28 mei | juni 2007IT-governance.Compliance-eisenzou-den deel moeten uitmaken van debusinesscase om maximaal waardetoe te k...
29IT in the boardroomciation (ISACA), iseen Amerikaanseberoepsverenigingvan IT-auditors eninformatie-bevei-ligers, opgeric...
30 mei | juni 2007Het derde deel van de Val IT-stan-daard, de ING-casestudie, beschrijftten slotte hoe ING het Val IT-raam...
31IT in the boardroomSUZANNE JANSE is managerbij Protiviti, aanbieder van risk-consultingservices. Voor meerinformatie en ...
Upcoming SlideShare
Loading in …5
×

De meerwaarde van IT-governance

332 views
198 views

Published on

Artikel in CIO Magazine over de meerwaarde van IT-governance. In het artikel wordt uitgelegd hoe de combinatie van COBIT 4.1 and Val IT (beide publicaties zijn ontwikkeld door ISACA) bijdraagt aan belangrijke bedrijfsdoelstellingen. (anno 2012 is Val IT opgegaan in de nieuwe COBIT 5 standaard)
Auteurs: Suzanne Janse en Corjan Bast

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
332
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

De meerwaarde van IT-governance

  1. 1. 28 mei | juni 2007IT-governance.Compliance-eisenzou-den deel moeten uitmaken van debusinesscase om maximaal waardetoe te kunnen voegen.Tijdens de compliance-activiteiten inIT-omgevingen hebben veel organi-saties CobiT als IT-governanceraam-werk geïntroduceerd. Hoewel CobiTgoed bruikbaar is voor het inrich-ten en uitvoeren van IT-governance,biedt het geen hulp bij het sturen opde performance van projecten. Sindskort is er aan het CobiT-raamwerk‘Value of IT’ (kortweg: Val IT) toege-voegd. Deze standaard is een hand-reiking voor het meten, monitorenen maximaliseren van de financiëleopbrengsten van IT-investeringen.Hieronder wordt beschreven hoe dewaardecreatie van IT-investerin-gen met Val IT geborgd kan worden,om tot een goede balans te komen ingovernance-investeringen. In combi-natie met CobiT levert dit een inte-grale benadering voor IT-governance:De meerwaardevan IT-governanceDe aandacht voor performanceverbetering en investeren in IT neemtweer toe. Tegelijk staan thema’s als IT-governance en compliancenog hoog op de agenda van de CIO. Gelukkig kunnen laatstgenoemdeactiviteiten ook als enabler dienen voor betere prestaties. In de zoek-tocht naar de juiste balans tussen compliance en performance, is hetevenwel belangrijk dat de toegevoegde waarde van IT en IT-projectenwordt vastgesteld. Val IT, het jonge zusje van CobiT, biedt uitkomst.Tekst: Suzanne Janse en Corjan BastZOEKEN NAAR DE BALANSTUSSEN COMPLIANCE ENPERFORMANCEDe eerste jaren van het nieuwe millen-nium waren organisaties voorname-lijk gefocust op kostenbesparingen,en stonden thema’s als complianceen governance op de agenda vande CIO. Thema’s waarvan de toege-voegde waarde nog steeds moeilijkte meten is, die vaak een dwingendkarakter hebben en waar niet zel-den een flinke kostenpost aan hangt.Onderzoeksbureaus als Gartner enForrester blijven maar schrijven overfalende IT-projecten en buitenspo-rige IT-uitgaven die weinig bijdragenaan verbetering van bedrijfsproces-sen en winstgevendheid. Die rappor-ten zijn als een foute soapserie: voorsommigen vermakelijk, maar hetbrengt weinig nieuws. Dit artikel gaatniet over falende IT-projecten, maaronder andere over het belang van eengoede businesscase als onderdeel van
  2. 2. 29IT in the boardroomciation (ISACA), iseen Amerikaanseberoepsverenigingvan IT-auditors eninformatie-bevei-ligers, opgerichtin 1967. Doel vanISACA is de uitoe-fening van het IT-auditvakgebiedop een hoger ni-veau te brengen.Dat gebeurt ondermeerdoorhetfaci-literen van onder-zoek. Ook CobiTis hieraan onder-worpen. Om deadoptie te vergro-ten heeft ISACA het IT GovernanceInstitute (ITGI) opgericht om CobiTverderteontwikkelen.Sindsdienishetgebruik ervan enorm gestegen, vooralvanwege de toepasbaarheid als toet-singskader voor de compliance-auditsdie bijvoorbeeld de Amerikaanse Sar-banes-Oxleywetgeving voorschrijft.Hoewel CobiT een bruikbaar raam-werk is voor het inrichten en uitvoe-ren van IT-governance biedt het geenhulp bij het bepalen welke projecteneen organisatie zal moeten uitvoeren.CobiT is bovendien niet gericht op hetverbeteren van de waarde van projec-ten met een IT-component. Daarom isISACA onlangs gekomen met een aan-vullende standaard onder de naamVal IT, die zich specifiek richt op hetoptimaliseren van de ‘Value of IT’.CobiT is vooral gericht op het goed uit-voeren van IT-beheer om daar waardeuit te halen. Val IT gaat in op het uit-voeren van de juiste projecten en kanbepalen welke voordelen daarmee tebehalen zijn. Een andere samenstel-ling van een projectportfolio kan bij-voorbeeld meer waarde opleveren.Andersom geldt hetzelfde: een winst-gevend initiatief op papier hoeft in depraktijk geen succes te betekenen alshet slecht wordt uitgevoerd en tot kos-ten- en tijdsoverschrijdingen leidt.IT als investering‘Manage IT as an investment’ is hetsynoniem van Val IT. De Val IT-stan-daard is geen rocket science, het iseen praktisch handvat voor actiefportfoliomanagement, voor het ver-hogen van de kwaliteit van business-cases (inclusief kosten, risico’s, en(niet-)financiële opbrengsten), hetselecteren van de juiste projecten enhet houden van overzicht over de heleportfolio aan investeringen. En danmet name het risico en rendementvan die portfolio. Val IT stelt de CIOin staat te verantwoorden dat het geldvoor de IT goed is geïnvesteerd. Omdit mogelijk te maken is het noodza-kelijk om verantwoordelijkheden enbevoegdheden te beleggen in de orga-nisatie. Dat is de kern van Val IT. Destandaard bestaat tot op heden uitdrie delen: 1. het raamwerk, 2. debusinesscase en 3. de ING-casestu-die. Net als CobiT werkt ook Val ITin een cyclus van processen. Per pro-de juiste dingen doen (Val IT) en diedingen goed doen (CobiT).AandachtsgebiedenValue delivery wordt gezien als eenvan de vijf aandachtsgebieden vanIT-governance, naast strategic align-ment, performancemanagement,resourcemanagement en riskma-nagement. De toegevoegde waardevan IT is alleen zichtbaar wanneer deoverige aandachtsgebieden ook suc-cesvol zijn. In navolging van de IT-governancestandaard CobiT werd in2006 Val IT als standaard gepubli-ceerd. Val IT completeert CobiT opbedrijfs-enfinancieelvlak.ValITsteltdat het – bij het zichtbaar maken vande toegevoegde waarde van IT-inves-teringen – belangrijk is om gebruikte maken van formele, consistentebusinesscases, aandacht te hebbenvoor portfoliomanagement en pro-gramma-management, en gebruik temaken van kwantitatieve methodie-ken als ROI, netto contante waardeen terugverdientijd. Val IT is dus inte-ressant voor iedereen met een inte-resse in waardecreatie door IT. In devolgende paragrafen worden achter-eenvolgens de oorsprong, de waardeen het toekomstscenario van Val ITbesproken.GovernancefamilieDe vader van de IT-audit, de Informa-tion Systems Audit and Control Asso-Naar verwachting komt in mei de nieuwe CobiT-versie 4.1 uit. Nieuwhieraan is de focus op IT-governance in relatie tot wetgeving (SOX, Basel)en verbeterde control objectives door de ontwikkelingen rondom de ValIT-standaard. Doel is IT-governance op een nog hoger niveau te brengen.De Val IT standaard is in 2006 toegevoegd aan de CobiT en stelt organi-saties beter in staat om de toegevoegde waarde van IT te bepalen. Naastde nieuwe CobiT-versie is de ‘IT Governance Implementation Guide’ ver-nieuwd. Deze is aangevuld met de Val IT-uitgangspunten en richt zich opcompliance en performance. Verder staat voor eind 2007 het document‘IT Control Objectives for Basel II’ gepland. Nieuwe edities, uitbreidingenen toekomstige services zijn vrij beschikbaar op www.itgi.org. Er ligt eenmooie zomer in het verschiet...News scoop Nieuwe CobiTFiguur 1: CobiT en haar zusje Val ITDoen wede juistedingen?Krijgen wewel devoordelen?Worden zegoed uit-gevoerd?Doen we zeop een goedemanier?Val ITCobit
  3. 3. 30 mei | juni 2007Het derde deel van de Val IT-stan-daard, de ING-casestudie, beschrijftten slotte hoe ING het Val IT-raam-werk gebruikt om haar projectenen kosten te mana-gen. De casestu-die laat bovendienzien hoe businessca-ses te consoliderenzijn tot een inzichte-lijk portfolio. Alleenhiermee kan de toe-gevoegde waardevan IT-projecten en-investeringen wor-den gemonitord en gestuurd. Dat is detoegevoegde waarde van Val IT.Val IT’s valueOrganisaties gebruiken vaak de ben-chmarkmethode om het IT-budget tebepalen. Het zou echter zuiverder zijnom alleen projecten met toegevoegdewaarde en passend bij de bedrijfsstra-ces zijn managementpractices gedefi-nieerd die de processen ondersteunen.Bovendien worden verantwoordelijk-heden en bevoegdheden beschreven.Naast de in totaal veertig manage-mentpractices bestaan er referentiesnaar de CobiT-processen en zijn RACI-verantwoordelijkheden aangegeven.Het eerste deel van de standaard,‘het raamwerk’, bestaat uit drie pro-cessen: value governance (VG),portfoliomanagement (PM) en invest-mentmanagement (IM). Hoewel dezeprocessen cyclisch worden uitge-voerd, is er sprake van hiërarchie. Ziehiervoor ook figuur 2.Ter ondersteuning van het Val IT-raamwerk behandelt de ‘business-case‘ (het tweede deel van de ValIT-standaard) hoe een betrouwbarebusinesscase tot stand komt. Volle-dige en betrouwbare data en infor-matie is hierbij essentieel. Vaak is eenbusinesscase niet volledig, zijn alleende kosten gekwantificeerd en blijvende baten kwalitatief van aard. In ditgeval is het belangrijk te onderzoe-ken waarom informatie ontbreekt.Draagt het project niet bij aan de per-formanceverbetering? Komt dit doorde scope? Moet het project misschienniet worden geïnitieerd? En kunnende belangrijkste projecten voor waar-deontwikkeling van de hele portfoliodat ook realiseren? Dit zijn een aan-tal vragen die met behulp van Val ITbeantwoord kunnen worden.Val IT is als de handleidingbij een Meccano-doosControl Objectives for Informationand related Technology (COBIT) iseen framework voor het gestructu-reerd inrichten en beoordelen vaneen IT-beheeromgeving. CobiT isvanaf 1992 ontwikkeld door hetInformation Systems Audit andControl Association (ISACA) en hetIT Governance Institute (ITGI). Co-biT stelt IT-managers in staat om opbasis van algemeen geaccepteerdebest practices de ICT-beheermaat-regelen in te richten. Daarnaastkunnen auditors op basis van hetframework hun controleprogrammabeschrijven en uitvoeren.CobiT staat momenteel vooralin de vernieuwde belangstel-ling doordat de huidige versiebij uitstek geschikt is om eenorganisatie in staat te stellen aante tonen te voldoen aan de Sarba-nes-Oxleywetgeving (SOX) en hetCOSO- (Committee of SponsoringOrganizations of the TreadwayCommission) referentiemodel.Wat is CobiT?Wat is Val IT?Value of IT (Val IT) is de standaard die CobiT sinds 2006 aanvult met me-thoden voor het meten, monitoren en maximaliseren van businesswaardevan IT-investeringen. Door de toegenomen focus op performance heefthet IT-governance-instituut samen met een aantal marktpartijen gewerktaan de Val IT-standaard. Deze maakt CobiT compleet vanuit een busi-ness- en een financieel perspectief en maakt duidelijk hoe organisatiesde waarde van hun IT-investeringen kunnen bepalen en vormgeven in eenportfolio alvorens projecten uit te voeren. Waar CobiT zich vooral richt opde uitvoering, focust Val IT op de investeringsbeslissing en de realisatievan benefits.
  4. 4. 31IT in the boardroomSUZANNE JANSE is managerbij Protiviti, aanbieder van risk-consultingservices. Voor meerinformatie en contactgegevens ziewww.protiviti.nl.CORJAN BAST is manager busi-nessdevelopment bij SeaQuation,een spin-off van de ING Groepen gespecialiseerd in de bijdragevan IT aan het ondernemings-rendement. Voor meer informatieen contactgegevens zie www.seaquation.com.tegie te selecteren. Val IT biedt eenobjectieve en betrouwbare manier omde waarde te bepalen van IT-investe-ringen en deze vorm te geven als eencompleet portfolio. Het resultaat vaneen dergelijke exercitie is een toe-komstgericht beleid en standaardi-satie van het IT-investeringsproces,hetgeen leidt tot meer financiële enrisicotransparantie bij de besluitvor-ming over IT. Dit leidt vervolgens toteen vermindering van onbetrouwbareen onrealistische investeringsvoor-stellen. Hierdoor worden op termijnweer budgetoverschrijdingen en ver-tragingen gereduceerd, wordt het ver-touwen in de IT-organisatie verbeterden gaat de performance omhoog.Tot slot slaat Val IT de brug tussen definanciële wereld en de IT en zorgt destandaard ervoor dat IT verbonden ismet het hoger management.ToekomstscenarioHet ITGI zal Val IT in de toekomstcontinu verbeteren op basis vanonderzoek en praktijkervaringenover IT-projecten, best practices enrisicomanagement van business-investeringen met een IT-compo-nent. De Val IT-standaard richt zichnu vooral op nieuwe initiatieven enniet op vervangingsprojecten of ver-plichte projecten door regelgeving. Inde toekomst zal Val IT wel alle pro-jectsoorten afdekken. Ook zal hetITGI meerdere casestudies toevoe-gen en zal een ‘capability-maturi-tymodel’ worden opgesteld. Tot slotwordt de kwantitatieve methode voorwaardeberekening uitgebreid en zaltevens een benchmarkingmethodebeschikbaar worden gesteld waarmeeorganisaties hun best practices overIT-valuemanagement kunnen uitwis-selen. De ambitie van ITGI is de ValIT-methode volledig te integreren inIT-governance. De recent herziene ITGovernance Implementation Guide(publicatie verwacht in mei 2007) isde bevestiging hiervan. Ook Val IT isin deze gids verwerkt. Het IT Gover-nance Institute zal ook vernieuwdeversies en uitbreidingen van Val ITkosteloos beschikbaar stellen op haarwebsite www.itgi.org.Value-governance (VG) proces• Ontwikkel governance raamwerk.• Bepaal strategische richting.• Bepaal portfolio parameters.• ...Portfoliomanagement (PM) proces• Evalueer en prioriteer investeringen.• Manage de gehele portfolio.• Monitor en rapporteer over de prestatie van deportfolio.• ...Investmentmanagement (IM) proces• Definieer een projectvoorstel (inclusief busi-ness requirements en verantwoordelijkheden.• Start project en manage het project.• Monitor en rapporteer over de prestatie van hetproject.• ...Figuur 2: Relatie tussen dedrie Val IT-processenGezinsuitbreidingDe Val IT-standaard is pas in 2006ontwikkeld en weinig organisatieshebben Val IT al volledig omarmd engeïmplementeerd. De ING-casestu-die door SeaQuation is een van de eer-ste in een serie en beschrijft de manierwaarop Val IT bijdraagt aan het iden-tificeren van de toegevoegde waardevan de 2,5 miljard euro (25 pro-cent van de Opex) aan IT-investerin-gen. CobiT en Val IT vormen samen,kortom, een sterk duo voor volwassenIT-governance in organisaties. Hetzal een kwestie van tijd zijn voordatandere organisaties het voorbeeld vanING volgen en de governance uitbrei-den met een nieuwe loot aan de tak.|

×