Het tweede interview is gehouden op 16 april 2014 met de informatiemanager van een grote Hbo-instelling in Noord-Nederland en duurde ongeveer viereneenhalf uur. Deze persoon is anderhalf jaar
geleden in deze functie benoemd. Daarvoor was hij ICT manager bij dezelfde instelling, waarvoor hij inmiddels twaalf jaar werkzaam is.
Deze organisatie heeft nooit specifieke aandacht gehad voor informatiebeveiliging (door henzelf Informatie governance (IF governance) genoemd) en IT governance. De laatste jaren, voornamelijk onder impuls van de geïnterviewde, is er meer aandacht voorgekomen. Anno 2009 was er echter nog geen concrete vraag naar vanuit de business, waarna er in datzelfde jaar uiteindelijk een inventarisatie heeft plaats gevonden in opdracht van het management. Hieruit bleek dat er geen achterliggend plan of idee was, hoe om te gaan met de informatie, data en systemen die binnen de organisatie beschikbaar was en hoe deze adequaat te waarborgen. Sinds de aanstelling van de informatiemanager is in 2013 een start gemaakt met het opbouwen van Informatie governance, waarin IT governance wordt meegenomen. Sindsdien is het ook een key factor geworden en onder het aandacht van het management gekomen.
Kenmerkend voor de organisatie is dat vanuit de business pas vraag naar het managen van informatie komt, nadat hier een directe aanleiding voor is. De behoefte van de business is duidelijk reactief, proactief is er nauwelijks interesse en aandacht voor IF governance en IT governance. Volgens de informatiemanager zijn een gebrek aan kennis, inzicht en complexiteit hier belangrijke oorzaken van. Een voorbeeld hiervan is de vernieuwde wetgeving rondom privacy die er aan komt, de privacy verordening. Nu het erop lijkt dat deze opgelegde maatregel moet gaan worden uitgevoerd, dient er door de organisatie op een adequate wijze invulling aan worden gegeven. Een ander voorbeeld is het stopzetten van de ondersteuning van Microsoft voor Windows XP. Nu deze updates daadwerkelijk niet meer worden verstrekt, is er vanuit de ICT afdeling een actieplan opgezet om het oude Windows pakket binnen zeer korte termijn te migreren naar een nieuwe versie van Windows. Op het moment dat de aankondiging door Microsoft werd verstuurd, werd hier echter door de ICT afdeling niet op ingespeeld. Vanuit de traditionele staffuncties als finance en personeelszaken is ook nauwelijks aandacht voor IF governance en IT governance. Ook zij kenmerken zich door een reactieve houding.
Het gebrek aan kennis en awareness bij de business maakt het lastig om IF- en IT governance te embedden in de organisatie. Zonder deze integratie is het volgens de Informatiemanager vrijwel onmogelijk om op een proactieve manier met deze materie om te gaan. Daarbij komt ook dat de cultuur van de organisatie het lastig maakt om veranderingen van bovenaf te implementeren. Binnen deze organisatie zijn voornamelijk professionals aanwezig, met een duidelijke eigen mening. Dit zorgt voor dat iedereen zijn visie over het onderwerp wil laten schijnen en dat er uitermate veel coördinatie nodig is om het in te voeren. De positie van de informatiemanager staat los van andere afdelingen. Hij rapporteert direct aan het management. Binnen een direct concurrerende Hbo-instelling, waar hij ook werkzaam is in een vergelijkbare functie, is deze functie onderdeel van de ICT afdeling.
Tijdens het interview wordt aangegeven dat de ICT afdeling voornamelijk aanbod gerelateerd wordt gedreven. Vanuit de business is geen vraag naar oplossingen voor het verantwoord omgaan met IT systemen en informatie. Daarnaast neemt de ICT afdeling of het management hierin geen actieve rol in. Hierdoor ontstaat een patstelling die volgende de geïnterviewde lastig te doorbreken is.
In de laatste jaren zijn er geen IT audits uitgevoerd bij deze organisatie, maar volgens de geïnterviewden “kunnen vreemde ogen dwingen”. Hij geeft aan dat een externe blik van een deskundige derde op de situatie, kan zorgen voor meer bewustwording op het gebied van IT governance en informatie management. Hierdoor zullen werknemers binnen deze organisatie beter op de hoogte geraken van de risico’s die gelopen worden en kan er wellicht een breder draagvlak voor worden gecreëerd.
Zijn eigen rol ziet hij meer als vertellend, dan echt het implementeren van IF governance in de organisatie. Er zijn op dit gebied eigenlijk geen rapporteringen of andere vormen van verantwoordelijkheid die de business moet afgeven op de terreinen van IF governance en IT governance. De enkele KPI’s die zijn afgesproken zijn op laag niveau en duidelijk onvoldoende. Dergelijke KPI’s zouden eigenlijk door de gehele organisatie moeten worden ingevoerd in de manier van werken, zo wordt aangegeven tijdens het interview.
Als belangrijkste risico’s identificeert de geïnterviewde onder andere de betrouwbaarheid van (financiële) data en de kwaliteit van de informatie die daarmee wordt gegeneerd. Er is gebrek aan een eigenaar van het overkoepelende beleid van de organisatie in brede zin, waardoor het lastig is om IF- en IT-governance op te zetten die door ieder (redelijk autonome) afdeling of school eenduidig wordt uitgevoerd. De geïnterviewde vindt dat de organisatie sterk is in het omgaan met problemen en deze op een efficiënte en effectieve manier op te lossen, er dus reactief op te reageren. De instelling weet zich perfect voor te breiden op accreditaties en accountantscontroles. Hier gaat de organisatie echter ook op leunen, wat de bereidheid tot proactief handelen nog verder smoort. Daarnaast is de snelheid van de veranderingen in technologie een belangrijk risico volgens de geïnterviewde. Ook het gebrek aan aandacht voor belangrijke governance maatregelen zijn een gevaar. Het enige waar proactief op wordt gestuurd is het maken van back-ups. De recovery testen worden niet uitgevoerd. Zelfs restore testen niet.
De geïnterviewde geeft aan dat hij verwacht dat de huidige status quo lastig te doorbreken zal zijn. Vanuit de business zelf zal de kans gering dat er wat aan de huidige status quo wordt gedaan, daarnaast zal er vanuit de ICT afdeling waarschijnlijk eveneens geen actie zijn. Duidelijk is dus dat er van buiten moet worden gestuurd om hier verandering in aan te brengen. Liefst door de vraag vanuit de business te stimuleren. Regelgeving zal werken voor de implementatie, maar dit zal geen proactief beleid bewerkstelligen.
De implementatie van de IF- en IT governance is op dit moment voornamelijk toegespitst en geïmplementeerd op het ontwikkelen van een proces en identificeren van belangrijke aandachtspunten. Het daadwerkelijk uitvoeren van de governance of de output analyseren en verwerken voor verbeteringen vindt totaal niet plaats. Op deze onderdelen vindt ook geen monitoring plaats van eventuele uitkomsten.
Volgens de geïnterviewde ben je in controle over de IT omgeving als je in staat bent om veranderen in zo kort mogelijke manier te absorberen, te verwerken en de kansen die deze veranderingen bieden te grijpen. Hij stelt dat een bedrijf beheersing heeft over de IT omgeving indien “het verander moment zo kort als mogelijk is”.
Belangrijke constatering die hij doet is dat hij merkt dat er een groeiende kloof is tussen de business en de mogelijkheden met bijbehorende risico’s die bij ICT en informatie komen kijken. De business is niet in staat deze veranderingen op een juiste wijze en tijdig te absorberen en te benutten. Het verander moment is veel te lang. Mooi voorbeeld hiervan is de manier waarop nu geprobeerd wordt om het traditionele productieproces te gieten in een nieuw jasje, zonder dat de business zelf meer evolueert. De geïnterviewde noemt het aanbieden van online seminars of colleges, zoals bijvoorbeeld bij buitenlandse universiteiten als Harvard wordt gebruikt. Een belangrijk deel van de docenten wil hier niet in mee en gebruikt dit vervolgens als argument om ook andere ontwikkelen niet te omarmen. Dit ook komt tot uitdrukking bij het digitaliseren van allerlei informatie, zo wordt gesteld. Deze informatie is inmiddels mogelijk om op een desktop of laptop te benaderen, maar niet of nauwelijks op tablet of smartphone. Dit komt omdat eerst de investeringen om de desktop gereed te maken, moeten worden afgeschreven. Hierdoor ontstaat een groter wordende kloof tussen de wens van studenten (overal en altijd, dus ook op tablet en smartphone) en de business (puur aanbod gericht en geen interesse in mee veranderen met de vraag).
Afsluitend benadrukt de informatiemanager dat de business moet veranderen. Deze moet vooral zelf gaan bedenken wat de vraag zou kunnen zijn en hiermee in overleg treden met betrokkenen. Dit moet gebeuren op het gebied van informatie en IT. Hierbij kan IF- en IT-governance als een belangrijk sturingsmiddel worden gebruikt om prestaties te verbeteren en meer zekerheden te bieden over de betrouwbaarheid en beschikbaarheid van (financiële) data en informatie, maar ook om de contiuniteit van de organisatie te borgen.