Identificatie van de factoren die bepalend zijn voor de mate van betrokkenheid van de Board bij de Governance Processen van COBIT 5

Master Thesis Accountancy & Controlling

Identificatie van de factoren

die bepalend zijn voor de mate van

betrokkenheid van de Board bij de

Governance Processen van COBIT 5

C.N. Schipper

S2747146

c.n.schipper@student.rug.nl

Eerste Beoordelaar / Universiteit:

prof. dr. E.W. Berghout / Rijksuniversiteit Groningen

Tweede Beoordelaar / Universiteit:

drs. M.M. Bergervoet / Rijksuniversiteit Groningen

Aantal woorden: 12.300 Datum: 20 juni 2016

1

Abstract

De afgelopen twee decennia is de rol van informatietechnologie (IT) in organisaties verschoven van een ondersteunende rol naar een essentiële voorwaarde voor het creëren van waarde. Deze IT moet constant bestuurd en beheerst worden, wat wordt benoemd als Enterprise Governance of IT (EGIT). Ondanks de toenemende relevantie van IT voor het creëren van waarde, falen ondernemingen vaak met het implementeren van een geschikte EGIT. COBIT 5 is wereldwijd het meest erkende raamwerk dat gebruikt kan worden bij de implementatie van EGIT. COBIT 5 wordt echter in de praktijk als complex ervaren waardoor het voor organisaties lastig is om te gebruiken. Diverse onderzoeken tonen namelijk aan dat de Governance Processen van COBIT 5 als complex worden ervaren en daardoor vaak niet volledig geïmplementeerd worden. Dit terwijl andere onderzoeken aantonen dat de betrokkenheid van de Board bij IT-beslissingen juist zo belangrijk is voor de ondernemingsprestaties. Dit exploratieve onderzoek gaat daarom na welke factoren van invloed zijn op de (beperkte) betrokkenheid van de leden van de Raad van Commissarissen (= de Board) bij het implementeren van de EGIT met behulp van COBIT 5. Om dit te kunnen onderzoeken is door middel van een enquête gekeken naar de perceptie van CIO’s, IT-managers en andere IT-specialisten met betrekking tot de betrokkenheid van de Board. De resultaten tonen aan dat de EDM Processen van COBIT 5 en de hieraan gerelateerde Management Processen relevant worden geacht, maar dat de betrokkenheid van de Board minder is dan wenselijk. Deze beperkte betrokkenheid ontstaat vooral door een tekort aan ervaring van de Board met IT Governance en een te lage prioriteit van dit soort issues. Onvoldoende financiële middelen spelen geen rol bij de beperkte betrokkenheid van de Board.

Sleutelwoorden: ISACA Raamwerk, COBIT 5, IT Governance, EGIT, GEIT, EDM Processen, RvC/Board betrokkenheid

2

Inhoudsopgave

1.1.3 Samenstelling Raad van Commissarissen ... 7

1.1.4 Codes of Practices ... 8

1.2 IT Governance, Enterprise Governance of IT & Governance of Enterprise IT ... 9

1.2.1 Ontwikkeling van Enterprise Governance of IT ... 9

1.2.2 Falen van IT-projecten ... 10

1.2.3 Afstemming tussen Business & IT ... 10

1.2.4 Relevantie IT Governance... 11

1.2.5 Overzicht van onderzoek met betrekking tot IT Governance ... 13

2 COBIT 5 ... 15

2.1 ISACA ... 15

2.2 COBIT 5 Elementen ... 16

2.3 COBIT 5 Processen ... 16

2.4 COBIT 5 Implementatie ... 17

2.4.1 Redenen voor EGIT implementatie met behulp van COBIT ... 17

2.4.2 Implementatie van EGIT met behulp van COBIT 5 ... 18

2.4.3 Barrières bij de implementatie ... 19

2.5 Overzicht van onderzoek met betrekking tot COBIT 5 ... 20

2.6 Hypothesen ... 20 3 Methodologie ... 22 3.1 Onderzoeksmodel ... 22 3.2 Doelgroep ... 22 3.3 Kanalen ... 23 3.3.1 LinkedIn ... 23 3.3.2 ISACA ... 23 3.3.3 Persoonlijke netwerken ... 23 3.4 Respons ... 23 3.5 Analysemethoden ... 24 4 Resultaten ... 25 4.1 EDM Processen ... 25

3

4.1.2 Factoren die van invloed zijn op de betrokkenheid van de Board ... 25

4.2 Management Processen ... 26

4.2.1 Perceptie per Management Domein ... 26

4.2.2 Perceptie per Management Proces ... 27

4.2.2 Factoren die van invloed zijn op de betrokkenheid van de Board ... 28

4.3 Gevoeligheidsanalyses ... 28

4.3.1 Algemene resultaten uit gevoeligheidsanalyse ... 28

4.3.2 Verdieping op functieverschil respondenten ... 29

5 Conclusies ... 31

Referenties ... 33

Bijlagen ... 39

Bijlage A - Lijst met resultaten uit databases ... 39

Bijlage B - COBIT 5 Enterprise Goals (ISACA, 2012) ... 40

Bijlage C - COBIT 5 IT-related Goals (ISACA, 2012) ... 40

Bijlage D - Enquête Board involvement in the Governance (EDM) Processes of COBIT 5 ... 41

Bijlage E - Overige resultaten ... 51

Bijlage F - Achtergrondinformatie COBIT 5 ... 52

Bijlage G - Komogorov-Smirnov Test ... 55

Bijlage H - Wilcoxon Signed Ranks Test ... 56

4

Inleiding

Dit exploratieve onderzoek is uitgevoerd ten behoeve van mijn Masterscriptie ter afronding van de opleiding Accountancy & Control aan de Rijksuniversiteit Groningen. Het onderzoek is uitgevoerd in de periode van februari 2016 tot en met juni 2016.

Informatiesystemen worden steeds omvangrijker, complexer en relevanter voor organisaties (Salge et al, 2015). Wereldwijd wordt er per jaar al meer dan 3 triljoen dollar uitgegeven aan informatiesystemen (Gartner, 2011). Informatiesystemen zijn hiermee een steeds belangrijker strategisch middel (Melville et al, 2004) die tegenwoordig bestaan uit enorme databases in ‘de Cloud’. Informatie Technologie (IT), een belangrijk onderdeel van een Informatie Systeem, is techniek (hardware en/of software) dat een individu gebruikt om informatie te produceren, op te slaan of te verspreiden zodat het voor andere personen op andere locaties of tijdstippen toegankelijk is (Carter, 2015). Het is in de 21e _{eeuw in veel maatschappijen nauwelijks mogelijk om volledig te participeren in} het dagelijks leven zonder IT (Fredette et al, 2012). De ontwikkeling die IT heeft doorgemaakt was decennia geleden al voorzien door Gordon Moore die voorspelde dat het aantal transistoren in een geïntegreerde schakeling door de technologische vooruitgang elke 2 jaar verdubbelt (Moore, 1965). Dit heeft onder andere tot gevolg dat computers steeds sneller en goedkoper zijn geworden.

De rol van IT is de afgelopen twee decennia veranderd van een ondersteunende rol naar een essentiële voorwaarde voor het genereren van waarde (De Haes et al, 2013). Ondernemingen worden steeds afhankelijker van IT om te kunnen overleven en om te kunnen groeien (De Haes & Van Grembergen, 2015). IT speelt een belangrijke rol in het reduceren van bedrijfsrisico’s, maar is tegelijkertijd ook een bron voor nieuwe risico’s. Dit zorgt ervoor dat de Board en het management van bedrijven steeds meer aandacht schenken aan IT, wat in de literatuur wordt geschaard onder het begrip ‘IT Governance’, ‘Enterprise Governance of IT’ (EGIT) of ‘Governance of Enterprise IT’ (GEIT). De afgelopen twee decennia heeft ISACA (een onafhankelijke non-profit organisatie die betrokken is bij de ontwikkeling, adoptie en het gebruik van wereldwijd geaccepteerde kennis en ervaringen voor informatiesystemen) diverse raamwerken uitgevaardigd met ‘best practices’ van EGIT. De meest recente versie hiervan is COBIT 5 (ISACA 2012). Dit is een raamwerk voor de EGIT in een onderneming. COBIT 5 werd in 2012 geïntroduceerd en bouwt voort op COBIT 4 (ISACA 2007).

COBIT 5 is zowel te gebruiken voor kleine als grote bedrijven, voor zowel private als publieke bedrijven en voor zowel profit als non-profit bedrijven (De Haes & Van Grembergen, 2015). COBIT 5 wordt wereldwijd gebruikt door hen die de primaire verantwoordelijkheid hebben voor betrouwbare en kwalitatief hoogwaardige bedrijfsprocessen. De voornaamste gebruikers zijn leden van het Top-Management-Team (TMT) en consultants op het gebied van ‘Audit & Assurance’, ‘Compliance’, ‘IT Operations’, ‘Governance’ en ‘Security & Risk Management’. COBIT 5 is een raamwerk dat onderscheid maakt tussen IT Management en IT Governance, waarvoor het verschillende activiteiten definieert. Er bestaat echter weinig onderzoek over hoe COBIT 5 daadwerkelijk in de praktijk wordt gebruikt (De Haes et al, 2013). Het blijkt voor bedrijven lastig om COBIT 5 succesvol te gebruiken bij het implementeren van de IT Governance (Bartens et al, 2015; University of Antwerp, 2015). Pereira & Ferreira (2015) geven aan dat de moeilijkheden bij - of de beperkte kennis over - de implementatie van de IT Governance met behulp van COBIT 5 in een organisatie leidt tot het ontwikkelen van eigen modellen in plaats van COBIT 5. Daarnaast blijkt uit de literatuur dat bemoeienis van de Raad van Commissarissen (= Board) met de IT Governance van de onderneming wenselijk is (Huff et al, 2006) en leidt tot betere ondernemingsprestaties (Turel & Bart, 2014; Weill & Ross, 2004b). Ondanks deze relevantie blijkt uit diverse onderzoeken dat de Board te weinig betrokken is bij de IT Governance (Andriole, 2009; Huff et al, 2006; Weill & Ross, 2004b). Dit blijkt ook uit het feit dat de Governance (EDM) processen van COBIT 5 het minst ver geïmplementeerd zijn (Universiteit van Antwerpen, 2015). Daarom gaat dit onderzoek na welke factoren invloed hebben op de betrokkenheid van de Board bij

5 de ‘Enterprise Governance of IT’ met behulp van COBIT 5. Hierbij staat de volgende hoofdvraag centraal:

“Welke factoren zijn in de perceptie van IT-specialisten van toepassing op de (beperkte) betrokkenheid van de Board bij de Governance Processen van COBIT 5.”

Om dit te onderzoeken wordt gekeken naar de perceptie van onder andere CIO’s, managers, IT-Auditors en IT-Consultants over de betrokkenheid van de Board. Dit door middel van het uitzetten van een enquête op diverse forums en het persoonlijk benaderen van personen met kennis van COBIT 5 en IT Governance.

Hoofdstuk 1 geeft een overzicht van de literatuur op het gebied van de Corporate Governance (paragraaf 1.1) en de IT Governance (paragraaf 1.2). Vervolgens wordt in hoofdstuk 2 gekeken naar het raamwerk COBIT 5, dat bekend staat als meest erkende raamwerk voor de implementatie van de IT Governance. De scope is vooral beperkt op de Governance (EDM) Processen van COBIT 5. Hoofdstuk 3 beschrijft de onderzoeksmethodologie, hoofdstuk 4 geeft de resultaten weer en tot slot is in hoofdstuk 5 de conclusie opgenomen.

6

1

Literatuuroverzicht

Dit hoofdstuk beschrijft de theorie op het gebied van deze thesis. Om te komen tot relevante enquêtevragen is een literatuurverkenning uitgevoerd. Door middel van het trechtermodel is gestart met het zoeken naar relevante artikelen over Governance, waarna de filtering is gemaakt naar Corporate Governance. Vervolgens is dit gefilterd op IT Governance, wat – afhankelijk van de regio – ook wel als ‘Enterprise Governance of IT’ of ‘Governance of Enterprise IT’ wordt betiteld. Vervolgens is gekeken naar raamwerken om deze IT Governance te implementeren, waarbij dit onderzoek zich in hoofdstuk 2 verder focust op COBIT 5. In tabel 1 staat een beknopt overzicht1 _{van de zoekresultaten in} diverse databases. Voor een uitgebreidere tabel wordt verwezen naar bijlage A.

1.1

Corporate Governance

Met meer dan 30.000 gereviewde artikelen, daterend tussen eind 19e _{eeuw tot en met anno 2016, is} ‘Governance’ een onderwerp waar veel over is geschreven. De Cambridge Dictionary voorziet in de volgende definitie van ‘Governance’: “the way that organizations or countries are managed at the highest level, and the systems for doing this”. Bij het zoeken naar de term ‘Corporate Governance’ voorziet de Cambridge Dictionary in de volgende definitie: “the way in which a company is managed by the people who are working at the highest level in it”. Het begrip duidt dus op de manier hoe het hoogste bestuur van een onderneming ingeregeld is en functioneert. Uit figuur 1 is af te lezen dat het begrip Corporate Governance vooral de laatste 2 decennia veel aandacht krijgt. Dit mede als gevolg van diverse schandalen en aangescherpte wet- en regelgeving zoals SOX.

Figuur 1 - Zoekresultaten voor de term "Corporate Governance" door de jaren heen. Gezocht op 01-03-'16

1_{Zoekdetails bij Tabel 1:}

- De resultaten van EBSCOhost zijn gefilterd op ‘’abstract’ of ‘titel’

- EGIT: Enterprise Governance of IT (zowel gezocht op “EGIT”, “Enterprise Governance of IT” en “Enterprice Governance of Information Technology”

- GEIT: Governance of Enterprise IT (zowel gezocht op “GEIT”, “Governance of Enterprise IT” en “Governance of Enterprise Information Technology”)

-2000 0 2000 4000 6000 8000 '71 - '75 '76 - '80 '81 - '85 '86 - '90 '91 - '95 '96 - '00 '01 - '05 '06 - '10 '11 - '15

Hits op "Corporate Governance"

Reviewed All Lineair (Reviewed) Database → EBSCO Host Web of

Science

Google Scholar ↓Zoekterm Alles Reviewed

Governance 54.842 30.352 55.277 2.600.000 Corporate Governance 19.276 8.961 10.382 640.000 “IT Governance” 581 247 156 36.100 EGIT 137 70 7 273 GEIT 184 87 5 366 COBIT 265 221 38 18.500 COBIT 5 102 98 0 1.650

7 Het terrein van Corporate Governance is een interdisciplinair onderzoeksveld in de sociale wetenschappen met actief onderzoek op terreinen als management, financiering, economie, accounting, sociologie en politicologie (Judge, 2009). Naast dit interdisciplinaire karakter wordt Corporate Governance ook steeds internationaler (Judge et al, 2010). Belangrijke onderzoeken naar deze aspecten in de Corporate Governance literatuur zijn van Berle & Means (1932), Mace (1971), Jensen & Meckling (1976), Fama & Jensen (1983), Shleifer & Vishny (1997) en Cadbury (1992). De theorievorming binnen Corporate Governance wordt voor een groot gedeelte gedomineerd door de agency benadering (Durizin & Puzone, 2009). Het concept Corporate Governance bestaat uit diverse onderwerpen. Enkele relevante aspecten zijn bestuurdersbezoldiging; eigendomsstructuur; (besluitvorming en toezicht) en Board samenstelling. Deze zullen in de volgende paragrafen kort worden beschreven.

1.1.1 Bestuurdersbezoldiging

Bestuurdersbezoldiging is een belangrijk issue in de Corporate Governance (Kumar & Zattoni, 2016). Mede als gevolg van een sterke toename in (variabele) beloningen vanaf de jaren ’80 (vooral in de US) krijgt dit veel aandacht bij het publiek en bij onderzoekers (Gabaix & Landier, 2008) waarbij de discussies vaak gaan over of het topmanagement wordt overbetaald en hoe groot de salariskloof is tussen de best- en slechtst-betaalde medewerker binnen een bedrijf (Boyd, Franco Santos, & Shen, 2012). Door een toename in variabele beloningen de laatste decennia wordt deze salariskloof steeds groter, wat tot discussies leidt (Kumar & Zattoni, 2016). Sommige onderzoekers redeneren vanuit het ‘agency’ en ‘managerial power’ perspectief die de steeds groter wordende kloof tussen het salaris van het topmanagement en de gemiddelde werknemer ziet als het falen van de Corporate Governance (Bebchuk & Fried, 2004; Cyert, Kang & Kumar, 2002). Anderen zien het als een logisch gevolg vanuit het perspectief van aandeelhouderswaarde maximalisatie (Gabaix & Landier, 2008).

1.1.2 Eigendomsstructuur

De eigendomsstructuur is relevant omdat het bepaald wie de uiteindelijke besluitvormingsmacht in een organisatie heeft (Zattoni, 2011). Onderzoek naar de besluitvormingsmacht valt op te delen in verschillende dimensies; zoals de concentratie van aandeelhouders, de identiteit van aandeelhouders en het onderscheid tussen eigendom en stemrecht (Kumar & Zattoni, 2015) waarbij familiebedrijven een interessant onderzoeksobject vormen. Uit het onderzoek van Berle & Means (1932) blijkt dat in het begin van de 20e _{eeuw al agency problemen speelden, aangezien managers hun eigen belangen} konden nastreven ten koste van de aandeelhouders (agency probleem type 1) of dat grote aandeelhouders kleine aandeelhouders konden uitbuiten (agency probleem type 2). Ondanks het vele onderzoek op dit terrein bestaat er weinig congruentie tussen onderzoekers (Kumar & Zattoni, 2015).

1.1.3 Samenstelling Raad van Commissarissen

Veel onderzoek binnen het concept Corporate Governance heeft betrekking op de Raad van Commissarissen (= de Board). De onderzoeken gaan over diverse sub-onderwerpen zoals; ‘afhankelijke versus onafhankelijke commissarissen’, ‘diversiteit in de Board, ‘de ideale grootte van de Board’ en ‘CEO dualiteit’ (Fama, 1980; Dalton et al, 2008; Adams & Ferreira, 2009; Topal & Dogan, 2014). Een groter aandeel van onafhankelijke commissarissen in de Board verbetert de monitoring functie (Adams & Ferreira, 2009) maar zorgt ook voor hogere kosten en meer kans op conflicten in de Board. Hoe meer commissarissen in de Board, hoe langzamer het besluitvormingsproces wat een negatief effect heeft op de ondernemingsprestaties (Fama & Jensen, 1983; Lipton & Lorsch, 1992; Jensen, 1993). Meer diversiteit in de Board resulteert echter weer in meer kennis en onafhankelijkheid (Anderson et al, 2011). Zo blijkt dat alle onderdelen met elkaar verweven zijn en samen de Corporate Governance in een onderneming definiëren.

8

1.1.4 Codes of Practices

In de vorige paragrafen zijn slechts enkele aspecten genoemd van het concept Corporate Governance. Naast het feit dat er nog vele andere aspecten zijn worden de aspecten door elkaar beïnvloed waardoor er veel verschillende niveaus van Corporate Governance zijn. Zo is bijvoorbeeld het type onderneming of het land waarin een onderneming opereert een belangrijke factor voor welke Corporate Governance systeem het meest geschikt is. Om deze redenen is Corporate Governance een divers en complex onderwerp waarvoor geen eenduidige oplossing of richtlijn is. Dit heeft ertoe geleid dat veel landen eigen principes en best practices op het gebied van Corporate Governance hebben samengevoegd in een eigen ‘Corporate Governance Code’. Begin jaren ’80 waren er al enkele landen bezig met een code voor Corporate Governance. De ontwikkeling hiervan raakte vanaf 1992 in stroomversnelling door de publicatie van het Cadbury Report in de UK (Cadbury, 1992; Aguilera & Cuervo-Cazurra, 2004). Hillier & McColgan (2006) constateerde een sterke toename van het aantal onafhankelijke commissarissen in de Board in de UK vanaf de publicatie van het Cadbury Report in 1992. In 2009 waren er bij het Europese instituut voor Corporate Governance (ECGI) voor 70 verschillende landen codes bekend. In de U.S. is mede als gevolg van diverse schandalen de Sarbanes-Oxley (SOx) wetgeving in 2002 van kracht geworden voor Amerikaanse organisaties en niet-Amerikaanse organisaties die een notering hebben aan een niet-Amerikaanse beurs. SOx is een wet voor deugdelijk ondernemingsbestuur en dient onder andere om corruptie en fraude in organisaties tegen te gaan. Een bekend en relevant onderdeel van deze SOx wetgeving is sectie 404. Deze sectie beschrijft dat het management de verantwoordelijkheid heeft voor de interne controle met betrekking tot de jaarrekening. Het management (veelal de CEO en CFO) moet jaarlijks een uitspraak doen over de betrouwbaarheid van de interne beheersing en dit expliciet bewijzen aan de buitenwereld door middel van een verklaring van een onafhankelijke accountant. Deze wetgeving verplicht dus betrokkenheid van het topmanagement bij het controleerbaar houden van de interne beheersing. Hierbij dient de interne beheersing goed gedefinieerd en vastgelegd te worden. Hiervoor kan een organisatie verschillende standaarden gebruiken, waaronder ITIL, Six Sigma en COBIT, waar in paragraaf 1.2.4.1 dieper op wordt ingegaan.

Een goede inregeling van de Corporate Governance zorgt voor een goed bestuur, welke de belangen van aandeelhouders, werknemers en andere bedrijven beschermt (Nederlandse Corporate Governance Code, 2008). Vooral voor beleggers is een goede inregeling van de Corporate Governance belangrijk (Cicon et al, 2012). In Nederland staan gedragsregels hiervoor in de ‘Corporate Governance Code’, ook wel aangeduid als ‘code-Tabaksblat’ (verder: ‘de Code’). De Code is van toepassing op “alle vennootschappen met statutaire zetel in Nederland en waarvan aandelen of certificaten van aandelen zijn toegelaten tot de handel op een gereglementeerde markt of multilaterale handelsfaciliteit binnen de Europese Unie, of een daarmee vergelijkbare markt of handelsfaciliteit buiten de Europese Unie” (Nederlandse Corporate Governance Code, 2008). In 2003 is de Code door de toenmalige Commissie Tabaksblat vastgesteld. In 2008 is de Code geactualiseerd door de Commissie Frijns. De geactualiseerde Code is op 1 januari 2009 in werking getreden. De Monitoring Commissie Corporate Governance Code (MCCGC) controleert de naleving van de Code, waarover zij ieder jaar een nalevingsrapport publiceert. Vanaf 2013 wordt deze commissie geleidt door prof. dr. J.A. van Manen. Het naleven van de Code gaat volgens de ‘pas toe of leg uit’-regel. Dit houdt in dat organisaties de bepalingen in de Code niet 1 op 1 hoeven toe te passen, maar ook kunnen volstaan met een uitleg waarom zij de Code niet hebben toegepast (Nederlandse Corporate Governance Code, 2008). Als zowel toepassing als uitleg ontbreken, is er sprake van niet-naleving. De Code bevat principes en ‘best practice’ bepalingen die de verhoudingen reguleren tussen het bestuur, de Board en de (algemene vergadering van) aandeelhouders. Cicon et al (2012) deden onderzoek naar 23 Governance Codes in Europa. Zij vonden dat alle Governance codes grofweg 5 thema’s bevatten: Board organisatie, wet- en regelgeving effecten, accounting & verslaggeving, industrie effecten en aandeelhouders-bescherming. Afhankelijk van plaats en tijd verschilt de relevantie van elk van deze thema’s.

9

1.2

IT Governance, Enterprise Governance of IT & Governance of Enterprise IT

IT Governance is een integraal onderdeel van Corporate Governance (de Haes en van Grembergen, 2015). Paragraaf 1.1 heeft aangetoond dat op het gebied van Corporate Governance veel onderzoek is uitgevoerd. Dit is in mindere mate van toepassing op IT-Governance. Uit figuur 2 is af te lezen dat er ongeveer vanaf de eeuwwisseling onderzoek werd gedaan naar IT-Governance, waarbij vooral het laatste decennium hier veel over is geschreven.

Figuur 2 - Aantal zoekresultaten door de jaren heen. Bron: Business Source Premier Zoekdatum: 24-02-16

Het is algemeen bekend dat IT de overlevingskansen van een onderneming verhoogt in de steeds heviger concurrerende markten. Een effectief gebruik van IT berust echter sterk op een goede IT Governance (Wu et al, 2015). Digitale mogelijkheden bepalen in een steeds sterkere mate welke ondernemingen waarde creëren of juist verliezen (Hirt & Wilmmott, 2014). De toepassing van IT is een bepalende factor of een onderneming haar strategische doelen zal bereiken en haar missie en visie kan realiseren (ITGI, 2003). Vanuit dit perspectief verschuift IT steeds meer naar de rol van een strategische partner binnen de digitale onderneming (De Haes & Van Grembergen, 2009; Weill & Ross, 2004a). Door het steeds relevanter worden van IT voor het managen van bedrijfsrisico’s en het creëren van ondernemingswaarde is er de afgelopen decennia veel aandacht ontstaan voor het beheren van de IT (De Haes & Van Grembergen, 2009; Wilkin & Chenhall, 2010). Dit wordt ondergebracht onder de noemer ‘Enterprise Governance of IT (EGIT)’, ‘Governance of Enterprise IT (GEIT)’ of ‘IT Governance’. Elke regio heeft zijn eigen voorkeur voor een bepaalde term en afkorting. Het zijn verschillende begrippen met eenzelfde betekenis, namelijk ‘een integraal onderdeel van Corporate Governance dat zich richt op de definitie en implementatie van processen, structuren en relationele mechanismen in een organisatie zodat zowel de business als de IT hun verantwoordelijkheden kunnen uitoefenen ter ondersteuning van de business/IT afstemming en het creëren van bedrijfswaarde uit bedrijfsinvesteringen met ondersteuning van de IT’ (Van Grembergen & De Haes; 2009b; De Haes & Van Grembergen, 2015; Van Grembergen & De Haes, 2009a).

1.2.1 Ontwikkeling van Enterprise Governance of IT

In 1998 werd het IT Governance Instituut opgericht om het IT Governance concept te verspreiden. Hierdoor kreeg het begrip ‘IT Governance’ veel aandacht, maar door de sterke nadruk op ‘IT’ in de benaming, bleef discussie over dit onderwerp veelal beperkt tot de IT-afdelingen. De business raakte hierdoor teveel op de achtergrond; waardoor het voorkwam dat een technisch perfect werkend IT-systeem werd geleverd, maar deze totaal waardeloos was doordat het niet aansloot op de behoefte

0 10 20 30 40 50 60 70

Hits op IT Governance, EGIT & GEIT

10 van de business. Dit leidde tot een verschuiving naar de term ‘Enterprise Governance of IT’ of ‘Governance of Enterprise IT’. De Internationale Standaarden Organisatie (ISO) ging hierin mee met het uitbrengen van ISO/IEC 38500 in 2008 waarin zij de nieuwe standaard ‘Corporate Governance of IT’ uitbrachten. Daarnaast ging ook ISACA mee in deze lijn met het uitbrengen van COBIT 4, een IT Governance raamwerk met ‘best practices’ dat zich richt op IT-processen en verantwoordelijkheden, waarin de samenwerking tussen de business en IT steeds sterker op de voorgrond kwam.

1.2.2 Falen van IT-projecten

Door toenemend besef van de relevantie van IT en de technologische ontwikkelingen hiervan, zijn de investeringen in IT de afgelopen jaren extensief gestegen (Gartner, 2011). Veel van deze bedrijven worstelen echter om hier een resultaat uit te genereren dat de investering waard is (Marchand & Peppard, 2013). Managers maken zich zorgen dat deze investeringen zich niet zullen terugbetalen. Dit bezwaar geldt ook voor de kosten die de steeds groter wordende IT-afdeling met zich meebrengt. Dit fenomeen staat bekend als de ‘IT Black Hole’ (Van Grembergen, 2002), waar grote sommen geld ingaan terwijl het geen (zichtbare) opbrengsten genereert. Vaak is er bij een falend IT-project sprake van het verspillen van financiële middelen of het uitblijven van (monetaire) voordelen (Krigsman, 2012). Zo zijn er diverse grote bedrijven ten onder gegaan als gevolg van grote IT-investeringen die mislukte. Zo ging in 1996 FoxMeyer, een grote medicijnengroothandel in de US, failliet door het foutief implementeren van een nieuw ERP-systeem (Scott & Vessey, 2000). Een actueler voorbeeld is de £10 biljoen belastinggeld die is verspild met het “NHS National Programme for IT” (NPfIT) in Engeland. Naast voorgaande voorbeelden zijn er nog veel meer voorbeelden van bedrijven waarbij de IT-investeringen falen. Opvallend hierbij is dat eenzelfde oorzaak aan veel mislukkingen ten grondslag ligt: namelijk ‘te weinig afstemming tussen de business en IT, doordat de behoeften bij de business niet voldoende diep geïnventariseerd zijn’. Henderson en Venkatraman (1993) onderkenden dit probleem begin jaren ’90 al. Zij zagen dat een gebrek aan afstemming tussen de business en IT-strategieën ervoor zorgde dat waardegeneratie uit IT-investeringen beperkt was. Henderson en Venkatraman (1993) waren de eersten die een duidelijke beschrijving maakten van de relatie tussen de business en IT door het ontwerpen van het bekende ‘Strategic Alignment Model’ (SAM). Zowel afstemming tussen de business en IT (Chan & Reich, 2007) als het succesvol inrichten van de IT Governance (Van Grembergen & De Haes, 2008) kan mislukkingen op het gebied van IT voorkomen. Daarnaast bestaat er een positieve relatie tussen het gebruik van IT Governance en de afstemming tussen de business en IT (De Haes & Van Grembergen, 2009).

1.2.3 Afstemming tussen Business & IT

Al decennia geleden legden onderzoekers de aandacht op de relevantie van afstemming tussen de business en IT (McLean & Soden, 1977), waarbij het voornamelijk ging om afstemming tussen het IT plan en het Business plan. De term ‘IT Alignment’ is anno 2016 vele definities toegeschreven, waarvan de volgende twee definities de overige definities dekken. Campbell (2005) beschrijft ‘IT Alignment’ als ‘de Business en IT die samen aan eenzelfde doel werken.’ Luftman & Brier, (1999) stellen dat er sprake is van een goede ‘IT Alignment’ als de organisatie de juiste IT toepast op het juiste moment en dat deze acties congruent zijn met de business strategie, doelen en behoeften. Aangetoond is dat er bij organisaties met een sterke afstemming tussen de business en IT er sprake is van een meer volwassen IT Governance (De Haes & Van Grembergen, 2009). Afstemming tussen IT en de business leidt tot een meer gericht en strategisch gebruik van IT wat de ondernemingsprestaties verbeterd (Chan et al, 2006). Een goed ingeregelde IT Governance draagt daarmee bij aan een goede afstemming tussen de IT en de business (Broadbent & Kitzis, 2005).

11

1.2.4 Relevantie IT Governance

Elke organisatie moet keuzes maken op het gebied van IT. Zonder een formele IT Governance moeten managers problemen oplossen op het moment dat ze ontstaan, zonder dat hier een uitgedachte strategie voor kan worden gebruikt (Weill & Ross, 2004b). Hoe relevanter IT is voor de business, hoe meer tijd de Board over IT zou moeten nadenken. Bij sommige organisaties ondersteunt IT de business, bij andere organisaties is IT de business (Deloitte, 2011).

Weill & Ross voerden in 2004 een onderzoek uit onder 300 organisaties wereldwijd. Zij vonden dat gemiddeld slechts 38% van de senior-managers wist hoe de IT werd bestuurd. Bij organisaties waarbij de IT Governance goed is ingeregeld, waren 60 tot 80 procent van de senior-managers bewust van de besturing van de IT (Weill & Ross, 2004a). Goed presterende organisaties regelen de IT Governance goed in, maar er bestaat niet ‘één beste aanpak’ die voor alle organisaties werkt. Hierom is er behoefte aan een raamwerk dat richtlijnen geeft hoe de IT Governance goed ingeregeld zou kunnen worden. Paragraaf 1.2.4.1 beschrijft diverse raamwerken en standaarden. De onderzoeken van Weill & Ross (2004a/2004b) tonen aan dat een effectieve IT Governance een belangrijke voorspeller is van de waarde die een organisatie uit IT kan halen. Zo behalen organisaties met een effectief IT Governance beleid winsten tot 25% hoger dan andere bedrijven waarbij de IT Governance minder goed ingeregeld is (Weill & Ross, 2004a). Ook uit andere onderzoeken blijkt dat ondernemingswaarde kan worden gecreëerd door het implementeren van een effectief IT Governance raamwerk (Ali & Green, 2007; Bowen et al, 2007; Kearns & Sabherwal, 2007; Turel & Bart, 2014; ITGI 2011; Yayla & Hu, 2014). Yayla & Hu (2014) tonen in hun onderzoek aan dat een beter IT bewustzijn van de Board op twee manieren een positief effect heeft; het bevordert enerzijds de monitoring functie van de Board en anderzijds de mate waarin de Board kan voorzien in middelen om onder andere de IT en de Business beter op elkaar af te stemmen. Hiernaast leidt een goed ingeregelde IT Governance tot minder schandalen en IT mislukkingen (Krigsman, 2012). Dit wordt veroorzaakt doordat IT Governance verantwoordelijkheden legt voor IT gerelateerde business uitkomsten en organisaties ondersteunt om de IT-investeringen af te stemmen met de prioriteiten van de business (Weill & Ross, 2004a). Kearns & Sabherwal (2007) benadrukken daarbij dat de IT zich moet aanpassen aan de business en niet andersom; aangezien IT een ondersteunend proces is. Gu et al (2008) concludeerden in hun onderzoek dat een matig afgestemde IT Governance ervoor zorgt dat investeringen in de IT geen resultaat opleveren. Zij vonden dat ondernemingen met een goede IT Governance twee tot drie keer meer resultaat boekten als gevolg van de IT-investering ten opzichte van bedrijven met een gemiddelde IT Governance. Dit wijst op de relevantie van bijzondere aandacht voor IT Governance processen.

Pang (2014) ondervond in zijn onderzoek naar IT Governance studies dat deze zich vooral richten op de agency zijde (CEO’s, CIO’s etc.) van de agent-principaal relatie. Pang (2014) geeft aan dat de principaal-zijde (Board) onderbelicht wordt. Een onderzoek van de Universiteit van Antwerpen (2015) bevestigd dit door aan te tonen dat de Governance Processen van het raamwerk COBIT 5 minder sterk geïmplementeerd zijn dan de managementprocessen. Zij concluderen een gebrek aan EGIT in de Board. Ook onderzoeken van Andriole (2009) en Turel & Bart (2014) tonen aan dat de Board nog maar weinig betrokken is bij de inregeling van IT. De oorzaak hiervan is dat de leden van de Board vaak een gebrek hebben aan kennis van IT (Deloitte, 2011; ITGI, 2011; Othman & Chan, 2013). Othman & Chan (2013) onderzochten welke barrières voor de implementatie van IT Governance veel voorkwamen in de literatuur en onderzochten deze bij 9 organisaties in de praktijk. Uit dit onderzoek komt naar voren dat de meest voorkomende barrières zijn een (1) Gebrek aan middelen; (2) Gebrek aan bewustzijn; en (3) Gebrek aan kennis en vaardigheden (Othman & Chan, 2013). Uit deze onderzoeken blijkt dat er behoefte is aan een raamwerk waarin best practices (voorbeelden) worden gegeven van hoe een organisatie haar IT het beste in kan regelen om een goede IT Governance en daarmee een goede afstemming tussen de business en IT te realiseren. Dit soort raamwerken en standaarden worden in de volgende paragraaf beschreven.

12 1.2.4.1 IT (Governance) Raamwerken

Er bestaan diverse raamwerken die diverse onderdelen van de IT helpen te organiseren. ISO/IEC 38500 (2008) voorziet in een raamwerk voor effectieve IT Governance. Hierdoor kan het topmanagement haar wettelijke en ethische verplichtingen op het gebied van IT-gebruik begrijpen en volbrengen. ISO/IEC 20000 (2011) is een IT service management standaard. Ontwikkeld om de best practice voor het ITIL raamwerk te weerspiegelen. ISO/IEC 27000 richt zich op de beveiliging van de informatiesystemen. Capability Maturity Model CMM is een ontwikkelmodel. Het wordt gebruikt om bestaande (softwareontwikkeling)processen te verbeteren. The Open Group Architecture Framework (TOGAF) is een raamwerk om de IT architectuur in een onderneming te plannen, implementeren en besturen. PRINCE2 is een methode voor project management. Project Management Body of Knowledge (PMBOK) geeft richtlijnen voor project management. Information Technology Infrastructure Library (ITIL) geeft richtlijnen voor het afstemmen van de IT op de behoeften van de business. Control Objectives for Information and Related Technology (COBIT) is een raamwerk van ISACA voor IT Management en IT Governance. De meest recente versie is COBIT 5. COBIT 5 voorziet in een basis om andere raamwerken, standaarden en best practices effectief te integreren (zie figuur 3). COBIT 5 voorziet in een compleet overzicht over wat ingeregeld moet worden in de governance en management van IT (de Haes en van Grembergen, 2015). Dit onderzoek focust zich op COBIT 5, aangezien het internationaal erkend is en veel van de overige raamwerken overlapt. Hoofdstuk 2 gaat dieper in op COBIT 5.

Figuur 3 - COBIT 5 als overlappend raamwerk. Bron: ISACA (2012)

1.2.4.2 IT Governance Mechanismen

Om de IT Governance effectief te implementeren, is een set van ‘IT Governance Mechanismen’ nodig om een juiste afstemming met de missie, strategie en cultuur aan te moedigen (Ali & Green, 2012; Van Grembergen & De Haes, 2008; De Haes & Van Grembergen, 2009; Herz et al, 2012). Dit leidt tot het aansturen op wenselijk IT gedrag en IT Governance uitkomsten (Weill & Ross, 2004a). Weill & Ross (2004a) stellen dat een effectieve IT Governance drie verschillende mechanismen omvat: namelijk ‘besluitvormingsstructuren’, ‘afstemmingsprocessen’ en ‘communicatie benaderingen’. Een effectieve IT Governance omvat deze drie mechanismen, die ervoor zorgen dat wenselijk IT gedrag wordt gerealiseerd wat leidt tot het behalen van de gewenste doelen (Weill & Ross, 2004a). Van Grembergen & De Haes (2009a) en Wu et al. (2015) definiëren de IT Governance Mechanismen op een vergelijkbare manier. Weill & Ross (2004a) definiëren de drie mechanismen als volgt. Besluitvormingsstructuren zijn eenheden binnen een organisatie zoals commissies, uitvoerende teams en business of IT-managers die verantwoordelijk zijn voor het maken van IT besluiten. Afstemmingsprocessen zijn formele processen zoals IT-investeringsvoorstellen en evaluaties die afstemming verzekeren met het organisatiebeleid.

13 Communicatie benaderingen zijn aankondigingen en kanalen die (nieuwe) principes, het beleid van IT Governance en de uitkomsten van besluitvorming verspreiden. Wu et al. (2015) concluderen dat deze drie IT Governance Mechanismen effectief zijn in het promoten van de strategische afstemming tussen de business en IT.

1.2.5 Overzicht van onderzoek met betrekking tot IT Governance

Onderstaande tabel geeft een samengevatte weergave van de meest relevante hiervoor beschreven literatuur met betrekking tot de IT Governance. Uit de tabel is af te lezen dat ondernemingen met bovengemiddelde IT Governance beter presteren (Turel & Bart, 2014; Weill & Ross, 2004b; Yayla & Hu, 2014). Om de IT Governance goed in te richten is vooral betrokkenheid van het hogere

management en de Board van belang (Ali & Green, 2012; ITGI, 2011; Yayla & Hu, 2014). Ondanks deze relevantie blijkt uit diverse onderzoeken dat de Board weinig betrokken is bij de IT Governance (Andriole, 2009; Huff et al, 2006; Weill & Ross, 2004b). De literatuur geeft hier diverse mogelijke oorzaken voor, zoals een gebrek aan middelen, bewustzijn, kennis en vaardigheden (Othman & Chan, 2013). De factoren tijd, geldmiddelen en personeelscapaciteit vormen nauwelijks een beperkende factor (Othman & Chan, 2013). De Haes & Van Grembergen (2009) geven aan dat vooral het juist inrichten van de processen, als onderdeel van IT Governance, moeizaam verloopt. COBIT 5 voorziet in een raamwerk hoe de Governance Processen en Management Processen ingericht kunnen worden. Dit onderzoek gaat daarom na welke factoren invloed hebben op de betrokkenheid van de Board bij de processen die te maken hebben met de IT Governance. Hierbij wordt gebruik gemaakt van het raamwerk COBIT 5. Dit raamwerk wordt in hoofdstuk 2 toegelicht.

14

15

2

COBIT 5

In hoofdstuk 1 zijn diverse problemen beschreven omtrent tekortkomingen in de IT Governance van organisaties en de zwakke afstemming tussen de business en IT. Er is behoefte aan een raamwerk dat naast de Management-processen ook aandacht besteed aan Governance-processen en dat zorgt voor afstemming tussen de IT en de business. Dit hoofdstuk beschrijft daarom COBIT 5, een raamwerk van ISACA (ISACA, 2012) dat voldoet aan deze behoeften. COBIT 5 is een internationaal erkend raamwerk dat een set ‘good-practices’ beschrijft voor de Board, het topmanagement en operationele business- en IT-managers. Het geeft een aantal beheersmaatregelen voor IT en organiseert deze in een logisch raamwerk van IT-gerelateerde processen en ‘enablers’ (ISACA, 2012). Het COBIT-raamwerk wordt gebruikt voor het implementeren en managen van IT. COBIT 5 is zowel te gebruiken voor kleine als grote bedrijven, voor zowel private als publieke bedrijven en voor zowel commerciële als non-profit bedrijven (De Haes & Van Grembergen; 2015; ISACA, 2012).

COBIT 5 ondersteunt organisaties om optimale waarde te realiseren uit IT door het onderhouden van een balans tussen het realiseren van opbrengsten, het beheersen van risico’s en het optimaliseren van het gebruik van middelen (ISACA, 2012). Met COBIT 5 kan de IT in een organisatie bestuurd en beheerst worden op een holistische wijze voor de gehele organisatie van begin tot eind, waarbij de IT-gerelateerde belangen van zowel interne als externe stakeholders in worden meegenomen in beslissingen (ISACA, 2012). In figuur 4 staat de ontwikkeling van COBIT door de jaren heen. COBIT is in de jaren ’90 ontwikkeld door ISACA als een raamwerk voor de (IT) audit community. Dit verklaart het acroniem COBIT wat staat voor ‘Control Objectives for Information and related Technologies’. Door de jaren heen is de scope van COBIT steeds breder geworden waardoor het acroniem de inhoud van het raamwerk minder goed dekt aangezien concepten als ‘IT Management’, ‘IT Governance’ en ‘Enterprise Governance of IT’ door de jaren heen zijn opgenomen in het raamwerk (De Haes & Van Grembergen; 2015).

2.1

ISACA

ISACA is een onafhankelijke non-profit organisatie die betrokken is bij de ontwikkeling, adoptie en het gebruik van wereldwijd geaccepteerde kennis en ervaringen met betrekking tot informatiesystemen (ISACA.org). ISACA is opgericht in 1969 door een groep individuen dat de noodzaak zag van een centrale bron van informatie en ondersteuning op het groeiende terrein van controles op computersystemen. Tegenwoordig bediend ISACA 140.000 professionals in 180 landen. ISACA heeft de afgelopen twee decennia diverse raamwerken uitgevaardigd met ‘best practices’ van EGIT. De meest recente versie hiervan is COBIT 5 (ISACA 2012). Dit is een raamwerk voor de EGIT in een onderneming. COBIT 5 werd in 2012 geïntroduceerd en bouwt voort op COBIT 4 (ISACA 2007) waarbij het onder andere ‘Val IT’ (ISACA 2009) en ‘Risk IT’ (ISACA 2010) integreert in één raamwerk. Ook heeft ISACA het IT Governance Instituut (ITGI) opgericht. Het ITGI richt zich op onderzoek naar IT Governance en gerelateerde onderwerpen.

16

2.2

COBIT 5 Elementen

COBIT 5 is gebaseerd op vijf ‘principes’ (zie figuur 5) die het implementeren en managen van IT mogelijk maken. Deze vijf principes stellen de organisatie in staat een effectief governance en management raamwerk op te zetten dat de IT-investeringen zal optimaliseren ten gunste van de stakeholders. In bijlage F is een uitgebreidere toelichting op deze principes opgenomen.

Figuur 5 - De 5 Principes van COBIT 5. Bron: ISACA (2012)

Verder bestaat COBIT 5 uit zeven ‘enablers’. Dit zijn factoren die, individueel of collectief, invloed hebben op het bereiken van de organisatiedoelen. In figuur 6 staan de enablers weergegeven. In bijlage F is een toelichting op deze enables opgenomen. De processen van COBIT 5 vormen een van de zeven enablers. Deze processen zijn voor dit onderzoek zeer belangrijk en worden daarom verder uitgewerkt in paragraaf 2.3.

Figuur 6 - De 7 Enablers van COBIT 5. Bron: ISACA (2012)

2.3

COBIT 5 Processen

In paragraaf 2.2 is kort beschreven dat de processen een van de zeven enablers is van COBIT 5 en tevens de meest relevante (Bartens et al, 2015). COBIT 5 beschrijft 37 processen (zie figuur 7), die een weergave geven van hoe organisaties hun processen efficiënt in kunnen richten en hiermee waarde kunnen creëren. Hierbij wordt zichtbaar dat IT door de gehele organisatie dient te worden opgenomen: een algehele aanpak is noodzakelijk. De 37 processen zijn opgedeeld in Governance Processen en Management Processen. Dit onderstreept het vijfde principe dat aantoont dat onderscheid gemaakt wordt tussen Governance en Management.

De vijf Governance Processen zijn ondergebracht onder het domein ‘Evaluate, Direct & Monitor’ (EDM). Voor deze Governance Processen is de Board eindverantwoordelijk. De processen gaan voornamelijk over het beheersen van kosten, baten en risico’s. Daarnaast is ook de relatie met stakeholders van belang.

17 De 32 Management Processen zijn opgedeeld in vier domeinen (zie figuur 7). Deze domeinen zijn: (1) APO (‘Align, Plan & Organize’); (2) BAI (‘Build, Acquire & Implement’); (3) DSS (‘Deliver, Service & Support’) en (4) MEA (‘Monitor, Evaluate & Asses’).

Figuur 7 - De 37 Processen van COBIT 5. Bron: ISACA (2012)

2.4

COBIT 5 Implementatie

Paragraaf 2.4.1 beschrijft de voordelen die het implementeren van de ‘Enterprise Governance of IT’ met behulp van COBIT 5 met zich meebrengt. Paragraaf 2.4.2 beschrijft hoe COBIT 5 hierbij het beste gebruikt kan worden en paragraaf 2.4.3 beschrijft enkele barrières bij de implementatie van EGIT met behulp van COBIT 5.

2.4.1 Redenen voor EGIT implementatie met behulp van COBIT

Organisaties doen steeds meer investeringen om de ‘Enterprise Governance of IT’ te implementeren en te verbeteren (ITGI, 2011; Gartner, 2011). Ter ondersteuning maken organisaties hierbij gebruik van algemeen geaccepteerde ‘good-practice’ raamwerken zoals COBIT. Aangezien COBIT 5 een internationaal erkend raamwerk is, dat een overlappend geheel vormt ten opzichte van andere raamwerken (zie figuur 3), is COBIT 5 voor organisaties een bruikbaar raamwerk om de ‘Enterprise Governance of IT’ te implementeren. Hiermee hebben organisaties met één raamwerk de aandacht op alle nodige gebieden voor een goede ‘Enterprise Governance of IT’ (‘one-stop-shop’). Daarnaast zijn er landen, zoals Turkije, waar het voor financiële instellingen verplicht is om COBIT 5 te gebruiken. Er zijn diverse voordelen die het gebruik van COBIT 5 met zich meebrengt.

18 ISACA (2012) geeft de volgende redenen om COBIT te gebruiken bij het implementeren van de ‘Enterprise Governance of IT’; (1) Meer betrokkenheid van stakeholders; (2) Het beheersen van de toenemende afhankelijkheid van het organisatiesucces op externe business en IT; (3) Omgaan met de toenemende hoeveelheid informatie; (4) Omgaan met de steeds doordringendere IT, wat steeds meer een integraal onderdeel wordt van de business; (5) Richtlijnen op het gebied van innovatie; (6) Waarde creëren door effectief en innovatief gebruik van IT; (7) Klant- en werknemerstevredenheid over IT projecten; (8) Voldoen aan wet- en regelgeving; (9) Versterkte relatie tussen de behoeften van de business en de doelen van IT; (10) Connectie en afstemming met andere belangrijke raamwerken en standaarden.

Radhakrishnan (2015) en Lewis (2015) beschrijven de meest relevante voordelen als: (1) Goede afstemming tussen IT en de Business, (2) Meer resultaat uit IT-investeringen, (3) Minder (IT) kosten, (4) Minder IT-gerelateerd bedrijfsrisico, (5) Beter in staat om in compliance te zijn met wet- en regelgeving. Daarnaast gebruiken bedrijven COBIT 5 omdat er behoefte is aan één geïntegreerd raamwerk dat alle best practices en standaarden omvat (Vyas et al, 2016).

2.4.2 Implementatie van EGIT met behulp van COBIT 5

Elke organisatie is anders, en heeft daarom een andere aanpak nodig. Het is belangrijk dat men begrijpt dat COBIT geen raamwerk is dat zonder aanpassingen geïmplementeerd kan worden zodat de EGIT goed is ingeregeld (COBIT 5 Implementation, 2012). In tegenstelling hiertoe dient COBIT gezien te worden als een richtlijn. Belangrijke factoren voor een succesvolle implementatie van de EGIT met behulp van COBIT 5 zijn aldus ISACA (2012): (1) Betrokken top management dat richting geeft, betrokkenheid toont en de implementatie volledig ondersteunt; (2) Alle partijen die betrokken zijn bij de Governance- en Managementprocessen moeten de business- en IT-doelen begrijpen; (3) Een effectieve communicatie moet mogelijk zijn en noodzakelijke veranderingen moeten (direct) kunnen worden doorgevoerd; (4) Een juiste afstemming van COBIT 5 en andere standaarden en gebruiken; (5) Focussen op ‘quick wins’ en het prioriteren van veranderingen op basis van voordelen; (6) Betrokkenheid en ondersteuning van stakeholders; (7) Voldoende aandacht voor het menselijke aspect (cultuur en gedrag) naast het managen van IT.

Het implementeren van de ‘Enterprise Governance of IT’ met behulp van COBIT 5 begint het beste met een ‘wake-up-call’ (ISACA, 2012). De noodzaak voor het verbeteren van de EGIT kan goed zichtbaar gemaakt worden door te wijzen op ‘pijnpunten’ binnen de organisatie zoals het falen van initiatieven, het toenemen van IT-kosten, het verliezen van data, gebreken aan IT-middelen et cetera (ISACA, 2012). Hiernaast zijn er diverse bijzondere gebeurtenissen die ook een geschikt moment bieden voor een verbetering van de EGIT, zoals fusies, acquisities of een nieuwe CEO.

19

2.4.3 Barrières bij de implementatie

De Universiteit van Antwerpen onderzocht in 2015 de mate van COBIT 5 implementatie. Dit deden zij door een online enquête af te nemen via leden van ISACA onder personen met EGIT-gerelateerde profielen. Er hebben wereldwijd 894 deelnemers meegedaan aan het onderzoek, waarvan de meeste veel ervaring hebben en uit grote organisaties komen. De resultaten van dit onderzoek tonen het volgende aan: (1) De enablers ‘Information’, ‘Services, infrastructure and applications’ en ‘People, skills and competencies’ worden als meest belangrijk geacht. (2) De ‘softe’ enablers ‘Culture, ethics and behaviour’ is het minst ver geïmplementeerd. (3) De enabler “Information” is het lastigst te implementeren. De enablers ‘Organisational structures’ en ‘Services, infrastructure and applications’ zijn het meest eenvoudig te implementeren. (4) De EDM Processen zijn het minst ver geïmplementeerd. De DSS-processen zijn het meest ver geïmplementeerd. (5) Processen die business-management betrokkenheid vereisen zijn relatief minder ver geïmplementeerd, wat vraagt om meer afstemming tussen de business en IT.

Bartens et al (2015) onderzochten met behulp van de Delphi-methode de complexiteit van COBIT 5. In hun onderzoek participeerden 15 experts op het gebied van COBIT 5, waarvan er 9 bij het gehele onderzoeksproces betrokken waren. De experts waren onder andere CIO’s, IT-consultants, IT-auditors en organisatietechnici uit Nederland, België, Duitsland en de USA. Het onderzoek bestond uit twee rondes. In de eerste ronde werden de experts gevraagd om al de 37 processen van COBIT 5 te beoordelen op effectiviteit en het gemak van implementeren met een score van 0 tot 5. In aanvulling hierop werd aan de experts gevraagd om de 10 meest relevante processen te benoemen. Na deze eerste ronde werden de gemiddelden berekend van de gegeven scores en werd er een gemiddelde top 10 van processen opgesteld. In de tweede ronde kregen de experts hun ingevulde scores en top 10 weer te zien, maar met daarnaast de consensus van de gehele groep experts. Hierbij kregen ze de mogelijkheid hun scores en top 10 te herzien, om zo een sterkere consensus te krijgen. De resultaten van het onderzoek van Bartens et al (2015) tonen aan dat hoe effectiever een proces is, hoe lastiger deze is te implementeren. Als gekeken wordt naar de vijf domeinen van COBIT 5, dan valt op dat de EDM Processen het meest effectief zijn en ook het meest lastig zijn te implementeren, terwijl de MEA processen eenvoudig te implementeren zijn maar ook het minst effectief zijn. De studie toont verder aan dat het proces ‘APO 02’ (Manage Strategy) met afstand als het meest relevante proces wordt beoordeeld. Verder valt op dat in de top 10 met belangrijkste processen alle domeinen vertegenwoordigd zijn behalve het domein DSS. Ook zijn het vooral strategische en tactische processen die zijn vertegenwoordigd in de top 10. Bartens et al (2015) sluiten af met de aanbeveling om te beginnen met een ‘minimum baseline’ bij de implementatie van COBIT 5. Deze conclusie wordt door verschillende experts ondersteund. Door eerst processen te implementeren die eenvoudig zijn en toch relatief effectief wordt de complexiteit verlaagd.

Sommige voordelen die COBIT 5 biedt zijn tegelijkertijd ook nadelen. Zo leidt het feit dat COBIT 5 een overlappend geheel is, een ‘one-stop-shop’ is en een integrale (‘end-to-end’) en holistische benadering biedt tot een hoge mate van complexiteit (Bartens et al, 2015). Edmonds (1995) beschrijft complexiteit als de eigenschap van een uitdrukking die het moeilijk maakt om het algemene gedrag te formuleren, ook al is vrijwel alle informatie over de componenten en onderliggende relaties gegeven. ISACA biedt een complete ‘COBIT 5 Family’ aan onderliggende documenten aan om de componenten en onderliggende relaties van COBIT 5 uit te leggen. Ondanks dit is het voor veel organisaties moeilijk om te begrijpen, waardoor diverse onderzoekers dat COBIT 5 een hoge mate van complexiteit bevat (Bartens et al, 2015; de Haes et al, 2013; Pereira & Ferreira, 2015; Vyas et al, 2016). Een veelvoorkomende moeilijkheid bij de implementatie van COBIT 5 is de taalbarrière tussen de business en de IT (Lewis, 2015). Om deze reden is een goede afstemming tussen de business en de IT, zoals beschreven in paragraaf 1.2.3 belangrijk. Door de complexiteit duurt het vaak enkele jaren duurt voor een volledige adoptie, zelfs voor relatief kleine bedrijven of als er een professioneel team bij betrokken is (De Haes et al, 2013; Vyas et al, 2016). Daarnaast is het topmanagement niet altijd volledig betrokken

20 bij IT-projecten en ontbreekt het de Board aan kennis en tijd om zich met de IT Governance bezig te houden (Andriole, 2009; Deloitte, 2011; ITGI, 2011; Othman & Chan, 2013; Pang, 2014; Turel & Bart, 2014; Universiteit van Antwerpen, 2015). Pereira & Ferreira (2015) tonen aan dat de moeilijkheden bij - of de beperkte kennis over - de implementatie van COBIT 5 in een organisatie leidt tot het ontwikkelen van eigen modellen in plaats van COBIT 5. COBIT 5 wordt om deze redenen in de praktijk niet vaak gebruikt en er bestaat weinig onderzoek over hoe COBIT 5 nou daadwerkelijk in de praktijk gebruikt wordt (De Haes et al. 2013).

2.5

Overzicht van onderzoek met betrekking tot COBIT 5

In tabel 3 staat een samengevatte weergave van de meest relevante hiervoor beschreven literatuur met betrekking tot COBIT 5. Uit deze tabel is af te lezen dat er slechts weinig onderzoek is verricht naar de implementatie en het gebruik van COBIT 5. De bestaande onderzoeken tonen aan dat de meest effectieve processen het meest lastig te implementeren zijn (Bartens et al, 2015; University of Antwerp, 2015). De Governance (EDM) Processen zijn het meest relevant maar tevens het minst ver geïmplementeerd en worden als complex ervaren (Bartens et al, 2015; University of Antwerp, 2015). Ondanks het feit dat COBIT 5 specifieke processen heeft gedefinieerd met betrekking tot de Governance, loopt de implementatie van deze processen achter bij de Management Processen (Universiteit van Antwerpen, 2015).

Tabel 3 – Overzicht van onderzoek met betrekking tot COBIT 5.

2.6

Hypothesen

Uit tabel 2 in paragraaf 1.2.5 blijkt dat bemoeienis van de Board met de IT Governance van de onderneming wenselijk is (Huff et al, 2006) en leidt tot betere ondernemingsprestaties (Turel & Bart, 2014; Weill & Ross, 2004b). Ondanks deze relevantie blijkt uit diverse onderzoeken dat de Board zich te weinig bezighoudt met de IT Governance (Andriole, 2009; Huff et al, 2006; Weill & Ross, 2004b). In het raamwerk COBIT 5 zijn hiervoor specifieke Governance Processen ingericht om de verantwoordelijkheid van de Board bij de IT Governance te beschrijven (ISACA, 2012). Desondanks tonen diverse onderzoeken aan dat de meest effectieve COBIT 5 Processen het meest lastig te implementeren zijn (Bartens et al, 2015; University of Antwerp, 2015). De Governance (EDM) Processen zijn zeer relevant maar tevens het minst ver geïmplementeerd en worden als complex ervaren (Bartens et al, 2015; University of Antwerp, 2015). Ook loopt de implementatie van deze Governance Processen achter bij de Management Processen (Universiteit van Antwerpen, 2015). Dit

21 sluit aan bij andere internationale onderzoeken die aantonen dat de betrokkenheid van de Board bij EGIT beperkt is. (De Haes & Van Grembergen, 2015; Andriole, 2009; Weill & Ross, 2004b). Dit leidt tot de volgende hypothese:

Hypothese 1a: “De Board is minder betrokken bij de EDM Processen van COBIT 5 dan dat vanuit het oogpunt van de respondenten nodig is.”

In de literatuur zijn diverse mogelijke oorzaken beschreven, zoals een gebrek aan middelen, bewustzijn, kennis & vaardigheden of een gebrek aan betrokkenheid van het senior management (Ali & Green, 2012; ITGI, 2011; Othman & Chan, 2013). De factoren tijd, geldmiddelen en personeelscapaciteit vormen nauwelijks een beperkende factor (Othman & Chan, 2013). Dit leidt tot de volgende hypothese:

Hypothese 1b: “Gebrek aan betrokkenheid wordt veroorzaakt door een gebrek aan de factoren Prioriteit, Tijd, Kennis en Ervaring.”

Ondanks het feit dat de primaire verantwoordelijkheid voor de Management Processen van COBIT 5 niet bij de Board is ondergebracht (ISACA, 2012), wordt verwacht dat betrokkenheid van de Board bij deze processen wel nodig is. Als de Board niet betrokken is bij het proces ‘Innovatie’ (APO04) is het moeilijker om de juiste IT-investeringsbeslissingen te nemen (EDM04). Dit leidt tot de volgende hypothesen.

Hypothese 2a: “De Board is minder betrokken bij IT-gerelateerde Management Processen van COBIT 5 dan dat vanuit het oogpunt van de respondenten nodig is.”

Hypothese 2b: “De onderzochte factoren2 _{hebben een minder beperkende invloed voor de}

Management Processen van COBIT 5 dan voor de EDM Processen van COBIT 5.”

C-level functies en IT-Managers, die werkzaam zijn als ‘internen’ in een organisatie, hebben een sterkere band met hun organisatie dan IT-Consultants en IT-Auditors die als ‘externen’ veel minder aanwezig zijn in de organisatie. Verwacht wordt dat internen hierdoor een andere perceptie hebben op de betrokkenheid van de Board dan externen. Dit leidt tot de volgende hypothese.

Hypothese 3: “De perceptie van internen3 _{over de betrokkenheid van de Board verschilt ten opzichte}

van de perceptie van externen4_.”

2 _{Prioriteit, Tijd, Kennis, Ervaring, Bewustzijn, Funding, Implementatiekosten, Voordelen} 3_{Onder andere C-level functies en IT Managers}

4

22

3

Methodologie

In hoofdstuk 1 is de literatuur die gerelateerd is aan dit onderzoek beschreven. In hoofdstuk 2 is het raamwerk COBIT 5 beschreven dat gebruikt wordt in dit onderzoek. Op basis hiervan zijn er in paragraaf 2.6 hypothesen opgesteld. Dit hoofdstuk beschrijft welke methoden zijn gebruikt om de hypothesen te testen om zo uiteindelijk antwoord te kunnen geven op de hoofdvraag:

“Welke factoren zijn in de perceptie van IT-specialisten van toepassing op de (beperkte) betrokkenheid van de Board bij de Governance processen van COBIT 5.”

3.1

Onderzoeksmodel

Het onderzoek is te typeren als een exploratief onderzoek. Dit omdat het wil bijdragen aan onderzoek naar factoren die invloed hebben op de betrokkenheid van de Board bij de IT Governance. Om de hoofdvraag te kunnen beantwoorden is het onderzoek opgesplitst in twee delen. Allereerst is een literatuurstudie uitgevoerd om de problematiek te doorgronden. Dit is beschreven in de hoofdstukken 1 en 2. Vervolgens is op basis hiervan kwantitatief onderzoek verricht door middel van een enquête. Deze enquête is opgesteld in samenwerking met diverse IT-professionals. De enquête bestaat uit vier onderdelen. Het eerste onderdeel meet in hoeverre de respondent bekend is met COBIT 5 en in hoeverre hij er ervaring mee heeft. Het tweede onderdeel vraagt de mening over de relevantie van de Governance Processen van COBIT 5 en de perceptie op de betrokkenheid van de Board hierbij. Het derde onderdeel stelt diezelfde vragen maar dan over diverse Management Processen van COBIT 5. Het vierde en laatste onderdeel sluit af met vragen over de achtergrond van de respondent. Mocht uit het eerste onderdeel blijken dat een respondent zeer beperkte kennis heeft van COBIT 5 en dus niet geschikt is als respondent voor de gehele enquête, dan wordt hij na het eerste onderdeel direct doorgezet naar het vierde onderdeel. Dit aangezien het tweede en derde onderdeel sterk inhoudelijk gericht zijn op COBIT 5. De volledige enquête is opgenomen in bijlage D. Bij de enquête is gebruik gemaakt van het programma ‘Qualtrics’.

3.2

Doelgroep

De doelgroep voor de enquête bestaat uit IT-specialisten met kennis van COBIT 5 en/of ervaring hiermee. Te denken valt aan CIO’s of Managers van bedrijven waar COBIT 5 wordt gebruikt, of IT-consultants en IT-Auditors die werkzaam zijn bij bedrijven waar COBIT 5 wordt gebruikt. Daarnaast zijn ook COBIT-5 trainers en professoren benaderd, die niet zozeer praktijkervaring hebben met COBIT 5 maar er wel inhoudelijk goed van op de hoogte zijn.

ISACA geeft diverse certificaten uit op het gebied van IT Audit, Security, Governance en Risk. Een van deze certificaten heeft de naam ‘CGEIT’ wat staat voor ‘Certified in the Governance of Enterprise IT’. Personen met dit certificaat zijn inhoudelijk goed op de hoogte van de IT Governance issues die er kunnen spelen en welke raamwerken en standaarden gebruikt kunnen worden om hiermee om te gaan. Kennis van COBIT valt hier ook onder, waardoor personen met een CGEIT-certificering geschikt zijn als respondent van de enquête.

Zoals beschreven in hoofdstuk 2 is de vijfde versie van COBIT in 2012 verschenen. Hierdoor zullen veel personen nog geen ervaring hebben met COBIT 5 maar nog met de oudere versie COBIT 4.1. Aangezien COBIT 5 specifiek onderscheid maakt tussen de Governance Processen en de Management Processen, wat zeer relevant is voor dit onderzoek, zijn personen met deze verouderde kennis en/of ervaring niet geschikt als respondent. Door deze specifieke doelgroep is het aantal geschikte respondenten voor de enquête beperkt.

23

3.3

Kanalen

Om zoveel mogelijk geschikte respondenten te benaderen is gebruik gemaakt van diverse kanalen. De enquête is geplaatst op twee forums binnen LinkedIn en op een forum van ISACA.org. Daarnaast zijn vooral door middel van persoonlijke connecties enquêtes verzonden. Deze kanalen worden in de volgende paragrafen beschreven.

3.3.1 LinkedIn

LinkedIn heeft diverse groepen waar mensen met vakinhoudelijke kennis discussies kunnen voeren. Zo is er de LinkedIngroep “COBIT OFFICIAL” waar personen met COBIT-affiniteit lid van kunnen worden. Daarnaast is er een kleinere LinkedIngroep genaamd “CGEIT”, waar personen die in het bezit zijn van een CGEIT-certificaat (of hiervoor aan het leren zijn) lid van kunnen worden, deze groep is zeer interessant aangezien personen met een CGEIT-certificering veelal ook kennis hebben van COBIT 5. Na contact opgenomen te hebben met de beheerders van beide groepen, is op de discussiepagina van deze groepen een korte introductie geplaatst met verwijzing naar de enquête.

Daarnaast is gebruik gemaakt van de mogelijkheid om geschikte respondenten te vinden via LinkedIn, door te zoeken op een CGEIT-titel en affiniteit met COBIT. Potentiële respondenten zijn vervolgens persoonlijk benadert via LinkedIn of via hun bedrijfsnetwerk.

3.3.2 ISACA

Het ISACA-netwerk draait om informatiesystemen. Alle 140.000 leden hebben affiniteit met informatiesystemen en business issues. ISACA heeft op haar website een speciale “COBIT-section”. Binnen deze sectie kunnen discussies gevoerd worden over de implementatie van COBIT of het gebruik ervan. Personen die hier actief zijn, zijn daarom zeer geschikt als respondent van de enquête. Hierom is een korte introductie geplaatst in dit discussieforum met een verwijzing naar de enquête.

3.3.3 Persoonlijke netwerken

De diverse IT-Professionals die betrokken zijn geweest bij dit onderzoek zijn gevraagd om de contactgegevens van geschikte potentiële respondenten uit hun netwerk aan te leveren. Aan deze personen is vervolgens weer gevraagd of zij in hun netwerk nog geschikte potentiële respondenten weten, wat ook wel het ‘sneeuwbaleffect’ wordt genoemd. Gezien de persoonlijke benadering is de respons-rate bij deze methode fors hoger dan bij het plaatsen van een enquête op een (veelal ‘overvraagd’) forum.

3.4

Respons

Aangezien de enquête op diverse forums is geplaatst, waaronder ISACA.org en LinkedIn, is de response-rate niet te bepalen aangezien niet bekend is hoeveel personen de uitnodiging hebben gelezen. De enquête is geopend door 81 personen. Hiervan hebben 54 personen hem ingevuld, waardoor de drop-out ratio 33% is. Van de 54 ingevulde enquêtes zijn er 7 exemplaren verwijderd omdat de respondenten aangaven niet over voldoende kennis van COBIT 5 te beschikken en/of de enquête niet voldoende volledig hebben ingevuld. De uiteindelijke hoeveelheid ingevulde enquêtes op basis waarvan analyses zijn gedaan bestaat uit 47 ingevulde enquêtes. Van de 47 respondenten zijn er 30 werkzaam in een organisatie waar COBIT 5 ook daadwerkelijk gebruikt wordt, 29 werken in een organisatie met meer dan 1.000 medewerkers, 25 zijn werkzaam in Europa en 24 van de 47 respondenten hebben een leeftijd van vijftig jaar of ouder. Van hen zijn er 15 werkzaam in een functie als CIO of IT-Manager en 24 van hen zijn werkzaam als IT-consultant. Op basis van deze achtergrondinformatie zijn gevoeligheidsanalyses uitgevoerd waarvan in paragraaf 4.3 de resultaten worden beschreven.

24

3.5

Analysemethoden

Bij veel vragen in de enquête is aan de respondenten gevraagd om hun mening te geven op basis van een 5-punts Likertschaal. De antwoordmogelijkheden bestonden veelal uit; “-/-“, “-“, “+/-“, “+” en “+/+”. Daarnaast werd vaak om de relevantie en betrokkenheid gevraagd, waarbij de 5 mogelijke antwoordopties bestonden uit “Nauwelijks”, “Beperkt”, “Middelmatig”, “Aanzienlijk” en “Zeer”. Deze schalen zijn gecodeerd van 1 tot 5. Bij het analyseren van de uitkomsten in hoofdstuk 4 dient de interpretatie voorzichtig te zijn, aangezien een “Aanzienlijk” (codering 4) relevant proces niet 2x zo relevant is als een “Beperkt” (codering 2) relevant proces.

Door de geringe hoeveelheid ingevulde enquêtes en het ontbreken van data over de populatie, is het niet mogelijk om op basis van de resultaten uitspraken te doen over de populatie. Dit is echter ook niet wenselijk aangezien dit onderzoek exploratief van aard is. Met behulp van beschrijvende statistiek is gekeken naar de gemiddelde meningen over de diverse onderwerpen en de verschillen hiertussen. Daarnaast zijn diverse statistische testen, zoals de Kolmogorov-Smirnov test, de Wilcoxon Signed Ranks test en de Mann-Whitney U test gebruikt. Ook zijn diverse gevoeligheidsanalyses uitgevoerd onder andere door diverse filteringen toe te passen op basis van de achtergrondinformatie van de respondenten. De resultaten hiervan worden in het volgende hoofdstuk beschreven.

25 Highly Considerably Moderately Slightly Not at all

4

Resultaten

Dit hoofdstuk beschrijft de resultaten van dit onderzoek. Paragraaf 4.1 beschrijft de resultaten met betrekking tot de EDM Processen. Paragraaf 4.2 beschrijft de resultaten met betrekking tot de Management Processen. Paragraaf 4.3 beschrijft welke gevoeligheidsanalyses uitgevoerd zijn om de robuustheid van de resultaten te vergroten. Voor de enquêtevragen waarbij de respondenten de keuze hadden uit een 5-punts Likertschaal, is getest in hoeverre de respons normaal verdeeld is. Dit door het uitvoeren van de Kolmogorov-Smirnov test. In bijlage G zijn de resultaten van deze test opgenomen, waaruit blijkt dat de resultaten van de enquête in dit onderzoek niet normaal verdeeld zijn. Dit is te verklaren door het lage aantal responses en de beperkte hoeveelheid antwoordcategorieën. Aangezien de resultaten niet normaal verdeeld zijn is gebruik gemaakt van non-parametrische testen. De Wilcoxon Signed Rank test is gebruikt om het verschil tussen de relevantie en betrokkenheid te meten. Daarnaast is de Mann-Whitney U test gebruikt om het verschil tussen groepen respondenten te meten. De resultaten van deze testen worden in de volgende paragrafen beschreven.

4.1

EDM Processen

Deze paragraaf beschrijft de resultaten van het tweede en meest relevante onderdeel van de enquête, namelijk de relevantie van de EDM Processen en de betrokkenheid van de Board hierbij.

4.1.1 Perceptie op relevantie per EDM Proces

Aan de respondenten is gevraagd om hun mening te geven over de relevantie van de vijf EDM Processen en de betrokkenheid van de Board hierbij. Dit resultaten hiervan staan in figuur 9. Ook is de spreiding hierin opgenomen door middel van eenmaal de standaarddeviatie.

Figuur 9 - Relevantie versus de Betrokkenheid van de board per proces, inclusief standaarddeviatie

Uit figuur 9 is af te lezen dat voor alle EDM Processen geldt dat de respondenten vinden dat deze ‘aanzienlijk relevant’ zijn maar dat de Board hier ‘gemiddeld’ bij betrokken is. De Wilcoxon Signed Ranks Test is uitgevoerd om het verschil in perceptie tussen relevantie en betrokkenheid statistisch te testen. Uit deze test blijkt dat voor alle EDM Processen de betrokkenheid van de Board lager wordt beoordeeld dan de relevantie van het proces. Deze resultaten zijn statistisch significant (zie bijlage H). Dit ondersteunt Hypothese 1a, waarin verondersteld wordt dat de Board minder betrokken is bij de EDM Processen van COBIT 5 dan dat vanuit het oogpunt van de respondenten nodig is. De spreiding is voor de relevantie kleiner dan voor de betrokkenheid. Dit duidt erop dat de mate van betrokkenheid van de Board sterk verschilt per respondent. De verschillen tussen de processen onderling zijn beperkt.

4.1.2 Factoren die van invloed zijn op de betrokkenheid van de Board

Vervolgens is aan de respondenten gevraagd welke factoren van invloed zijn op de betrokkenheid van de Board bij deze EDM Processen. De resultaten hiervan staan weergegeven in figuur 10. Een gebrek aan Ervaring wordt het vaakst genoemd door de respondenten als factor voor de beperkte betrokkenheid bij de EDM Processen, gevolgd door de factoren Prioriteit, Tijd, Kennis en Bewustzijn.

1,00 2,00 3,00 4,00 5,00

EDM01 EDM02 EDM03 EDM04 EDM05

Relevantie versus Betrokkenheid (+/- 1 S.D.)

26 Daartegenover staat dat de factor Funding juist wordt gezien als factor die ervoor zorgt dat de Board wél betrokken zou kunnen zijn. Deze resultaten geven een zwakke ondersteuning voor Hypothese 1b, waarin verondersteld wordt dat het gebrek aan betrokkenheid vooral wordt veroorzaakt door een gebrek aan de factoren Prioriteit, Tijd, Kennis en Ervaring.

4.2

Management Processen

In het derde blok van de enquête is gevraagd naar de perceptie op de relevantie en betrokkenheid van de Board bij diverse Management Processen. De Board heeft niet de eindverantwoordelijkheid voor de Management Processen (het zijn immers geen Governance Processen). Dit betekent echter niet dat de Board in zijn geheel niet betrokken hoeft te zijn bij deze processen. Betrokkenheid bijvoorbeeld bij het proces APO04 (innovatie) is nuttig om in de juiste IT-projecten te investeren (EDM04).

4.2.1 Perceptie per Management Domein

Aan de respondenten is gevraagd om hun mening te geven over de relevantie van de vier Management Domeinen en de betrokkenheid van de Board hierbij. Dit resultaten hiervan staan in figuur 11. Hieruit blijkt dat de Management Domeinen als “aanzienlijk relevant” worden gezien. Voor alle domeinen geldt dat de Board minder betrokken is als dat wenselijk is uit oogpunt van de respondenten. Echter valt op dat bij de domeinen BAI en DSS, die als meest relevant worden gezien, de Board juist het minst betrokken is. Deze domeinen worden in de volgende paragraaf verder opgesplitst.

0 5 10 15 20 25 30

Factoren met betrekking tot

betrokkenheid bij EDM Processen

Gebrek aan Voldoende

Figuur 10 - Factoren van invloed op de betrokkenheid van de Board bij de EDM Processen