of controleraamwerken is een uitstekend hulpmiddel gebleken om blijvend te voldoen aan bijvoorbeeld de SOX-regelgeving. Punt is echter dat deze frameworks meestal niet geschikt zijn gemaakt om naast compliance ook gebruikt te worden om het daadwerkelijk presteren van de IT inzichtelijk te maken. Hiervoor worden weer andere hulpmiddelen gehanteerd. In de praktijk hanteren organisaties dan ook allerlei verschillende frameworks en methodieken die alle een grote overlap met elkaar hebben zonder dat ze volledig in samenhang worden gebruikt (ITIL, Cobit, ISO 17799, CMM, ASL, BiSL, enzovoort).

Een effectievere inzet van governance frameworks moet dan ook worden gezocht in het combineren en afstemmen van de verschillende frameworks en methodieken en het centraal stellen van de korte- en langetermijnbehoeftes van de business.

Het is interessant om een aantal definities (o.a. Weill et al., Van Grembergen en het IT Governance Institute (ITGI)) te bestuderen en daaruit de samenhang en essentie af te leiden van IT-governance. Hieruit blijkt dat de volgende, abstracte, termen veel worden gebruikt om IT-governance te beschrijven: (1) structuren, (2) mechanismen en (3) processen. Deze termen representeren belangrijke concepten en hulpmiddelen voor de toepassing, implementatie en ontwikkeling van IT-governance. Deze concepten en hulpmiddelen zijn door Leenslag gebruikt als doelstelling bij het ontwikkelen van een IT-governancebenadering. Doel is dus om op een gestructureerde manier de kwaliteit van IT-governance-gerelateerde processen in kaart te brengen gebruikmakend van mechanismen (methoden). Een ander begrip dat in de literatuur als essentieel wordt gezien voor effectieve IT-governance is ‘control’ (beheersing). Dit onderwerp wordt als kader gebruikt van waaruit naar IT-governance gekeken wordt. Voor een goede omschrijving van IT-governance hoeft overigens niet zover gezocht te worden. Brand et al. geven een heel bondige beschrijving van het begrip. Zij stellen dat IT-governance ervoor dient te zorgen dat de IT aansluit op bedrijfsprocessen en dat deze op de juiste manier wordt georganiseerd, bestuurd en beheerst. IT-governance verschaft de structuur die een link legt tussen IT-processen, IT-resources en informatie met de organisatiestrategie en -doelen. In een paar zinnen geven zij de essentie van IT-governance heel duidelijk weer.
 
Voorbeelden Governance onderzoeksonderwerpen

Onderzoek naar IT-governance binnen organisaties wordt in de literatuur hoofdzakelijk vanuit twee invalshoeken benaderd: vanuit de techniek en vanuit de (organisatie)besturing. Interessant is te onderzoeken waar beide elkaar ontmoeten. Binnen de onderzoekslijnen dient bij voorkeur in balans aandacht besteed te worden aan beide invalshoeken tegelijkertijd.
 
IT-governancebeleid, -organisatie en -gedrag
Het management van organisaties is verantwoordelijk voor het bestuur van een organisatie. Sturing geschiedt enerzijds op basis van gegevens over de huidige stand van zaken, het verleden en verwachtingen voor de toekomst. Anderzijds vindt sturing plaats door de manier waarop de organisatie is ingericht en hoe hiërarchie, processen en gedrag met elkaar samenhangen. Gelijktijdig inzicht in deze componenten is onontbeerlijk. Omdat IT een sleutelrol vervult binnen de vrijwel alle bedrijfsprocessen, en omdat er aanzienlijke kosten mee gemoeid zijn, is adequate besturing ervan een van de belangrijkste aspecten van adequaat Corporate Governance. Verantwoord management van IT valt onder IT-governance. En ook voor IT-governance geldt: toetsing van het gevoerde beleid vereist meting (en bijstelling) van de bewerkstelligde veranderingen. Door de toenemende snelheid waarmee de markt en technologie veranderen, is het echter wel de vraag wat de optimale formalisatiegraad is van IT-governance. Moeten voor meer dynamische onderdelen van de IT-portfolio andere regels gelden dan voor meer traditionele IT-diensten?
 
Audit en risicomanagement
IT-governance wordt soms ingestoken vanuit verantwoording over het beheer van IT. Bovendien zijn de werkzaamheden van de IT-auditor vaak gericht op opdrachtgevers vanuit de IT-kant in plaats van het lijnmanagement vanuit de business. De besluitvorming rondom de uitdagingen van IT op bijvoorbeeld het gebied van procesverandering, klantgerichtheid en/of omgevingsgerichtheid, nieuwe producten en de verantwoording hierover krijgt dan wellicht te weinig aandacht. De opdrachten die de IT-auditor krijgt, richten zich dan ook met name op dit beheerperspectief. De vraag is echter of dit te eenzijdig kijken naar IT-governance de meeste toegevoegde waarde oplevert voor een opdrachtgever. Zou de IT-auditor de organisatie beter moeten uitdagen door het stellen van de vraag: maakt de organisatie optimaal gebruik van de kansen die IT biedt?
 
Volwassenheid in IT-governance
De implementatie en naleving van IT-governance kan soms leiden tot bureaucratisering wanneer er op elk vlak een overvloed aan regels en procedures wordt ingericht. Wellicht is de grootste uitdaging van IT-governance om flexibiliteit en efficiëntie af te wegen tegen het uitoefenen van sturing, die tot bureaucratische starheid leidt. Om een structuur te geven aan deze afweging zijn volwassenheidsmodellen een nuttig middel. Door vervolgens volwassenheidsniveaus te koppelen aan de fasen in de IT-levenscyclus kunnen aandachtspunten vastgesteld worden waaraan een organisatie moet voldoen op een gegeven volwassenheidsniveau.
 
Voorbeelden vraagstellingen

In relatie tot bovenstaande IT-governance-onderwerpen, kan men in organisaties de volgende voorbeeld vraagstellingen veronderstellen:
  • Hoe kan een organisatie IT-governance inzetten om beter in staat te zijn de doelstellingen en strategie van de business te realiseren?
  • Hoe kan IT-governance het beste ‘aangesloten’ worden op de governancestructuren die gebruikt worden in de business?
  • Hoe kan een organisatie de optimale balans bepalen tussen enerzijds de behoefte aan ‘control’ en anderzijds de noodzaak om snel en flexibel in te kunnen spelen op nieuwe business- en IT-ontwikkelingen?
  • Hoe kan de organisatie een IT-governancemodel implementeren teneinde de controle op de IT-bedrijfsvoering te borgen?
  • Welke gedragsaspecten spelen een cruciale rol binnen het topmanagement van een organisatie om het huidige niveau van IT-governance te waarborgen?
  • Welke taken zijn nodig voor het voeren van een auditbaar IT-governancebeleid en welke situationele factoren zijn van invloed op de inrichting van de IT-governanceprocessen?
  • Welke bestuurlijke en procesmatige aanpassingen aan de IT-zijde van de organisatie zullen er te verwachten zijn bij de introductie van IT-governancemodel X?
  • Wat zijn de organisatorische en procesmatige consequenties op het gebied van IT-governance als de organisatie besluit om het IT-volwassenheidsniveau te verhogen?

Gratis studiegids thuis ontvangen?

Vraag dan nu onze uitgebreide studiegids(en) aan en ontvang alle opleidingsinformatie per post.

Opleidingsadvies op maat?

Onze deskundige opleidingsadviseurs zijn telefonisch bereikbaar van maandag t/m donderdag van 08.00 tot 21.00 en op vrijdag van 08.00 tot 17.00 en via WhatsApp op werkdagen tussen 10:00 en 16:00.