GREEN
IT
DOES MATTER
GREEN IT CRITERIA
VOOR DE IT-AUDITOR
GREEN IT
DOES MATTER
GREEN IT CRITERIA
VOOR DE IT-AUDITOR
Student Judith Berendsen
Studentnummer 7000235
Scriptiebegeleider Herman van Gils
Arnhem, mei 2017
Universiteit van Amsterdam Amsterdam Business School
VOORWOORD
Deze scriptie is geschreven ter afsluiting van de opleiding Amsterdam IT-Audit Programme (AITAP).
De keuze voor het onderwerp van deze scriptie is mede ingegeven door de missie van mijn werkgever Triodos Bank. De missie van Triodos Bank is om geld te laten werken aan positieve maatschappelijke, ecologische en culturele veranderingen. Om te komen tot een duurzame economie, is het volgens Triodos Bank, op het gebied van energie en klimaat, cruciaal om:
Energiebehoeften te verlagen
Energie zo efficiënt mogelijk te gebruiken
Op grote schaal te investeren in duurzame energieopwekking Over te schakelen naar koolstofarme brandstoffen
IT is verantwoordelijk voor ongeveer 2% van de wereldwijde CO2 uitstoot, aldus een veel geciteerd onderzoek van Gartner (Gartner, 2007). IT heeft daarnaast de unieke positie om de overige 98% te beïnvloeden (Mingay, 2007). IT en de bijdrage die het levert aan een duurzame economie is dus ook van belang voor een organisatie. De persoon die dit mede kan overzien is de IT-auditor. In dit onderzoek staat de IT-auditor centraal.
De IT-auditor zou een bijdrage kunnen leveren door het uitvoeren van zogenaamde Green IT audits binnen organisaties. De IT-auditor dient dan wel te beschikken over relevante criteria om een mate van zekerheid te kunnen geven en te adviseren over verbetermogelijkheden. Deze scriptie geeft het resultaat van het onderzoek naar mo-gelijke Green IT beoordelingscriteria voor organisaties voor de IT-auditor weer. De titel van deze scriptie is gebaseerd op de titel van het boek van Nicholas G. Carr: Does IT matter? In dit boek uit 2004 legt Carr uit dat IT strategisch is voor organisa-ties. Ik vind IT ook strategisch voor een duurzame economie.
Tot slot wil ik graag iedereen bedanken die een bijdrage heeft geleverd aan de tot-standkoming van deze scriptie.
Judith Berendsen
Arnhem, mei 2017
Indien afgedrukt met Ecofont® software wordt printerinkt (tot 30%) bespaard door kleine gaatjes te schie-ten in de letters. Deze gaatjes zijn nooit op het scherm te zien. Op papier negeren de hersenen deze kleine gaatjes (Ecofont, 2013).
Bein’ green
It's not that easy being green
Having to spend each day the color of the leaves
When I think it could be nicer being red, or yellow, or gold
Or something much more colorful like that
It's not easy being green
It seems you blend in with so many other ordinary things And people tend to pass you over
'Cause you're not standing out Like flashy sparkles in the water Or stars in the sky
But green's the color of spring
And green can be cool and friendly-like And green can be big like a mountain Or important like a river
Or tall like a tree
When green is all there is to be It could make you wonder why But why wonder why wonder I am green, and it'll do fine
It's beautiful, and I think it's what I want to be
INHOUDSOPGAVE
VOORWOORD
SAMENVATTING
1
DEZE SCRIPTIE: CONTEXT EN ONDERZOEKSOPZET ... 1
1.1 Inleiding ... 1
1.2 Context ... 1
1.3 Doelstelling en vraagstelling ... 3
1.4 Onderzoeksmodel ... 3
1.5 Opbouw van deze scriptie ... 5
2
GREEN IT ... 6
2.1 Inleiding ... 6
2.2 Duurzaamheid ... 6
2.3 Green IT definitie ... 7
2.4 Impact van IT op het milieu ... 9
2.5 Drijfveren voor Green IT voor organisaties ... 10
2.6 Green IT op de CIO agenda ... 12
2.7 Green IT assurance ... 12
2.8 Conclusie & samenvatting ... 13
3
GREEN IT CRITERIA VOOR DE IT-AUDITOR ... 14
3.1 Inleiding ... 14
3.2 Green IT modellen en instrumenten ... 14
3.3 Green IT criteria voor de IT-auditor ... 15
3.4 Conclusie & samenvatting ... 18
4
GREEN IT IN DE PRAKTIJK ... 19
4.1 Inleiding ... 19
4.2 Toetsingsmethode ... 19
4.3 Vooruitblik op mogelijke resultaten ... 20
4.4 Toetsing door expert ... 20
4.5 Toetsing door panel ... 20
5
CONCLUSIES EN AANBEVELINGEN ... 22
5.1 Inleiding ... 22 5.2 Conclusies ... 22 5.3 Aanbevelingen ... 23 5.4 Reflectie ... 24LITERATUUR ... 25
BIJLAGE A
GREEN IT DEFINITIES ... 27
BIJLAGE B
GREEN IT MODELLEN ... 28
BIJLAGE C
IT MANAGEMENT CONCERNS 2016 ... 39
SAMENVATTING
Naar aanleiding van de onderzoeksresultaten van Gartner in 2007 dat IT met 2% bij-draagt aan de wereldwijde CO2 emissie, maar ook de ‘enabler’ kan zijn om de overige 98% te beïnvloeden, hebben de beroepsgroepen van internal auditors (IIA) en de IT-auditors (ISACA) beiden in 2011 publicaties uitgebracht over Green IT respectieve-lijk sustainability. Zowel de IIA als de ISACA identificeerde mogerespectieve-lijkheden voor het geven van assurance en advies door de auditor. Een geschikt normenkader voor de auditor ontbrak en is sindsdien door beide organisaties in Nederland ook niet ontwik-keld.
Voor de IT-auditor kan de (mate van) duurzaamheid van Informatie Technologie (IT) in organisaties een audit-object zijn. Duurzaamheid van IT staat echter niet op de agenda van de CIO, terwijl IT een bijdrage kan leveren voor de
organisatie-doelstellingen op het gebied van duurzaamheid. Opmerkelijk is dat hoewel duurzaam-heid steeds meer ‘mainstrain’ of ‘business as usual’ wordt, bijvoorbeeld bij de ontwik-keling van nieuwe kantoorgebouwen en duurzame productie van goederen, duurzame toepassing en duurzaam gebruik van IT niet op de agenda van de CIO staat.
Uit het onderzoek is gebleken dat wel literatuur aanwezig is op het gebied van Green IT. Er zijn verschillende definities van Green IT gevonden. Tevens bestaan er verschil-lende modellen voor Green IT. Voor het geven van zekerheid of advies door de IT-auditor zijn echter deze modellen minder geschikt, doordat maatstaven in bijvoorbeeld de vorm van KPI’s ontbreken. Zonder een geschikt normenkader is het geven van Green IT assurance voor de IT-auditor minder eenduidig.
Uit de gesprekken met de experts en de Ronde Tafel sessie is het beeld bevestigd dat ‘green IT’ niet op de agenda van de CIO staat. Maatregelen die bijdragen aan ‘Green IT’ worden wel uitgevoerd, echter meestal niet van uit een duurzaamheidsdrijfveer maar vaak vanuit een kostendrijfveer. Daarnaast wegen aspecten zoals beschikbaar-heid en betrouwbaarbeschikbaar-heid van IT zwaarder dan duurzaambeschikbaar-heid. Ook ontwikkelingen zo-als cloud, cybersecurity en dataprivacy staan hoger op de agenda van de CIO, aldus de deelnemers.
De experts en de deelnemers aan de Ronde Tafel sessie onderschrijven dat IT geschikt is voor duurzame en groene maatregelen en initiatieven, desondanks lijkt dat de IT-organisatie nog niet volwassen genoeg is, voor het geven van assurance door de IT-auditor op het gebied van duurzaamheid.
Op dit moment kan de IT-auditor kan echter wel een bijdrage leveren door het stellen van vragen aan de CIO en CxO’s en zodoende de (IT-)organisatie bewust maken van de mogelijkheden die IT heeft ten aanzien van duurzaamheidsmaatregelen.
Daarnaast kan de IT-auditor bij het geven van assurance of advies, bij de uitvoering van IT-audits naast bijvoorbeeld de impact van (afwezigheid van) maatregelen op de control-environment ook de impact op duurzaamheid benoemen.
De wereld verandert: de verwachtingen van stakeholders ten aanzien van duurzaam-heid nemen toe. Wet- en regelgeving ten aanzien van duurzaamduurzaam-heid zal toenemen. De IT-auditor kan zich voorbereiden door te zorgen dat hij kennis krijgt van dit onderwerp en zodoende relevant zijn. Deze scriptie geeft aanbevelingen voor de IT-auditor, de beroepsgroep voor IT-auditors en de IT-audit opleidingen.
1
DEZE SCRIPTIE: CONTEXT EN ONDERZOEKSOPZET
1.1
Inleiding
Deze scriptie gaat over (de mate van) duurzaamheid van informatietechnologie (IT) in organisaties en hoe de IT-auditor invulling kan geven aan het verstrekken van zeker-heid en advies over duurzaamzeker-heid aan de hand van zogenaamde ‘Green IT’ beoorde-lingscriteria.
In dit eerste hoofdstuk staan de context en de opzet van het uitgevoerde onderzoek centraal:
In paragraaf 2 is de aanleiding beschreven voor het onderwerp van dit onderzoek. In paragraaf 3 is de doelstelling en de vraagstelling van het onderzoek
geformu-leerd.
In paragraaf 4 is de doelstelling verder uitgewerkt in het onderzoeksmodel. Tot slot wordt in paragraaf 5 de indeling van deze scriptie toegelicht.
1.2
Context
De afgelopen decennia is het gebruik van informatietechnologie (IT) explosief gegroeid en heeft IT zowel privé als werk vergemakkelijkt. Naast de vooruitgang en het wijd-verspreide gebruik van IT, heeft IT ook bijgedragen aan milieuproblemen. Computers, IT netwerken, etc. gebruiken significante hoeveelheden energie, plaatsen daarmee een zware last op de elektriciteitsnetwerken en dragen bij aan de uitstoot van CO2 emissies. Tevens levert IT-apparatuur zowel tijdens de productie als tijdens de verwij-dering (e-waste) ernstige problemen op. IT is daarmee een substantieel en nog steeds groeiend deel van de huidige milieuproblematiek.
Door de toenemende vraag van consumenten, afnemers en overige belanghebbenden om duurzaamheid, verminderen bedrijven en overheden waar mogelijk hun CO2 im-pact op de samenleving, door het nemen van maatregelen. Het verminderen van het energieverbruik van IT is een mogelijke maatregel. Het verminderen van de milieu-problemen die door IT worden veroorzaakt en het mede creëren van een duurzame samenleving door het verduurzamen (‘vergroenen’) van IT-systemen, wordt ook wel Green IT genoemd.
Juergens (Juergens, 2010) stelt in zijn artikel dat de resultaten van Green IT initiatie-ven verschillend kunnen zijn voor organisaties. Sommige organisaties rapporteren een substantieel voordeel en significante winst door middel van Green IT initiatieven, ter-wijl andere organisaties minder voordeel rapporteren. De factoren voor een succesvol Green IT programma verschillen volgens hem van organisatie tot organisatie. Juer-gens werkt dit echter niet verder uit in het artikel maar verondersteld dat organisaties door zullen gaan met het uitvoeren van Green IT initiatieven en dat dit impact zal
Enkele grote veranderingen voor IT-auditors die door Juergens geïdentificeerd zijn: - wijzigingen in het IT-audit universum door Green IT
- wijzigingen in audit bevindingen en rapportages
- meer mogelijkheden om waarde toe te voegen door Green IT
De conclusie is dat Green IT initiatieven mede de manier waarop organisaties IT bena-deren zal wijzigen. Dit biedt volgens Juergens uitdagingen en mogelijkheden voor IT-auditors.
In 2011 is zowel door de IIA (Institute of Internal Auditors) als de ISACA (Information Systems Audit and Control Association) een publicatie uitgebracht over ‘Green IT’ (Gray, 2011) respectievelijk ‘Sustainability’ (ISACA, 2011).
De publicatie van de IIA geeft de resultaten weer van een enquête onder internal au-ditors naar wat nu (anno 2011) al wordt gedaan in het Green IT domein en wat inter-nal auditors zouden moeten doen. In 2011 was de betrokkenheid van interinter-nal auditors bij Green IT activiteiten laag. Er werden echter significant potentiële mogelijkheden gezien voor internal auditors om waarde toe te voegen met Green IT audits en advies. In 2015 heeft er een vervolgonderzoek plaats gevonden onder internal auditors in Au-stralië, Canada en de Verenigde Staten over Green IT (Gray, Yoon, No, & Roebuck, 2015). De conclusie van dit onderzoek was dat de er slechts minimaal Green IT activi-teiten uitgevoerd worden door internal auditors, ondanks dat duurzaamheidsverslag-geving door organisaties de afgelopen jaren is toegenomen. De auteurs doen een sug-gestie voor verder onderzoek om de redenen te identificeren waarom internal auditors niet meer proactief betrokken zijn bij de hoog zichtbare, snel groeiende en waarde toevoegende gebieden van duurzaamheid en Green IT.
De ISACA heeft in april 2011 een publicatie uitgebracht over ‘Sustainability’ (Neder-lands: duurzaamheid) in de vorm van een ‘White Paper’. In deze publicatie wordt uit-gelegd wat duurzaamheid is, wat de impact is van duurzaamheid en wat de voordelen zijn voor organisaties. Er wordt onder andere ingegaan op de risico’s van duurzaam-heid, de besturing en beheersing van duurzaamheid en de consideraties waar auditors rekening mee zullen moeten houden.
De ‘White Paper’ sluit af met de conclusie dat duurzaamheid een onderdeel van de organisatiestrategie is geworden. Dit leidt tevens tot een transformatie van het audit vakgebied. De auditors zullen nieuwe of aangepaste referentiemodellen moeten ont-wikkelen en gebruiken zodat zij kunnen rapporteren hoe organisaties zich gedragen als een duurzame onderneming.
De IT-auditor kan dus gevraagd worden om zekerheid te geven aan het management over de duurzaamheid van IT. De IT-auditor heeft echter criteria nodig waarmee de mate van duurzaamheid van IT kan worden beoordeeld.
Met deze scriptie wil ik een antwoord geven op de vraag op welke wijze de IT-auditor aanvullende zekerheid kan verstrekken aan het management van een organisatie over de duurzaamheid van IT en welke criteria de IT-auditor hier voor nodig heeft.
1.3
Doelstelling en vraagstelling
Het doel van dit onderzoek is het geven van aanbevelingen aan de beroepsgroep van IT-auditors voor het opnemen van Green IT in het IT-audit vakgebied door het pre-senteren van een overzicht van Green IT criteria voor het geven van zekerheid en ad-vies over duurzaamheid van IT in organisaties.
De centrale onderzoeksvraag is als volgt geformuleerd:
Op welke wijze kan de IT-auditor invulling geven aan het verstrekken van zekerheid en adviseren over de (mate van) duurzaamheid van IT in een organisatie?
Deze centrale vraagstelling kan worden uiteengezet in diverse afzonderlijke vragen die door middel van onderzoek worden beantwoord.
Green IT
Wat is duurzaamheid? Wat is Green IT?
Wat is de milieu impact van IT?
Green IT in organisaties
Wat zijn de belangrijkste drijfveren voor Green IT voor organisaties?
Welke prioriteit heeft Green IT op de agenda van CIO’s / IT management in Neder-land?
Green IT assurance
Wat is Green IT assurance?
Green IT criteria
Welke Green IT criteria zijn beschikbaar voor de IT-auditor?
Op welke wijze kan de IT-auditor zekerheid en advies geven over Green IT in or-ganisaties?
1.4
Onderzoeksmodel
Volgens Verschuren & Doorewaard (2010) bestaat een conceptueel onderzoeksont-werp uit vier onderdelen: doelstelling, onderzoeksmodel, vraagstelling en begripsbe-paling. In de vorige paragraaf is de doelstelling van het onderzoek bepaald. Om deze
het onderzoek geformuleerd. In deze paragraaf wordt het onderzoeksmodel verder uitgewerkt.
Het onderzoek betreft een praktijkgericht onderzoek om een bedrage te leveren aan een interventie om een bestaande praktijksituatie te veranderen. Door Verschuren & Doorewaard (2010) wordt de zogenoemde interventiecyclus gebruikt om de fase van het handelingsprobleem te bepalen waaraan de resultaten van het onderzoek aan bij-dragen. De interventiecyclus onderscheid vijf fasen van probleemoplossend handelen: probleemanalyse, diagnose, ontwerp, interventie/verandering en evaluatie.
Dit onderzoek richt zich op de evaluatie fase.
In Figuur 1 wordt het conceptueel onderzoeksmodel weergeven, vrij naar Verschuren & Doorewaard (2010). Dit is een schematische weergave van het doel van het onder-zoek en de stappen om dit doel te bereiken.
Figuur 1 Onderzoeksmodel Uitleg onderzoeksmodel:
Een bestudering van de verschillende theorieën en onderzoeksresultaten op het terrein van Green IT en Green IT assurance, levert criteria waarmee de duurzaamheid van IT in organisaties beoordeeld kan worden. De getoetste Green IT beoordelingscriteria worden verwerkt in aanbevelingen voor de IT-auditor.
Het onderzoek bestaat uit de volgende stappen: 1. Green IT – literatuuronderzoek
o Door middel van literatuuronderzoek wordt de definitie van Green IT vastge-steld. Tevens wordt vastgesteld wat de redenen (drijfveren) zijn voor organisa-ties om Green IT toe te passen.
o Door middel van literatuuronderzoek worden Green IT criteria geïdentificeerd die gebruikt kunnen worden door een IT-auditor in organisaties.
2. Toetsing van de Green IT criteria
o Door een expert op het gebied van duurzaamheid audits.
o Door een panel discussie (ronde tafel sessie) met (IT) auditors en business sta-keholders.
Aan de hand van deze onderzoeksresultaten wordt de centrale onderzoeksvraag be-antwoord. Dit zal leiden tot het resultaat van dit onderzoek, namelijk het geven van aanbevelingen aan de beroepsgroep van IT-auditors ten aanzien van het onderwerp Green IT.
1.5
Opbouw van deze scriptie
De opbouw van deze scriptie is als volgt: In hoofdstuk 2 wordt het gehanteerde begrippenkader rondom Green IT in organi-saties nader geïntroduceerd.
In hoofdstuk 3 wordt op basis van de uitgevoerde literatuurstudie een overzicht van Green IT criteria gepresenteerd.
In hoofdstuk 4 wordt verslag gedaan van het uitgevoerde onderzoek waarin de Green IT criteria zijn getoetst in de praktijk.
Tot slot wordt in hoofdstuk 5 afgesloten met de conclusie waarin een antwoord wordt gegeven op de onderzoeksvraag.
2
GREEN IT
2.1
Inleiding
Door de toenemende vraag van consumenten, afnemers en overige belanghebbenden om duurzaamheid, verminderen organisaties, onder andere, waar mogelijk hun impact (CO2, energie, water, etc.) op de samenleving, door het nemen van maatregelen. Het verminderen van het energieverbruik van IT is een mogelijke maatregel. Het vermin-deren van de milieuproblemen die door IT worden veroorzaakt en het mede creëren van een duurzame samenleving door het verduurzamen (vergroenen) van
IT-systemen door organisaties, wordt ook wel Green IT genoemd. In dit hoofdstuk zullen de volgende vragen worden beantwoord:
Green IT
Wat is duurzaamheid? (§ 2.2) Wat is Green IT? (§ 2.3)
Wat is de milieu impact van IT? (§ 2.4)
Green IT in organisaties
Wat zijn voor organisaties de drijfveren voor Green IT? (§ 2.5) Welke prioriteit heeft duurzame IT op de agenda van CIO’s? (§ 2.6)
Green IT assurance
Wat is Green IT assurance? (§ 2.7)
Het hoofdstuk wordt afgesloten met een korte samenvatting en conclusie (§ 2.8).
2.2
Duurzaamheid
Hoe kan IT duurzaam worden gemaakt en welke rol kan IT bijdragen aan een duurza-me saduurza-menleving? Deze twee vragen worden geadresseerd door Green IT. Maar wat wordt verstaan onder Green IT? Alvorens deze vraag te beantwoorden in paragraaf 2.3 wordt in deze paragraaf eerst het begrip duurzaamheid toegelicht.
Duurzaamheid
Voor het begrip duurzaamheid (Engels: ‘sustainability’) wordt, ook nu nog, meestal gerefereerd aan de oerdefinitie zoals geformuleerd door de World Commission on En-vironment and Development van de Verenigde Naties in het rapport ‘Our Common Future’ (WCED, 1987):
‘Duurzame ontwikkeling is de ontwikkeling die aansluit op de behoeften van het heden zonder het vermogen van de toekomstige generaties om in hun eigen behoeften te voorzien in gevaar te brengen.’
Naar dit rapport wordt ook wel verwezen als het Brundtland-rapport. Door een ideaal evenwicht te bereiken tussen ecologische, economische en sociale belangen kan dit doel gerealiseerd worden.
Duurzame ontwikkeling wordt vaak voorgesteld als de drie P’s; People (mensen), Pla-net (aarde) en Prosperity (welvaart, voorheen ook wel profit genoemd). John
El-kington ontwikkelde deze Triple Bottom Line theorie begin jaren ’90 (ElEl-kington, 1999). Triple Botton Line focust niet alleen op de economische toegevoegde waarde van een organisatie, maar ook op de toegevoegde waarde voor de omgeving en de sociale fac-tor. Organisaties kunnen de richtlijnen van de Global Reporting Initiative (GRI, 2003) gebruiken om te rapporteren over People, Planet en Prosperity.
Een volgende stap in duurzaamheid is in 1999 en 2000 gezet door toenmalig secreta-ris van de VN, Kofi Annan. Op het World Economic Forum in 1999 heeft hij het vol-gende gezegd: “Let's combine the power of markets with the authority of universal
values, and the creative power of the entrepreneur with the needs of the left-behind and future generations" (About the GC, 2013).
De Verenigde Naties (VN) hebben dus een belangrijke rol gespeeld door vanaf 1999 duurzaamheid hoog op de agenda te zetten van bedrijven en overheden door middel van de Global Compact principes, de Millenniumdoelen en sinds 2015 de Sustainable Development Goals. Van organisaties wordt verwacht dat zij een preventieve aanpak voor milieu-uitdagingen ondersteunen, initiatieven nemen om een groter milieubesef te bevorderen en het stimuleren van de ontwikkeling en verspreiding van milieuvrien-delijke technologieën.
Duurzaam of groen?
Bij het gebruik van de term ‘duurzaam’ wordt verwezen naar de impact op alle drie P’s. Bij het gebruik van de term ‘groen’ wordt gerefereerd aan de impact op het milieu (planet).
Uit deze toenemende aandacht voor duurzame ontwikkeling de afgelopen 30 jaar, waaronder de toenemende aandacht voor het milieu en de natuurlijke energiebronnen zoals kolen en gas, is het besef ontstaan dat efficiënt met deze natuurlijke energie-bronnen moet worden omgesprongen. Dit geldt dus ook voor het energieverbruik door de IT-industrie.
2.3
Green IT definitie
De term ‘Green IT’ (en varianten zoals ‘Sustainable IT’ en ‘Green IS’) wordt veel ge-bruikt en vaak ook nog door elkaar. Er zijn veel definities te vinden, maar het ont-breekt aan een eenduidige definitie (Mingay, 2007) (Löser, 2015).
Ook Gartner erkent dus dat een nauwkeurige definitie ontbreekt. De Green IT definitie van Gartner, in de context van een organisatie is “optimal use of information and
communication technology (ICT) for managing the environmental sustainability of en-terprise operations and the supply chain, as well as that of its products, services and resources, throughout their life cycles.” (Mingay, 2007). De publicaties van Gartner in
2007 over Green IT en dat de IT-industrie verantwoordelijk is voor ongeveer 2% van de totale wereldwijde CO2 emissie (Gartner, 2007) heeft geleidt tot meer publicaties over en definities van Green IT.
Een vervolgens veel geciteerde definitie is van Murugesan (Murugesan, 2008): “the
study and practice of designing, manufacturing, using, and disposing of computers, servers, and associated subsystems efficiently and effectively with minimal or no pact on the environment. Green IT also strives to achieve economic viability and im-proved system performance and use, while abiding by our social and ethical responsi-bilities.”
CEPIS (Council of European Professional Informatics Societies) (R. Visser, 2012) heeft de volgende definitie van Green IT voorgesteld: “Green IT is het op efficiënte en
effec-tieve wijze met een minimale of geen negaeffec-tieve impact op het milieu ontwerpen, fa-briceren, gebruiken, afvoeren van computers, servers en aanverwante subsystemen, zoals beeldschermen, printers, opslagapparaten en netwerk- en communicatiesys-temen. Green IT gaat over milieu en duurzaamheid, het economisch efficiënt gebrui-ken van energie en de total cost of ownership, inclusief de kosten van afvoer en recy-cling.
Het milieu heeft baat bij Green IT, omdat het mogelijk maakt om energie efficiënt te gebruiken, om de CO2-uitstoot te verminderen, om minder schadelijke stoffen te ge-bruiken en om hergebruik en recycling aan te moedigen. Groen ontwerp, groene fabri-cage, groen gebruik en groene afvoer zijn de complementaire paden van Green IT. Alleen door te focussen op deze vier fronten is duurzaamheid aan de ict-kant realise-ren en is ict groener te maken in haar hele levenscyclus.”
In 2015 zijn door Löser (Löser, 2015) op basis van zeer uitgebreid literatuuronderzoek definities vastgesteld voor Green IT en Green IS. Hij heeft hiervoor 10 veel geciteerde definities vergeleken en geanalyseerd (zie bijlage B voor een overzicht van de 10 meest geciteerde definities). De definitie van Green IT door Murugesan (Murugesan, 2008) behoort tot de 5 meest geciteerde. Löser heeft op basis van dit onderzoek de volgende definities opgesteld:
The concept of Green IT refers to measures and initiatives which decrease the nega-tive environmental impact of manufacturing, operations and disposal of Information Technology (IT) equipment and infrastructure.
The concept of Green IS refers to the practices which determine the investment in, deployment, use and management of information systems (IS) in order to minimize
the negative environmental impacts of IS, business operations, and IS-enabled prod-ucts and services.
Er zijn in de literatuur veel definities van Green IT en Green IS te vinden, maar het ontbrak aan een nauwkeurige en eenduidige definitie. Löser heeft met zijn onderzoek getracht hier een einde aan te maken.
In deze scriptie wordt verder gebruik gemaakt van de definitie van Green IT opgesteld door Löser omdat deze gebaseerd is op uitgebreid literatuuronderzoek en
een recente (2015) definitie is. De term Green verwijst naar technologieën en proces-sen die milieuvriendelijk zijn en dus een lagere negatieve impact hebben om het mili-eu dan traditionele technologieën en processen.
2.4
Impact van IT op het milieu
Tevens heeft Löser op basis van de analyse van de definities de volgende functionele impact gebieden geïdentificeerd, zowel binnen als buiten het IT domein in organisa-ties: ‘IT sourcing’, ‘IT operations’ en ‘IT disposal’. Daaraan zijn door hem toegevoegd ‘IT governance’, ‘business processes’ en ‘end products’.
Door Löser zijn deze op de theorie gebaseerde bevindingen geïllustreerd in het vol-gende figuur:
Figuur 2 Scope of Green IT and Green IS
Daarnaast wordt in de literatuur vaak het onderscheid gemaakt tussen ‘Greening of IT’ en ‘Greening by IT’. Met Greening of IT (ook wel Green IT 1.0 genoemd) gaat het om initiatieven binnen het IT-domein, zoals de duurzame productie van IT-hardware door producenten, het toepassen van virtualisatie en het energie-efficiënt gebruiken van IT middelen (directe effecten op de reductie van CO2 emissie).
Greening by IT (ook wel Green IT 2.0 genoemd) verwijst naar de mogelijkheden die IT biedt aan organisaties om hun primaire processen duurzamer te maken, door bijvoor-beeld het reduceren van zakelijke kilometers met behulp van videoconferencing, het verminderen van papier gebruik door digitalisatie en elektronische bibliotheken (indi-recte en systematische effecten op de reductie van CO2 emissie).
De IT-industrie is verantwoordelijk voor ongeveer 2% van de wereldwijde CO2 uit-stoot, aldus veel geciteerd onderzoek van Gartner. Dit is grofweg gelijk aan de CO2 uitstoot in de luchtvaartindustrie (Gartner, 2007). Informatietechnologie heeft daar-naast de unieke positie om de overige 98% te beïnvloeden. De vraag naar
IT-oplossingen neemt snel toe voor zowel persoonlijk gebruik als gebruik door organisa-ties.
De IT-gebieden die bijdragen aan de CO2-emissie van een organisatie zijn te verdelen in drie categorieën (gebaseerd op de Global Reporting Initiative-indeling voor de tele-com-sector (GRI, 2003):
a. Gebieden die direct effect hebben op de CO2-emissie b. Gebieden die een indirect effect hebben op de CO2-emissie
c. Gebieden die een systematisch of structureel effect hebben op de CO2-emissie De milieu impact van IT kan voor organisaties gecategoriseerd worden naar drie ge-bieden:
- IT organisatie - Organisatie - Externe markt
De milieu impact wordt in rapportages vaak uitgedrukt in CO2-emissie. Door het ener-gieverbruik van IT te verlagen en energie zo efficiënt mogelijk voor IT te gebruiken heeft dit een direct effect op de CO2-emissie.
2.5
Drijfveren voor Green IT voor organisaties
Organisaties kunnen zeer verschillende doelstellingen hebben om Green IT initiatieven uit te voeren. Deze doelstellingen zijn onder te verdelen in vier categorieën (S.
Brooks, 2012): eco-capaciteit, eco-efficiëntie, eco-effectiviteit en eco-collaboratie. Eco-capaciteit (eco-capacity) wordt gezien als de bottom-line van eco-efficiëntie. De doelstellingen van de organisatie zijn van invloed op de Green IT strategie en uiteinde-lijk op de mix van gekozen Green IT maatregelen.
Figuur 3 Three-sided diagram of eco-goals of Green IS initiatives (S. Brooks, 2012) In deze paragraaf worden, op basis van diverse bronnen, een aantal voorbeelden ge-geven:
Efficiënt energieverbruik (eco-efficiency)
Veel organisaties zoeken naar mogelijkheden om de kosten van hun IT-activiteiten omlaag te brengen. De kosten van IT-activiteiten (waaronder datacentra) stijgen door het toenemende energieverbruik en de toenemende energieprijzen. Tevens kunnen de stijgende energieprijzen en de beperkte energievoorraad leiden tot energieproblemen in datacentra (een te kort aan beschikbare energie of geen energie). Een belangrijke drijfveer is dus kostenreductie als gevolg van stijgend energieverbruik en/of stijgende energieprijzen. Green IT wordt steeds minder gezien als kostenpost, maar als moge-lijkheid voor kostenreductie.
Maatregelen vanuit deze drijfveer hebben direct effect op de CO2-emissie van een or-ganisatie door het verlagen van de energiebehoefte; energie zo efficiënt mogelijk te gebruiken en gebruik te maken van duurzame energieopwekking.
Eco-effectieve goederen en diensten (eco-effectiveness)
Consumenten hebben een groeiende belangstelling in milieuvriendelijke goederen en diensten.
Maatregelen vanuit deze drijfveer hebben direct effect op de CO2-emissie van organi-saties, maar ook indirecte en/of systematische effecten doordat afnemers en consu-menten overstappen op milieuvriendelijke goederen en diensten.
Eco-collaboratie (eco-collaboration)
Eco-collaboratie ontstaan wanneer partners en klanten in de keten gaan samenwerken op het gebied van eco-efficiëntie en/of eco-effectiviteit.
Green IT initiatieven die uitgevoerd worden door organisaties dragen vervolgens weer
Eco-collaboration
Eco-effectiveness
Eco-efficiency
2.6
Green IT op de CIO agenda
Door CIONET wordt elk jaar een onderzoek uitgevoerd naar de belangrijkste IT ma-nagement trends in Europa (Derksen, 2016). Uit het laatst gepubliceerd onderzoek blijkt dat Green IT en ook duurzaamheid sinds 2009 geen topic is geweest (zie Bijlage C). Uit het onderzoek blijkt wel dat IT kosten beheersing /maatregelen in de top 10 staat. Green IT initiatieven kunnen een bijdrage leveren aan het beheersen van de IT kosten.
Vanuit de CIO is er geen drijfveer voor het implementeren van Green IT maatregelen vanuit een duurzaamheidsperspectief, maar mogelijk wel van uit een kostenperspec-tief. Vanuit een kostenperspectief zijn er maatregelen die tevens bijdragen aan het verminderen van de impact van IT op het milieu.
Een mogelijke voorlopige conclusie zou kunnen zijn dat de IT-auditor vanuit het kos-tenperspectief maatregelen kan toetsen, die tevens bijdragen aan het verminderen van de impact van IT op het milieu.
2.7
Green IT assurance
De IT-auditor kan assurance-opdrachten of adviesopdrachten uitvoeren.
Een assurance-opdracht is een professionele dienst waarbij een IT-auditor voldoende en geschikte assurance-informatie wil verkrijgen om een conclusie tot uitdrukking te brengen om de mate van vertrouwen in de uitkomst van de meting of evaluatie van het onderzoeksobject ten opzicht van criteria te versterken.
Er zijn verschillende soorten assurance-opdrachten mogelijk met een verschillende mate van zekerheid:
Opdracht met een redelijke mate van zekerheid: de conclusie wordt tot uitdrukking gebracht in de vorm die het oordeel van de IT-auditor uitdrukt over de uitkomst van de meting of evaluatie.
Opdracht met een beperkte mate van zekerheid.
Een assurance-rapport gaat over niet-historische financiële of niet-financiële informa-tie.
Bij een rapport van feitelijke bevindingen wordt geen zekerheid verschaft. Er worden alleen onderzoeksbevindingen vermeld, zonder dat de IT-auditor hier een oordeel of conclusie uitspreekt.
De IT-auditor heeft dus criteria nodig om een oordeel uit te kunnen spreken. Deze criteria kunnen in de vorm van KPI’s zijn.
De prestatie-indicator is een maatstaf die een indicatie geeft van de prestatie van het proces. Het prestatieniveau (of service level) is een concrete waarde van de prestatie-indicator. Het prestatieniveau zal door (IT-)organisatie bepaald moeten worden, zodat de IT-auditor een norm heeft voor zijn oordeel. Indien deze norm niet aanwezig is, kan de IT-auditor geen aanvullende zekerheid geven.
2.8
Conclusie & samenvatting
Green IT
Naast de oerdefinitie van duurzaamheid zijn er in de literatuur verschillende definities van Green IT te vinden. Het ontbreekt echter aan een nauwkeurige en eenduidige de-finitie. Löser heeft met zijn onderzoek getracht hier een einde aan te maken. In deze scriptie wordt verder gebruik gemaakt van de definitie voor Green IT opgesteld door Löser:
The concept of Green IT refers to measures and initiatives which decrease the nega-tive environmental impact of manufacturing, operations and disposal of Information Technology (IT) equipment and infrastructure.
Green IT in organisaties
Afhankelijk van hun specifieke doelstelling (collaboratie, efficiëntie en eco-effectiviteit) kunnen organisaties verschillende Green IS strategieën en maatregelen kiezen.
Green IT assurance
De IT-auditor kan assurance of advies geven. Voor het object Green IT geldt dit ook. De IT-auditor heeft echter wel criteria, inclusief norm, nodig om een oordeel te kun-nen geven.
3
GREEN IT CRITERIA VOOR DE IT-AUDITOR
3.1
Inleiding
Voor het beoordelen van auditobjecten heeft de IT-auditor een referentiekader be-staande uit criteria nodig. Deze criteria kunnen hard maar ook minder hard zijn. In dit hoofdstuk worden een aantal Green IT modellen onderzocht die de IT-auditor kan gebruiken om invulling te geven aan de vraag van het management met betrek-king tot zekerheid en advies over de (mate van) groenheid van IT.
In dit hoofdstuk zullen de navolgende vragen aan bod komen om de aspecten die van invloed zijn op de mate van duurzaamheid van IT in een organisatie te identificeren: Welke modellen en instrumenten zijn er op het gebied van Green IT beschikbaar?
(§ 3.2)
Welke criteria zijn bruikbaar door de IT-auditor voor een Green IT audit? (§ 3.3) Het hoofdstuk wordt afgesloten met een korte samenvatting en conclusie (§ 3.4).
3.2
Green IT modellen en instrumenten
Net zo als er geen eenduidige algemeen geaccepteerde definitie is van Green IT, is er ook geen eenduidig algemeen geaccepteerd overzicht van Green IT maatregelen die organisaties kunnen gebruiken om hun Green IT initiatieven te classificeren, definiëren en te meten (Löser, 2015).
Hoewel de IIA en de ISACA beiden in 2011 een publicatie hebben uitgebracht over Green IT respectievelijk Sustainability is door zowel de IIA, ISACA of NOREA (nog) geen handreiking inclusief referentiekader over Green IT ontwikkelt.
Green IT modellen en instrumenten zijn wel ontwikkeld door commerciële organisaties zoals de grote accountancy organisaties maar ook kleinere consultancy bedrijven, IT leveranciers, IT dienstverleners, etc. Daarnaast hebben universiteiten Green IT model-len ontwikkeld.
Onderstaand een overzicht van 10 Green IT modellen die vaak gevonden zijn in de literatuur of in Nederland zijn ontwikkeld:
Sustainable ICT Capability Maturity Framework (SICT-CMF) - (Donnellan, Sherdian, & Curry, 2011) SGIMM (SURF Groene ICT Maturity Model) – 2015 (Nederlands model)
RMIT Green ICT framework - (Connection Research, 2010)
KPMG Holistic Environmentally Sustainable IT-Framework - (Vankan RE, 2009) Green IT measures – (Löser, 2015)
Sustainable IT Governance (SITG) / COBIT 5 (Merhout & O’Toole, 2015) Green IT control framework – (Ambtman, 2011)
IT Sustainability Indicators for the IT Industry - (Albertoe, 2015) Groene datacenters - (Atalay & Eedens, 2010)
Greening Information Technology (IT) Infrastructures - (Kalsheim, 2012)
Tabel 1 Overzicht Green IT modellen en instrumenten
Een aantal modellen worden regelmatig in de literatuur aangetroffen, zoals bijvoor-beeld het Sustainable ICT Capability Maturity Framework. Het SURF Groene ICT Matu-rity Model is in Nederland ontwikkeld en gebaseerd op het Sustainable ICT Capability Maturity Framework.
Het RMIT Green ICT framework is ook vaker aangetroffen en gebaseerd op het G-Readiness Framework van Molla. Het framework van Tolond (Tolond, 2012) heeft gro-te vergelijkenissen.
Een aantal modellen zijn gekozen, omdat zij in Nederlandse vakliteratuur zijn aange-troffen (KPMG Holistic Envrionmentally Sustainable IT-Framework, Groene datacen-ters, IT Sustainability Indicators for the IT Industry) of omdat zij deelaspecten van Green IT (datacenters, rapportage indicators, IT infrastructuur) belichten.
De meeste modellen komen uit de periode 2009-2012. Het onderzoek van Löser is gepubliceerd in 2015. Een aantal deelonderzoeken is echter al eerder gepubliceerd in papers.
De modellen zijn geanalyseerd op bruikbaarheid voor de IT-auditor. Uit analyse van de modellen (zie Bijlage B) volgt dat geen van de modellen een harde norm bevat die de IT-auditor kan gebruiken voor een oordeel. Alle modellen zijn beschrijvend van aard. De modellen die gebaseerd zijn op een volwassenheidsmodel hebben een inherente norm, waarbij verondersteld wordt hoe hoger het niveau hoe beter.
Löser heeft op basis van zijn onderzoek een overzicht gemaakt met 70 Green IT maat-regelen. In de volgende paragraaf worden deze 70 Green IT maatregelen nader be-schouwd op bruikbaarheid voor de IT-auditor.
3.3
Green IT criteria voor de IT-auditor
gebaseerd op literatuuronderzoek en door hem gecategoriseerd op basis van de pro-cessen binnen een IT afdeling (souring, operations, disposal). De maatregelen zijn niet verder uitgewerkt in bijvoorbeeld concrete indicatoren of wegingsfactoren en hoe zij bijdragen aan Green IT. Deze 70 maatregelen worden door Löser beschouwd als een verzameling van ‘best practices’.
Process Scope Focus Measures and initiatives
IT Sourcing
Supplier relation-ships
Collaborate with suppliers and share knowledge Define environmental
re-quirements for suppliers
Encourage suppliers to decrease their footprint Conduct environmental supplier audits Sourcing of IT products and services
Consider eco-labels when purchasing hardware Conduct
total-cost-of-ownership (TCO) and lifecy-cle analyses (LCA)
Buy eco-friendly paper and cartridges
Centralize sourcing of IT equipment
Purchase renewable energy Purchase energy-efficient cloud services IT Operations General IT man-agement
Develop a Green IT/IS action plan
Developed a Green product and service portfolio Crate an inventory of IT
hardware
Consolidate applications Manage lifecycle of stored
data
Monitor energy consump-tion
Measure and analyze envi-ronmental KPIs
Implement IT performance measurement systems Detailed energy monitoring
of all devices Data center Servers and Storage Consolidate servers Virtualize servers and
stor-age
Deploy blade servers Deploy energy-efficient pro-cessors
Install energy-saving hard disk drives
Install dynamically adjustable fans
Deploy energy-efficient serv-er powserv-er supplies
Right-sizing of server and storage capacities Activate
energy-management functions Apply scheduling and
work-load management
Shut down servers dynami-cally
Monitor energy consump-tion of servers
Network Install intelligent switches Virtualize network Cooling Install dynamically adjustable
cooling systems
Install modern CRAC systems Install in-row chillers
Utilize liquid refrigerants for server cooling
Deploy free cooling system Separation of hot and cold
aisles
Detailed monitoring of air temperatures
Optimize air flows
Eliminate hot spots and air circulation short cuts Increase data center
tem-perature
Consider energy flows in data center architecture Reuse data center heat Energy
Supply
Optimize energy supply Install modern and efficient
UPS
Increase UPS utilization rates
Install UPS flywheel instead of batteries
Reduce power conversion steps to decrease power losses
Office environ-ment
Use notebooks instead of desktop computers
Utilize energy-efficient desk-top PCs
Install thin clients Deploy LED displays
Activate power management functions of PCs
Install power management software
Inform and educate end users
Install network multifunc-tion printers
Double sided black & white printing as default
IT Disposal Holistic end of IT life
Process Scope Focus Measures and initiatives
Reuse computers Refurbish computers Extend life of IT equipment Manage e-waste
Recycle hardware
Engage in recycling initia-tives
Cooperate with suppliers and strive for takeback pro-grams and recycling initia-tives
Tabel 2 Green IT maatregelen
Tevens zijn de Green IS initiatieven (Löser, 2015) voor de subdomeinen IT governan-ce, business en productieprocessen en eind producten geanalyseerd. Dit heeft geresul-teerd in het volgende overzicht:
Area Category Green IS initiatives
IT depart-ment
IT
Governance
Explicitly formulate a Green IS strategy Align Green IS with corporate sustainability
Regular meetings between IS and management executives to identify synergies
Organizational integration of Green IS through specific roles and responsibilities
Establish measurable environmental targets Track IT-related environmental KPIs
Integrate environmental criteria into IT resource management Internal allocation of IT-related energy costs
Deploy an energy management system
Implement an environmental management system Strive for certification of the EMS
Analyze customer demand for green products Green IT service and product portfolio Create incentive for employees to go green
In-house and external communication of Green IS initiatives Establish a dialogue with relevant stakeholders
Issue a public IS sustainability report Engage in NGOs and industry consortiums Publish technical papers and best practices Use Green IS initiatives for marketing
Consider environmental aspects in Make-or-Buy decisions
Organi-zation
Information and
transparency
Track and analyze corporate waste and emissions
Measure resource consumption and report the firm’s environ-mental footprint
Provide aggregate information regarding environmental sustain-ability aspects to consumers
Implement firm-wide environmental management systems Process
optimization
Smart manufacturing (monitor, manage, and optimize produc-tion processes)
Track and optimize resourcen and material flows Advance automation technologies
Use simulations in the product design phase
Dynamic vehicle routing and advance logistic systems Supply chain optimization
Virtual meetings and remote working practices (reduce individual travel)
External market
Innovative
end products and infra- structure
solutions
Product lifecycle assessment (tracking of product-related re-source demands and emissions)
Building automation (integrated management of light, heating, and cooling systems)
Smart grid technologies (measurement, management, and pre-diction of electricity demands)
Fuel-saving care technologies (start/stop function, smart engine control units)
Intelligent traffic management systems
Dematerialization initiatives (digital services instead of physical products)
Waste analysis and waste management systems Environmental innovations through modern technologies Smart sensors to control and optimize energy flows
Bovenstaande maatregelen bevatten echter geen norm in de vorm van bijvoorbeeld een KPI (key performance indicator). Doordat er geen meetbare norm bestaat, kan de IT-auditor geen ‘reasonable assurance’ geven.
De auditor kan wel vaststellen of de maatregelen worden toegepast door de IT-organisatie. De IT-auditor kan vervolgens inzichtelijk maken dat maatregelen die mo-gelijk gekozen zijn vanuit een IT kostenreductiestrategie, tevens kunnen bijdragen aan de duurzaamheidstrategie van organisaties.
Dit overzicht met Green IT maatregelen is wel het overzicht met de meest concrete maatregelen die aangetroffen zijn in de literatuur. Vaak blijft het bij de definitie van Green IT en een model. Het model is dan niet verder uitgewerkt in concrete maatrege-len die genomen kunnen worden in organisaties.
3.4
Conclusie & samenvatting
Hoewel de 70 Green IT maatregelen van Löser geen norm bevatten die de IT-auditor kan gebruiken voor het geven van zekerheid, bevatten de 70 Green IT maatregelen wel een startpunt voor de IT-auditor. De IT-auditor kan vaststellen of de maatregel wordt toegepast. De IT-auditor kan echter geen zekerheid verstrekken over de (mate) van duurzaamheid van Green IT.
De 70 Green IT maatregelen van Löser kunnen gebruikt worden door de IT-auditor om zich een beeld te vormen voor de mate van groenheid van de IT organisatie. De maat-regelen kunnen nog niet gebruikt worden als hulpmiddel bij een oordeel, aangezien de wegingsfactoren ontbreken.
4
GREEN IT IN DE PRAKTIJK
4.1
Inleiding
Het literatuuronderzoek heeft bestaan uit een onderzoek van relevante boeken, we-tenschappelijke artikelen, tijdschriften, (wewe-tenschappelijke) onderzoeken etc. Op basis van dit literatuuronderzoek zijn maatregelen geselecteerd en gebundeld die de IT-auditor zou kunnen gebruiken voor het geven van zekerheid en advies over duur-zaamheid in het IT-domein.
Deze Green IT maatregelen zijn getoetst in de praktijk. In dit hoofdstuk worden de resultaten van deze toetsing beschreven.
4.2
Toetsingsmethode
Voor de toetsing is gekozen voor twee methoden: 1. Discussie met experts
2. Panel discussie
Een gerenommeerde expert op het gebied van Green IT assurance is niet gevonden in Nederland. Op basis van het literatuur onderzoek is via LinkedIn contact gezocht met bijvoorbeeld de schrijver van het artikel ‘ Green IT, geen hype maar een duidelijke business case! (Vankan RE, 2009). In zijn schriftelijke reactie gaf hij aan dat het on-derwerp Green IT in 2009 enigszins een hype was, maar dat organisaties geen geloof hadden in de business case.
Voor de expert-toetsing is contact gezocht met de partner van PwC Sustainability & Responsible governance. Vervolgens is gesproken met een Senior Manager van PwC met ruim 15 jaar IT audit ervaring. Tevens is gesproken met Manager van PwC met ruime ervaring op het gebied van sustainability reporting. Voor de conclusie naar aan-leiding van deze gesprekken wordt verwezen naar paragraaf 4.4.
Voor de panel discussie is op LinkedIn een uitnodiging geplaatst voor deelname aan een Ronde Tafel sessie, via mijn eigen profiel en via de groep van het Instituut van Internal Auditors. Hoewel de uitnodiging meer dan 1000 views heeft gehad, heeft dit via LinkedIn niet geresulteerd in deelnemers aan de Ronde Tafel sessie. Daarnaast zijn door mij actief personen, met een referentie naar Green IT in hun LinkedIn profiel, geattendeerd op de uitnodiging. Ook dit heeft geen extra deelnemers opgeleverd. Ook via mijn eigen zakelijk netwerk heb ik actief personen benaderd die mogelijk belang-stelling hebben voor Green IT.
De volgende 4 personen hebben deelgenomen aan de Ronde Tafel sessie op dinsdag 28 maart 2017:
1. Operational auditor met meer dan 15 jaar ervaring in assurance en advies
2. IT consultant met meer dan 8 jaar ervaring in assurance en advies, gespecialiseerd in IT outsourcing
3. Senior Sourcing & Vendor Management expert in sustainable vested (out)sourcing strategies met meer dan 10 jaar ervaring
4. IT project manager met meer dan 10 jaar IT infrastructuur ervaring en opdracht-gever van Green IT assessments
Voor de conclusie van de panel-discussie wordt verwezen naar paragraaf 4.5.
4.3
Vooruitblik op mogelijke resultaten
Naar aanleiding van het literatuuronderzoek, maar ook de gesprekken met de scriptie-begeleider en de zoektocht naar experts in Nederland op het gebied van Green IT, is de verwachting dat bevestigd zal worden dat er geen vraag is naar Green IT audits. Door het ontbreken van een normenkader of meetbare criteria is het geven van rede-lijke zekerheid door de IT-auditor niet mogelijk. Een feitenonderzoek of een beperkte mate van zekerheid is het hoogst haalbare.
4.4
Toetsing door expert
Uit het gesprek met de Senior Manager van PwC met ruim 15 jaar IT audit ervaring komt naar voren dat onderwerp een niche onderwerp is. Op het gebied van IT gaat moment de aandacht uit naar bijvoorbeeld cloud en blockchain. Ervaringen met Green IT audits zijn er niet.
Op basis van de tabel met Green IT maatregelen en initiatieven zou de aandacht voor Green IT maatregelen moeten starten bij IT procurement, vervolgens data centers, data storage & retention en tenslotte disposal.
4.5
Toetsing door panel
De Ronde Tafel sessie heeft plaats gevonden op dinsdag 28 maart 2017 met 4 deel-nemers.
Na een korte uitleg over Green IT is gestart met een discussie over de stelling of In-formatie Technologie (IT) een geschikt object is voor duurzame en groene maatrege-len en initiatieven.
Hoewel de ervaringen van de deelnemers verschillen, is er consensus over deze stel-ling. De IT consultant vindt dat IT misschien eerder een gewenst object is, om vanuit
een duurzaamheidperspectief te benaderen. De Senior Sourcing & Vendor Manage-ment expert ziet mogelijkheden in het betalen voor gebruik en het eigendom van bij-voorbeeld IT hardware volledig bij de producent te laten, en een gesloten kringloop te realiseren. De ervaring van de IT project manager is dat met uitvoeren van periodieke energiescans op de IT hardware het energie verbruik inzichtelijk gemaakt kan worden, wat behulpzaam kan zijn bij het vervangen en aanschaffen van nieuwe IT hardware. Voor organisaties kunnen de voordelen van Green IT maatregelen verschillen. In bij-voorbeeld de financiële sector kan het kostenvoordeel substantieel zijn. Voor een or-ganisatie in bijvoorbeeld de metaalsector zal het kostenvoordeel door Green IT maat-regelen minimaal zijn. De impact van de kostenvoordelen die met Green IT maatrege-len worden gehaald zijn dus mede afhankelijk van de sector.
Het gebruik van IT cloud services zal tevens bijdragen aan duurzaamheidsdoelstellin-gen. Een cloud service provider zal haar data centers zo efficiënt mogelijk inrichten en gebruiken op bijvoorbeeld het gebied van energie, cpu’s, load balancing, etc. Het pro-bleem lost zich dus vanzelf op!
Indien een organisatie zelf maatregelen wil nemen op het gebied van Green IT, dan stellen de deelnemers voor om te beginnen met IT procurement en het data center. Dit komt overeen met het beeld van de expert (Senior Manager van PwC).
Verder geven de deelnemers aan, dat Green IT maatregelen pas echt zullen worden geïmplementeerd als er bijvoorbeeld belasting betaald moet worden op CO2 emissie. Voor een IT-auditor kunnen er tegenstellingen ontstaan in het advies dat een auditor geeft. De aanbevelingen ten aanzien van bijvoorbeeld beveiliging en continuïteit kun-nen in tegenstelling met duurzaamheidsaanbevelingen. Moet bijvoorbeeld het hele data center redundant worden uitgevoerd? Vanuit een continuïteitsrisico kan dit moge-lijk de aanbeveling zijn, maar vanuit duurzaamheid niet.
De conclusie van het panel is dat de IT-auditor vragen moet blijven stellen in de orga-nisatie en aan de CIO. Daarnaast kan de IT-auditor in het advies ook duurzaamheid als onderdeel opnemen.
4.6
Conclusie
Het onderwerp Green IT en daarmee dus Green IT maatregelen is ondergeschikt. Be-schikbaarheid van IT en daarmee ook de kosten van IT zijn belangrijker. Er worden wel maatregelen genomen die bijdragen aan duurzaamheid. Een voorbeeld is cloud services. Deze maatregel wordt vaak genomen vanuit kostenefficiëntie, maar draagt ook bij aan duurzaamheid, doordat de cloud service provider het datacenter zo effici-ent mogelijk exploiteert.
5
CONCLUSIES EN AANBEVELINGEN
5.1
Inleiding
In dit hoofdstuk worden de conclusies en aanbevelingen beschreven. De centrale vraagstelling is uitgewerkt in een aantal onderzoeksvragen die in de voorgaande hoofdstukken zijn beantwoord. In dit hoofdstuk volgt de conclusie vanuit de theorie en de praktijk. Vervolgens worden aanbevelingen gegeven voor de IT-auditors, de be-roepsgroep van IT-auditors en de IT-audit opleidingen. Het hoofdstuk sluit af met mijn reflectie.
5.2
Conclusies
Naar aanleiding van de onderzoeksresultaten van Gartner in 2007 dat IT met 2% bij-draagt aan de wereldwijde CO2 emissie, maar ook de ‘enabler’ kan zijn om de overige 98% te beïnvloeden, hebben de beroepsgroepen van internal auditors (IIA) en de IT-auditors (ISACA) beiden in 2011 publicaties uitgebracht over Green IT respectievelijk sustainability. Zowel de IIA als de ISACA identificeerde mogelijkheden voor het geven van assurance en advies door de auditor. Een geschikt normenkader voor de auditor ontbrak en is sindsdien door beide organisaties niet ontwikkeld.
Voor de IT-auditor kan de (mate van) duurzaamheid van Informatie Technologie (IT) in organisaties een audit-object zijn. Duurzaamheid van IT staat echter niet op de agenda van de CIO, terwijl IT een bijdrage kan leveren voor de
organisatie-doelstellingen op het gebied van duurzaamheid. Opmerkelijk is dat hoewel duurzaam-heid steeds meer ‘mainstrain’ of ‘business as usual’ wordt, bijvoorbeeld bij de ontwik-keling van nieuwe kantoorgebouwen en duurzame productie van goederen, duurzame toepassing en duurzaam gebruik van IT niet op de agenda van de CIO staat.
Uit het onderzoek is gebleken dat literatuur aanwezig is op het gebied van Green IT. Er zijn verschillende definities van Green IT gevonden. Tevens bestaan er verschillen-de moverschillen-dellen voor Green IT. Voor het geven van zekerheid of advies door verschillen-de IT-auditor zijn echter deze modellen minder geschikt, doordat maatstaven in bijvoorbeeld de vorm van KPI’s ontbreken. Zonder een geschikt normenkader is het geven van Green IT assurance voor de IT-auditor minder eenduidig.
Uit de gesprekken met de experts en de Ronde Tafel sessie is het beeld bevestigd dat ‘green IT’ niet op de agenda van de CIO staat. Maatregelen die bijdragen aan ‘Green IT’ worden wel uitgevoerd, echter meestal niet van uit een duurzaamheidsdrijfveer maar vaak vanuit een kostendrijfveer (efficiënt energieverbruik of wel eco-efficiëntie). Daarnaast wegen aspecten zoals beschikbaarheid en betrouwbaarheid van IT zwaarder dan duurzaamheid. Ook ontwikkelingen zoals cloud, cybersecurity en dataprivacy staan hoger op de agenda van de CIO, aldus de deelnemers.
De experts en de deelnemers aan de Ronde Tafel sessie onderschrijven dat IT geschikt is voor duurzame en groene maatregelen en initiatieven, desondanks lijkt dat de organisatie nog niet volwassen genoeg is, voor het geven van assurance door de IT-auditor op het gebied van duurzaamheid.
Op dit moment kan de IT-auditor kan echter wel een bijdrage leveren door het stellen van vragen aan de CIO en CxO’s en zodoende de (IT-)organisatie bewust maken van de mogelijkheden die IT heeft ten aanzien van duurzaamheidsmaatregelen.
Daarnaast kan de IT-auditor bij het geven van assurance of advies, bij de uitvoering van IT-audits naast bijvoorbeeld de impact van (afwezigheid van) maatregelen op de control-environment ook de impact op duurzaamheid benoemen.
5.3
Aanbevelingen
Hoewel uit zowel het literatuuronderzoek en ook de toetsing in de praktijk blijkt dat in Nederland door IT-auditors vrijwel geen assurance en advies wordt geven ten aanzien van Green IT, zijn de volgende aanbevelingen, naar mijn mening, mogelijk relevant voor de IT-auditors, de beroepsgroep van IT-auditors en de IT-audit opleidingen om Green IT steviger te positioneren zodat IT-auditors in de toekomst wel advies en assu-rance te geven over Green IT.
De IT-auditor kan de organisatie ondersteunen bij het in beeld brengen van duur-zaamheid en bij het uitvoeren van een audit advies geven. Green IT zal, net zo als bijvoorbeeld goed beloningsbeleid, een commodity worden.
De beroepsgroep van IT-auditors kan het initiatief nemen door de volgende activitei-ten overwegen:
- Opstellen van een handreiking en zich op deze wijze profileren met dit voor de be-roepsgroep innovatief onderwerp. Naast het opstellen van een handreiking kan bewustwording voor het onderwerp gestimuleerd worden door publicaties in vak-bladen voor IT-auditors, maar ook in IT- en CIO-vakvak-bladen.
- Samenwerken met organisaties in Nederland op het gebied van normering (zoals bijvoorbeeld NEN voor relevante ISO standaarden (bijvoorbeeld ISO 14000 op ge-bied van milieu en ISO 26000 op het gege-bied van maatschappelijk verantwoord on-dernemen)), duurzaamheid (bijvoorbeeld MVO Nederland), beroepsgroepen / vak-groepen in het IT-domein (bijvoorbeeld IT architecten, CIO’s) en toezichthouders. - Aanbieden van trainingen over duurzaamheid aan IT-auditors; organiseren van
Ronde Tafels voor IT-auditors; panelsessies met CIO’s, IT-auditors op congressen. - Stimuleren van onderzoek voor het verkrijgen van benchmark data en hierover
publiceren; instellen van een jaarlijkse Green IT prijs.
De IT-audit opleidingen kunnen het onderwerp duurzaamheid van IT (weer) opnemen in het curriculum door aandacht te besteden aan de ontwikkelingen en hoe dit
moge-lijk het werkveld van de IT-auditor zal beïnvloeden. De IT-auditor kan mogemoge-lijk be-trokken worden bij sustainability audits van uit een IT perspectief.
De IT-auditors, de beroepsgroep van IT-auditors en de IT-audit opleidingen kunnen gezamenlijk zorgen dat Green IT, net zo als bijvoorbeeld data privacy, blijvend wordt opgenomen in de audit universe. Juist door deze samenwerking, kan er volgens mij meer bereikt worden, dan door een individuele IT-auditor in dialoog met de CIO.
5.4
Reflectie
Het onderwerp van het onderzoek is in 2012 gekozen, mede in gegeven door de duur-zaamheidsvisie van mijn werkgever, maar ook door de verschillende artikelen die in 2011 en 2012 verschenen in de audit- en IT-vakliteratuur over Green IT. Destijds werd Green IT gezien als een innovatief onderwerp. De afgelopen jaren was er minder aandacht voor Green IT.
Mijn eerste idee was dan ook dat ik een conceptueel Green IT raamwerk zou ontwik-kelen waarmee de IT-auditor zekerheid en advies kan geven over de volwassenheid van duurzaamheid van IT in een organisatie. Tijdens het uitwerken van dit onder-zoeksontwerp is besloten om de scope te beperken.
De afgelopen jaren is het onderwerp ‘Green IT’ in Nederland weer weggezakt. Het product ‘Green IT audits’ wordt niet (commercieel) aangeboden door bijvoorbeeld de Big Four. Het onderwerp staat niet (meer) op het curriculum van de IT-audit opleidin-gen en de aopleidin-genda van organisaties.
Hoewel ik nog steeds van mening ben dat IT kan bijdragen aan de duurzaamheids-doelstellingen van een onderneming en het verduurzamen van de samenleving, ver-wacht ik niet dat ik op korte termijn ‘Green IT’ audits ga uitvoeren. Hooguit zal ik de IT-organisatie bewust maken van de impact van IT-maatregelen op duurzaamheid. Daarnaast zal ik vragen blijven stellen om het bewust zijn te creëren.
Het is niet te verwachten dat een andere dan de gekozen methode voor dit praktijk-onderzoek (bijvoorbeeld een schriftelijke enquête onder IT-auditors en CIO’s) tot an-dere conclusies zou hebben geleid. Green IT staat niet op de agenda van CIO’s, ook worden Green IT audits niet uitgevoerd door IT-auditors. Door een IT-auditor die was uitgenodigd voor de Ronde Tafel, werd dit beaamd. Binnen zijn organisatie zijn geen auditors met kennis en ervaring op het gebied van Green IT.
LITERATUUR
About the GC. (2013, 08 12). Retrieved from United Nations Global Compact the
Netherlands: http://www.gcnetherlands.nl/index.htm
Albertoe, D. (2015, 7 10). IT sustainability indicators for the IT industriy. Retrieved from De IT Auditor: https: //www.deitauditor.nl/business-en-it/it-sustainabilty-indicators-for-the-it-industry/
Ambtman, L. (2011). Green IT auditing.
Atalay, E., & Eedens, M. (2010). Groene datacenters. de IT-auditor. nummer 3, 10-20. Connection Research. (2010, April). A Green ICT framework - Understanding and
measuring green IT.
Curry, E., & Donnellan, B. (2012). Understanding the Maturity of Sustainable ICT. In J. v. Brocke, S. Seidel, J. Recker, & Eds., Green Business Process Managemnent -
Towards the Sustainable Enterprise (pp. 203-216). Springer.
Derksen, B. (2016). Key European IT mangement trends for 2016. CIONET. Donnellan, B., Sherdian, C., & Curry, E. (2011, January/February). A Capability
Maturity Framewokr for Sustainable Information and Communication Technology. IT Pro, pp. 33-40.
Ecofont. (2013, mei 31). Opgeroepen op mei 31, 2013, van http://www.ecofont.nl/
Elkington, J. (1999). Cannibals with forks; Triple Bottom Line of 21st Century
Business. John Wiley And Sons Ltd.
Gartner. (2007, April 26). Gartner Estimates ICT Industry Accounts for 2 Percent of Global CO2 Emissions. Press release. Stanford.
Gray, G. L. (2011). Green IT opportunities for internal auditors. Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation.
Gray, G. L., Yoon, K., No, W. G., & Roebuck, P. (2015). Comparing the attitues and
activities of internal auditors in Austrialia, Canada and the United States regarding Green IT.
GRI. (2003). GRI Telecommunications Sector Supplement.
Instituut van Internal Auditors. (2011). Auditing Social Controls - Handvatten voor het
meten van Entity level social controls. Instituut van Internal Auditors
Nederland.
ISACA. (2011). Sustainability - An ISACA White Paper. Rolling Meadows, IL. Juergens, M. (2010). It's not easy being green: how the green IT movement is
impacting careers in IT audit. ISACA Journal, vol 3.
Kalsheim, J. C. (2012). Greening Information Technology (IT) Infrastructures (thesis). Delft University of Technlogy .
Löser, F. (2015). Strategic Information Systems Management for Environmental
Sustainability - Enhancing firm competitiveness with Green IS. Berlin:
Universitatsverlag der TU Berlin.
Merhout, J., & O’Toole, J. (2015). Sustainable IT Governance (SITG): Is COBIT 5 An Adequate Model? MWAIS 2015 Proceedings, 27. Retrieved from
http://aisel.aisnet.org/mwais2015/27
Mingay, S. (2007). Green IT: The New Industry Shock Wave. Gartner - Research. Murugesan, S. (2008, January/February). Harnessing Green IT: Principles and
Practices. IT Pro, pp. 24-33.
R. Visser, N. B. (2012, jaargang 3, nummer 8). Open Green IT Policy framework, nieuw instrument voor duurzaam ICT beleid. Best Practice Quartely Review. Retrieved from Open Green IT Policy framework - White Paper:
https://www.pinkacademy.nl/green-it/
S. Brooks, X. W. (2012). Unpacking Green IS: A review of th Existing Literatur and Directions for the Future. In J. v. (eds.), Green Business Porcess Management (pp. 15-37). Springer.
Tolond, I. (2012). White Paper SMART / GREEN ICT framework . Green ICT definition. e2Readiness.
Vankan RE, D. (2009). Green IT, geen hype maar een duidelijke business case!
Compact, 30-36.
Verschuren, P., & Doorewaard, H. (2010). Het ontwerpen van een onderzoek. Den Haag: Boom Lemma uitgevers.
WCED. (1987). Our Common Future (World Commission on Environment and
BIJLAGE A
GREEN IT DEFINITIES
Door Löser (Löser, 2015) is uitgebreid onderzoek gedaan naar literatuur op het gebied van Green IT en Green IS. Dit onderzoek heeft geresulteerd in een overzicht met de vijf meest geciteerde definities van Green IT en Green IS.
Referentie Jaar Definitie
Green IT
Murugesan 2008 Green IT refers to environmentally sound IT. It’s the study and practice of designing, manufacturing, using, and dispos-ing of computers, servers, and associated subsystems effi-ciently and effectively with minimal or no impact on the envi-ronment.
Molla, Cooper & Pittayacha-wan
2009 This paper conceptualizes Green IT form the IT infrastructure and capability perspective. This implies that eco-sustainability considerations need to be incorporated within the IT technical and human infrastructure and IT managerial capability dimen-sions of the IT infrastructure to solve both IT and non-IT (by using IT) related sustainability problems.
Watson et al. 2008 Green IT is mainly focused on energy efficiency and equip-ment utilization.
Jenkin, Web-ster & McShane
2011 ‘Green IT’, which addresses energy consumption and waste associated with the use of hardware and software, tends to have a direct and positive impact.
Watson, Boudreau & Chen
2010 In the practitioner literature, much of the current attention is devoted to ‘Green IT’. We argue that this exclusive focus on information technologies is too narrow and should be extend-ed to information systems, which we define as an integratextend-ed and cooperating set of people, processes, software, and in-formation technologies to support individual, organizational, or societal goals.
Green IS
Watson et al. 2008 Green IS refers to the design and implementation of infor-mation systems that contribute to sustainable business pro-cess.
Jenkin, Web-ster & McShane
2011 ‘Green IS’ refers to the development and use of information systems to support or enable environment sustainability ini-tiatives and, thus, tends to have an indirect and positive im-pact.
Watson,
Bou-dreau & Chen 2010 To the commonly used Green IT expression, we thus prefer the more encompassing Green IS one, as it incorporates a greater variety of possible initiatives to support sustainable business processes. Clearly, Green IS is inclusive of Green IT.
Melville 2010 We define IS for environmental sustainability as IS-enabled organizational practices and processes that improve environmental and economic performance
Chen, Boud-reau & Wat-son
2008 IS can be leveraged to achieve eco-efficiency, eco-equity and eco-effectiveness through automating, informating (up and down) and transforming organizations, respectively.
BIJLAGE B
GREEN IT MODELLEN
De 11 Green IT modellen die zijn gevonden zijn op basis van het literatuuronderzoek zijn beschreven aan de hand van onderstaande steekkaart. De opzet van deze steek-kaart komt uit een publicatie van de IIA ( (Instituut van Internal Auditors, 2011). Naam model
Auteurs(s), jaartal Wie zijn de oorspronkelijke auteurs? Wat is de oorspronkelijke
publicatie?
Doel van het model Met welk doel is het model door de auteurs ontwikkeld?
Wat kun je met het model? Object van het
model Wat onderzoek je met het model; wat is object van onder-zoek?
Korte omschrijving
model Wat is de achtergrond van het model, op welke model-len/referenties is het model gebaseerd? Wat zijn de (expliciete of impliciete) uitgangspunten en ver-onderstellingen bij het model?
Wat is de opzet/indeling van het model?
Toepassingsmoge-lijkheden voor de auditor
Toelichting van de inhoud van het model
Wat kan de auditor met het model in de praktijk; wat kan wel of niet met het model worden onderzocht?
In welke situaties is het model bruikbaar?
Wat is de betekenis van het bevindingen; op welke risico’s is het model gericht?
Aard model Is het een procedureel of contingentiemodel?
Een procedureel model is een algemene checklist met beoordelingscriteria, die los van elkaar kunnen worden beoordeeld. Als aan een criterium wordt voldaan is het adequaat.
Bij een contingentiemodel is de vraag of het adequaat is afhankelijk van bepaalde kenmerken en zegt het model zelf niet automatisch wat adequaat. De onderzoeker dient zelf te bepalen wat adequaat is, bijvoorbeeld op basis van de strategie en besturingsprincipes van de organisatie Normatief of
be-schrijvend Bevat een model een norm voor wat adequaat is (en dat dus door de auditor als norm zou kunnen worden gebruikt) of is het model slechts beschrijvend van aard?
Beschikbaarheid van:
Instrumenten Toelichtingen
Verwijzingen of links naar:
direct bruikbare instrumenten, die ook vrij toegankelijk zijn;
achtergrondinformatie over het model en toepassing daar-van.