Bijlagen
´Zicht op IT governance´
Groningen, mei 2006 Mattijs van Eck
Bijlage 1: Beschrijving Twynstra Gudde Bijlage 2: Veel gebruikte begrippen Bijlage 3: Lijst van geïnterviewden Bijlage 4: Vragenlijst empirisch onderzoek Bijlage 5: Corporate governance
Bijlage 6: CobiT
Bijlage 7: IT governance mechanismen Bijlage 8: Integrale architectuur
Bijlage 9: Positionering van IT-activiteiten
Bijlage 10: Onderzochte IT governance mechanismen
Bijlage 1 - Beschrijving Twynstra Gudde
In deze bijlage zal een korte beschrijving gegeven worden van Twynstra Gudde.
Twijnstra Gudde is een onafhankelijke organisatie adviesbureau dat al ruim 40 jaar adviseert en management functies vervult. De missie is als volgt geformu- leerd:
Twynstra Gudde is een onafhankelijk en toonaangevend organisatieadviesbu- reau van organisatieadviseurs en managers. Wij zetten ons in voor het succes van onze opdrachtgevers. Dat doen we door hen in een duurzame relatie te helpen het beste uit hun organisatie te halen, hun kansen te benutten en hun ideeën in praktijk te brengen. Complexe vraagstukken van onze opdrachtgevers willen wij graag samen met hen vertalen in succesvolle oplossingen.
De ambities van Twynstra Gudde laten zich vertalen in een aantal statements, Twynstra Gudde wil:
•
een toonaangevend all-senior Nederlands organisatieadviesbureau zijn;
•
werken op het snijvlak van strategie en implementatie;
•
rollen combineren voor succesvolle opdrachtuitvoering: adviseur, pro- jectmanager, interimmanager, ondernemer, co-maker, co-creator;
•
samen werken en samen leren met onze opdrachtgevers;
•
een maatschappelijk verantwoorde bijdrage leveren.
De kerncompetenties van Twynstra Gudde zijn:
•
organisatiekunde;
•
veranderkunde;
•
project- & programmamanagement;
•
samenwerken.
Deze kerncompetenties worden ingezet bij de advisering op zeer verschillende gebieden, de belangrijkste gebieden zijn:
•
organisatie en implementatie van complexe processen, projecten en programma’s;
•
beleidsonderzoek en beleidsontwikkeling o.a. inzake verkeer en ver- voer en ruimtelijke inrichting;
•
organisatiekunde en verandermanagement (mens en organisatie);
•
bouwprojectmanagement, facility management, vastgoedontwikkeling en work-innovation;
•
innovatie van dienstverlening;
•
ICT-strategie en-management;
•
interimmanagement, projectexecutives en young recruitment.
Een andere belangrijke eigenschap van Twynstra Gudde is dat het een net- werkorganisatie is, waarbinnen samenwerking en kennisuitwisseling tussen diverse adviesgroepen wordt gestimuleerd. Twynstra Gudde excelleert, naar eigen zeggen, in opdrachten die uniek en/of complex zijn en een integrale veranderkundige aanpak vragen. Dit komt onder andere tot uitdrukking in de open cultuur van de onderneming. Een ander belangrijk punt is dat Twynstra Gudde eigendom is van de medewerkers. Elke medewerker kan certificaten van aandelen aanschaffen. Deze participatie geeft medewerkers een extra binding met de onderneming.
In 2004 had Twynstra Gudde een omzet van 48 miljoen euro en dit werd
behaald met 425 medewerkers, waarvan 310 adviseurs.
Bijlage 2 - Veel gebruikte begrippen Anarchy
Besluitvormingsmodel waarbij individuen of kleine wisselende groepen IT- besluiten nemen op basis van hun eigen behoefte (Weill en Ross, 2004).
Architectuur
Van een architectuur is sprake wanneer de bedrijfsprocessen, de informatie (gegevens) en de technische systemen nauw en expliciet op elkaar zijn afge- stemd en er een aantal onderliggende principes zijn geformuleerd die deze afstemming garanderen (Rijsenbrij, 2004).
Business case
Een plan waarin minimaal de kosten en de baten van een project worden beschreven. Er kan ook gesproken worden van een mini-ondernemingsplan.
Business Monarchy
Besluitvormingsmodel waarbij de hoofddirectie alleen de IT-besluiten neemt (Weill en Ross, 2004).
CIO (Chief Information Officer)
De hoogste functionaris die zich fulltime bezighoudt met ICT (Oosterhaven, 2003). De CIO is hiërarchisch gepositioneerd boven de IT- en de informatie- manager.
CobiT (Control Objectives for Information and related Technology) CobiT is een IT governance model dat voor 34 processen beschrijft wat men moet doen om de IT-gerelateerde risico’s te beheersen.
Code Tabaksblat
De meest recente Nederlandse corporate governance code welke is geschreven door de Commissie Tabaksblat.
Contingenties
Omstandigheden die bepalend zijn voor de keuze van het besluitvormingsmo- del en de governance mechanismen.
C-level executives
De term die Weill en Ross (2004) gebruiken om de hoofddirectie aan te duiden.
Federaal besluitvormingsmodel
Besluitvormingsmodel waarbij de hoofddirectie, business unit management en een eventuele derde of vierde partij gezamenlijk IT besluiten nemen (Weill en Ross, 2004).
Feudal
Besluitvormingsmodel waarbij de business unit managers of de ‘key process owners’ de IT-besluiten nemen (Weill en Ross, 2004).
Informatie Duopoly
Besluitvormingsmodel waarbij informatiemanagement gezamenlijk met de
hoofddirectie of de business unit managers de besluiten neemt.
Informatiemanagement
‘Informatiemanagement is de management discipline die is gericht op het gebalanceerd managen van de relaties tussen de negen componenten van het 9- vlaksmodel’. (Maesen en Truijens, 1999)
Informatie Monarchy
Besluitvormingsmodel waarbij informatiemanagement alleen de IT-besluiten neemt.
IT-ambities
Impliciet of expliciet geformuleerde ambities die aangeven welke waarde IT in de toekomst gaat toevoegen aan de business.
IT Duopoly
Besluitvormingsmodel waarbij de IT-manager gezamenlijk met de hoofddirec- tie of de business unit manager de IT-besluiten neemt (Weill en Ross, 2004).
IT governance
IT governance is de verdeling van verantwoordelijkheden, organisatorische inrichting en het geheel van afspraken en procedures, dat is gericht op het behalen van de IT-ambities.
IT governance mechanismen
IT governance mechanismen zijn de organisatorische inrichting, afspraken en procedures die tot doel hebben om alignment tussen IT en business te creëren en de IT-ambities te realiseren.
IT Monarchy
Besluitvormingsmodel waarbij de IT-manager alleen de IT-besluiten neemt (Weill en Ross, 2004).
Regiefunctie
De regiefunctie brengt de vraag naar en het aanbod van IT bij elkaar. Dit kan gebeuren door het instellen van een informatiemanager en/of een CIO.
Service Level Agreements (SLA’s)
Overeenkomsten tussen de IT en de gebruikers waarbij het serviceniveau, de kwaliteit en de kosten van de verschillende IT-producten en -diensten worden gespecificeerd.
SOX (Sarbanes-Oxley act)
SOX is de Amerikaanse corporate governance code welke is opgesteld door de Amerikaanse senatoren Sarbanes en Oxley.
Strategic alignment
De mate waarin de doelen, de structuur en de processen van de business en de
IT op elkaar zijn afgestemd.
Bijlage 3 - Lijst van geïnterviewden
(*) leden expertgroep
Oriënterende interviews
Organisatie Naam Functie Aandachtsgebied
Twynstra Gudde Rob Poels (*) adviseur IT governance en architectuur
Eric van Capelleveen partner IT-besturing en overheid
Otto Ruijs adviseur IT bij uitgeverijen
Harold Geerts partner IT-strategie
Harald Rossing adviseur IT-strategie
Frank Willems (*) partner Besturing van IT en het 9-vlaksmodel
Leo van Veen adviseur IT-strategie en besturing
Dirk Dekker partner IT-strategie en besturing
Bas Vermolen adviseur IT-strategie en besturing Rijksuniversiteit Groningen Prof. E. Berghout docent/onderzoeker IT governance
Proefinterviews
Organisatie Sector Functie
-1 Overheid IT-manager
0
Financiële dienstver-
lening IT-auditor
Interviews empirisch onder-
zoek
Organisatie Sector Functie
1 Uitgeverij CIO
2 Uitgeverij Informatiemanager
3 Uitgeverij IT-manager
4 Uitgeverij IT-manager
5 Uitgeverij IT-programmamanager
6 Nutsbedrijf IT-manager
7 Nutsbedrijf IT-manager
8 Nutsbedrijf IT-manager
9 Overheid IT-manager
Business analist
10 Overheid IT-manager
11 Overheid IT-manager
12 Overheid IT manager
13 Overheid IT-manager
Bijlage 4 - Vragenlijst empirisch onderzoek A. Introductie + Contingenties
1. Kunt u kort wat vertellen over deze organisatie in het algemeen?
Missie, visie, strategie?
Aantal werkzame personen?
2. Hoe is de IT binnen deze organisatie georganiseerd?
Positionering IT?
Welke activiteiten er zelf worden gedaan en welke er worden uitbesteed?
Kunt u een organogram tekenen van de IT/functie, welke hoofdrollen worden er binnen de IT onderscheiden (is er een CIO, is er een informatiemanagement)?
Wat is de functie van de geïnterviewde?
3. Heeft IT een strategische betekenis op dit moment? (hoe strategisch is IT voor deze organisatie op dit moment)?
4. Zal IT een strategische rol in de toekomst hebben? (hoe strategisch zal IT in de toekomst zijn voor deze organisatie?
B. Besluitvorming (vijf belangrijkste IT-beslissingen)
5. IT-doelen: statements waarin staat wat de IT zal gaan bijdragen aan de organisatiedoelen.
Hoe komen jullie tot de formulering van doelen, of wanneer er geen expli- ciete doelen zijn wie stelt het informatieplan op?
Wie zijn daarbij betrokken en wie neemt het uiteindelijke be- sluit?
6. IT-architectuur: Een integraal model waarin de technische, informa- tie- en businessprocessen op elkaar zijn afgestemd.
Wanneer er belangrijke besluiten moeten worden genomen over de inte- grale architectuur, hoe verloopt dit proces dan?
Maken jullie gebruik van architecturen? Welke?
Wie zijn daarbij betrokken en wie neemt het uiteindelijke be- sluit?
7. IT-infrastructuur: technische basisinfrastructuur die voor de hele organisatie generiek is. Besluiten hierover zijn niet de technische be- sluiten, maar strategische besluiten zoals: wat sourcen we uit en wat niet.
Wanneer er belangrijke besluiten moeten worden genomen m.b.t. de IT- infrastructuur, hoe verloopt dit proces dan?
Wie zijn daarbij betrokken en wie neemt het uiteindelijke be sluit?
8. Functionele behoefte business: Wie stelt de IT behoefte van de busi- ness vast, wie specificeert deze?
Kunt u aangeven hoe het proces verloopt als er een nieuw systeem moet komen?
Wie bepaalt de behoefte van de business? Wie stelt de func-
tionele specificatie van nieuwe systemen vast?
Wie zijn daarbij betrokken en wie neemt het uiteindelijke be- sluit?
9. IT-investeringen en prioritering
Wie bepaald hoeveel en waar er in geïnvesteerd zal worden en hoe worden de verschillende IT projecten geprioriteerd?
Wie zijn daarbij betrokken en wie neemt het uiteindelijke be- sluit?
10. Zijn er nog andere belangrijke besluiten die nog niet zijn genoemd?
11. – uitleggen en invullen onderstaand schema – In het onderstaande schema hebben we net aangekruist welke besluitvormingsmodellen hier gehanteerd worden, kunt u voor elk van de gebruikte besluitvor- mingsmodellen aangeven wat daar de voor- en nadelen van zijn?
IT-doelen
IT-
architectuur IT-
infrastructuur
Functionele behoefte
Invest. &
prioritering
Hoofddirectieleden
Business unit managers
of proceseigenaren
IT-managers
Informatiemanager
C. Governance mechanismen
Voor elk van de onderstaande vragen geldt:
Vraag door naar de voor- en nadelen van het al dan niet ge- bruikte mechanisme.
12. Is er in deze organisatie een strategisch orgaan speciaal voor IT?
Grootte?
Samenstelling?
13. Zijn er expliciete statements opgesteld die aangeven wat de visie op de toekomst is met betrekking tot IT?
14. Zijn er expliciete en SMART doelen voor IT opgesteld?
15. Maken jullie gebruik van projectmanagement (methodieken)?
Maken jullie gebruik van businesscases?
Hoe uitgebreid zijn deze businesscases (sophistication) Wie leidt de projecten doorgaans?
Wie volgt de projecten? (bijv. pm-bureau)
Worden de businesscases na afloop van het project geëvalu- eerd op kosten en baten?
16. Maken jullie voor alle diensten gebruik van SLA’s (Let op: tussen IT- afdeling en gebruikers)?
Worden deze periodiek geëvalueerd?
Worden er ook financiële sancties aan het niet nakomen ver- bonden?
17. Hebben jullie een organisatiebrede integrale architectuur?
Welke lagen zijn er (businessprocessen, informatie, tech- niek)?
In hoeverre is deze architectuur werkend (dwz up to date en leidend bij beslissingen)?
Wanneer er buiten de architectuur moet worden gewerkt, zijn
er dan afspraken over de procedures en eventueel financiële
gevolgen?
18. Hoe ziet jullie financiële model eruit?
Worden de kosten van het gebruik van IT doorbelast aan de gebruikers?
Werken jullie met marktconforme IT-kosten? Worden hier- voor ook benchmarks uitgevoerd?
19. Hebben jullie alle IT-processen in de IT-waardeketen in beeld en is het daarmee voor iedereen duidelijk in welke van die processen hij of zij acteert? (plaatje?)
20. Kent u CobiT? Zo ja, gebruikt u dit ook?
21. Doen jullie aan jobrotatie tussen business en IT?
Gaat het hier om een expliciet beleid?
22. Zitten de IT en de business op dezelfde locatie?
Is dit een bewuste keus?
D. Afsluiting
23. Wat helpt u het meest bij het behalen van uw IT ambities? (dit kunnen zowel genoemde items zijn als niet genoemde)
24. Mist u nog bepaalde zaken in dit interview, die volgens u wel belang-
rijk zouden moeten zijn bij onderzoek naar IT governance?
Bijlage 5 - Corporate governance A. Inleiding
Gevoed door schandalen als Enron, Worldcom en Ahold is de term corporate governance de afgelopen jaren ruimschoots in het nieuws geweest. In deze bijlage zal worden ingegaan op de vraag wat corporate governance en IT governance met elkaar van doen hebben. Daarbij zal ook gekeken worden naar wat de gevolgen van de corporate governance codes zijn voor de IT.
Eerst zal het begrip corporate governance worden uitgewerkt. Vervolgens zal worden ingegaan op de corporate governance codes en wat daarvan de gevol- gen zijn voor IT. Concluderend zal beschreven worden wat de relatie is tussen corporate governance en IT governance.
B Het begrip corporate governance
Het begrip corporate governance kan in het Nederlands worden vertaald met
‘goed ondernemingsbestuur’. Op zich is dit geen één op één vertaling, want dan zou eigenlijk gesproken moeten worden van ‘good corporate governance’, aangezien corporate governance vertaald kan worden als ondernemingsbestuur.
Een erkende organisatie die zich bezighoudt met corporate governance is de Organization for Economic Co-operation and Development (OECD). Volgens de OECD is corporate governance vooral een set van relaties tussen het management van een organisatie, zij die op dat management toezien, aandeel- houders en stakeholders. De OECD (2004) definieert corporate governance als:
‘Corporate governance is the system which business corporations are directed and controlled. The corporate governance structure specifies the distribution of rights and responsibilities among different participants in the corporation, such as, the board, managers, procedures for making decisions on corporate affairs. By doing this, it also provides the structure through which the company objectives are set, and the means of attaining those objectives and monitoring performance.’
Een algemeen geaccepteerde definitie ontbreekt. Dit komt doordat corporate governance een breed terrein bestrijkt en het vanuit veel verschillende richtin- gen kan worden benaderd. Het is daarom nuttig om te kijken welke thema’s een rol spelen bij corporate governance.
Corporate governance thema’s
Mouthaan (2000) onderscheidt een aantal centrale thema’s binnen corporate governance. Deze zijn:
•
het latent aanwezige conflict of interests tussen bestuurders, aandeel- houders, onderneming en overige stakeholders;
•
het internal control system;
•
de rol van de aandeelhouders;
•
het stemrecht van de aandeelhouders en hun bevoegdheden ten aan- zien van de aandeelhoudersvergadering;
•
de samenstelling en de beloning van de Raad van Bestuur en de Raad
van Commissarissen;
•
het toezicht op de Raad van Bestuur, de rol en de samenstelling van audit commissies;
•
het afleggen van verantwoording;
•
transparantie en integriteit;
•
de toelaatbaarheid van beschermingsconstructies.
Deze thema’s kunnen niet los van elkaar worden gezien, er zit vaak overlap tussen. Het bovenste punt is daarbij het belangrijkste thema en volgens sommi- ge de grondlegging van corporate governance. Het latent aanwezige conflict of interests tussen bestuurders, aandeelhouders, de onderneming en de overige stakeholders is een bekend verschijnsel dat door twee theorieën verklaard kan worden. Het agency vraagstuk en het stakeholdersvraagstuk.
Agency vraagstuk
De basis van de agency theorie ligt in de scheiding tussen eigendom en leiding (o.a. Jensen en Meckling, 1976). Tegenwoordig is bij veel organisaties deze scheiding aanwezig. De eigenaar van een onderneming houdt zich dan niet meer bezig met het dagelijks bestuur van de organisatie.
Een agency relatie ontstaat wanneer een partij (de principaal) een andere partij inhuurt (de agent) voor het verlenen van een dienst en de principaal hiervoor beslissingsbevoegdheid overdraagt aan de agent. De principaal is hierdoor afhankelijk geworden van de ‘goede wil’ van de agent. De agent kan zijn eigen beslissingen nemen en het gevaar daarbij is dat de agent zijn eigen belang laat meetellen. Hierdoor kan de principaal worden benadeeld. De principaal zal kosten betalen om dit risico te vermijden. Deze kosten zijn kosten om de agent te stimuleren in het nemen van de goede beslissingen en kosten om de werk- zaamheden van de agent te monitoren.
De aandeelhouders van een organisatie zijn hierbij de principalen en de agenten zijn de de raad van bestuur. Vooral in de Angelsaksische praktijk is dit het speerpunt van de corporate governance.
Stakeholder vraagstuk
Het stakeholder vraagstuk speelt in Nederland een even belangrijke rol. Een organisatie heeft immers rekening te houden met meer belanghebbenden dan alleen de aandeelhouders. Ook het personeel is een belangrijke stakeholder.
Daarnaast zijn er tal van maatschappelijke organisaties en belangengroepen waarmee rekening mee moet worden gehouden.
De discussie over corporate governance in de media en in de literatuur lijkt zich echter toe te spitsen op het agency vraagstuk. Ook de corporate governan- ce codes nemen deze theorie als uitgangspunt.
Het belang van corporate governance
Corporate governance komt vooral in het nieuws als er sprake is geweest van
onbehoorlijk bestuur. Voorbeelden zijn er genoeg (Enron, Ahold, Worldcom,
etc.). Wanneer er sprake is van (veelvuldige) fraude, dan neemt het vertrouwen
in de integriteit van het bedrijfsleven en in de bestuurders ervan een vlucht. Dit
vertrouwen is echter wel van groot belang. Kapitaalverschaffers zullen bij een
gebrek hieraan minder snel geneigd zijn om te investeren. Wanneer zij dit wel
doen, dan moet hier een hogere vergoeding tegenover staan. Aandeelkoersen
zullen bij weinig vertrouwen zakken en wanneer dit het geval is, is dit niet ten gunste voor de economie van een land.
Teneinde dit vertrouwen op peil te houden zijn er in de loop van de jaren steeds meer governance codes geschreven. In deze codes wordt vastgelegd wat er onder goed ondernemingsbestuur verstaan wordt. Meer over deze codes volgt in de volgende paragraaf.
C. Corporate governance codes
Vrijwel elk westers land heeft tegenwoordig een corporate governance code.
De corporate governance codes kunnen twee vormen aannemen. Een ‘princi- ple-based’ vorm, waarbij er algemene uitgangspunten worden geformuleerd en een ‘rules-based’ vorm, hierbij worden zeer gedetailleerde beschrijvingen in gegeven wat wel en niet mag. Ook de wettelijke basis kan verschillen. De huidige trend is dat de codes een wettelijke bepaling worden. Dat is ondermeer het geval bij de Code Tabaksblat en de Sarbanes-Oxley Code. Dit zijn voor Nederlandse organisaties de twee meest belangrijke codes. Deze worden daarom nu kort beschreven.
Code Tabaksblat
De Code-Tabaksblat heeft als doel goed ondernemerschap te bevorderen.
Onder goed ondernemerschap wordt hierbij verstaan: integer en transparant handelen door het bestuur, goed inzicht hierop en het afleggen van verant- woording over het uitgeoefende toezicht. De code tracht dit doel te bereiken door een betere balans binnen de bestuursstructuur van de onderneming te bewerkstelligen door het opstellen van best-practice bepalingen. De bepalingen gaan over het efficiënt toezicht op het bestuur en een evenwichtige verdeling van invloed tussen bestuur, commissarissen en aandeelhouders.
De Nederlandse Code Tabaksblat is van toepassing op alle vennootschappen met statutaire zetel in Nederland waarvan de aandelen of certificaten van aandelen officieel zijn genoteerd aan een van overheidswege erkende effecten- beurs (Commissie Tabaksblat, 2003). De code heeft een wettelijke verankering gekregen door middel van een ‘pas toe of leg uit’ regel. Dit houdt in dat er van de code mag worden afgeweken, mits dit in het jaarverslag wordt uitgelegd en dit door de aandeelhoudersvergadering is goedgekeurd. Een tabel met de thema’s van de code staat achter in deze bijlage.
Sarbanes-Oxley Act
Een jaar voor de Code Tabaksblat kwam de Sarbanes-Oxley Act (SOX) uit.
Deze code is meer gedetailleerd dan de Code Tabaksblat en geeft een groot aantal voorschriften. De Sarbanes-Oxley Act is een goed voorbeeld van een
‘rule-based’ vorm. De code is van toepassing op alle bedrijven waarvan de aandelen publiekelijk worden verhandeld in de Verenigde Staten. Dit houdt in dat ook Nederlandse multinationals die een notering hebben in bijvoorbeeld New York zich hieraan moeten houden. De code is extra belangrijk omdat de sancties voor bestuurders, die staan op het niet volgen van de code fors zijn.
Een tabel met de thema’s van deze code staat achter in deze bijlage.
D. Gevolgen codes voor IT
Voordat er een conclusie kan worden getrokken wat de relatie is tussen corporate governance en IT governance worden eerst de gevolgen van de codes voor IT besproken. De twee besproken codes hebben veel gelijkenissen. Het grootste verschil is dat SOX rules-based is en veel gedetailleerder is dan de code Tabaksblat. Zonder hier een oordeel te geven over wat beter is, kies ik ervoor om maar van één code de gevolgen te bespreken. Het stuk zou anders overbodig lang worden met dubbele conclusies. Aangezien SOX meer gedetail- leerd is en het van toepassing is op meer organisaties, kies ik ervoor om de gevolgen voor IT van SOX te bespreken. IT wordt in SOX niet specifiek genoemd. Wel zijn er een viertal bepalingen te noemen die directe consequen- ties hebben voor de IT. Deze vier bepalingen zijn:
•
Bepaling III, sectie 302; Corporate responsibility for financial reports
•
Bepaling IV, sectie 404; Management assessment of internal controls
•
Bepaling IV, sectie 409; Real time issuer disclosure
•
Bepaling VIII, sectie 802; Criminal penalties for altering documents
Deze bepalingen zullen kort besproken worden.
Bepaling III, sectie 302; Corporate responsibility for financial reports Deze bepaling duidt op de verantwoordelijkheid van de bestuurder voor de kwaliteit van de financiële verslaglegging. De bestuurders moeten garant staan voor accurate cijfers, ze zijn ervoor verantwoordelijk dat de financiële cijfers ook de werkelijke financiële situatie in het bedrijf laten zien. De sancties op onjuiste verslaglegging van de financiële situatie zijn fors. Hiervoor moeten de bestuurders een intern controlesysteem hebben, zodat zij ook daadwerkelijk ervan verzekerd zijn dat de cijfers juist zijn. Deze interne controle systemen zijn voor een groot gedeelte afhankelijk van de IT. IT heeft immers een groot aandeel in de betrouwbaarheid van de financiële processen en financiële data.
Er moet dus ook een intern controlesysteem zijn voor de IT-processen. De volgende bepaling is hier het verlengde van.
Bepaling IV, sectie 404; Management assessment of internal controls Deze bepaling verplicht de bestuurders om jaarlijks een verklaring af te geven (door een externe accountant) over de interne controleprocessen binnen de financiële verslaglegging. Hiervoor moet dus jaarlijks een assessment worden gedaan. Deze assessment moet gaan over de processen die zorgen voor een betrouwbare financiële verslaglegging. De interne controle mechanismen van bepaling 302 moeten dus worden beoordeeld. Het gaat hier om het hebben van een systematische aanpak om de controle mechanismen te beoordelen. Hier gaat het uiteindelijk weer voor een groot deel om de IT-processen. Men moet dus een controle mechanisme hebben die systematisch de risico’s van de IT- processen beoordeeld.
Bepaling IV, sectie 409; Real time issuer disclosure
Hier gaat het om het snel en tijdig geven van informatie over veranderingen die
de financiële positie van de organisatie aantasten (positief dan wel negatief). IT
is hierbij belangrijk om dat de IT ervoor moet zorgen dat de financiële data ook
snel en tijdig beschikbaar is. De IT-infrastructuur van de organsiatie moet hier
voor geschikt worden gemaakt. Dit is extra moeilijk als het om een organisatie
gaat die een versplinterde infrastructuur en opslag van data hebben. Voor het geven van snelle en tijdige data moeten de IT-systemen goed op elkaar worden afgestemd.
Bepaling VIII, sectie 802; Criminal penalties for altering documents Met deze bepaling wordt allereerst bepaald dat organisaties alle data (spread- sheets, e-mails etc.) die van belang zijn voor de accountant moet bewaren. Dit heeft natuurlijk gevolgen voor de capaciteit van de IT-systemen (data moet vijf jaar worden bewaard). Nog belangrijker is dat de organisatie er alles aan moet doen om te voorkomen dat opgeslagen data gemanipuleerd kan worden. Dit heeft gevolgen voor de beveiliging en autorisatie van de IT-systemen.
SOX heeft dus vooral invloed op de capaciteit van de IT-systemen, de beveili- ging van IT-systemen en wellicht het meest belangrijk: de kwaliteit van de IT- systemen en processen en de controlemechanismen die hierop toezien.
Balraadjsing (2004) zegt hier het volgende over: De rol van IT is vooral groot bij het financiële verslaggevingproces. Dit proces is sterk afhankelijk van een goed gecontroleerde IT-omgeving en daardoor ook sterk afhankelijk van risk- based IT-controls. Risk-based IT-controls zijn noodzakelijke ´checks´ gericht tegen de risico´s van fraude, datamanipulatie en niet geautoriseerde toegang.
Het bestuur is verantwoordelijk voor het afdekken van deze risico´s en legt daarover een verklaring af in het jaarverslag. Deze verklaring impliceert dat de externe accountant zich niet alleen een inhoudelijk oordeel dient te vormen over de kwaliteit van de financiële verslaglegging, maar ook de adequate werking van het verslaggevingproces dient te toetsen. Dit proces wordt in toenemende mate ondersteund door IT. De IT-omgeving is daardoor een integraal onderdeel geworden van de audit door de externe accountant.
E. Relatie tussen corporate governance en IT governance
Naar mijn mening is er geen één op één relatie tussen corporate governance en
IT governance. Om de relatie te beschrijven tussen corporate governance en IT
governance, maakt het uit welke definitie van IT governance wordt gebruikt. In
de afgelopen jaren hebben accountants het begrip IT governance geclaimd om
vervolgens te beweren dat IT governance en corporate governance een directe
relatie met elkaar hebben. Deze relatie komt vooral voort uit de recente
corporate governance codes, waarin nadruk gelegd wordt op het in control zijn
van de IT-processen, omdat deze processen een sterke rol hebben bij de
financiële verslaglegging. Ook kan er een relatie worden gelegd, wanneer het
agency vraagstuk naar IT wordt verplaatst. Shleifer en Vishny hebben dit
verder uitgewerkt in de onderstaande tabel.
Corporate governance IT governance Hoe kunnen aandeelhouders ervoor zorgen dat
managers winsten voor hen genereren?
Hoe kunnen de RvB en de directie ervoor zorgen dat de CIO en de IT-organisatie be- drijfswaarde voor hen genereren?
Hoe kunnen aandeelhouders ervoor zorgen dat managers het kapitaal dat zij ter beschikking stellen niet stelen of investeren in slechte projecten?
Hoe kunnen de RvB en de directie ervoor zorgen dat CIO en de IT-organisatie het kapitaal dat zij ter beschikking stellen niet stelen of investeren in slechte projecten?
Hoe sturen aandeelhouders hun managers? Hoe sturen de RvB en de directie de CIO en de IT-organisatie?
Tabel 1. Corporate Governance en IT governance (Shleifer en Vishny. In: Van Grembergen, 2004)
Wanneer ik kijk naar de definitie die in de scriptie is gehanteerd, zie ik in dit
kader niet direct een relatie tussen corporate governance en IT governance. Bij
IT governance gaat het in deze scriptie vooral om het realiseren van de IT-
ambies en het behalen van business/IT alignment en niet om het in control zijn
en het voldoen aan wet- en regelgeving.
Thema’s code Tabaksblat en relevante principes voor besturing en beheersing
Thema’s Sarbanes-Oxley act en relevante principes voor besturing en beheersing
Bijlage 6 - CobiT A. Inleiding
CobiT is een raamwerk dat zich profileert als het IT governance raamwerk. De invalshoek die CobiT kiest is duidelijk de invalshoek vanuit de ‘accountancy- hoek’; CobiT is dan ook tot stand gekomen door de grotere accountantskanto- ren uit voornamelijk de Verenigde Staten (Pruim, 2005). CobiT staat voor Control Objectives for Information and Related Technology en is ontwikkeld door de Information Systems Audit and Control Foundation (ISACF), het research instituut van de Information Systems Audit and Control Association (ISACA). In CobiT zijn referenties opgenomen naar gebruikte standaarden zoals COSO, ISO, CMM, ITIL etc. CobiT consolideert en harmoniseert 41 wereldwijde IT-standaarden in een integraal IT-model voor gebruik door professionals, die zich bezighouden met aan de IT gerelateerde beheersings- vraagstukken van organisaties (Iia, 2005).
B. Het doel
Het doel van CobiT is om het management en de proceseigenaren middels een IT Governance model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico’s. CobiT helpt bij het overbruggen van de verschillen tussen business risico’s, de daaruit voortvloeiende behoefte aan de beheersing van de bedrijfsprocessen en de ondersteunende IT-dienstverlening en - infra- structuur. Het voorziet in een behoefte om te komen tot IT Governance en het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen (IiA, 2005).
C. Het model
Het CobiT raamwerk is gebaseerd op het principe dat organisaties worden voorzien van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. De informatie wordt op haar beurt voortgebracht door IT- processen en het samenstel van IT-resources: data, applicatiesystemen, techno- logie, faciliteiten en mensen. De IT-resources worden beheerst middels 34 IT- processen, die zijn ingedeeld in 4 domeinen:
•
Planning & Organisation;
•
Acquisition & Implementation;
•
Delivery & Support;
•
Monitoring.
Voor de realisatie van de organisatiedoelstellingen dient de informatie voor het aansturen van de organisatie en haar bedrijfsprocessen te voldoen aan een zevental kwaliteitscriteria: effectiveness, efficiency, confidentiality, integrity, availability, compliance en reliability. Het CobiT-model is er op gericht de organisatie een redelijke zekerheid te bieden dat de ondersteunende IT- processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. Figuur 1 (op de volgende pagina) geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatie- voorziening vanuit de de CobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en IT-resources.
Bij elk van de 34 IT-processen kent CobiT een aantal managementinstrumen- ten zoals:
•
Control objectives, in feite de beheerdoelstelling per IT-proces.
•
Key Goal Indicators, Key Performance Indicators en Critical Success Factors.
•
Volwassenheidsniveaus op een schaal van 0 tot en met 5, waarbij 0 staat voor ‘non-existence’ en 5 staat voor ‘best practices’.
•
Audit guidelines; richtlijnen voor interviews, informatie en tests.
Figuur 1. CobiT-model
Bijlage 7 – IT governance mechanismen
A. IT governance mechanismen (Van Grembergen e.a., 2004)
B. IT governance mechanismen (Weill en Ross, 2004) Decision making structures Alignment processes
Executive or senior management comittee Tracking of IT projects and resources consumed IT leadership committee comprising IT executives Service-level agreements
Process teams with IT members Formally tracking business value of IT Business/IT relationship managers Chargeback arrangements
IT council comprising business and IT executives Investment approval process
Architecture committee Architecture exception process
Capital approval committee
Communication approaches
Work with managers who don’t follow the rules Senior management announcements
Office of CIO or office of IT governance
Web-based portals and intranets for IT
Bijlage 8 - Integrale Architectuur
In deze bijlage zal wat achtergrond informatie worden gegeven over wat een architectuur is. Ross (2003) geeft aan dat er geen universele definitie van is.
Het is zelfs zo dat met infrastructuur en architectuur soms hetzelfde wordt bedoeld, waarbij de architectuur wordt gezien als het plan voor de toekomstige infrastructuur. Echter wanneer architectuur alleen gaat over de techniek heeft het weinig directe functies richting de business. Een integrale architectuur kan wel de techniek in relatie tot de business plaatsen.
Ross geeft de volgende definitie van IT-architectuur: IT architecture is the organizing logic for applications, data and infrastructure technologies, as captured in a set of policies and technical choices, intended to enable the firm’s business strategy.
Ross geeft daarbij een metafoor dat een integrale architectuur kan worden gezien als een soort plattegrond welke aangeeft welk beleid en welke standaar- den nodig zijn bij de ontwikkeling van de infrastructuur techniek, databases en applicaties teneinde de business optimaal van dienst te kunnen zijn.
Volgens Rijsenbrij (2004) is er een betere definitie van architectuur, die vrij breed in de markt wordt geaccepteerd, dit is de IEEE 1471-standaard:
The fundamental organization of a system embodied in its compo- nents, their relationships to each other, and to the environment, and the principles guiding its design and evolution
Een architectuur is dus de organisatie van een systeem met een aantal compo- nenten, deze componenten moeten relaties hebben met elkaar en naar de omgeving. Daarnaast gaat het om een aantal principes die, wanneer de compo- nenten ontwikkeld worden en vervolgens evolueren, de relaties tussen de componenten moeten waarborgen.
De IEEE-standaard schrijft op geen enkele manier voor, welke indeling in componenten er gemaakt kan worden, maar geeft wel aan dat het essentieel is dat de verschillende lagen en bijbehorende principes consistent en samenhan- gend moeten zijn. De componenten kunnen in diverse lagen worden opgedeeld.
In de onderstaande tabel staan een aantal voorbeelden van Twynstra Gudde (TG), Rijsenbrij, het model van het ministerie van Binnenlandse Zaken (BZK) en Ordina.
TG definitie Rijsenbrij Ministerie van BZ model Ordina Business architec-
tuur
Bedrijfsgebeuren B-wereld
Bedrijfsarchitectuur (organisatie, product, proces)
Basisbedrijfsmodel Proces architectuur Informatie archi-
tectuur
Informatie verkeer I-wereld
Informatie architectuur (applicatie, content, communicatie)
Architectuur van de be- drijfsondersteuning Applicatie archi-
tectuur
Applicaties A-wereld
(deelarchitectuur vd informatie architectuur)
Systeem architectuur Technische
architectuur
Technische infrastruc- tuur
T-wereld
Technische architectuur (systeem, gegevens, netwerk)
Twynstra Gudde onderscheidt dus vier lagen. Daarbij kan gezegd worden dat
de applicatie-infrastructuur eventueel ook onder de informatiearchitectuur kan
vallen. Voor elk van de vier lagen wordt aangegeven wat daaronder valt en
waarover principes dus zouden kunnen gaan.
1. Business-architectuur (Rijsenbrij, B-wereld,) Componenten:
- context-schema - processchema - produkten en diensten - organisatiestructuur - besturing van organisatie 2. Informatiearchitectuur (Rijsenbrij I-wereld)
Componenten:
- informatieverwerkende functies - datamodel
- datadictionary - functionele objecten - functionele gebieden - informatiestromen - documentstromen - informatiebronnen - informatiebehoeften
- informatieuitwisseling met buitenwereld - kennismanagement en content
3. Applicatiearchitectuur (Rijsenbrij A-wereld) Componenten:
- software architectuur - applicaties
- ontwerpprincipes en ontwikkelrichtlijnen - koppelingen/interfaces/berichtenverkeer
- infrastructurele componenten (broker, portal bizztalk)
4. Technische architectuur (Rijsenbrij T-wereld) Componenten:
- hardware - netwerk
- fysieke geografische locaties
- technische standaards
Bijlage 9 - Positionering van IT-activiteiten (Boddy e.a., 2002) 1. ICT-activiteiten bij één gebruikersafdeling
2. ICT-activiteiten gecentraliseerd
3. ICT-activiteiten gedecentraliseerd
4. ICT-activiteiten federaal georganiseerd
5. ICT-activiteiten in een interne ICT groep
6. Outsourcing van ICT-activiteiten
Structuurmechanismen Strategisch overlegorgaan
Gebruik 7x Toegevoegde waarde Hogere betrokkenheid van de business.
Informatievoorziening naar betrokkenen.
Aandacht die IT door het orgaan krijgt.
Voorwaarden Het aantal partijen dat deelneemt, moet redelijk zijn (ca. 5 personen).
Beperk het aantal thema's waarover gesproken word, vermijd details.
CIO
Gebruik 1x
Toegevoegde waarde Eenduidig aanspreekpunt voor business en directie.
Eenkoppige leiding, d.w.z. eenduidig beleid.
Voorwaarde CIO stuurt hiërarchisch de IT-manager en informatiemanager aan.
De CIO moet toegevoegde waarde kunnen leveren, wanneer het om een kleine organisatie gaat en de CEO of IT-manager kan de CIO-taken waarnemen, dan is er geen noodzaak.
Informatiemanagement
Gebruik 7x
Toegevoegde waarde Eenduidig aanspreekpunt van de business.
Behoeftes van de business worden expliciet het uitgangspunt.
Er vind een vertaalslag plaats tussen technische en functionele zaken (IT en busi- ness).
Voorwaarden
Informatiemanagement moet de verantwoordelijkheid voor technische ontwikkeling krijgen.
IT moet betrokken blijven bij de business.
Procesmechanismen
Visie op de toekomst
Gebruik 9x
Toegevoegde waarde Betrokkenen op 1 lijn krijgen (alle neuzen dezelfde kant op).
Richting geven aan toekomstige acties.
Voorwaarden Het moet bij alle betrokkenen bekend zijn.
Relevante partijen moeten betrokken zijn bij de vaststelling.
De visie op de toekomst moet zijn uitgewerkt in SMART doelen.
Projectmanagement
Gebruik alle Toegevoegde waarde Volgen van alle projecten bij elkaar.
Adequate planning wordt een eis.
Overzicht op voortgang project(en).
Beoogde baten worden expliciet gemaakt.
Biedt mogelijkheden voor kwaliteitscontrole.
Stuurgroep maakt betrokkenheid van de business mogelijk.
Voorwaarden
Bovenstaande toegevoegde waarde is alleen van toepassing als betrokkenheid van alle partijen aanwezig is.
De methode mag geen doel op zich worden, behoefte business moet centraal blijven staan.
Projectmanagement lost geen coordinatieproblemen op!
Projecten moeten vooraf en na afloop geevalueerd worden op kosten en baten.
SLA's
Gebruik 7x
Toegevoegde waarde Kwaliteit van de dienstverlening wordt gewaarborgd.
De business wordt actief betrokken bij de te leveren IT-diensten.
Bijlage 10 - Onderzochte IT governance mechanismen
Integrale architectuur
Gebruik 1x
Toegevoegde waarde Biedt efficiëntie doordat vraag en aanbod op elkaar worden afgestemd en het aantal systemen minimaal kan worden gehouden.
Er kan snel en consistent gecommuniceerd worden over wat wel en niet mogelijk is.
Voorwaarden Architecturen moeten flexibel zijn voor nieuwe behoeftes vanuit de business.
Een beschreven uitzonderingsprocedure kan daarbij helpen.
Doorbelasting IT-kosten
Gebruik 6x
Toegevoegde waarde Kosten worden gedrukt doordat gebruikers meer bewust worden van de IT-kosten.
Gebruikers zijn meer betrokken bij serviceniveau's en realisatie van projecten.
Minder discussie over wie wat betaalt.
Voorwaarden Er is geen noodzaak voor doorbelasting als het een kleine organisatie betreft of als de IT-kosten niet substantieel zijn.
Gebruikers moeten invloed hebben op de kosten die ze maken.
IT-procesmodel
Gebruik 3x
Toegevoegde waarde Helpt bij de beheersing van de IT-processen.
Helpt bij de verdeling van verantwoordelijkheden.
Kan de verantwoordelijkheden van de business goed aangeven.
Voorwaarden Wanneer het een kleine organisatie is, is er vaak voldoende controle op
de IT-processen, wanneer er geen aanleiding voor is, is een procesmodel niet nodig.
Relatiemechanismen Fysieke locatie IT/business
Gebruik 8x
Toegevoegde waarde Meer begrip en gevoel tussen business en IT.
Betere coordinatie tussen IT en business.
Voorwaarden Praktische haalbaarheid.
Jobrotatie
Gebruik geen
