ZICHT OP IT GOVERNANCE
‘een onderzoek naar het begrip IT Governance, besluitvormingsmodellen, mechanismen en contingenties’
Auteur: Mattijs van Eck Studentnummer: 1271377
***
Rijksuniversiteit Groningen, Faculteit Bedrijfskunde 1e Begeleider: dr. T.J.B.M. Postma
2e Begeleider: dr. A. Boonstra
***
Afstudeerorganisatie: Twynstra Gudde te Amersfoort Begeleider: Ir. B. Vermolen
***
Groningen, 8 mei 2006
Samenvatting
IT governance is een begrip dat in de literatuur en in de praktijk op verschil- lende manieren wordt gebruikt. In dit onderzoek wordt daarom inzicht gegeven in het begrip IT governance. IT governance kan worden benaderd vanuit verschillende invalshoeken. De definitie van IT governance die hier wordt gehanteerd luidt: IT governance is de verdeling van verantwoordelijkheden, organisatorische inrichting en het geheel van afspraken en procedures, dat is gericht op het behalen van de IT-ambities. Hiermee worden de volgende invalshoeken van IT governance gekozen:
IT governance als een besluitvormingsstructuur;
IT governance als een integratiemechanisme en
IT governance als een bekwaamheid (om de IT-ambities te realiseren).
Wanneer de organisatie in staat is de vooraf gestelde IT-ambities (impliciet of expliciet) te realiseren, kan er gesproken worden van een effectieve IT gover- nance. Dit betekent dat een andere dominante invalshoek van IT governance, namelijk IT governance met de nadruk op beheersing, in dit onderzoek niet wordt ondersteund. De invalshoek van de beheersing is voortgekomen vanuit de recente aandacht voor corporate governance codes die stellen dat je onder- meer in control moet zijn van de IT-processen. In dit onderzoek wordt onder- kend dat dit een belangrijke randvoorwaarde is, maar niet direct leidt tot het halen van de IT-ambities.
De vraagstelling van dit onderzoek is:
Welke elementen dragen bij aan een effectieve IT governance en welke contin- genties zijn bepalend voor de invulling van de IT governance?
Naar voren is gekomen dat zowel de keuze van het besluitvormingsmodel als het hebben van een aantal IT governance mechanismen, direct of indirect, bij kunnen dragen aan effectieve IT governance.
Bij de besluitvormingsmodellen is uitgegaan van de door Weill en Ross (2004) gedefinieerde modellen, waarbij voor elk IT-besluit de volgende partijen betrokken kunnen zijn: hoofddirectie, IT-management en business unit mana- gement. In dit onderzoek is informatiemanagement ook als partij erbij betrok- ken. Gebleken is dat wanneer deze partij aanwezig is, deze ook vaak betrokken wordt in de besluitvorming en dominanter aanwezig is ten opzichte van de IT- manager. Voor het inrichten van het besluitvormingsmodel moet men aan het volgende denken:
Niet alle IT-besluiten zijn hetzelfde. Ga voor elk van de besluiten na (IT-doelen, -architectuur, -infrastructuur, functionele behoefte en in- vestering & prioritering) welk besluitvormingsmodel er het beste past.
Laat het besluitvormingsmodel aansluiten bij de ambities. Ligt de na- druk op: synergie, technologische ontwikkeling of klantgerichte op- lossingen?
Ga na in hoeverre de betrokkenheid van de business en het top mana- gement wenselijk is in de besluitvorming.
Ga na in hoeverre een snelle besluitvorming wenselijk is.
Zorg bij het ontbreken van managers met kennis van zowel business als IT voor een besluitvormingsmodel waarbij de kennis gedeeld kan worden.
Op basis van de antwoorden op deze vragen kan er een besluitvormingsmodel worden gekozen die zal bijdragen aan een effectieve IT governance.
Wat betreft de IT governance mechanismen zijn er structurele-, proces- en relatiemechanismen onderscheiden. De in dit onderzoek onderscheiden structurele- en procesmechanismen dragen allen bij aan een effectieve IT governance. Het is niet aangetoond dat de gekozen relatiemechanismen bijdragen aan een effectieve IT governance. Wel is naar voren gekomen dat de relatie tussen business en IT als het grootste knelpunt wordt ervaren. Voor een effectieve IT governance dragen de volgende IT governance mechanismen het meeste bij:
Het hebben van een gezamenlijke visie op de toekomst die bij iedereen leeft
Het hebben van een regiefunctie in de vorm van een informatiemana- ger of een CIO.
Het hebben van IT-medewerkers en managers die kennis hebben van de business door hun achtergrond en opleiding.
Niet elke organisatie heeft de IT governance op dezelfde wijze ingericht. De contingenties die zijn onderscheiden zijn: de sector, de strategische rol die IT speelt, de positie van de IT-activiteiten en de grootte van de organisatie.
De grootste verschillen in de keuze van het besluitvormingsmodel werden bepaald door: de grootte van de organisatie in fte en de strategische rol die IT speelt. Bij het gebruik van de IT governance mechanismen werden de grootste verschillen bepaald door de positionering van de IT-activiteiten binnen de organisatie. De sector waar een organisatie zich in bevond gaf de minste samenhang met de invulling van de IT governance.
Voorwoord
De scriptie die nu voor u ligt is het resultaat van een onderzoek dat gedaan is in opdracht van Twynstra Gudde en dient ter afsluiting van mijn studie Bedrijfs- kunde in Groningen.
Ik ben verheugd dat ik mijn afstudeerstage en mijn studie hiermee kan afron- den. Aan de andere kant luidt dit ook het einde in van mijn stageperiode bij Twynstra Gudde. Een periode waarin ik ontzettend veel geleerd heb over de wereld van ICT en over mijzelf. Ook een periode die ik als relatief zwaar heb ervaren, waarin het niet altijd voor de boeg ging.
Mijn dank gaat in de eerste plaats uit naar Bas Vermolen, hij heeft mij ingeleid in de wereld die ICT heet, een wereld waar ik onbekend in was; vooral bij de start van mijn afstudeerstage heeft Bas mij als een echte gids, door ICT-land geleid. Verder wil ik Albert Boonstra en in het bijzonder Theo Postma bedan- ken voor de kritische opmerkingen en de positieve feedback op mijn stukken in de afgelopen maanden.
Tenslotte wil ik familie en vrienden bedanken voor de steun tijdens de gehele studie en de soms moeilijke periodes tijdens het afstuderen.
Groningen, 8 mei 2006 Mattijs
Inhoudsopgave
INLEIDING ... VI
1 PROBLEEMANALYSE ... 1
1.1 DE ACTUALITEIT... 1
1.2 TWYNSTRA GUDDE... 2
1.3 LITERATUUR... 2
1.4 CONCLUSIE... 4
2 ONDERZOEKSOPZET ... 5
2.1 PROBLEEMSTELLING... 5
2.2 METHODOLOGIE... 7
2.3 RANDVOORWAARDEN... 8
2.4 OPBOUW SCRIPTIE... 9
3 INTRODUCTIE IT GOVERNANCE... 10
3.1 DEFINITIES IT GOVERNANCE... 10
3.2 DOEL IT GOVERNANCE... 11
3.3 VERSCHILLEN MET IT-MANAGEMENT... 13
3.4 INVALSHOEKEN IT GOVERNANCE... 14
3.5 CONCLUSIE... 16
4 BESLUITVORMINGSMODELLEN ... 17
4.1 BESLUITVORMINGSMODELLEN... 17
4.2 INFORMATIEMANAGEMENT EN HET 9-VLAKSMODEL... 20
4.3 CONCLUSIE... 22
5 IT GOVERNANCE MECHANISMEN ... 24
5.1 WAT ZIJN IT GOVERNANCE MECHANISMEN?... 24
5.2 IT GOVERNANCE MECHANISMEN... 25
5.3 SAMENVATTING... 31
6 CONTINGENTIES ... 32
6.1 CONTINGENTIES... 32
6.2 ORGANISATIESTRUCTUUR / POSITIONERING IT-ACTIVITEITEN... 32
6.3 STRATEGIE / STRATEGISCHE ROL IT ... 33
6.4 SECTOR... 34
6.5 GROOTTE ORGANISATIE... 35
6.6 SAMENVATTING... 35
7 VAN THEORETISCH KADER NAAR ANALYSE ... 36
7.1 BESLUITVORMING... 37
7.2 IT GOVERNANCE MECHANISMEN... 38
7.3 CONTINGENTIES... 39
8 ANALYSE BESLUITVORMINGSMODELLEN ... 41
8.1 BESLUITVORMINGSMODELLEN VOOR VIJF MAJEURE IT-BESLUITEN.. 41
8.2 VOOR- EN NADELEN VAN BESLUITVORMINGSMODELLEN... 45
8.3 BESLUITVORMINGSMODELLEN EN CONTINGENTIES... 50
8.4 CONCLUSIE BESLUITVORMINGSMODELLEN... 53
9 ANALYSE IT GOVERNANCE MECHANISMEN ... 55
9.1 STRUCTUUR MECHANISMEN... 55
9.2 PROCESMECHANISMEN... 58
9.3 RELATIEMECHANISMEN... 66
9.4 BELANGRIJKSTE IT GOVERNANCE MECHANISMEN... 67
9.5 VOLLEDIGHEID... 67
9.6 CONCLUSIE... 68
10 CONCLUSIE... 70
10.1 BEANTWOORDING DEELVRAAG 1 ... 70
10.2 BEANTWOORDING DEELVRAAG 2 ... 71
10.3 BEANTWOORDING HOOFDVRAAG... 73
10.4 DISCUSSIE... 74
10.5 VERVOLGONDERZOEK... 76
LITERATUURLIJST……….………..………77
BIJLAGEN ... 80
Inleiding
Wat vertelt u aan een buitenlander als deze u vraagt om de governance (het bestuur) van de Nederlandse Overheid te typeren? Gaat uw antwoord dan over hoe onze democratie werkt, over de koningin, over burgerparticipatie, gaat u uw eigen klachten vertellen over het, in uw ogen, gebrekkige overheidsbeleid, over de manier waarop de overheid wordt gecontroleerd of verteld u dat…….
Kortom, wat bedoelt deze buitenlander met deze vraag? Hetzelfde probleem doet zich voor bij het begrip IT governance. IT governance is een begrip dat op vele manieren kan worden uitgelegd. In deze scriptie worden deze verschillen- de invalshoeken behandeld en wordt er een keuze gemaakt wat nu eigenlijk IT governance is en welke elementen bij kunnen dragen aan een effectieve IT governance.
De doelstelling van deze scriptie is:
Inzicht geven in het begrip IT governance en elementen aanreiken die bijdra- gen aan een effectieve IT governance, met daarbij aandacht voor contingenties die bepalend zijn voor de invulling van de IT governance.
De onderzoeksvraag die in deze scriptie wordt beantwoord is:
Welke elementen dragen bij aan een effectieve IT governance en welke contin- genties zijn bepalend voor de invulling van de IT governance?
De opbouw van deze scriptie is als volgt: er wordt gestart met de aanleiding van het onderzoek, in de vorm van een probleemanalyse. Vervolgens zal er een hoofdstuk worden gewijd aan de onderzoeksopzet. Hierin wordt duidelijk dat er een theoretisch en een empirisch gedeelte is.
Het theoretische gedeelte start met het bepalen van de te hanteren definitie en invalshoek van IT governance. Vervolgens zullen de elementen van IT gover- nance: besluitvormingsmodellen en IT governance mechanismen, worden behandeld in afzonderlijke hoofdstukken. Het theoretische gedeelte eindigt met de keuze voor de te hanteren contingenties en uiteindelijk een samenvattend hoofdstuk waarin aandacht wordt besteed aan hoe het theoretische kader zal worden gebruikt in de empirie.
In het empirische gedeelte zullen de resultaten van de gehouden interviews worden beschreven en geanalyseerd. Dit gedeelte is opgedeeld in twee hoofd- stukken: besluitvormingsmodellen en IT governance mechanismen.
De scriptie eindigt met een conclusie waarin antwoord wordt gegeven op de onderzoeksvraag.
1 Probleemanalyse
In deze probleemanalyse zal worden ingegaan op de aanleiding voor dit afstudeeronderzoek. Deze aanleiding is opgedeeld in drie paragrafen. Deze drie paragrafen geven allen een eigen invalshoek op het probleem. Het thema en de opzet van dit onderzoek zijn voortgekomen uit feiten en bevindingen uit de actualiteit, de literatuur en het adviesbureau Twynstra Gudde. Naast dat onderstaande zaken input gaven voor de probleemstelling, vormen deze tegelijkertijd een betoog voor de relevantie van dit onderzoek.
1.1 De actualiteit
Wellicht de belangrijkste aanleiding voor het onderzoek is de actuele aandacht voor corporate governance. De afgelopen jaren hebben schandalen als bij Enron, Worldcom en Ahold de discussie opgelaaid over corporate governance.
Terecht of onterecht heeft deze opleving ook de discussie over IT Governance gevoed. Volgens sommigen (met name uit de accountancywereld, o.a. Hama- ker, 2003; ITGI, 2003) is IT Governance een belangrijk onderdeel van Corpo- rate Governance. Niet alleen omdat onder IT ook de besturings- en manage- mentinformatieprocessen vallen, maar ook omdat de belangrijke corporate governance codes zoals Sarbanes-Oxley (SOX) en Tabaksblat voor een deel IT-gedreven zijn.
IT Governance is de laatste jaren een belangrijk thema geworden in de acade- mische en de bedrijfswereld. Gartner heeft een top 10 opgesteld met de hoogste prioriteiten van CIO’s (Chief Information Officer, de hoogste functionaris die zich fulltime met IT bezig houdt); in 2003 stond het verbeteren van de IT Governance voor het eerst in deze toptien, op de derde plek. Op de eerste plaats stond het aanverwante thema ‘een leidraad opstellen voor de Raad van Bestuur en de directie’(Van Grembergen, 2004).
Tegelijkertijd rijst de vraag wat nu eigenlijk IT governance is. In een aantal oriënterende interviews is naar voren gekomen dat adviseurs van Twynstra Gudde een relatie zien tussen IT governance en een aantal ‘chronische’
knelpunten in IT-land. IT governance zou bijvoorbeeld kunnen helpen bij:
• Het verhelpen van het legacy-vraagstuk (verouderde IT);
• Het feit dat dezelfde processen nog steeds verschillend worden inge- richt; voor dezelfde functionaliteit worden er dus verschillende IT- oplossingen gekozen;
• Het veranderen van de focus van IT, deze is te intern gericht in plaats van op de klanten;
• Het verhogen van de betrokkenheid en het commitment van het top- management.
Tijdens deze oriënterende interviews kwam dus naar voren dat de meningen over wat IT governance is en waar het toe dient erg verschillend zijn.
Daarom zou eerst de vraag gesteld moeten worden wat IT governance eigenlijk is. Zoals net beschreven zijn het in de praktijk vooral accountants en IT- auditors die zich het begrip IT governance hebben toegeëigend in het kader van corporate goverance, waarbij de beheersing van de IT-processen en verant- woording hierover centraal staan.
Een andere opvatting van IT governance is er in de IT-management praktijk;
hier wordt meer nadruk gelegd op IT governance in het kader van een efficiën- te en strategische toepassing van IT om concurrentievoordelen te behalen (o.a.
Accenture, 2005A; Bearingpoint, 2003).
Er is in de huidige praktijk een veelheid van definities en invalshoeken met betrekking tot IT governance; het heeft zin om hier meer orde in aan te bren- gen.
1.2 Twynstra Gudde
Twynstra Gudde is een adviesbureau dat ondermeer adviseert op het gebied van IT-strategie en -besturing. Een beschrijving van Twynstra Gudde is te vinden in bijlage 1. Binnen Twynstra Gudde is er behoefte aan additionele kennis over IT governance. Hiervoor zijn een aantal redenen aan te wijzen.
1. De kennis over dit onderwerp is verspreid en onvoldoende gedocumenteerd.
‘De kennis zit in de hoofden van een aantal adviseurs’. Er is behoefte om de kennis over dit onderwerp te vergroten en vooral ook expliciet te maken.
Twynstra Gudde wil graag over het thema IT governance een standpunt innemen: ‘Wat is het volgens ons en hoe ga je daar volgens ons mee om’?
2. Hiernaast bestaat de overtuiging dat er een adviesmarkt is voor dit onder- werp. Een adviseur van Twynstra Gudde zegt hierover het volgende: ‘IT Governance is een belangrijk thema geworden, ook voor onze klanten; de ontwikkeling die ik nu zie is dat IT-leveranciers de rol van organisatie-adviseur gaan overnemen, doordat zij goed inspringen op de aandacht die er nu voor dit thema is. IT governance is geen IT-probleem, maar een organisatieprobleem.’
3. De behoefte die bij Twynstra Gudde is ontstaan, heeft voor een deel ook te maken met omgevingsfactoren. De aandacht voor corporate governance roept de vraag op wat de gevolgen hiervan zijn voor de IT. Met name is er de vraag welke gevolgen de codes SOX en Tabaksblat hebben voor de IT.
Voor de meeste concurrenten van Twynstra Gudde geldt dat deze zich, in ieder geval middels publicaties op het internet, profileren als IT governance ‘specia- listen’. Dit varieert van een alinea over IT governance op hun eigen site, tot uitgebreide artikelen waarin de organisatie aangeeft hoe zij over IT governance denken. Dit sluit aan bij de eerder beschreven vraag dat Twynstra Gudde hier ook een standpunt over wil vastleggen.
4. Verder is er in oriënterende interviews binnen Twynstra Gudde naar voren gekomen dat er een discussie is of er wel over één ideaal IT governance model gesproken mag worden. Elke organisatie is anders en de vraag is welke contingenties ervoor zorgen dat er een bepaald IT governance model wordt gebruikt. Hoewel iedereen hier wel een idee bij heeft, zou een onderzoek hiernaar verhelderend kunnen zijn.
1.3 Literatuur
Uit een analyse van wetenschappelijke en vakliteratuur komt naar voren dat er verschillende interpretaties zijn betreffende IT governance. Is IT governance een statisch begrip dat enkel de structuur van de besluitvorming aangeeft of is IT governance een juridische term in het verlengde van corporate governance of is IT governance juist een ander woord voor IT besturing en kan het begrip willekeurig worden ingevuld zolang het maar een toegevoegde waarde heeft?
Kortom: er is geen eenduidige definitie van het begrip IT governance (zie ook de tabel met verschillende definities in paragraaf 3.1.3).
Verder betreft het wetenschappelijke IT governance onderzoek voornamelijk onderzoek naar de samenhang tussen besluitvormingsmodellen en verscheide- ne contingenties. Deze onderzoeken bespreken echter maar twee partijen binnen de besluitvorming over IT: Corporate IT en Business unit IT. Er wordt dus alleen gekeken op welk niveau er besluiten worden genomen. Hierbij zijn de gebruikte besluitvormingsmodellen naar mijn mening erg beperkt, aange- zien niet duidelijk wordt of de besluiten bij de IT liggen of bij de business.
Weill en Ross (2004) maken hier wel onderscheidt in, zij onderscheiden de partijen ‘Business unit management’, ‘C-level (hoofddirectie)’ en ‘IT- management’.
Daarbij kan er nog een andere partij worden toegevoegd. In organisaties wordt er vaak gebruik gemaakt van een informatiemanagementfunctie of -afdeling.
Deze functie of afdeling is in sommige organisaties een afgebakende partij die niet direct onder de IT-afdeling of de business valt. Voor zover bekend, heeft geen enkel IT governance onderzoek deze partij als onderdeel. Het belang van deze informatierol komt wel naar voren in verscheidene managementmodellen.
Het in Nederland zeer populaire 9-vlaksmodel (Maes, 2003), onderscheid drie hoofdrollen: de vraag/business, regie/informatiemanagement en aanbod/IT.
Informatiemanagement wordt hier dus duidelijk in onderscheiden. Een ander populair model, BISL (Business Information Systems Library) geeft voor Informatiemanagement de volgende definitie: Informatiemanagement bepaalt de toekomst van de informatievoorziening (BISL, 2006). Hoewel dit niet een erg scherpe definitie is, geeft deze definitie wel het belang van informatiema- nagement aan. Een toevoeging van deze partij lijkt in de toekomstige IT governance onderzoeken naar mijn mening onontbeerlijk. Hier kan dus een nieuwe stap in worden gemaakt.
Tenslotte is er relatief weinig empirisch onderzoek gedaan naar IT governance mechanismen; dit zijn de organisatorische inrichting, afspraken en procedures die helpen bij de besturing van de relatie tussen IT en business en het sturen op de IT-ambities. Vaak blijven de empirische IT governance onderzoeken hangen in de ‘wie’ vraag, dus wie besluit waarover; weinig tot geen aandacht wordt besteed aan de ‘hoe’ vraag, dus hoe wordt de besturing van de IT ingericht en zijn er hier ook contextafhankelijke variabelen te onderscheiden? Er wordt voldoende over geschreven, maar weinig literatuur wordt onderbouwd met praktijkonderzoek.
Ribbers e.a. (2002) zeggen hier het volgende over: ‘There exists a gap between theoretical frameworks, empirical research and contemporary practices on effective IT governance processes’.
1.4 Conclusie
Uit het voorgaande zijn een serie vragen cq. bevindingen naar voren gekomen.
Het grootste probleem is de onduidelijkheid en het gebrek aan eenduidigheid over het begrip IT governance. Samengevat zijn dit de bevindingen die naar voren komen uit de probleemanalyse:
• Onduidelijkheid en gebrek aan eenduidigheid over het begrip.
• De vraag wat de gevolgen zijn van corporate governance inclusief de recente codes en wat hierbij de relatie is met IT governance.
• Gebrek aan actuele en gedocumenteerde kennis over IT governance bij Twynstra Gudde en de behoefte aan een standpunt t.a.v. IT governan- ce.
• De vraag waar IT governance toe dient en welke elementen er zorgen voor een effectieve IT governance.
• Gebrek aan onderzoek over de contingenties die samenhangen met het gebruikte besluitvormingsmodel, waarbij de partijen Business unit management, C-level (hoofddirectie) en IT-management worden on- derscheiden.
• Het ontbreken van informatiemanagement in de huidige IT governance literatuur.
• Weinig empirisch onderzoek naar het gebruik van governance mecha- nismen en de contingenties die daarmee samenhangen.
2 Onderzoeksopzet
2.1 Probleemstelling
In het vorige hoofdstuk zijn een aantal bevindingen en vragen naar voren gekomen. In dit hoofdstuk zal de opzet van het onderzoek uiteen worden gezet.
Er wordt gestart met de kern van het onderzoek, de doelstelling. Vervolgens zullen de vraagstelling, methodologie en de randvoorwaarden naar voren komen. Aan het einde wordt de opbouw van de scriptie beschreven.
2.1.1 Doelstelling
De doelstelling van dit onderzoek luidt:
Inzicht geven in het begrip IT governance en elementen aanreiken die bijdra- gen aan een effectieve IT governance, met daarbij aandacht voor contingenties die bepalend zijn voor de invulling van de IT governance.
Dit onderzoek levert daarmee een bijdrage aan de kennis over en bewustwor- ding van IT governance bij adviseurs van Twynstra Gudde.
2.1.2 Vraagstelling
De onderzoeksvraag is:
Welke elementen dragen bij aan een effectieve IT governance en welke contin- genties zijn bepalend voor de invulling van de IT governance?
2.1.2.1 Belangrijke begrippen
Hieronder volgt een korte uitleg van wat er met IT governance, elementen en contingenties wordt bedoeld. Voor de begripsdefinities van de gehele scriptie verwijs ik naar bijlage 2.
Effectieve IT governance
In dit onderzoek wordt onder IT governance het volgende verstaan: IT gover- nance is de verdeling van verantwoordelijkheden, organisatorische inrichting en het geheel van afspraken en procedures, dat is gericht op het behalen van de IT-ambities. Er is sprake van een effectieve IT governance als een organisatie zijn IT-ambities daadwerkelijk kan realiseren.
Elementen
In deze scriptie worden twee elementen van IT governance onderscheiden:
besluitvormingsmodellen en IT governance mechanismen.
Besluitvormingsmodellen
Traditionele wetenschappelijke onderzoeken naar IT governance gaan over de besluitvormingsmodellen en daarmee ook de verdeling van verantwoordelijk- heden. Een besluitvormingsmodel beschrijft de partijen die betrokken zijn bij de besluitvorming. Er zijn verschillende modellen te onderscheiden waarbij telkens door andere partijen besluiten worden genomen. De partijen die in dit onderzoek worden onderscheiden zijn: Hoofddirectieleden, Business unit managers, IT-managers en Informatiemanagers (meer hierover in hoofdstuk 4).
IT governance mechanismen
IT governance mechanismen zijn de organisatorische inrichting, afspraken en procedures die tot doel hebben om alignment tussen IT en business te creëren en de IT-ambities te realiseren (meer hierover in hoofdstuk 5.1).
Contingenties
In deze scriptie wordt onder contingenties verstaan: omstandigheden die bepalend zijn voor de keuze van het besluitvormingsmodel en de governance mechanismen.
2.1.2.2 Deelvragen
Ten behoeve van de duidelijkheid en structuur in deze scriptie wordt de vraagstelling opgedeeld in een aantal deelvragen. In totaal zijn er twee deelvra- gen die in verschillende subvragen worden opgesplitst.
1. Hoe ziet het theoretische kader eruit op basis waarvan de IT gover- nance in organisaties kan worden beschreven?
a. Welke invalshoek en definitie kan er op basis van de literatuur wor- den gekozen?
b. Welke besluitvormingsmodellen kunnen er in het kader van IT governance worden onderscheiden?
c. Wat zijn de belangrijkste IT governance mechanismen?
d. Welke contingenties kunnen er worden onderscheiden?
2. Welke conclusies kunnen er worden getrokken na toepassing in de praktijk van het theoretische kader?
a. Welke besluitvormingsmodellen dragen bij aan een effectieve IT governance?
b. Welke IT governance mechanismen dragen bij aan een effectieve IT governance?
c. Welke contingenties zijn bepalend voor de invulling van de IT governance?
Ad. 1. Aangezien in de probleemanalyse naar voren is gekomen dat het begrip IT governance meerdere invalshoeken kent, zal er allereerst een afbakening moeten komen van het begrip IT governance. Welke invalshoek(en) en welke definitie wordt er gehanteerd?
Op basis van de literatuur zullen er keuzes worden gemaakt over hoe de IT governance in een willekeurige organisatie kan worden beschreven. Welke elementen zijn volgens de literatuur kenmerkend voor de IT governance in een organisatie? Uit de gehanteerde definitie blijkt al dat besluitvormingsmodellen en governance mechanismen (organisatorische inrichting, afspraken en proce- dures) de twee hoofdelementen van IT governance zijn. Welke modellen en mechanismen dit zijn zal op basis van de literatuur onderzocht worden. Hier zal ook een keuze worden gemaakt welke modellen en mechanismen gebruikt worden in het onderzoek.
Het onderzoek richt zich ook op de contingenties die bepalend zijn voor de invulling van de IT governance. Daarom zal er in de literatuur worden gezocht naar welke contingenties bepalend zouden kunnen zijn. Vervolgens zal een keuze worden gemaakt over de te hanteren contingenties voor het onderzoek.
Uiteindelijk worden de gemaakte keuzes samengevat in een theoretisch kader.
Dit theoretische kader is een middel om op basis van de praktijk conclusies te trekken over de elementen die zorgen voor een effectieve IT governance en de contingenties die bepalend zijn voor de invulling van de IT governance.
Ad. 2. De beschreven elementen zullen vervolgens worden getoetst in de praktijk. Na de praktische toetsing zullen er conclusies worden getrokken.
Deze conclusies omvatten twee onderdelen: 1) welke elementen zorgen voor een effectieve IT governance en 2) welke contingenties zijn bepalend voor de invulling van de IT governance.
2.2 Methodologie
2.2.1 Gegevensbronnen
Er zijn voor de beantwoording van de vraagstelling een tweetal gegevensbron- nen gebruikt:
1. Literatuur: voor het beantwoorden van de deelvragen 1 en 2.
2. Interviews: met adviseurs van Twynstra Gudde ter oriëntatie en inter- views met functionarissen van deelnemende organisaties voor de be- antwoording van deelvraag 2.
Ad 1. Verschillende soorten literatuur zijn er gebruikt voor het opstellen van het theoretische kader. Deze literatuur is in te delen in:
Wetenschappelijke literatuur;
Vakliteratuur, waaronder ook managementboeken vallen Internet
De gebruikte literatuur is terug te vinden in de literatuurlijst aan het einde van deze scriptie.
Ad 2. Bij de start van het onderzoek zijn verschillende oriënterende interviews geweest met adviseurs van Twynstra Gudde. Het doel hiervan was om een beeld te krijgen van de IT governance problematiek. Verder is er een expert- groep samengesteld van drie adviseurs uit het cluster organisatie & besturing.
Deze expertgroep is twee keer geraadpleegd in het kader van de voortgang. De leden van de expertgroep staan aangegeven in bijlage 3 met een (*).
Voor de beantwoording van deelvraag 2 zijn veertien interviews gehouden met de informatie- of IT-managers van organisaties die deelnamen in het onder- zoek. Informatie- en IT-managers zouden een goed beeld moeten hebben van de IT governance in hun organisatie en daarom lijken zij het meest geschikt.
Een lager geplaatste medewerker ontbreekt hier de kennis over. Ter voorberei- ding van het empirische onderzoek zijn er ook drie proefinterviews gehouden.
Een overzicht van alle geïnterviewden en hun functies staat in bijlage 3.
Er is gekozen voor semi-gestructureerde interviews (vragenlijst in bijlage 4).
De onderwerpen kunnen op verschillende manieren worden geïnterpreteerd en bij een semi-gestructureerd interview is er de mogelijkheid om goed uit te leggen wat er wordt bedoeld. Daarnaast roepen sommige vragen sociaal wenselijke antwoorden op (elke manager vindt dat hij het goed heeft geregeld) en bij een semi-gestructureerd interview is er de mogelijkheid om door te vragen. Aan het einde van elk interview zijn de belangrijkste bevindingen van het interview samen met de geïnterviewde doorgenomen om daarmee zeker- heid te krijgen over de juiste interpretatie van wat de geïnterviewde gezegd heeft.
Voor informatie over hoe de interviews geanalyseerd zijn verwijs ik naar hoofdstuk zeven.
2.2.2 Opzet empirisch onderzoek
Deelvraag 2 zal worden beantwoord door middel van een empirisch onderzoek.
Dit empirische gedeelte heeft een exploratief karakter. Gezien de randvoor- waarde dat het onderzoek in april 2006 moest worden afgerond, had het onderzoek een kleine schaal. In totaal zijn er informatie- of IT-managers bij 13 organisaties geïnterviewd binnen drie sectoren. Aanvankelijk was het de opzet om 15 organisaties gelijk verdeeld over drie sectoren te betrekken. Op het laatste moment haakten echter twee organisaties af. Van één overheidsorgani- satie is een recent rapport gebruikt van de Algemene Rekenkamer (2006) over IT governance in combinatie met een interview van een betrokken adviseur (van Twynstra Gudde). In totaal zijn dus 14 organisaties betrokken bij het onderzoek.
Het aanvankelijke aantal 15 was gekozen omdat het op de grens ligt van praktische haalbaarheid en voldoende data om conclusies te trekken. De wens was om in ieder geval een profit en een non-profit sector in het onderzoek op te nemen. Vooral vanwege de praktische contacten van een aantal bij Twynstra Gudde werkzame adviseurs, is er voor gekozen om de nutssector (3 organisa- ties), uitgeverijsector (5 organisaties) en grote overheidsorganisaties (6 organi- saties) te nemen. Het gaat om grote overheidsorganisaties omdat dit past binnen de klantenkring van TG.
De respondenten zijn, zoals eerder aangegeven, vrijwel allemaal IT- of infor- matiemanager. Alle resultaten zijn anoniem verwerkt en worden dus ook anoniem gerapporteerd. De volgende activiteiten zijn uitgevoerd in het kader van het empirische onderzoek:
1. De deelnemer krijgt een schriftelijke introductie op doel, resultaat en aanpak van het onderzoek en van de interviews in het bijzonder.
2. Er volgt een interview met de IT- en/of informatiemanager. Duur: cir- ca anderhalf uur per interview.
3. De data wordt geïnventariseerd en geanalyseerd, waarna de belang- rijkste resultaten naar alle deelnemers worden opgestuurd.
Nadat de resultaten van het onderzoek bekend waren, zijn deze besproken met een tweetal adviseurs van Twynstra Gudde om een volledig beeld te krijgen van de verbanden en de conclusies die daaruit konden worden getrokken.
2.3 Randvoorwaarden
Er waren twee belangrijke randvoorwaarden voor dit onderzoek:
Het onderzoek duurt in totaal maximaal 8 maanden. Dit is van 1 sep- tember 2005 tot 30 april 2006.
Er mogen geen organisaties in het case-onderzoek worden betrokken die ook al door andere onderzoeken binnen Twynstra Gudde zijn be- naderd.
2.4 Opbouw scriptie
De opbouw van deze scriptie is opgedeeld in een aantal onderdelen. Als eerste wordt het theoretische kader beschreven en vervolgens zullen de resultaten en de analyse van de interviews worden behandeld. De scriptie eindigt met een conclusie. In tabel 1 staat een meer gedetailleerde opbouw van deze scriptie.
Hoofdstuk Onderwerp Deelvraag
3 Introductie IT governance, invalshoeken en definities 1a
4 Besluitvormingsmodellen 1b
5 Governance mechanismen 1c
6 Contingenties 1d
7 Samenvatten theoretisch kader en uitleg over analyse 1 8 Analyse besluitvormingsmodellen + relatie met
contingenties
2a + 2c 9 Analyse IT governance mechanismen + relatie met
contingenties
2b + 2c 10 Conclusie en discussie
Tabel 1. Opbouw scriptie Theoretische
kader
Interview- resultaten
3 Introductie IT Governance
Het doel van dit hoofdstuk is om duidelijk te krijgen wat IT governance precies is. Deelvraag 1a wordt hier beantwoord: ´Welke invalshoek en definitie kan er op basis van de literatuur worden gekozen?´ Het begrip zal moeten worden afgebakend voor de rest van het onderzoek. Er zal gestart worden met de verschillende definities van IT governance. Vervolgens zal het doel van IT governance worden beschreven. In de praktijk blijkt dat IT-management en IT governance door elkaar worden gebruikt, daarom zullen ook de verschillen tussen deze twee begrippen worden genoemd. Voor een compleet beeld zullen aan de hand van de typologie van Vitale (2003) vijf invalshoeken worden besproken. Het hoofdstuk eindigt met de invalshoek en de definitie die in dit onderzoek wordt gehanteerd.
3.1 Definities IT governance
Of het nu komt door de aandacht voor corporate governance of de toenemende volwassenheid van IT, IT governance is een belangrijk begrip geworden in de huidige literatuur en praktijk. Maar is IT governance nieuw? In populaire tijdschriften en ook in academische tijdschriften wordt de definitie die Weill en Ross (2004) geven, vaak aangehaald: ‘IT governance specifies the decision rights and accountability framework to encourage desirable behaviour in the use of IT.’ Wanneer je deze definitie volgt blijkt dat IT governance zeker niet nieuw is. Zo heeft in Garrity (1963) een onderzoek gedaan waarin hij antwoor- den zocht naar onder andere:
• Who is responsible for IT investment activities?
• Who provides input into IT investment activities?
• What controls are in place to ensure IT investment activities are carried out positively?
Na 1963 zijn er talrijke onderzoeken gedaan naar de fundamentele vraag die in de definitie van Weill en Ross wordt gesteld, een kleine selectie daarvan is (Grant, 2005): Control of IS (Olson en Chervany, 1980), IS organizational structure (Von Simson, 1990), IT decision making responsibilities (Boynton, 1992), IS organizational role and location of IS responsibility (Brown en Magill, 1994). Bij deze onderzoeken wordt vaak gesproken over Information Systems (IS), dit wordt hier als een substituut voor IT gebruikt.
Er kan dus worden geconcludeerd dat onderzoek naar IT governance zeker niet nieuw is. Deze onderzoeken gaan echter uit van de definitie van Weill en Ross.
Er zijn echter vele verschillende definities van IT governance. In de volgende paragraaf wordt er een overzicht gegeven van IT governance definities. Voor de behandeling van de definities die voor IT governance worden gehan- teerd, zal gestart worden met het begrip IT en het begrip governance. Vervol- gens zullen de belangrijkste definities worden beschreven die door weten- schappers en organisaties worden gehanteerd. Door het beschrijven van deze definities komen de verschillende invalshoeken al wat naar voren.
3.1.1 Het begrip I(C)T
Informatie- en Communicatietechnologie (ICT) is het verzamelwoord voor alles wat zich met informatiesystemen, telecommunicatie en computers bezighoudt.
Hieronder valt het ontwikkelen en beheren van systemen, netwerken, databan- ken en websites. Hieronder vallen ook het onderhouden van computers en programmatuur en het schrijven van administratieve software.
Vroeger noemde men deze categorie simpelweg IT, een afkorting voor Infor- matietechnologie. Later bleek dat communicatie minstens zo belangrijk was als informatie. Als je veel informatie ter beschikking hebt, maar je kan het niet verspreiden, heeft niemand er wat aan. Met de komst van het internet groeide de behoefte om ook de communicatie in één woord met de informatie te noemen. Echter in vooral Angelsaksische literatuur wordt de term IT nog gebruikt; dit is waarschijnlijk ook de verklaring dat er gesproken wordt van IT governance en minder over ICT governance. Daarom zal in dit onderzoek over IT governance worden gesproken.
3.1.2 Het begrip Governance
Wat is governance? Voor deze term zijn een aantal definities. De Oxford English Dictionay (Davies, 1999) definieert Governance als: ‘the act, manner, fact or function of governing, sway, control’.
Verder is ‘to govern’ gedefinieerd als:
‘to rule with authority’, ‘to exercise the function of government’,‘to sway, rule, influence, regulate, determine’, ‘to conduct oneself in someway; curb, bridle (one’s passions, oneself)’, or ‘to constitute a law for’.
Governance kun je in het Nederlands vertalen met bestuur. IT governance zou dus vertaald kunnen worden als IT bestuur.
3.1.3 Definities IT governance
In tabel 2 staat een serie met IT governance definities. Hiermee beoog ik niet volledig te zijn. Er is gekozen voor de definities van een aantal accountant- en adviesbureau’s en een aantal wetenschappers die zich veel met dit onderwerp bezighouden. Wat opvalt, is dat het doel van IT governance niet altijd hetzelfde is, dit varieert van gewenst gedrag in het gebruik van IT en de strategische toepassing van IT tot het beheersen van de risico’s. Ook de invulling van de IT governance is soms verschillend. Waar de meeste het wel over eens zijn, is dat IT governance een verdeling van verantwoordelijkheden (structuur) is en een set van mechanismen (procedures/afspraken/processen).
Aan het einde van dit hoofdstuk zal worden ingegaan op de definitie die in dit onderzoek gehanteerd zal worden. Allereerst zal het doel van IT governance worden beschreven.
3.2 Doel IT governance
In de definities van tabel 2 komen een aantal doelen van IT governance naar voren. Vrijwel alle doelen zijn gericht op het toevoegen van waarde aan de business middels IT. Van Grembergen (2004) noemt dit ‘creation of business value’. Een onderliggend doel van IT goverance en deels een middel om
‘business value’ te creëren is volgens Van Grembergen ‘strategic alignment’.
Dit zijn naast het beheersen van de IT-processen en de daarmee gepaarde risico’s de belangrijkste doelen van IT governance (Van Grembergen, 2004;
ITGI, 2003; Broadbent en Weill, 1998). Kort zullen strategic alignment en business value hier worden behandeld.
‘IT Governance specifies the decision rights and accountability framework to
Weill & Ross (MIT Sloan, Gartner) (2004)
encourage desirable behaviour in the use of IT.’
‘The set of responsibilities and practices exercised by senior management of the IT Governance Institute (2003) enterprise designed to establish and communicate strategic direction, ensure
realization of goals and objectives, mitigate risk, and verify that assigned re- sources are used in an effective and efficient manner.’
‘IT Governance is the organizational capacity exercised by the board, executive Van Grembergen, (2004) management and IT-management to control the formulation and implementation
of IT strategy and in this way ensure the fusion of business.’
‘IT related structures or architectures implemented to successfully accomplish Schwarz en Hirschheim (2003) activities in response to an enterprise’s environmental and strategic imperatives’
Peterson, (2004)
‘The distribution of IT decision making rights and responsibilities among enter- prise stakeholders, and the procedures and mechanisms for making and monitoring strategic decisions regarding IT. IT Governance is thus the enterprise management system through which an organization’s portfolio of IT systems is directed and controlled’
‘het geheel van regels, procedures, verdeling van verantwoordelijkheden en Accenture, (2005B) organisatorische inrichting, dat is gericht op een efficiënte en strategische
toepassing van IT en het beperken en controleren van risico’s’.
‘The organized capacity to guide the formulation of IT Strategy and plans, direct Deloitte, (2004) development and implementation of initiatives and oversee IT operations in
order to achieve competitive advantage for the corporation.’
IT governance is the process of how and when decisions are made and; KPMG, (2004) IT governance as a focus on risk management and control.
Bearingpoint (2003)
‘the structures and processes that ensure that IT supports the organization’s mission’
Tabel 2. Definities IT governance 3.2.1 Strategic Alignment
Strategic alignment is een veel besproken begrip in wetenschappelijke en vakliteratuur. Hier volgt een korte uitleg van dit begrip. Pioniers op dit gebied zijn Henderson en Venkatraman (1994). Strategic alignment gaat over het integreren van Business en IT (zie figuur 1). Er zijn twee soorten van integra- tie, die beide even belangrijk zijn.
Het eerste type integratie, de strategische integratie, vormt de schakel tussen de business-strategie en de IT-strategie. Deze schakel heeft een belangrijk extern georiënteerd karakter, omdat IT op bestuursniveau steeds vaker geaccepteerd is als één van de strategische wapens van de organisatie.
De tweede, de operationele integratie, heeft vooral een interne focus. Hiermee wordt namelijk de schakel bedoeld tussen de organisatiestructuur en -processen aan de ene kant en de IT-infrastructuur en -processen aan de andere kant. Deze integratie benadrukt de noodzaak tot goede afstemming van de eisen en wensen van de organisatie met de ondersteuning van de IT-functie. (Twynstra Gudde, 2002)
Figuur 1. Strategic alignment (Henderson en Venkatraman, 1994) 3.2.2 Creëren toegevoegde waarde
Het hoogste doel van IT governance is het creëren van waarde voor de busi- ness. De relatie tussen alignment en deze toegevoegde waarde wordt benadrukt door het ITGI (2003): “The value that IT adds to the business is a function of the degree to which the IT organisation is aligned with the business and meets the expectations of the business”. Door alignment kan er dus waarde worden gecreëerd; IT governance kan helpen bij deze alignment.
Guldentops (2003) geeft een aantal basisprincipes van ‘IT value’: delivery on time, within budget and with the benefits that were promised. Dit zijn vrij algemene kenmerken van de toevoegde waarde die IT kan leveren. Toege- voegde waarde zal echter door elke organisatie anders worden benaderd. Niet iedereen heeft immers dezelfde ambities met IT. Peterson (2004) onderscheidt een drietal ‘value drivers’ (tabel 3). Op basis van deze typologie kan IT op drie verschillende manieren waarde leveren voor de business.
De invulling van IT governance moet dus zo worden gekozen dat IT waarde voor de business creëert en er maximale alignment is tussen business en IT. De ambitie die een organisatie heeft met IT lijkt hier een belangrijke rol te spelen.
De IT governance moet in elk geval zo worden ingevuld dat de ambities van de organisatie met IT worden gehaald.
Valuedrivers Beschrijving
Service infrastructure Leveren van betrouwbare en tijdige IT-producten en -diensten.
Solution Integration Leveren van state-of-the-art IT-producten en –diensten die optimaal zijn afgestemd op de gebruikers.
Strategic innovation Innovatieve IT-produscten en diensten leveren die direct een bijdrage leveren aan de business strategie om daarmee concurrentievoordeel te behalen.
Tabel 3. Valuedrivers (Peterson, 2004) 3.3 Verschillen met IT-management
Een opmerking die ik vaak heb gehoord, is dat IT governance een ander woord voor IT-management zou zijn. Er zijn echter wel degelijk verschillen tussen IT governance en IT-management. Watt (2000) stelt hierover het volgende:
‘Governance is responsible for making sure the management framework is in place - not for executing it.’
Business strategie IT-strategie
IT-infrastructuur en -processen
Organisatie infrastruc- tuur en -processen Externe domein
Interne domein
Business IT
Weill en Ross (2004) geven aan dat governance bepaalt wie er beslissingen mogen nemen en IT-management het proces is van het implementeren van IT beslissingen. IT-management is gericht op het aanbieden van IT diensten en producten, terwijl IT governance zowel kijkt naar de vraag- als naar de aan- bodkant. Daarom is IT governance ook extern naar de business ofwel vraag- kant gericht, terwijl aan de andere kant IT-management slechts intern binnen de IT afdeling is gericht, ofwel de aanbodkant (Peterson, 2004). Peterson geeft nog passend voorbeeld hiervoor: elementen van IT-management (vooral de commodity services) kunnen worden ´outgesourced´, maar IT governance, de besturing van de IT, kan niet worden ´outgesourced´.
Een andere manier om het verschil tussen IT-management en IT governance aan te duiden is het verschil in tijdsoriëntatie. Van Grembergen (2004) laat zien dat naast de eerder genoemde ‘business’oriëntatie er ook een verschil kan worden gemaakt in de oriëntatie op het heden of op de toekomst. In figuur 2 is af te lezen dat IT governance veel meer toekomst gericht is en IT-management gericht is op het heden.
Figuur 2. Positionering IT-management en IT governance (Van Grembergen, 2004)
3.4 Invalshoeken IT governance
In de zoektocht naar literatuur over IT Governance ontstaat er snel verwarring wat er nu precies bedoeld wordt met IT Governance. Vitale (2003) geeft aan dat er verschillende invalshoeken zijn. Deze verschillende invalshoeken zullen hier gebruikt worden om structuur aan te brengen in het onderzoek dat reeds is gedaan naar IT Governance. Het is van belang om te weten dat het een arbitrai- re scheiding is. De ene invalshoek sluit de andere niet uit. Wanneer je kijkt naar de verschillende definities zie je ook dat sommige definities meerdere invalshoeken hebben.
IT- Management
IT Governance
Heden Toekomst
Extern
Intern
Tijd oriëntatie Business
oriëntatie
3.4.1 IT governance als een besluitvormingsstructuur
Schwarz en Hirschheim (2003) geven aan dat historisch gezien, IT governance geassocieerd wordt met de structuur of configuratie van de IT-functie, deze structuur of configuratie reflecteert de ‘locus of responsibility’ voor het maken van IT-gerelateerde beslissingen. De vraag die wordt gesteld is: wie mag waarover besluiten. In dit kader hebben veel onderzoekers zich bezig gehouden met de vraag waarom organisaties voor een bepaald IT governance model kiezen (Brown en Magill, 1994; Sambamurthy en Zmud, 1999). In hoofdstuk 4 en 6 zullen respectievelijk de verschillende besluitvormingsmodellen en contingenties worden beschreven.
3.4.2 IT governance als een beheersingsstructuur
IT governance is een goed gedefinieerd en begrepen concept in de interne audit literatuur (Bodnar, 2003). Deze invalshoek van IT governance kent een nadruk op de administratieve en beheersmechanismen die komen uit de traditie van accountancy, audits en security.
Voorlopers van deze invalshoek hebben zich verenigd in overkoepelende organisaties, deze zijn het ISACA (Information Systems Audit and Control Association) en het ITGI (IT Governance Institute). Het ISACA definieert IT Governance als: ‘structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise’s goals by adding value while balancing risk versus return over IT and its processes’.
Hoogleraar aan de Erasmus Universteit Pruim noemde tijdens een NGI-congres in september 2005 de ontwikkeling van IT Governance richting deze invals- hoek. Deze ontwikkeling is volgens Pruim in gang gezet door wet- en regelge- ving als SOX en Tabaksblat en accountantskantoren die daar op in spelen. Een gevaar dat hierin schuilt is dat het ‘in control’ zijn een doel op zich wordt. Wet- en regelgeving op het gebied van Corporate Governance verplichten organisa- ties om ‘in control’ te zijn. Dit geldt ook voor de IT. Deze invalshoek zal verder in bijlage 5 worden besproken.
3.4.3 IT governance als integratiemechanisme
De meeste onderzoekers onderkennen dat IT governance gericht is op de ‘wie- vraag’ welke in paragraaf 3.4.1 naar voren kwam. Echter sommige onderzoe- kers richten zich op de mechanismen die ervoor zorgen dat deze structuren goed kunnen werken. Voornamelijk Peterson (2004), Van Grembergen (2004) en Weill en Ross (2004) hebben verschillende mechanismen onderscheiden die voornamelijk de integratie en coördinatie tussen de betrokken partijen moeten bevorderen. Voorbeelden hiervan zijn: Service Level Agreements, business cases en strategische overlegorganen. In hoofdstuk 5 zal verder op de gover- nance mechanismen worden ingegaan.
3.4.4 IT governance als bekwaamheid
Deze invalshoek is het minst concreet; wat Vitale hiermee wil zeggen is dat IT governance vaak in de literatuur wordt genoemd als een bekwaamheid en niet als een aantal taken die uitgevoerd of beschreven moeten worden. Bijvoor- beeld: Feeny and Wilcocks (1998) beschrijven IT governance als: ‘the capabil- ity for integrating the IT effort with business purpose and activity’. IT gover- nance is hier dus de bekwaamheid om bepaald gedrag te gaan vertonen. Naar mijn mening is dit een beperkte invalshoek omdat het, in principe, geen handvaten geeft voor het verbeteren van dit gedrag.
3.4.5 IT governance als een continu proces
Deze invalshoek spreekt de rest niet tegen, maar soms lijkt het dat de het onderzoek naar IT governance erg gericht is op een statische structuur of statische mechanismen. IT governance is een patroon van beslissingen en afspraken; niet een structuur of een lijst van beslissingen die gemaakt moeten worden (Vitale, 2001). Wat dicht in de buurt komt van deze opvatting is het werk dat Ribbers e.a. (2002) beschrijven. In hun paper wordt de vraag gesteld welke procesmechanismen nodig zijn voor de IT governance in hedendaagse organisaties. Volgens de auteurs behoort de discussie over structuren, zoals beschreven in paragraaf 3.4.1 tot het verleden en is het nu tijd om na te denken over de achterliggende besluitvormingsprocessen. Het nemen van besluiten is een continu proces en geen statische situatie.
3.5 Conclusie
Uit het voorgaande is gebleken dat het belangrijkste doel van IT governance waardecreatie is ten aanzien van de business. Wat deze waarde precies is, hangt af van de IT-ambities die een organisatie heeft. IT governance kan aan het behalen van deze ambities een bijdrage leveren door alignment te creëren. Dat wil dus zeggen dat IT governance zo moet worden ingericht dat business en IT op elkaar worden afgestemd. Er is sprake van een effectieve IT governance als de ambities (al dan niet geëxpliciteerd) gehaald worden, de IT-ambities zullen dus ook in de definitie naar voren komen.
Verder is het duidelijk geworden dat IT governance een structuur is, waarbij de verdeling van verantwoordelijkheden is vastgelegd. Deze verdeling van verantwoordelijkheden komt naar voren in het gehanteerde besluitvormings- model. Hierbij sluit ik aan bij de eerste invalshoek: IT governance als een besluitvormingsstructuur. Maar met alleen een verdeling van verantwoorde- lijkheden ben je er nog niet. In de definities die zijn behandeld, komt naar voren dat IT governance ook een set is van mechanismen (afspra-
ken/procedures), deze mechanismen zouden als doel moeten hebben om de besluitvorming te helpen en alignment te creëren. De nadruk ligt hier op coördinatie en integratie; wat aansluit bij de derde invalshoek. De voor dit onderzoek te hanteren definitie van IT governance luidt:
IT governance is de verdeling van verantwoordelijkheden, organisatorische inrichting en het geheel van afspraken en procedures, dat is gericht op het behalen van de IT-ambities.
Deze definitie lijkt veel op die van Accenture (zie tabel 2), met één groot verschil. Het verschil is dat in de bovenstaande definitie, risico’s geen onder- deel zijn. Het beheersen van de IT-processen en de risico’s (in control zijn) is volgens sommigen een belangrijk aspect van IT governance. Dit voegt naar mijn mening niet veel toe aan het behalen van de IT-ambities, het is wel een randvoorwaarde. Het beheersen van risico’s is onder de paraplu van IT gover- nance gekomen door de aandacht aan corporate governance. Zoals al eerder gezegd bestaat het gevaar dat het ‘in control’ zijn een doel op zich wordt.
Daarom kies ik ervoor om de strategische alignment en daarmee de toegevoeg- de waarde voor de business als uitgangspunt te nemen.
Van een effectieve IT governance kan gesproken worden als een organisatie zijn IT-ambities daadwerkelijk kan realiseren. Wanneer een organisatie zijn IT governance zo kan inrichten dat de IT-ambities gerealiseerd worden, dan is er sprake van een bekwaamheid en hiermee is dus ook de vierde invalshoek (IT governance als een bekwaamheid) relevant.
4 Besluitvormingsmodellen
In dit hoofdstuk wordt antwoord gegeven op deelvraag 1b: Welke besluitvor- mingsmodellen kunnen er in het kader van IT governance worden onderschei- den? Het besluitvormingsmodel en de formele verdeling van verantwoordelijk- heden zijn het thema van het traditionele IT governance onderzoek en is in paragraaf 3.4.1 als één van de invalshoeken genoemd. In de traditionele literatuur die hier besproken wordt zijn besluitvormingsmodellen en IT gover- nance modellen onder dezelfde noemer geplaatst.
Eerst zal de traditionele kijk op IT governance modellen worden beschreven.
Vervolgens zal de meer recente van Weill en Ross aan bod komen. Verder is de rol van informatiemanagement steeds belangrijker geworden (Maes, 2003) en is dit in een aantal organisaties een aparte functie of afdeling met bepaalde verantwoordelijkheden. Informatiemanagers en CIO’s (Chief information Officer) zouden hiermee dus een belangrijke rol kunnen spelen bij de besluit- vorming. Daarom zal in de voorlaatste paragraaf van dit hoofdstuk dit behan- deld worden. Het hoofdstuk eindigt met een conclusie.
4.1 Besluitvormingsmodellen
Zoals in de inleiding is gezegd, worden in de academische literatuur met IT governance modellen vaak enkel de besluitvormingsmodellen bedoeld. De komende subparagrafen onderstrepen dit.
4.1.1 Traditionele IT governance modellen
Grant e.a. (2005) beschrijft in zijn paper de traditionele IT governance model- len. Volgens Grant e.a. startte het onderzoek naar IT governance met twee verschillende modellen. Aan de ene kant kon de besluitvorming centraal geregeld zijn (corporate IT) en aan de andere kant kon de besluitvorming decentraal geregeld zijn (business unit IT). Omdat in de praktijk het toch iets minder simplistisch was, heeft Zmud e.a. (1986) er een ander IT governance model aan toegevoegd en dit is het federale model. Dit model is door vele auteurs overgenomen. Het federale model is een model waarbij het corporate IT, besluit over generieke IT-zaken, dus IT-zaken die iedereen aangaan (bijvoorbeeld een standaard werkplek) en business unit IT besluit over speci- fieke IT, dus IT die alleen de betreffende business unit aangaat.
IT Governance model Besluit ligt bij: Voordelen
Centraal Corporate IT Veel controle over de
IT en schaalvoordelen Decentraal Business unit IT Klantgerichter en snelle
Time to Market
Federaal Generieke IT bij
corporate en specifieke IT bij business unit
Voordelen van centraal en decentraal.
Tabel 4: Traditionele governance modellen (Naar: Grant, 2005)
Wat hier opvalt, is dat de verdeling van besluitvorming en verantwoordelijkhe- den alleen is geregeld tussen IT-afdelingen (corporate IT of business unit IT).
Hier wordt nog niet gesproken over de verdeling tussen business en IT, waar alignment en dus ook IT governance wel over zou moeten gaan. In het nu volgende model van Weill en Ross (2004) gaat het wel over de verdeling tussen business en IT.
4.1.2 Weill en Ross
Een in de praktijk bekend model is het werk van Weill en Ross (2004). Weill en Ross hebben in hun onderzoek, waar 250 organisaties deel van uit maakten, de relatie tussen prestaties en het besluitvormingsmodel onderzocht. Het grote verschil met de traditionele onderzoeken zit in de partijen die zij in hun onderzoek onderscheiden; besluitvorming over IT kan gedaan worden door (of een combinatie van):
C-level executives (hoofddirectie)
Business unit managers of key process owners Corporate IT/Business unit IT-management
Op basis van combinaties van deze hoofdrollen zijn er een zestal besluitvor- mingsmodellen beschreven. In de onderstaande tabel staan de zes modellen, voor elk model staat met kruisjes aangegeven wie de belangrijkste IT-besluiten nemen. De verschillende modellen worden daarna kort toegelicht.
Besluitvormingsmodel C-level executives Corporate IT of Business unit IT
Business unit managers of
‘key process owners’
Business Monarchy x
IT monarchy x
Feudal x
Federal x x x
x x
IT duopoly x x
x x
Anarchy
Tabel 5. Besluitvormingsmodellen (Weill en Ross, 2004) Business monarchy
Bij een business monarchy zijn het de hoofddirectieleden die besluiten nemen.
Het kan om één hoofddirectielid gaan, maar het kan ook een groep zijn van hoofddirectieleden.
IT monarchy
In een IT monarchy nemen IT’ers de belangrijke besluiten. Business is hier misschien wel bij betrokken, maar de IT neemt het uiteindelijke besluit.
Feudal
In het feudal model zijn het de business unit managers of de eigenaren van de belangrijkste business processen die de besluiten nemen. Volgens Weill en Ross komt deze vorm naast anarchy het minst vaak voor, aangezien dit model de synergie op IT-gebied belemmert.
Federal
In het federale model besluiten C-level executives en business unit managers gezamenlijk over IT; soms zijn hier ook IT-managers bij betrokken. Dit model is volgens Weill en Ross het moeilijkste, omdat zowel het belang van de organisatie, als het belang van de verschillende business units een rol spelen in de besluitvorming. Veel organisaties gebruiken dit model als de betrokkenheid bij belangrijke IT-besluiten van belang is.
IT duopoly
De IT duopoly verschilt van het federale model, dat business unit mangement en de hoofddirectie niet met elkaar om de tafel gaan. Bij de IT duopoly is de IT altijd aanwezig in de besluitvorming samen met een andere partij.
Anarchy
Het anarchie model spreekt eigenlijk voor zich. Er is geen duidelijke vastge- legde besluitvormingsstructuur. Individuen of kleine wisselende groepen nemen IT-besluiten op basis van hun eigen behoefte. Synergie is hier ver te zoeken.
Belangrijk is dat niet alle IT-besluiten op één hoop kunnen worden gegooid.
Weill en Ross hebben daarom vijf majeure IT-besluiten gedefinieerd. Deze besluiten zijn:
Besluiten over IT-doelen;
Besluiten over de IT-architectuur;
Besluiten over de IT-infrastructuur services;
Besluiten over de functionele behoefte van de business (op basis waar- van er systemen en applicaties worden gekocht of gemaakt);
Besluiten over hoeveel en waar te investeren en de prioritering van projecten.
De kern van het onderzoek van Weill en Ross is de samenvoeging van de
‘welke’ en ‘wat’ -vraag. Dus wie mag waarover besluiten. In hun onderzoek hebben zij deze verdeling gerelateerd aan financiële gegevens. Zodoende kunnen er ideale verdelingen van besluitvorming beschreven worden op basis van zogenaamde ´top performers´.
Figuur 3. Wie beslist waarover; een ideale situatie (Weill en Ross, 2004).
In figuur 3 is beschreven hoe de besluitvorming eruit ziet bij de drie best presterende organisaties (uitgebeeld met de bolletjes met 1,2 en 3). De drie best presterende organisaties hebben alle drie verschillende besluitvormingsstructu- ren (verschillende stippellijnen in de figuur). Bij organisatie 1 & 2 besluit bijvoorbeeld de IT (IT Monarchy) over de architectuur en bij organisatie 3 zijn dit de directieleden (Business Monarchy).
Dit onderzoek oogt vrij volledig en wordt door veel auteurs aangehaald; ook is volgens adviseurs van Twynstra Gudde dit onderzoek vrij bekend in de IT-
Ten eerste worden de bovenstaande besluitvormingsstructuren als normatief gepresenteerd, terwijl er allerlei contingenties zijn die dit zullen tegenspreken, immers elke organisatie is anders. Ten tweede wordt de rol van informatiema- nagement hier niet in besproken en in het boek dat Weill en Ross hebben geschreven zelfs niet genoemd. In de praktijk blijkt echter dat informatiemana- gement een belangrijke rol speelt, meer hierover in de volgende paragraaf.
4.2 Informatiemanagement en het 9-vlaksmodel
4.2.1 Informatiemanagement
Het 9-vlaksmodel wordt hier behandeld om de rol van informatiemanagement aan te geven. Een eenduidige definitie van informatiemanagement is niet te vinden, beter is het om te spreken van visies. Er zijn twee visies op informa- tiemanagement (Maes, 2003): 1) Het managen van de Business/IT relatie en 2) het managen van informatie als bedrijfsmiddel. In deze scriptie wordt informa- tiemanagement vooral opgevat als het managen van de business/IT relatie. Het takenpakket van de informatiemanager of -afdeling is (Vermeulen en De Vries, 1992):
• Coördineren, adviseren en voorbereiden van het informatiebeleid;
• Opstellen en onderhouden van informatie- en automatiseringsplannen;
• Intermediair tussen automatisering en gebruikers;
• Aanspreekpunt voor externe contacten zoals leveranciers en het volgen van ontwikkelingen op de markt en analyseren van mogelijkheden voor toepassing hiervan in de eigen organisatie.
• Deelnemen aan project- en werkgroepen die zich bezighouden met in- formatievoorziening.
Daarnaast bespreken Vermeulen en De Vries ook de positie waar informatie- management zich in de organisatie kan bevinden. Er zijn drie mogelijkheden, informatiemanagement als:
• Staffunctie: De informatiemanager bevindt zich als staffunctionaris di- rect onder de directie. Hij stelt het informatiebeleid zelfstandig op voor de gehele organisatie of adviseert de directie hierover;
• Ondersteunende functie: de informatiemanager bevindt zich eveneens in een staffunctie maar op een lager niveau in de organisatie, Hij dient ter ondersteuning van de lijn of sector waartoe hij behoort.
• Lijnfunctie: De informatiemanager is functioneel geplaatst binnen de lijn. Zijn belangrijkste taak is het daadwerkelijk uitvoeren van het in- formatiebeleid (hoofdzakelijk binnen zijn eigen afdeling). Zijn werk- gebied is beperkt tot een klein gedeelte van de lijn.
De meest ideale positie voor de informatiemanager is volgens Vermeulen en De Vries een stafpositie onder de directie.
In het 9-vlaksmodel wordt gesproken over de regierol. Het 9-vlaksmodel en een betoog waarom informatiemanagement een belangrijke rol kan spelen binnen de besluitvorming zal in de volgende subparagraaf worden beschreven.
Maes en Truijens (1999) geven de volgende definitie van informatiemanage- ment: ‘Informatiemanagement is de management discipline die is gericht op het gebalanceerd managen van de relaties tussen de negen componenten van het 9-vlaksmodel’. Bij deze definitie sluit ik mij aan.
4.2.2 Uitleg 9-vlaksmodel
In de praktijk van adviseurs van Twynstra Gudde, in de vakliteratuur en in verschillende organisaties (zo bleek tijdens proefinterviews) wordt er veel gebruik gemaakt van het zogenaamde Amsterdamse Informatiemanagement
Model, ook wel het 9-vlaksmodel genoemd. Dit model is afgeleid van het Strategic Alignment-model van Henderson en Venkatraman (1993) en in Nederland verder ontwikkeld door Maes (2003). Het 9-vlaksmodel is een handig hulpmiddel om alle rollen en verantwoordelijkheden van de IT-functie in kaart te brengen.
Figuur 4. 9-vlaksmodel (vrij vertaald uit: Maes, 2003)
Het model onderscheidt drie besturingsdomeinen (kolommen):
1. Business (Bedrijfsvoering) - In dit domein bevindt zich de reguliere bedrijfs- voering met al haar facetten, zoals mensen, middelen, processen etc.
2. Informatievoorziening - In dit domein gaat het specifiek om informatie als ondersteunend middel voor het bedrijfsdomein. Hier wordt de vraag naar informatievoorziening vanuit het bedrijfsdomein vertaald in een vraag naar IT.
3. Technologie (ICT-services) - In dit domein gaat het specifiek om de ontwik- keling en exploitatie van IT.
De drie rijen zijn de besturingsniveaus zoals bekend in de algemene organisa- tiekunde: strategisch (richten), tactisch (inrichten) en operationeel (verrichten).
De middelste kolom is in dit kader het meest belangrijk; dit wordt ook wel de
‘regie’kolom genoemd. De taken in deze kolom zijn gericht op het managen van de business/IT relatie. Dit is dan ook het grootste verschil met het strategic alignment model van Henderson en Venkatraman (1993) en de rollen die door Weill en Ross worden onderscheiden, namelijk: de toevoeging van deze regiefunctie en daarmee ook informatiemanagement.
De reden waarom informatiemanagement niet als hoofdrol wordt onderschei- den in de voorgaande IT governance modellen is naar mijn mening:
Omdat informatiemanagement traditioneel uitbesteed werd aan de IT- afdeling en het geen onderscheidende rol had (Maes, 2003);
Informatiemanagement vroeger veel minder belangrijk was dan nu.
Dat informatiemanagement steeds belangrijker is geworden wordt door Maes (2003) verklaart:
Door de sterk verbeterde IT zijn de transactiekosten van informatie erg gedaald (denk maar aan Internet). Hierdoor zijn organisaties zowel in hun strategie als in hun inrichting informatie afhankelijker geworden.
Ze worstelen tegelijk met informatie-overaanbod en informatie- ondergebruik. Redenen te over om informatie als een bedrijfsmiddel te managen!
ICT heeft aan maturiteit gewonnen, waardoor kan worden gekapitali- seerd op schaaleffecten; ICT kan hierdoor meer en meer worden ge- stuurd op output en komt op afstand van de organisatie te staan (van- daar de outsourcing tendensen). Aan de vraagzijde ontstaat van de weeromstuit een behoefte aan een valide gesprekspartner c.q. tegen- gewicht voor de al of niet uitbestede IT-afdeling. Tegelijk wordt de vraagzijde geconfronteerd met een vaak ontstellend gebrek aan inzicht in en organisatie van haar eigen informatieprocessen.
4.2.3 Conclusie informatiemanagement en 9-vlaksmodel
Er zijn dus meerdere redenen om informatiemanagement een belangrijkere positie te geven in de organisatie. Hoe belangrijk deze positie is geworden blijkt uit de taken die aan informatiemanagement worden toebedeeld. Hieruit kan worden opgemaakt dat informatiemanagement een rol zou kunnen hebben in het besluitvormingsproces. Primair verantwoordelijk voor informatiemana- gement is de Chief information officer (CIO) en in zijn kielzog (of wanneer de CIO-functie niet bestaat) de informatiemanager (Maes, 2003). Het al dan niet hebben van een afgebakende informatiemanagementfunctie en een CIO zal in het volgende hoofdstuk als IT governance mechanisme worden behandeld.
In deze scriptie zal alleen over informatiemanagement gesproken worden als er in een organisatie een afgebakende functie of afdeling is, gepositioneerd als staffunctie onder de directie. Vaak worden informatiemanagers verward met businessanalisten of accountmanagers. Deze worden in de meeste gevallen direct aangestuurd door de IT-manager. In dit geval is er dus geen sprake van een zuivere regiefunctie tussen IT en business.
4.3 Conclusie
De traditionele IT governance modellen lijken, in deze tijd, niet meer toerei- kend voor het beschrijven van de besluitvorming over IT. De modellen die door Weill en Ross zijn beschreven geven een completer beeld van de partijen die binnen IT governance van belang zijn. Een belangrijke bevinding is echter dat alle IT-besluiten niet op één hoop geveegd mogen worden; de door Weill en Ross onderscheiden vijf IT-besluiten geven een genuanceerder beeld van hoe er over de facetten van IT wordt besloten. Daarom zullen voor het empiri- sche onderzoek deze vijf majeure besluiten worden gebruikt.
Duidelijk is geworden dat informatiemanagement een belangrijkere rol is gaan spelen. Daarom kan deze rol niet worden gemist als de IT governance in een organisatie zal worden beschreven.
