slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

IT-governance in de publieke sector: 'top-prioriteit'

IT-governance in de publieke sector: 'top-prioriteit'

14 februari 2014 om 17:33 door Paul Neelissen en Thomas Wijsman 0 reacties

Het in de greep krijgen en houden van ICT is een lastig probleem. ICT vormt een substantiële kostenpost maar maakt niet altijd de verwachtingen waar. Bestaande systemen presteren vaak ondermaats, zijn doorgaans duur (kosten van gebruik en onderhoud) en raken snel ‘out of

Het in de greep krijgen en houden van ICT is een lastig probleem. ICT vormt een substantiële kostenpost maar maakt niet altijd de verwachtingen waar. Bestaande systemen presteren vaak ondermaats, zijn doorgaans duur (kosten van gebruik en onderhoud) en raken snel ‘out of date’. Ook het realiseren van nieuwe systemen is complex en kostbaar en kampt nogal eens met substantiële kostenoverschrijdingen, te late oplevering en/of onvoldoende functionaliteit voor de gebruiker. Deze problemen worden steeds complexer doordat informatiesystemen zowel intern als extern met elkaar moeten (gaan) samenwerken. Tegelijkertijd neemt de urgentie om oplossingen te vinden snel toe omdat er steeds hogere verwachtingen aan ICT worden gesteld.

Het probleem is allerminst nieuw en krijgt al langere tijd uitgebreid aandacht van informatiemanagers en ICT’ers. Het toepassen van instrumenten op het gebied van ontwikkeling en beheer van informatiesystemen, zoals Prince2, CMM, ASL en ITIL, kunnen belangrijk bijdragen aan een betere beheersing van ICT. Het zijn echter allemaal methoden die oplossingen bieden voor deelproblemen op operationeel/ tactisch niveau, terwijl de kern van de structurele problemen met ICT vaak op het niveau van de strategische besturing van ICT ligt. ICT is de laatste jaren geëvolueerd van een louter ondersteunende technologie tot een onmisbaar en integraal onderdeel van de primaire en ondersteunende processen van de overheid. De overheid kan dankzij ICT flexibeler en klantgerichter werken en beter samenwerken met ketenpartners. Door een slimme inzet van ICT kan de overheid dus doelmatiger functioneren en beter presteren. De departementale top kan zich daarom bij de inrichting van de informatievoorziening niet afzijdig houden van ICT.

Sinds de jaren negentig van de vorige eeuw onderzoekt de Algemene Rekenkamer de ICT bij de rijksoverheid en beoogt zij een bijdrage te leveren aan de verbetering van de informatievoorziening van het Rijk. Enige recente onderzoeken van de Algemene Rekenkamer op het gebied van ICT laten zien dat juist de (strategische) besturing van ICT nogal eens tekort schiet. Zo concludeerde de Algemene Rekenkamer in haar onderzoek naar de ICT-vernieuwingsoperatie bij de politie dat er problemen waren op de gebieden doelformulering, motiveren van oplossingsrichtingen, het bepalen van ijkpunten en tussendoelen, het doen van nulmetingen, de financiële onderbouwing, de tijdplanning en het risicobesef. Dit soort problemen vraagt om een structurele oplossing op het strategische niveau van de organisatie.

Ontwikkeling van het governance-gedachtegoed
IT-governance is geen op zichzelf staand fenomeen, maar vormt een onderdeel van de wereldwijde opmars van het governance-gedachtegoed. Governance staat hierbij voor bestuur. Sinds de jaren negentig van de vorige eeuw is het – van oorsprong Angelsaksische – governance-denken steeds meer gemeengoed geworden. De aandacht voor governance heeft alles te maken met de belangen van belanghebbenden (stakeholders) en hun behoefte aan transparantie en verantwoording over hoe organisaties bestuurd worden. Het governance-denken ontstond bij ondernemingen: corporate governance. De toepassing van het corporate-governance-gedachtegoed op overheidsorganisaties resulteerde in het begrip government governance. Een in Nederland gangbare definitie van government governance is: “het sturen en beheersen van overheidsorganisaties en door de overheid in het leven geroepen organisaties, de verantwoording die daarover wordt afgelegd en het toezicht dat daarop wordt uitgeoefend ten behoeve van belanghebbenden” (Ministerie van Financiën, Studierapport government governance, Den Haag, 1996, p. 27). Centraal staan de vier kernelementen sturing, beheersing, verantwoording en toezicht.
De toegenomen aandacht voor ICT en het belang ervan voor de bedrijfsvoering heeft uiteindelijk geleid tot het ontstaan van IT-governance, een toespitsing van het governance-denken op ICT.


Naar een oplossing: IT-governance
Het besef dat ICT een zaak is die de top van de organisatie aangaat, is sinds halverwege de jaren negentig van de vorige eeuw steeds meer gemeengoed geworden. De opmars van het governance- gedachtegoed (corporate governance, government governance) en het inzicht dat de inzet van ICT-toepassingen een essentiële schakel is gaan vormen in de bedrijfsvoering en de realisatie van organisatiedoelstellingen, leidde tot een versterkte aandacht voor ICT als onderdeel van governance.

Zo is IT-governance ontstaan. Wereldwijd is dan ook een sterk toenemende aandacht voor IT-governance zichtbaar. De belangrijkste internationale instituten die zich met IT-governance bezighouden zijn de Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). ISACA is de internationale organisatie van IT-auditors. Deze organisatie ontwikkelde het toonaangevende Control Objectives for Information and related Technology (CobiT), dat beheerd wordt door ITGI. Ook adviesbureaus op het terrein van organisatie- en informatievraagstukken zoals Gartner en Accenture bewegen zich op dit terrein.
Wat is er nu nieuw aan IT-governance? Ten eerste is dit de inbedding van het ICT-aspect in de totale governance van een organisatie. ICT is daarmee een strategisch onderwerp geworden. Hiermee hangt het tweede nieuwe element van IT-governance samen: het is primair een verantwoordelijkheid van de organisatieleiding, niet zozeer van de ICT’ers. Het derde nieuwe element van ITG is de brede reikwijdte van het concept: het gaat om – in onderlinge samenhang – interne sturing en beheersing van de (geautomatiseerde) informatievoorziening, het afleggen van externe verantwoording hierover, en het externe toezicht hierop.1

Control Objectives for Information and Related Technology (CobiT)
CobiT is zonder meer het meest toegepaste ICT-beheersingsinstrument. Het CobiT-model kan worden gebruikt door zowel management (inrichting van IT-governance) als auditors (beoordeling van de IT-governance). IT-Governance wordt in CobiT als volgt gedefinieerd:
“IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.” In deze formulering komen de governance-componenten sturing en beheersing duidelijk tot uiting. Het belangrijkste verschil met de definitie van de Algemene Rekenkamer is het niet expliciet benoemen van de governance-componenten verantwoording en toezicht.


IT-governance: een definitie2
De Algemene Rekenkamer vond in bestaande definities van IT-governance onvoldoende de brede reikwijdte van het begrip terug en heeft daarom een eigen definitie opgesteld.
In de Rekenkamerdefinitie komen de vier componenten van governance (interne sturing, interne beheersing, externe verantwoording en extern toezicht) helder(der) tot uiting.

IT-governance intern

  • Interne sturing is het proces waarbij richting wordt gegeven aan een organisatie om de beleidsdoelstellingen te kunnen realiseren. Het gaat hier om het ‘uitzetten van de koers’ voor de ICT-voorziening. Onder interne sturing vallen activiteiten als: de planning en organisatie van de informatievoorziening en de ICT, het inrichten van de concernarchitectuur, en het inrichten van de ICT-processen en opstellen van interne procedures, regels en richtlijnen.
  • Interne beheersing is het proces waarbij een stelsel van maatregelen en procedures wordt ingevoerd en gehandhaafd om vast te stellen of de uitvoering in overeenstemming is en blijft met de gemaakte plannen. Zo nodig worden maatregelen voor bijsturing getroffen zodat de beleidsdoelstellingen gerealiseerd kunnen worden. Het gaat hier om het ‘op koers houden’ van de ICT-voorziening. Onder deze component valt risicomanagement, de naleving van interne procedures, richtlijnen en externe wet- en regelgeving, periodieke en incidentele managementrapportages, voortgangscontrole en bijsturing van de planning en audits, evaluaties en monitoring.

IT-governance extern

  • Externe verantwoording betekent rekenschap afleggen aan externe belanghebbenden. Onder deze component vallen voortgangsrapportages (alleen bij grote ICT-projecten) en de bedrijfsvoeringsparagraaf. In de bedrijfsvoeringsparagraaf van hun jaarverslag geven ministers aan of ze ‘in control’ zijn van hun bedrijfsvoering, met andere woorden of er sprake is van ‘good governance’. ICT zou daar een logische plaats in kunnen krijgen. De minister legt dan in de bedrijfsvoeringsparagraaf ook verantwoording af over het gevoerde informatievoorzienings- en ICT-beleid en de daaruit voortvloeiende resultaten. Externe belanghebbenden kunnen zo zien of het ministerie grip heeft op de informatievoorziening.
  • Bij extern toezicht beoordeelt een externe toezichthouder of processen van een organisatie voldoen aan de daaraan gestelde eisen. De toezichthouder zal zo nodig interveniëren. Bij IT-governance gaat het om het toezien op het gevoerde ICT-beleid en de daaruit voortvloeiende resultaten. Activiteiten die onder deze component vallen zijn: informatieverzameling, oordeelsvorming, interventie.


Een vijfde component is toegevoegd, omdat bij ministeries rechtspersonen met een wettelijke taak (RWT’s) vaak een belangrijke rol spelen bij de realisatie van de beleidsdoelen. De IT-governance van een ministerie zal zich in dat geval moeten uitstrekken tot de ICT-voorziening van de betreffende RWT’s.

De Rekenkamerdefinitie van IT-governance luidt:

“IT-governance is de gezamenlijke verantwoordelijkheid van de top van de organisatie en de toezichthouder(s) voor:

  • de interne sturing van de ICT-voorziening van de organisatie;
  • de interne beheersing van de ICT-voorziening van de organisatie;
  • de externe verantwoording over de ICT-voorziening van de organisatie;
  • het externe toezicht op de ICT-voorziening van de organisatie;
  • en (bij ministeries, indien van toepassing) de aansturing van en het toezicht op de ICT-voorziening van de RWT’s door het ministerie.”3


In figuur 1 is schematisch weergegeven wat de belangrijkste governance-activiteiten zijn voor elk van de vijf componenten waaruit de definitie bestaat. Het geheel is nader geconcretiseerd in een beschrijvingskader dat voor elk van de activiteiten de belangrijkste aandachtspunten schetst. Het beschrijvingskader is opgenomen als bijlage 1 van het Rekenkamerrapport.

TPC februari 2007 blz 15.JPG
Figuur 1.

Ter illustratie lichten wij de component interne beheersing nader toe.

Interne beheersing: ‘op koers houden’ van de ICT-voorziening
De component interne beheersing is, mede geïnspireerd door COSO, uitgewerkt in de volgende vijf activiteiten.

  • Risicomanagement. Hieronder valt ten eerste de periodieke inventarisatie en analyse van risico’s, waaronder risicoanalyses (afhankelijkheids- en kwetsbaarheidsanalyses: A&K-analyses) voor de vitale systemen en analyse van projectrisico’s, en ten tweede de continue risicobeheersing, bijvoorbeeld door risicoparagrafen in jaarplannen en periodiek risico-overleg.
  • Naleving van interne procedures, regels, richtlijnen en externe wet- en regelgeving. Tot de eerste categorie behoren interne voorschriften voor onder meer informatiebeveiliging, projectmanagement, ICT-beheersprocessen, softwareontwikkeling en testmanagement, uitbesteding en afspraken tussen gebruikersorganisatie en ICT-dienstverlener. Tot de tweede categorie behoren externe wet- en regelgeving, die onder meer de privacybescherming en informatiebeveiliging betreft.
  • Opstellen van periodieke en incidentele managementrapportages. De periodieke managementrapportages betreffen zowel de reguliere ICT-activiteiten als de ICT-projecten. Bij de rapportage over de reguliere ICT-activiteiten valt te denken aan de verantwoording over zaken als operationele kosten, prestaties (waaronder de uitvoering van service level agreements: SLA’s), risico’s, kwaliteit van dienstverlening, klachten en storingen. De verantwoording over ICT-projecten heeft onder meer betrekking op voortgang, kosten, deelproducten, mijlpalen, incidenten en risico’s. De incidentele managementrapportages betreffen onder meer storingen en calamiteiten.
  • Voortgangscontrole op en bijsturing van ICT-planning. Deze activiteit bestaat uit drie stappen. De eerste stap bestaat uit de vergelijking van hetgeen gepland was volgens informatieplan en/of ICT-strategie, jaarplannen, projectplannen en budgetten met wat gerealiseerd is, op de aspecten tijd, kwaliteit en kosten. De tweede stap is de bijsturing bij grote verschillen tussen planning en realisatie, belangrijke tekortkomingen en/of aanzienlijke risico’s. De derde stap betreft het nagaan of de bijsturing tot het gewenste resultaat leidt.
  • Audits, evaluaties en monitoring. De belangrijkste instrumenten om na te gaan of de informatievoorziening en de onderliggende ICT naar behoren functioneren zijn interne of externe IT-audits, interne of externe evaluaties, third-party-mededelingen, kwaliteitsborging, medewerkerstevredenheidsmetingen en gebruiksmeting van ICT-faciliteiten.


IT-governance bij ministeries
In 2005 heeft de Algemene Rekenkamer onderzoek gedaan naar IT-governance bij de rijksoverheid. Bij de Ministeries van Economische Zaken (EZ) en van Sociale Zaken en Werkgelegenheid (SZW) is zij nagegaan hoe zij IT-governance in de praktijk brengen.
De twee ministeries blijken volop bezig te zijn IT-governance vorm te geven.

Opvallend is dat beide ministeries hierbij grotendeels dezelfde accenten in de goede richting leggen. Er is vooralsnog vooral aandacht voor de component interne sturing, een logisch startpunt. Zo streven beide ministeries naar meer centrale regie op de organisatie van de informatievoorziening en de inrichting van de ICT. Hiermee samenhangend hebben beide ministeries de functie van chief information officer (CIO) ingesteld en ondergebracht in de top van de organisatie: de plaatsvervangend secretaris- generaal (pSG). Dit is overigens een rijksbrede trend. De CIO draagt onder meer de verantwoordelijkheid voor de inrichting en beheersing van de informatievoorziening en vormt de verbinding tussen bedrijfsprocessen en de ICT-voorziening. Samen met andere ministeries zijn EZ en SZW bezig de functie van CIO te professionaliseren. De laatste jaren neemt de aandacht van pSG’s voor IT-governance en de onderlinge samenwerking tussen de pSG’s op dit terrein ook zichtbaar toe.
Beide ministeries hebben verder een interne ICT-regiefunctie ingericht om te bevorderen dat alle organisatieonderdelen gezamenlijk optrekken waar dat mogelijk is. Ook werken beide ministeries aan een gestandaardiseerde ICT-architectuur, waarbij de organisatie zoveel mogelijk als één concern wordt gezien. Bij beide ministeries valt ook op dat er momenteel nog betrekkelijk weinig aandacht is voor de componenten interne beheersing en vooral externe verantwoording. Zo is er nog geen structurele aandacht voor evaluatie en actualisering van de ICT-strategie, als onderdeel van de interne beheersing. Voor de externe verantwoording is nog slechts sprake van een begin van aandacht. Extern toezicht op de ICT-voorziening van de ministeries betreft nog eigenlijk alleen grote, risicovolle projecten.
Voor nadere informatie over de IT-governance bij ministeries verwijzen wij naar het Rekenkamerrapport Grip op informatievoorziening - IT-governance bij ministeries4 en naar ons artikel ‘IT-governance en de controller’ (Th. Wijsman, C. Wauters en P. Neelissen, MCA 5, 2006, pp. 28-31).

Rechtspersonen met een wettelijke taak

  • Bij aansturing van en toezicht op RWT’s geeft het ministerie mede richting aan de ICT-voorziening van de RWT’s. Daarnaast gaat het ministerie na of de RWT’s voldoen aan de afspraken. Als dat niet het geval is intervenieert het ministerie. Aansturing en toezicht op RWT’s is alleen aan de orde als de betreffende RWT’s een belangrijke rol spelen in het realiseren van de beleidsdoelen van het ministerie en als de ICT-voorziening hierbij een belangrijke rol speelt.


Aandachtspunten voor IT-governance
De Algemene Rekenkamer heeft met het rapport een impuls willen geven aan de verdere ontwikkeling van IT-governance bij de rijksoverheid. De volgende punten zijn daarbij volgens haar cruciaal.

  • Vermijd ‘blinde vlekken’ bij de inrichting van IT-governance. Omdat de inrichting van IT-governance complex is, bestaat het risico dat cruciale elementen over het hoofd worden gezien.
  • Werk vanuit omgevingsbewustzijn. Veel van de beleidsdoelen van de overheid kunnen alleen worden gerealiseerd in samenwerking tussen organisaties. Bij het maken van keuzes over de informatievoorziening moet het ministerie zich ervan bewust zijn dat de ‘ketenpartners’ voor hun informatievoorziening afhankelijk van elkaar zijn.
  • Zorg voor een goede aansluiting tussen beleid, organisatiestrategie en informatiestrategie. Het rijksbrede beleid en de bestuurlijke afspraken met ketenpartners moeten vertaald worden naar de interne organisatiedoelen en de bijbehorende informatiestrategie (‘business-IT alignment’)
  • Beschouw het ministerie als één concern. Binnen het ministerie moeten de schotten worden neergehaald door de introductie van een concernbenadering. Het uitgangspunt is daarbij dat de informatievoorziening van afzonderlijke organisatieonderdelen niet op zichzelf staat maar wordt behandeld als onderdeel van één samenhangende informatievoorziening van het gehele ministerie.
  • Ontwikkel een gestandaardiseerde concern-informatiearchitectuur. Bij de concernbenadering past ook een samenhangende visie op taken, processen, informatievoorziening en ICT-dienstverlening die geldt voor het gehele ministerie en waar alle organisatieonderdelen aan gehouden zijn. De uitdaging is een toekomstvaste informatiearchitectuur voor de langere termijn die aansluit op de behoeften van de organisatie en van haar ketenpartners.
  • Organiseer vraag en aanbod van de ICT-dienstverlening. Vraag vanuit de organisatie en aanbod door de ICT-dienstverlening dienen goed op elkaar te worden afgestemd (klantleveranciersmodel). Gebeurt dit niet, dan bestaat het gevaar dat de dienstverlening alleen gestuurd wordt vanuit de technologie of, in het geval van dienstverlening door een externe partij, door commerciële overwegingen. Het gevolg kan zijn dat de geleverde ICT-dienstverlening niet de kwaliteit heeft die nodig is voor een optimale informatievoorziening, of dat de dienstverlening onnodig duur is.
  • Beschouw IT-governance als een groeitraject naar een permanent proces. IT-governance kan niet van de ene op de andere dag tot stand worden gebracht. Het is een lastig proces van zoeken naar nieuwe organisatorische structuren en andere werkwijzen en dient gepaard te gaan met cultuurverandering en professionalisering. Uiteindelijk moet IT-governance vormgegeven worden als onderdeel van de totale governance van het ministerie, ingebed in de reguliere planning- en controlcyclus.
  • Zorg voor leiderschap en centrale regie. In het bijzonder bij het groeitraject naar IT-governance, waar gezocht wordt naar andere organisatiestructuren en nieuwe werkwijzen is goed leiderschap onontbeerlijk. Duidelijk leiderschap vanuit één visie op informatievoorziening en centrale regie zijn nodig om als één concern op te kunnen optreden. Hier is een belangrijke rol weggelegd voor een CIO in de top van het ministerie.


Tot slot
Wij zien IT-governance als ‘top-prioriteit’, en wel in de dubbele betekenis van, ten eerste, aandacht van de kant van de departementale top van de ministeries en wel, ten tweede, met de hoogste prioriteit. Controllers kunnen een sleutelfunctie vervullen bij het ondersteunen van de top vanuit hun verantwoordelijkheid voor het invullen van de planning- en controlcyclus. In de praktijk spelen controllers al een belangrijke rol op dit punt en zien we bijvoorbeeld dat ICT-budgetten onderdeel uitmaken van de P&C-cyclus. Daarbij wordt ICT vaak behandeld als een louter ondersteunend bedrijfsmiddel. Cruciaal is echter dat ICT een plaats krijgt als strategisch bedrijfsmiddel in de P&C-cyclus en dus gestuurd en beheerst wordt met het oog op haar bijdrage aan het beoogde functioneren en presteren van de overheid.

Drs. P.A. Neelissen RA CIA en drs. Th. Wijsman RE zijn werkzaam bij Bureau Financieel Beheer en Informatisering van de Algemene Rekenkamer, respectievelijk als onderzoeksspecialist en als projectleider. De auteurs maken deel uit van het team van de Algemene Rekenkamer dat zich bezighoudt met IT-governance.

Noten
1 Vergelijk de definitie van government governance (zie kader in tekst) en (een van) de definitie(s) van corporate governance: “het sturen en beheersen van ondernemingen, de verantwoording die daarover wordt afgelegd en het toezicht dat daarop wordt uitgeoefend ten behoeve van belanghebbenden.” (Ministerie van Financiën, Studierapport Government Governance, Den Haag, 1996, p. 9).
2 De paragrafen ‘IT-governance: een definitie’, ‘IT-governance bij ministeries’ en ‘Aandachtspunten voor IT-governance’ zijn ontleend aan het rapport Grip op informatievoorziening - IT-governance bij ministeries (Tweede Kamer, vergaderjaar 2005–2006, 30 505, nrs. 1–2) van de Algemene Rekenkamer. De auteurs van dit artikel zijn mede-auteurs van dit rapport. Het rapport is te downloaden via www.rekenkamer.nl (zie in de rubriek ‘Bestuur’ het onderwerp ‘ICT’).
Grip op informatievoorziening - IT-governance bij ministeries, p. 14.
4 Beschikbaar via de website van de Algemene Rekenkamer: www.rekenkamer.nl (rubriek Bestuur/ICT). 

Sluiten